Preview document (🔗 origineel)

---

2019D49049 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

De vaste commissie voor Financiën heeft op 29 november 2019 een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Financiën over zijn brief van 16 oktober 2019 inzake de eindbrief van de Autoriteit Persoonsgegevens over het onderzoek naar de informatiebeveiliging bij de afdeling Datafundamenten en Analytics van de Belastingdienst (Kamerstuk 32 761, nr. 150).

De voorzitter van de commissie,
Anne Mulder

De adjunct-griffier van de commissie,
Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de brief «Onderzoek van de AP naar de informatiebeveiliging bij Belastingdienst/Datafundamenten en Analytics» en zijn tevreden met het feit dat de Belastingdienst en de afdeling Datafundamenten & Analytics (DF&A) volgens de Autoriteit Persoonsgegevens (AP) voldoende verbetermaatregelen hebben getroffen ten behoeve van de eerder geconstateerde beveiligingsrisico’s. De leden van de VVD-fractie hebben nog enkele vragen en opmerkingen.

De leden van de VVD-fractie hechten eraan te benadrukken dat de Belastingdienst dient te voldoen aan de hoogste eisen voor wat betreft databescherming en de beveiliging van de privacy van gevoelige gegevens van Nederlanders. Zij vragen het kabinet hier blijvend aandacht aan te besteden.

De leden van de VVD-fractie vragen of de AP alleen heeft gekeken naar de eerder geconstateerde beveiligingsrisico’s of dat DF&A in zijn geheel opnieuw is onderzocht op beveiligingsrisico’s. Zo ja, wat is de uitkomst?

De leden van de VVD-fractie lezen dat exportdata nog steeds niet wordt gelogd. Op welke manier kan in een register worden bijgehouden wie welke data heeft geëxporteerd? Moeten medewerkers zelf aangeven welke data is geëxporteerd?

De leden van de VVD-fractie vragen of binnen de Belastingdienst de verbetermaatregelen rond de geconstateerde gebreken breed aangepast zijn of dat dit alleen voor DF&A is gebeurd.

Op basis waarvan wordt besloten om internetwebsites wel of niet goed te keuren?

De leden van de VVD-fractie vragen wie er binnen de Belastingdienst op toeziet dat de getroffen verbetermaatregelen en periodieke herbeoordeling in de toekomst worden gecontinueerd. Worden er nog «nazorgcontroles» gedaan door de AP? Zo ja, met welke regelmaat? Zo nee, waarom niet?

De leden van de VVD-fractie lezen dat de Belastingdienst naar aanleiding van het onderzoek van de Algemene Rekenkamer pas het mailen van DF&A naar buiten de Belastingdienst onmogelijk heeft gemaakt. Hoe is de informatiebeveiliging op andere afdelingen binnen de Belastingdienst? Kan op andere privacygevoelige afdelingen ook geen mail naar buiten de Belastingdienst gemaild worden? Waarom wel/waarom niet?

De leden van de VVD-fractie vragen hoe de AP blijft monitoren of DF&A de verbetermaatregelen voldoende continueert en hoe de AP toeziet op het naleven van de Algemene Verordening Gegevensbescherming (AVG).

De leden van de VVD-fractie vragen om een uitputtende lijst van diensten of afdelingen binnen de Belastingdienst die op dit moment nog niet voldoen aan de laatste privacywetgeving zoals de AVG. Zij vragen daarnaast welke stappen de Belastingdienst zet om wel aan deze wet- en regelgeving te voldoen en wanneer de Belastingdienst volledig «privacyproof» zal zijn.

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie danken de Staatssecretaris en de AP voor de brief over de informatiebeveiliging bij de broedkamer, die nu DF&A heet. Het is goed dat de verbetermaatregelen genomen zijn en dat de AP niet langer overtredingen gevonden heeft.

Toch is hiermee wat de leden van de CDA-fractie betreft de zaak niet helemaal afgesloten. Daarvoor waren de constateringen, die in de uitzending van Zembla naar boven kwamen, te ernstig.

Graag willen de leden van de CDA-fractie weten welke maatregelen nu uiteindelijk genomen zijn op personeel terrein en op institutioneel terrein.

Bij de tweede vraag willen de leden ook graag vernemen waar medewerkers problemen met de AVG en privacy kunnen melden en hoe daarmee wordt omgegaan.

De leden van de CDA-fractie willen de Staatssecretaris wel op het hart drukken dat de AVG niet betekent dat oude documenten (zoals memo’s en beleidsdocumenten) waarop namen van ambtenaren staan vernietigd dienen te worden. Kan de Staatssecretaris bevestigen dat dat niet gebeurt?

De leden van de CDA-fractie noemen dat DF&A een schat aan informatie heeft over elke burger. Onder de AVG heeft elke burger ook het recht om die in te zien. Kan de Staatssecretaris aangeven hoe een burger al die data op gemakkelijke wijze kan inzien? Nu kan hij namelijk die data niet via de portal inzien.

Vragen en opmerkingen van de leden van de fractie van de SP

De leden van de SP-fractie lezen in de brief van de AP dat zij afdoende vertrouwen heeft in de door de Belastingdienst getroffen maatregelen om de in het verleden voorkomende overtredingen niet langer te laten voortduren. Deze leden lezen tevens in deze brief dat de AP audits gericht op informatiebeveiliging en periodieke herbeoordeling van risico’s en maatregelen daartegen voorschrijft. Zij merken tevens op dat de Staatssecretaris toezegt in zijn brief dat de Belastingdienst dit zal doen. Deze leden vragen de Staatssecretaris hoe dit gestalte gaat krijgen en daarbij specifiek in te gaan op de frequentie en omvang van de audits en tevens op de frequentie van herbeoordeling van risico’s binnen DF&A. Tot slot vragen deze leden of de Staatssecretaris van zins is de AP en eventuele andere onafhankelijke toezichthouders periodiek controle te laten uitvoeren om te bezien of het vertrouwen dat in haar onderzoek is uitgesproken gerechtvaardigd blijkt.