AP adviseert Belastingdienst om zijn datalekkenbeleid te verbeteren

De Autoriteit Persoonsgegevens heeft de Belastingdienst geadviseerd om zijn datalekkenbeleid aan te passen. Zo adviseert de privacywaakhond onder andere om de noodzaak van een BSN-registratie bij melders van datalekken na te gaan.

In een brief van staatssecretaris van Financiën Tjebbe van Oostenbruggen aan de Eerste Kamer staan de aanvullende adviezen die de AP aan de Belastingdienst heeft gegeven.

Volgens de staatssecretaris erkent de AP dat de fiscus 'flinke voorwaartse stappen heeft gezet', maar dat er nog aanvullende verbeteringen nodig zijn. Die moeten volgens de privacywaakhond leiden tot 'een duurzame verbetering van de bescherming van de persoonsgegevens van burgers en bedrijven.'

De Belastingdienst kreeg begin december een brief met vijf verbeteringen voor het afhandelen van datalekken, waaronder 'het betrekken van de Functionaris Gegevensbescherming bij de afhandeling van datalekken volgens een vaste en gedocumenteerde werkwijze'. Verder adviseerde de AP dat er 'meer aandacht moet zijn voor het herkennen van inbreuken op de integriteit, vertrouwelijkheid én beschikbaarheid van persoonsgegevens in de bewustwordingstrainingen voor medewerkers'.

Eind december volgde een tweede brief van de privacytoezichthouder met adviezen over het verbeteren van de privacyorganisatie binnen de Belastingdienst.

Van Oostenbruggen schrijft aan de Eerste Kamer dat de privacytoezichthouder komend jaar meerdere adviesbrieven gaat sturen naar de Belastingdienst. De volgende brief wordt in februari verwacht, voorafgaand aan het commissiedebat in de Eerste Kamer. De staatssecretaris zegt toe dat de AP in dat debat de Eerste Kamer informeert over 'de ontwikkelingen rondom het toezichtarrangement en de opvolging van de adviezen uit de twee adviesbrieven'.

Door Loïs Franx

Redacteur

14-01-2025 • 14:36

25

Submitter: wildhagen

Reacties (25)

Sorteer op:

Weergave:

Het meest opvallende nieuws hieraan mis ik in het artikel: Het Ministerie van Financiën gaat 2 miljoen euro betalen aan de AP en in ruil daarvoor gaat de AP over een periode van vijf jaar de Belastingdienst voorzien van consultancy (verstrekken van informatie, geven van presentaties en advies en het organiseren van rondetafelbijeenkomsten) en kan de AP verschillende onderzoeken doen bij de Belastingdienst.

Dit is een constructie die ik nog nooit eerder heb gezien. Het roept bij mij vragen op over de beschikbaarheid van vergelijkbare dienstverlening voor anderen. Hoeveel kost het om advies te kopen bij de AP als andere verwerkingsverantwoordelijken dat ook willen? Wat voor constructies zijn er opgezet om te zorgen dat er niet de schijn kan ontstaan dat deze geldstroom en adviesrol de inhoud van besluiten of prioriteiten van de AP hebben veranderd?

Edit: bron

[Reactie gewijzigd door Floort op 14 januari 2025 15:56]

Bij de "lees meer" links direct onder het artikel (waar je dus voorbij gescrold bent om bij de reacties te komen) staat een artikel van 28 mei waarin tweakers dit nieuws al meldde. :)
Dat artikel mist net de stukken die juist zo opvallend zijn aan wat de AP vandaag heeft gepubliceerd.
Voor anderen zijn die diensten niet beschikbaar, die worden geacht aan te kloppen bij commerciele dienstverleners voor specifiek toegespitst advies.

Bron: https://autoriteitpersoon...e-en-meldpunt-privacy-imp
Dat was de reden dat ik het opmerkte. Bestuursorganen worden geacht gelijke gevallen gelijkt te behandelen. De AP mag niet zomaar besluiten dat één partij een speciale behandeling krijgt. De AP is ook een onafhankelijke toezichthouder, wat lastig te combineren is met geld aannemen van een partij waar toezicht op gehouden moet worden. De verwerkingserantwoordelijke betaald nu en in ruil daarvoor krijgt men de kans om inzicht te krijgen in standpunten van de AP waar anderen geen toegang toe hebben. Het is voor de AP ook lastiger om te handhaven op verwerkingen waar ze in een voortraject bij betrokken zijn (regulatory capture).

Dit alles is niet persé onrechtmatig, maar wel super gevoelig en erg lastig om de schijn van onbehoorlijke beïnvloeding te voorkomen.
Wanneer je het nieuws de laatste tijd gevolgd hebt, lijkt het alsof de AP de Belastingdiens al een bijzondere behandeling geeft. In de zin dat de AP intern een aparte afdeling lijkt te hebben om de Belastingdienst in de gaten te houden. Het lijkt alsof het aantal persberichten van de AP over de Belastingdienst het aantal persberichten over alle andere instellingen en bedrijven samen overtreft.
Dan is het een strategisch goede zet van de Belastingdienst om de AP in te schakelen om advies te geven, waar alle commerciële adviseurs die de Belastingdienst heeft ingeschakeld blijkbaar hebben gefaald. En inderdaad kan de AP geen ronkende persberichten meer de deur uit sturen over fouten/ gebreken waar ze zelf bij hebben geadviseerd. (En de Belastingdienst zal stiekem denken dat de AP er achter komt dat de praktijk in zo'n gigantische overheidsorganisatie iets weerbarstiger is dan het ideaalplaatje dat de AP voor ogen heeft.)
Wat je omschrijft is precies de angst die ik uitspreek. De AP mag geen constructies aangaan waardoor ze geen onafhankelijk toezicht kunnen houden. Ik denk wel dat je inschatting van hoe deze constructie werkt niet helemaal correct is. Maar precies wat je omschrijft als een strategisch goede zet zou dus onrechtmatig zijn.
Each Member State shall ensure that each supervisory authority is subject to financial control which does not affect its independence and that it has separate, public annual budgets, which may be part of the overall state or national budget.
- Artikel 52(6) van de AVG.
Volgens mij is dit niet in overeenstemming met het verstrekken van geld voor specifieke werkzaamheden bij/over een specifieke verwerkingsverantwoordelijke.
Natuurlijk is die 'strategische zet' onrechtmatig.
Het toezicht moet onafhankelijk en onbevoordeeld zijn. Maar je kan je ondertussen afvragen hoe onbevoordeeld de AP ondertussen is wanneer het de Belastingdienst betreft.
Het roept bij mij vragen op over de beschikbaarheid van vergelijkbare dienstverlening voor anderen.
Er zal helemaal geen sprake zijn van dienstverlening aan andere bedrijven, het is denk ik meer een indicatie dat de BD zijn zaken zo slecht op orde heeft dat de AP geld krijgt om de boel bij de BD te verbeteren. En als dat dan werkelijk zo is, is het een brevet van onvermogen voor de BD.
Of misschien is het de bedoeling om de AP te laten zien dat de praktijk weerbarstiger is dan het theoretische ideaalplaatje dat de AP heeft.

Elk proces waarbij persoonsgegens verwerkt wordt moet in een PIA beschreven worden, waarbij nut en noodzaak aangegeven wordt, met de verwerkingsgrond, maatregelen om veiligheid te garanderen, etc. etc. Dat is een proces waar makkelijk maanden over heen kan gaan. En een proces dat opnieuw gestart kan worden wanneer er in de onderliggende processen iets wijzigd door reorganisaties, wetswijzigingen, 'reparaties' van een ander process door geconstateerde AVG-gebreken.
In een organisatie waar van het indienen van een aangifte tot informatie opvragen bij een collega makkelijk duizenden verschillende processen/ gebeurtenissen zijn waar persoonsgegevens verwerkt worden (elke handeling met een persoonsgegeven is een verwerking in de zin van de AVG) lijkt het mij in de praktijk volstrekt onmogelijk om het hele stelsel van duizenden in elkaar grijpende en van elkaar afhankelijke zijnde processen 100% AVG-proof te maken. AVG-proof in de zin dat van alle verwerkingen de PIA's aanwezig zijn, accuraat zijn en actueel zijn. (Wanneer je dieper in de raporten achter de ronkende persberichten van de AP duikt zie je dat de kritiek vrijwel altijd gaat over het papierwerk achter de verwerking en niet dat bij de verwerking de privacie van burgers geschaad wordt.)
Het beste waar elk groot bedrijf dat met veel persoonsgegevens werkt naar kan streven (en dus zeker overheidinstellingen als de Belastingdienst) is dat het zich tot het uiterste inspant om zo goed mogelijk aan de AVG te voldoen, in de wetenschap dat 100% altijd onbereikbaar zal blijven.

En in de wetenschap dat die 100% onmogelijk te bereiken zal zijn, kan de AP alvast een schema opstellen voor persberichten overe tekortkomingen bij de Belastingdienst (en andere overheidsinstellingen) waarmee het zijn aanzien bij het grote publiek kan behouden. En ondertussen vergt dit zoveel capaciteit dat grote commerciële bedrijven ongesoord een verdienmodel kunnen blijven maken met het op grote schaal blijven schenden van de privacy van datzelfde grote publiek.
...om de noodzaak van een BSN-registratie bij melders van datalekken...
Say what now? Wie bedenkt dit!
Het is niet lekker verwoord, maar dit staat in de brief:
Nagaan wanneer het BSN van een melder van een datalek wordt
geregistreerd en of dit wettelijk nodig is;
Dan vraag ik mij af wat een wettelijke reden kan zijn voor het registeren van het BSN, bij het melden van een datalek. En ook hoe het in zijn werk gaat.
Ik: Hey, BD. Ik heb een datalek bij jullie gevonden.
BD: Wat is uw BSN?

of
Ik: Hey, BD. Ik heb een datalek bij jullie gevonden.
BD: Dank u.
En zoekt zelf het BSN er bij, aan de hand van mijn naam
ik lees het anders:
Hey BD, mijn gegevens zijn gelekt bij een datalek.. Dit is mijn BSN

[Reactie gewijzigd door moonlander op 14 januari 2025 15:08]

Dan vraag ik mij af wat een wettelijke reden kan zijn voor het registeren van het BSN, bij het melden van een datalek. En ook hoe het in zijn werk gaat.
Het kan ook andersom gaan, namelijk dat de melder direct bij het eerste contact te veel informatie meestuurt. Daar heb ik zelf namelijk last van.
Mensen proberen behulpzaam te zijn en sturen alle informatie die ze hebben op, ook informatie die ze niet eens mogen doorgeven. Vervolgens heb ik de plicht om een nette en volledige registratie aan te maken. De mail zomaar deleten uit mijn mailbox is niet de bedoeling maar de data mag daar ook niet blijven staan en ik moet de melder vertellen dat er nu een datalek is waar "we" iets mee moeten (terwijl die melder typisch grotere problemen heeft).

Het is allemaal oplosbaar met goede afspraken en procedures maar je moet het wel regelen.
Ik pas die schoen denk ik wel. Ik weet niet wat je werk is, maar als "mens die behulpzaam probeert te zijn" stuur ik ook wel eens alles wat los en vast zit meteen op - vooral om mezelf te helpen (mijn tijd te beschermen) - omdat ik een beetje moe wordt van die 3, 4, 5 verschillende follow-ups met telkens twee nieuwe vragen. Zovan "hier heb je alles wat je zou kunnen vragen, zoek het verder zelf uit. Ik kan het nu van mijn lijstje afstrepen en het mentaal afsluiten." Ja een verscheidenheid aan verschillende bedrijven en instanties maakt zich hier nog steeds schuldig aan. Het is een patroon, en dan ontwikkel je een soort automatisch gedrag.
Mensen proberen behulpzaam te zijn en sturen alle informatie die ze hebben op, ook informatie die ze niet eens mogen doorgeven.
Het is niet verboden om informatie door te geven, het is alleen voor jou(w organisatie) verboden om deze informatie te verwerken. Nu doe je net alsof een melder een overtreding begaat wat niet zo is.
Het zou mij totaal niet verbazen als er op een helpdesk af en toe meldingen binnenkomen in de trant van:
Als "ik probeer in te loggen met user foo en wachtwoord Foob@r1!, en dan krijg ik een pagina 'Er is iets fout gegaan' " (of wat tegenwoordig ook maar de melding is die de "friendly error pages" tonen bij een HTTP 500).

En dat is dan informatie die ze dus echt niet eens mogen doorgeven.
Vanuit een organisatiebeleid misschien, maar vanuit de AVG niet verboden (als dit een particulier persoon is die een informatieverzoek doet).
Betekend dat dat als je geen BSN hebt je geen datalek kan melden, want dat is ook wel opmerkelijk om zo meldingen buiten de deur te houden.
Die moest ik ook 3x lezen, wtf.
Misschien beter de effort steken in het voorkomen van datalekken?
Dat zal ongetwijfeld ook gebeuren, maar het is simpelweg onmogelijk om alle datalekken te voorkomen. Dat is gewoon technisch niet haalbaar.

Waar mensen werken worden nu eenmaal fouten gemaakt, en fouten kunnen resulteren in een datalek. Ook kan software bugs bevatten die datalekken zouden kunnen veroorzaken. En bugloze software bestaat per definitie niet.

Het is dus én én, geen óf óf. Beiden vullen elkaar dus aan. Dus het voeren van een goed datalekbeleid, waar dit advies over gaat, is zeker belangrijk, naast het zoveel mogelijk voorkomen ervan.
Nee, maar sommige dingen die ze doen zijn gewoonweg idioot! Zie Aanvraag Woonplaatsverklaring. Waarom moet dit via een email - per definitie onversleuteld - met alle identificerende gegevens, inclusief BSN, als inhoud?

En als je bij de FG aanklopt? Ach, nee da's geen probleem......

Zo moeilijk kan het niet zijn om een online formulier achter DigiD te hangen.

[Reactie gewijzigd door DjoeC op 14 januari 2025 15:36]

En oplossen / voorkomen Toeslagen-affaires ed

Op dit item kan niet meer gereageerd worden.