Financiële gegevens van burgers en bedrijven onvoldoende beveiligd door Belastingdienst

Processed by: Helicon Filter;

De Belastingdienst blijkt financiële gegevens van 11 miljoen Nederlandse burgers en 2 miljoen bedrijven in de periode 2013 tot 2016 onvoldoende beveiligd te hebben. Door problemen met een autorisatiesysteem kan niet worden achterhaald wie de gegevens heeft ingezien.

Dit meldt ZEMBLA op basis van vertrouwelijke documenten van de Belastingdienst. De Belastingdienst is in maart 2015 al gewaarschuwd voor het probleem, melden bronnen tot op directieniveau aan ZEMBLA. De Auditdienst Rijk concludeerde in maart 2016 in een rapport al dat met deze waarschuwing niets is gedaan.

Geen monitoring en logbestanden

Het probleem speelt bij de data-analyseafdeling ’Data & Analytics’, die voorheen de ‘Broadkamer’ werd genoemd. Het autorisatiesysteem van deze afdeling functioneert niet naar behoren. Zo wordt er geen logging en monitoring toegepast, waardoor niet wordt bijgehouden wie op welk moment met de data heeft gewerkt.

Dit brengt verschillende risico’s met zich mee, stelt hoogleraar computerbeveiliging aan de Radboud Universiteit Bart Jacobs. Zo wijst de hoogleraar op de mogelijkheid identiteitsfraude te plegen met de financiële gegevens. Daarnaast kunnen bedrijven gechanteerd worden indien hun financiële gegevens in verkeerde handen vallen. Jacobs noemt de gang van zaken ‘onwettig’. Onder andere tientallen externe consultants van het Amerikaanse Accenture hadden toegang tot de data.

Autoriteit Persoonsgegevens

ZEMBLA heeft melding gedaan bij de Autoriteit Persoonsgegevens, die op basis van deze melding een onderzoek is gestart naar de databeveiliging bij de Belastingdienst. In een reactie geeft staatssecretaris Wiebes aan dat voor de afdeling Data & Analytics de reguliere beveiligingseisen gelden. Wel geeft Wiebes toe dat er niet is bijgehouden wie welke data heeft ingezien.

“Verlies of diefstal van de gegevens is tot op heden niet geconstateerd”, aldus Wiebes. Jacobs wijst er overigens op dat niet te achterhalen valt of gegevens zijn meegenomen, aangezien de logbestanden die dit aan kunnen tonen ontbreken. Uit de reactie van Wiebes wordt niet duidelijk of het beveiligingsprobleem inmiddels is opgelost.

Lees ook
Qualys biedt ingebouwde beveiliging voor Microsoft’s Azure Hybrid Cloud

Qualys biedt ingebouwde beveiliging voor Microsoft’s Azure Hybrid Cloud

Qualys introduceert een nieuwe integratie met Microsoft Azure Stack die zorgt voor single-pane-of-glass inzicht in de beveiligings- en compliance-situatie van Microsoft Azure-omgevingen en gebruiker-workloads. Azure-klanten zijn nu in staat om de kwetsbaarheid en compliance-situatie van de control pane-infrastructuur van Azure Stack te beoordelen en...

Beveiliging websites belastingadviseurs laat te wensen over

Beveiliging websites belastingadviseurs laat te wensen over

De belasting doen hebben we voor dit jaar gelukkig net achter de rug. Dit is niet voor iedereen een pretje. Daarom schakelen sommigen hiervoor een professional in. Bij Telefoonboek.nl zijn 4.316 bedrijven geregistreerd die belastingadvies geven. Hiervan hebben maar 1.078 een werkende website. Bij belastingadvies spelen persoonsgegevens een grote rol,...

CyberArk biedt beveiliging van privileged accounts voor Managed Security Service Providers

CyberArk biedt beveiliging van privileged accounts voor Managed Security Service Providers

CyberArk introduceert nieuwe vormen van hun Privileged Account Security Solution gericht op Managed Security Service Providers (MSSP). Dankzij de versies en licentievormen kunnen MSSP’s gemakkelijker beveiliging van privileged accounts opnemen in hun portfolio, zodat ze uitgebreidere diensten kunnen aanbieden aan gebruikers. CyberArk is als enige in...