Beheer

Security
Belastingdienst

Hoe de Belastingdienst de AP tevreden kon stellen

Zo verbeterde de fiscus zijn databeveiliging

17 oktober 2019

Zo verbeterde de fiscus zijn databeveiliging

De Autoriteit Persoonsgegevens  (AP) meldde deze week dat ze tevreden is over de maatregelen die de Belastingdienst heeft genomen om data beter te beveiligen. Hoe heeft de fiscus dat aangepakt?

De AP startte een eerste onderzoek naar de afdeling Datafundamenten & Analytics (DF&A) van de Belastingdienst na een uitzending van Zembla in 2017. Daarin werd duidelijk dat de gegevens van miljoenen Nederlandse burgers en bedrijven op de afdeling DF&A onvoldoende beveiligd waren.

De afdeling DF&A heeft toegang tot enorme hoeveelheden gevoelige persoonsgegevens. Daarbij gaat het onder meer om data die de Belastingdienst heeft verkregen in het kader van werkzaamheden op het gebied van inkomstenbelasting, omzetbelasting, vennootschapsbelasting en bezwaarschriften. De afdeling analyseert deze data om ze beter te benutten.

Niet in orde

De AP vond drie beveiligingsaspecten die niet in orde waren:

1. Van drie activiteiten ontbrak de logging: - export van data vanuit de brongegevens naar de werkplek van een medewerker; data schrijven op USB-stick en het opslaan van bijlagen op mobiele apparaten. Daardoor kon data ongemerkt worden gekopieerd of geëxporteerd. Nergens in de keten legde de afdeling vast wie, welke data mogelijk onrechtmatig buiten de Belastingdienst bracht.

2. De controle op de logging was niet goed. Voor een deel van de logging was geen periodieke controle omdat deze niet was aangesloten op het systeem waar actieve monitoring gebeurt. Daardoor kon de Belastingdienst het niet via controle op de logging detecteren als data de dienst onrechtmatig zou verlaten. Ook was het in dit geval achteraf niet mogelijk om na te gaan wie welke data naar buiten bracht.

3. Het beheer van de autorisaties was niet goed. Problemen zaten vooral bij het verwijderen van autorisaties van medewerkers of extern ingehuurde medewerkers na uitdiensttreding en het verlenen van te ruime toegangsrechten aan de medewerkers van de afdeling Datafundamenten en Analytics.

Vervolgonderzoek

In november 2018 was de AP nog niet tevreden over de verbetermaatregelen die de Belastingdienst had getroffen, waarop een vervolgonderzoek werd gehouden. Dat leidde er onder meer toe dat nu bijgehouden wordt wie welke data heeft geëxporteerd vanuit de brongegevens naar het geheugen van de fysieke werkplek. Ook moet daar toestemming voor gevraagd worden. Dat wordt periodiek gecontroleerd door de functionaris dataprotectie. Ook wordt gelogd welk queryverzoek een medewerker heeft gedaan. Alles bij elkaar levert dat genoeg informatie op om te kunnen achterhalen welke data een medewerker heeft ontvangen binnen een omgeving op zijn werkplek.

Daarnaast is extern e-mailverkeer onmogelijk gemaakt voor de afdeling D&A.

Wat betreft USB-sticks is geregeld dat alleen beheerders nog data hierop mogen schrijven. Bovendien moeten ze daar toestemming voor krijgen van onder meer de functionaris dataprotectie.

Het opslaan van bijlagen op mobiele apparaten is beperkt, maar nog altijd niet geheel onmogelijk voor apparaten buiten de beveiligde omgeving van de Belastingdienst. Dat zal zo mogelijk verder beperkt worden. Daarnaast moeten de medewerkers van de afdeling DF&A alle e-mails versleuteld versturen. Tevens heeft de DF&A haar logging aangesloten op een systeem waar actieve monitoring plaatsvindt op basis van 8 triggers die ingericht zijn voor deze afdeling. Ook het e-mailverkeer is hierop aangesloten.

Hoewel de AP nu tevreden is, adviseert zij wel dat de Belastingdienst het niet bij de huidige maatregelen laat. Aleid Wolfsen: “Wij moedigen de Belastingdienst aan om steeds opnieuw risico’s en maatregelen te herbeoordelen.”

 

 

Lees meer over Beheer OP AG Intelligence
1
Reacties
Lezer#3551 Karman 18 oktober 2019 16:20

Wat de USB betreft, dat waren geen externen maar interen van de BD. Iets wat belastingdienst breed ingezet wordt en duidt op een grotere cultureel probleem met uitwisseling tussen de vele systemen en op afdelingen gemaakt applicaties buiten de ICT. Met toeslagen en schenkingen/erven is dat elders ook naar boven gekomen.

De punten genoemde 1,2,3 zitten in dezelfde hoek. Het lijkt eerder op een succesvolle aanval tegen verandering en vernieuwing waarbij het AP dat niet als dusdanig herkend heeft. Dat is echt jammer, daar kunnen velen persoonlijke schade van ondervinden (privacy schade).

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.