| Ingediend | 23 september 2016 |
|---|---|
| Beantwoord | 8 november 2016 (na 46 dagen) |
| Indieners | Astrid Oosenbrug (PvdA), Ed Groot (PvdA) |
| Beantwoord door | Eric Wiebes (staatssecretaris financiën) (VVD), Ard van der Steur (minister justitie en veiligheid) (VVD) |
| Onderwerpen | belasting financiën openbare orde en veiligheid organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2016Z17224.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20162017-436.html |
Ja.
Ja, het bericht is inderdaad niet geheel correct. In het bericht staat dat op de cd-roms onversleutelde persoonlijke gegevens van particulieren stonden, waaronder informatie van de Kamer van Koophandel. Dit is onjuist. Op de cd-roms stonden gegevens van de belastingconsulent (het nummer van de belastingconsulent en zijn adresgegevens), gegevens van zijn klanten c.q. belastingplichtigen [namen, burgerservicenummers (BSN’s) en uitsteldata voor het indienen van de aangiften] en het inleverschema voor de betrokken belastingconsulent. Op de cd-roms stond geen informatie van de Kamer van Koophandel.
Het datalek is op 16 mei 2016 gemeld aan de Autoriteit Persoonsgegevens. Voor zover mij bekend heeft de Autoriteit Persoonsgegevens geen nader onderzoek ingesteld naar het datalek.
Ik deel de mening dat het lekken van onversleutelde gegevens risico’s voor de betrokken persoon kan opleveren en mogelijk schade tot gevolg kan hebben. Echter, de risico’s voor (identiteits)fraude liggen in het combineren van het BSN met andere persoonsgegevens uit andere bronnen. Het BSN als zodanig is een nummer zonder betekenis. Iemand die enkel beschikt over een BSN kan daar niet veel mee. Zoals aangegeven stond op de cd-roms slechts de naam van betrokken belastingplichtige, zijn BSN en de uitsteldatum voor het indienen van de aangifte. Ik ben daarom van oordeel dat in het voorliggende geval sprake is van een laag risico.
Ik ben van mening dat de Belastingdienst de betrokken belastingplichtigen niet individueel hoefde te informeren over het datalek. Op grond van artikel 34a van de Wet bescherming persoonsgegevens en op grond van de beleidsregels van de Autoriteit Persoonsgegevens2 moet een datalek onverwijld aan de betrokken persoon worden gemeld als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. In dit geval zijn de gegevens van belastingplichtigen in een aantal gevallen verstrekt aan een verkeerde belastingconsulent. Belastingconsulenten behoren tot een specifieke beroepsgroep, waarvan de leden vaak ook aangesloten zijn bij een overkoepelende organisatie waar de Belastingdienst regelmatig overleg mee voert. Deze overkoepelende organisatie heeft een gedragscode voor aangesloten leden. Daarnaast zijn de belastingconsulenten gebonden aan de geheimhoudingsplicht van artikel 67 van de Algemene wet inzake rijksbelastingen.
Verder beschikt een belastingconsulent vanwege zijn beroep al over een groot aantal gegevens van zijn klanten c.q. belastingplichtigen. De kans dat een belastingconsulent de gegevens van de onjuist toegestuurde cd-rom onrechtmatig zou gebruiken is klein te achten.
Gezien het voorgaande heeft de Belastingdienst het risico op ongunstige gevolgen beperkt geacht, zodat er geen reden was om betrokken belastingplichtigen individueel te informeren. Ik ben dan ook van oordeel dat de Belastingdienst daarmee de Wet bescherming persoonsgegevens niet heeft overtreden.
De omvang van het datalek is niet exact bekend. De Belastingdienst gebruikt cd-roms voor de communicatie over aangevraagd uitstel voor het doen van aangifte. Het gaat hier om uitstelverzoeken van een groep van ongeveer 9.000 belastingconsulenten ten behoeve van hun cliënten. De cd-roms worden eerst individueel ingepakt en vervolgens samen met een begeleidende brief in een enveloppe gedaan. Deze wordt voor verzending in een doos gedaan. Het in een hoesje doen van de cd-rom, het samenvoegen van de brief en de cd-rom in een enveloppe en het verpakken ter verzending is handwerk. Achteraf is niet meer exact vast te stellen in hoeveel gevallen dit eventueel is misgegaan. Een soortgelijke fout, waarbij het voor zover bekend om slechts drie verkeerd verstuurde cd-roms ging, heeft zich daarna nog eens voorgedaan en is op een zelfde manier afgehandeld.
Aangezien handwerk foutgevoelig is, zijn de verbeteracties gericht op het controleren hiervan. Er is één op één controle op de combinatie van cd-roms en brieven afgesproken. Waar voorheen niet één op één gecontroleerd werd dat de brief dezelfde geadresseerde had als de cd-rom, is dit nu wel een werkafspraak. Er is afgesproken om steekproefsgewijs de cd-roms te controleren. Deze worden gecontroleerd op leesbaarheid en op het type gegevens dat op de cd-rom staat, in combinatie met de brief (wanneer er bijvoorbeeld in de brief gesproken wordt over uitstelgegevens, moet de cd-rom ook uitstelgegevens bevatten). Verder is de Belastingdienst bezig het uitstelproces te digitaliseren. Dit vergt aanpassingen van externe partijen (softwareontwikkelaars), die zich hier momenteel op inrichten.
De Belastingdienst heeft begin mei 2016 geconstateerd dat er iets fout gegaan was met het verzenden van cd-roms met de gegevens over het verleende uitstel voor het doen van aangifte (conform de uitstelregeling voor belastingconsulenten). Er was sprake van twee verschillende verstoringen met betrekking tot een deel van de cd-roms. Bij een beperkt deel van de cd-roms was niet alleen het verleende uitstel voor het belastingjaar 2015 opgenomen, maar ook voor het belastingjaar 2014. Daardoor kon het zijn dat die cd-roms niet goed te openen waren. Daarnaast was een deel van de cd-roms om onbekende reden naar de verkeerde belastingconsulent gestuurd.
Aangezien niet exact bekend was welke van de ongeveer 9.000 betrokken belastingconsulenten een onjuiste cd-rom hadden ontvangen, heeft de Belastingdienst op 13 mei 2016 al deze belastingconsulenten per e-mail geïnformeerd. Geadviseerd is om de cd-rom niet te openen. Ook is een brief gestuurd aan de betrokken belastingconsulenten. De Belastingdienst heeft op 19 juli 2016 nieuwe cd-roms met de juiste gegevens verzonden. Daarnaast heeft de Belastingdienst de belastingconsulenten geïnformeerd via de gebruikelijke kanalen voor het aankondigen van een verstoring, o.a. het verstoringenhoekje op www.belastingdienst.nl en het Forum fiscaal dienstverleners.
Hierbij deel ik u mede dat ik de vragen van de leden Oosenbrug en Groot (beiden PvdA) over een datalek bij de Belastingdienst (ingezonden op 23 september 2016, met kenmerk 2016Z17224) niet binnen de door u gestelde termijn kan beantwoorden. De beantwoording van deze Kamervragen vergt nadere afstemming. Ik verwacht de vragen op korte termijn te kunnen beantwoorden.
Hierbij bericht ik u, mede namens de Staatssecretaris van Financiën, dat de schriftelijke vragen van de leden Oosenbrug en Groot (beiden PvdA) over een datalek bij de Belastingdienst (ingezonden 23 september 2016) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.