De Autoriteit Persoonsgegevens stelt op basis van vervolgonderzoek dat de Nederlandse Belastingdienst voldoende maatregelen heeft genomen op de afdeling Datafundamenten & Analytics om eerder geconstateerde gebreken bij de informatiebeveiliging weg te nemen.
De Autoriteit Persoonsgegevens schrijft in een brief aan de staatssecretaris van Financiën dat er afdoende maatregelen zijn getroffen om drie eerder aangetroffen beveiligingsproblemen weg te nemen. De drie in 2017 geconstateerde tekortkomingen betreffen het gebrek aan het loggen van relevante activiteiten. Data kon ongemerkt worden gekopieerd of geëxporteerd, er was geen controle op de logging en er waren tekortkomingen bij het beheren van autorisaties, zodat niet kon worden uitgesloten dat medewerkers van de Belastingdienst toegang hadden tot data waar dat niet noodzakelijk was.
Het ontbreken van logging betrof drie activiteiten: de export van data vanuit de brongegevens naar de werkplek van een medewerker, het schrijven van data op een usb-stick en het opslaan van bijlagen op mobiele apparaten. De toezichthouder zegt dat de export van data vanuit de brongegevens naar het geheugen van de fysieke werkplek van een medewerker van DF&A nog steeds niet wordt gelogd, maar uit het onderzoek zou blijken dat medewerkers deze exporthandeling niet vaak nodig hebben en ze moeten er nu ook eerst toestemming voor vragen. Ook wordt een register bijgehouden waarin staat wie welke data heeft geëxporteerd. Dit register wordt periodiek door een databeschermingsfunctionaris van de desbetreffende afdeling gecontroleerd.
Bij deze tekortkoming in de logging is het beveiligingsrisico bij het gebruik van usb-sticks volgens de Autoriteit Persoonsgegevens 'verder beperkt' doordat medewerkers niet langer een usb-ontheffing krijgen; alleen de beheerders zijn uitgezonderd. De toegekende autorisaties worden in een logboek geregistreerd en worden na het gebruik direct weer ingetrokken. Op het vlak van mobiele apparaten kunnen medewerkers zo nodig buiten de beveiligde omgeving van de Belastingdienst altijd een bijlage uit een e-mail op de apparaten opslaan. Deze handeling wordt niet gelogd. De hiervoor gebruikte 'openen in'-functie om bijlagen op te slaan kan volgens de DF&A 'in zijn algemeenheid niet geblokkeerd worden', omdat het hier gaat om een functionaliteit die onderdeel is van 'generieke software en besturingssystemen'. Volgens de afdeling is een mogelijk beveiligingsrisico verder beperkt doordat medewerkers bijlagen bij e-mails versleuteld moeten versturen.
Verder is er bij de controle op de logging volgens de toezichthouder verbetering zichtbaar in de vorm van een systeem waarmee het loggen actief wordt gemonitord. Ook het e-mailverkeer is op dat systeem aangesloten. Het systeem werkt op basis van triggers: automatische beslisregels op basis van een uitzondering. Als een medewerker nu bijvoorbeeld een resultaat mailt naar een e-mailadres anders dan een @belastingdienst.nl-adres, leidt dit tot een trigger. Bij een dergelijke alert wordt eerst onderzoek gedaan en wordt de zaak waar nodig doorgezet naar een security officer.
Tot slot stelt de toezichthouder vast dat voor het bijhouden van het verwijderen van autorisaties voor medewerkers nu gebruik wordt gemaakt van autorisaties die per project of datagebied zijn gestructureerd. Dit gebeurt naast het structureren op basis van de functies en de rollen van de medewerkers binnen het specifieke project. Dit zou bij 95 procent van de data zijn gerealiseerd en voor het restant volgt volgens de DF&A nog een technische oplossing. De Autoriteit Persoonsgegevens concludeert verder dat verantwoordelijke leidinggevenden volgens een procedure handmatig autorisaties van medewerkers ongeldig maken of controleren. Als de medewerker bij de Belastingdienst vertrekt, zou hij of zij nauwelijks nog mogelijkheden moeten hebben om toegang te krijgen, omdat de werklaptop en Rijkspas worden ingeleverd en het account wordt verwijderd.