Vragen van de leden Oosenbrug en Groot (beiden PvdA) aan de Minister van Veiligheid en Justitie en de Staatssecretaris van Financiën over een datalek bij de Belastingdienst.

2 Bevat dit bericht feitelijke onjuistheden ten aanzien van de aard van het datalek? Zo ja, welke?

Ja, het bericht is inderdaad niet geheel correct. In het bericht staat dat op de cd-roms onversleutelde persoonlijke gegevens van particulieren stonden, waaronder informatie van de Kamer van Koophandel. Dit is onjuist. Op de cd-roms stonden gegevens van de belastingconsulent (het nummer van de belastingconsulent en zijn adresgegevens), gegevens van zijn klanten c.q. belastingplichtigen [namen, burgerservicenummers (BSN’s) en uitsteldata voor het indienen van de aangiften] en het inleverschema voor de betrokken belastingconsulent. Op de cd-roms stond geen informatie van de Kamer van Koophandel.

4 Deelt u de mening dat het lekken van onversleutelde persoonlijke gegevens van particulieren, waaronder het BSN en informatie van de Kamer van Koophandel risico’s voor de betrokken belastingplichtigen kan opleveren en mogelijk schade tot gevolg kan hebben? Zo ja, waarom? Zo nee, waarom niet?

Ik deel de mening dat het lekken van onversleutelde gegevens risico’s voor de betrokken persoon kan opleveren en mogelijk schade tot gevolg kan hebben. Echter, de risico’s voor (identiteits)fraude liggen in het combineren van het BSN met andere persoonsgegevens uit andere bronnen. Het BSN als zodanig is een nummer zonder betekenis. Iemand die enkel beschikt over een BSN kan daar niet veel mee. Zoals aangegeven stond op de cd-roms slechts de naam van betrokken belastingplichtige, zijn BSN en de uitsteldatum voor het indienen van de aangifte. Ik ben daarom van oordeel dat in het voorliggende geval sprake is van een laag risico.

6 Deelt u de mening van de genoemde hoogleraar dat er bij de Belastingdienst «geen enkel zicht is op de omvang van het lek»? Zo ja, waarom en wat gaat u doen om er voor te zorgen dat de Belastingdienst voortaan zorgvuldiger met dergelijke risico’s om zal gaan? Zo nee, waarom niet?

De omvang van het datalek is niet exact bekend. De Belastingdienst gebruikt cd-roms voor de communicatie over aangevraagd uitstel voor het doen van aangifte. Het gaat hier om uitstelverzoeken van een groep van ongeveer 9.000 belastingconsulenten ten behoeve van hun cliënten. De cd-roms worden eerst individueel ingepakt en vervolgens samen met een begeleidende brief in een enveloppe gedaan. Deze wordt voor verzending in een doos gedaan. Het in een hoesje doen van de cd-rom, het samenvoegen van de brief en de cd-rom in een enveloppe en het verpakken ter verzending is handwerk. Achteraf is niet meer exact vast te stellen in hoeveel gevallen dit eventueel is misgegaan. Een soortgelijke fout, waarbij het voor zover bekend om slechts drie verkeerd verstuurde cd-roms ging, heeft zich daarna nog eens voorgedaan en is op een zelfde manier afgehandeld.
Aangezien handwerk foutgevoelig is, zijn de verbeteracties gericht op het controleren hiervan. Er is één op één controle op de combinatie van cd-roms en brieven afgesproken. Waar voorheen niet één op één gecontroleerd werd dat de brief dezelfde geadresseerde had als de cd-rom, is dit nu wel een werkafspraak. Er is afgesproken om steekproefsgewijs de cd-roms te controleren. Deze worden gecontroleerd op leesbaarheid en op het type gegevens dat op de cd-rom staat, in combinatie met de brief (wanneer er bijvoorbeeld in de brief gesproken wordt over uitstelgegevens, moet de cd-rom ook uitstelgegevens bevatten). Verder is de Belastingdienst bezig het uitstelproces te digitaliseren. Dit vergt aanpassingen van externe partijen (softwareontwikkelaars), die zich hier momenteel op inrichten.

Meer bij de bron; Rijksoverheid