De broedkamer: we willen de ernst niet bagatelliseren, maar
Geschreven door Tim Hartog op 10-02-2017

Onlangs was de uitzending 'Prutsen en pielen zonder pottenkijkers' van Zembla op televisie. De uitzending gaat over de broedkamer van de Belastingdienst. Op deze data- & analyticsafdeling wordt privacygevoelige data uit verschillende bronnen zodanig gecombineerd, dat informatie ontstaat die op basis van enkelvoudige databronnen nooit was ontstaan.

Het is een illusie te denken dat de belastingdienst de enige is. We hebben eerder geschreven over profiling en tracking. Hierbij worden vaak de grote namen zoals Facebook en Google het meest genoemd. Met een beetje nadenken besef je natuurlijk dat ook organisaties dichtbij huis hier volop gebruik van maken, waaronder politie, gemeenten, etc.

Dat het hier misgaat bij de Belastingdienst willen we niet ontkennen. We kennen de wet- en regelgeving die geldt als op deze wijze met data aan de slag wordt gegaan. Daarmee is het geschetste beeld van de informatiebeveiliging ontoereikend. We willen in dit blog de ernst van deze situatie niet bagatelliseren, maar...

Wij hebben geen enkele reden om in twijfel te trekken dat het bestuurlijk misgaat bij de Belastingdienst. Ook is er sprake (geweest) van een beveiligingslek doordat de informatiebeveiliging niet op orde is. Er wordt echter de suggestie gewekt dat er ook sprake is van een datalek. Op dat moment wordt in onze mening de wereld volledig omgedraaid.

We citeren: 'Omdat er niet gelogd is valt er waarschijnlijk niet te achterhalen of persoonsgegevens zijn ontvreemd. Accenture had toegang tot alle data; een geweldige kans voor iemand die kwaad wil. Accenture zou zo ook kunnen beschikken over vertrouwelijke informatie van concurrenten of klanten. Accenture had hiervoor moeten waarschuwen. Waarom deden ze dat niet? Of het gedownload is, weet niemand. Ze hebben geen idee'.

Maar alle suggesties zijn gewekt. Accenture wordt bevraagd hoe ze kunnen aantonen dat er geen datalek heeft plaatsgevonden. Het antwoord van Accenture dat berust op vertrouwen in hun medewerkers is volledig correct maar gaat ten onder in het suggestieve geweld. En tja... als ook off-topic de sterke vermoedens worden aangehaald voor aanbestedingsfraude en resultaatsvervalsing...

Dat roept bij ons de vraag op wie eigenlijk verantwoordelijk is voor deze malaise. Wat ons betreft zonder twijfel de Belastingdienst zelf. De directe en bewuste betrokkenheid en opzet van de dienstverlener Accenture wordt in ieder geval in de uitzending niet aangetoond.

Spiegeling op ons zelf, leert dat we ook veel met dit soort trajecten in aanraking komen. We handelen hier naar eer en geweten. Zo adviseren we aan onze opdrachtgevers een geheimhoudingsverklaring op te stellen als dit naar onze mening van toepassing is en onbedoeld wordt vergeten. Maar het blijkt toch vaak een kwestie van vertrouwen.

Informatiebeveiliging blijft een grote worsteling voor veel organisaties; ook degene waar wij rondlopen. Wij adviseren zo concreet en volledig mogelijk over de beveiligingsrisico's die we zien, maar kunnen daar niet de eindverantwoordelijkheid voor dragen. Zouden wij deze aantijgingen ook kunnen krijgen als het een keer ergens misgaat? Het zet ons wel extra scherp en dat is prima.

Natuurlijk delen we de uitzending omdat de informatieve waarde over hoe en waar het mis kan gaan groot is. Vorm gerust je eigen oordeel, maar blijf tussen alle suggesties beseffen dat het enige feitelijke datalek dat heeft plaatsgevonden de USB-stick is die Zembla heeft ontvangen.