In de ‘Broedkamer’ brengt de Belastingdienst allerhande gegevens van 11 miljoen mensen en 2 miljoen bedrijven bijeen om met big data analyse fraudepatronen op te sporen. Wellicht onvermijdelijk in de strijd tegen fraude, maar het raakt wel de vrijheid van iedere Nederlander.

Governance

Immers, de Belastingdienst heeft een omvangrijk beeld van ons hebben en houwen met fiscale data, financiële transacties, reisgedrag, parkeergegevens en bewegingen van onze auto’s tot aan telefoongesprekken met de Belastingdienst. Hoe ver de data-analyse gaat geeft de fiscus weer op haar eigen vacaturesite. (Zie onder ook)

Eerder waarschuwde de Raad van State dat er nauwelijks een gegeven te bedenken is dat niet verwerkt kan worden. Maatregelen tegen iedere vorm van misbruik zijn dan ook cruciaal. De governance van beveiliging en privacybescherming moet op orde zijn.

Het in januari 2017 verschenen rapport Onderzoek naar de besluitvormingsprocedures binnen de Belastingdienst naar de vertrekregeling maakt duidelijk dat juist die governance nog de aandacht verdient:

‘Verbetering van de checks and balances binnen de Belastingdienst en in relatie met het departement is dringend noodzakelijk. De gang van zaken rond de vertrekregeling is geen incident maar vormt een illustratie van een breder probleem.’

18 ontheffingen

Ook bij de problematiek van de ‘Broedkamer’, de afdeling die nu ‘Data & Analytics’ heet, komt dit probleem naar voren, blijkt uit de beantwoording van Kamervragen door Wiebes:

‘In het verleden hebben die ontheffingen in ruimere mate bestaan (maximaal 18 met toegang tot data), veelal aan medewerkers die deze ontheffing hadden verkregen vanuit hun vorige functie binnen de Belastingdienst. Eind 2015 zijn deze ontheffingen stapsgewijs ingetrokken op initiatief van de Broedkamer zelf, zodat ultimo 2015, dus voor de oprichting van D&A, alle ontheffingen waren ingetrokken. Sindsdien is nog eenmaal een tijdelijke ontheffing verleend.’

De bedoelde ontheffingen waren verleend voor het gebruik van een usb-stick. Samengevat waren er 18 mensen die toestemming hadden een usb-stick te gebruiken. Dit recht vloeit voort uit een eerdere job, en kennelijk schort het bij het omgaan met deze gegevens aan goede procedures. Later is nog een persoon binnen de afdeling D&A iemand toestemming gegeven om met een usb-stick te werken.

Niet geschreven

Maar het interessante in de antwoorden zit in wat Wiebes niet opschrijft. Nergens lezen we dat het gebruik van usb-sticks onmogelijk is gemaakt. Anders was het immers geen noemenswaardig beveiligingsrisico. De techniek verhindert het kopiëren van gegevens niet. 18 en zeer waarschijnlijk meer mensen konden in de periode 2013-2016 dus deze zeer gevoelige gegevens kopiëren en meenemen.
Ook lees ik nergens dat mensen die op deze afdeling D&A werken aan fysieke controles worden onderworpen om het stelen van deze gegevens te voorkomen. Bij inlichtingendiensten is zoiets wel gebruikelijk en de gevoeligheid rechtvaardigt dit ook. Nogmaals: we spreken hier over zeer gedetailleerde data van 11 miljoen burgers en 2 miljoen bedrijven. Als het mis is gegaan is dit waarschijnlijk niet meer te bewijzen.
We kunnen er lang en kort over discussiëren, maar dit is volgens de juridische definitie een datalek. Want de vraag is niet of het is misgegaan, maar of het is uit te sluiten. Dat laatste is niet het geval; 18, 19 of misschien wel meer mensen hebben de belastingdata van zo’n beetje iedereen kunnen kopiëren.

Onderzoek

Het verhaal van de Broedkamer is ofwel een digitale ramp die zich in stilte heeft voltrokken, of een digitale near miss van enorme proporties. Om lessen te leren hoor je dat goed te onderzoeken als ware het een scheepsramp. Net als bij Diginotar zou de Onderzoeksraad voor Veiligheid een logische keuze zijn.
Dat Wiebes nu met een eigen onderzoek komt waarin de top zichzelf onderzoekt, helpt daarbij onvoldoende. Je wilt juist dat een externe blik hier fris naar kijkt. Ook het onderzoek van de Autoriteit Persoonsgegevens is daarvoor niet geschikt. Die kijkt naar de huidige situatie en de vraag of de Belastingdienst moemnteel aan de Wet bescherming persoonsgegevens voldoet. Dat is nuttig, maar onvoldoende.

Allemaal belangrijke informatie, maar nog niet antwoord op de cruciale vragen: hoe verkeerd is het gegaan, hoe heeft dat zo kunnen komen en waarom zijn de resultaten van eerdere onderzoeken kennelijk onvoldoende opgevolgd?

Bijlage: Uit de vacaturetekst van de Belastingdienst voor Data scientists

In veel blogs kun je lezen dat data scientist de 'hottest job around' is. Hoe komt dat? Bedrijven produceren al jaren enorm veel data. Ontdek hier hoe de Belastingdienst omgaat met al die data.

Duik dieper in onze data

Als data analist of data scientist biedt de Belastingdienst ongekende mogelijkheden. In ons Datalab kun je puzzelen in het grootste datafundament van Nederland. Benieuwd naar onze technieken, tools, inzichten en verrassende loopbaanmogelijkheden? Duik in de wereld van data bij de Belastingdienst…

Eén datafundament

Met bijna 17 miljoen inwoners in Nederland kun je je voorstellen dat ‘big data’ bij de Belastingdienst bijna een understatement is. Al onze gegevens zijn te vinden in databases over inkomstenbelasting, omzetbelasting, motorrijtuigenbelasting en toeslagen. Door al deze systemen met elkaar te verbinden, willen we één datafundament creëren waarin elke Belastingdienstmedewerker met één druk op de knop de gewenste gegevens naar boven kan halen. En waarin onze data scientists nog diepere analyses kunnen uitvoeren.

Werk met impact

Data mining, data en predictive analytics, gedragsbeïnvloeding en machine learning: zomaar een aantal technieken en tools die onze analisten dagelijks gebruiken om waardevolle inzichten te verkrijgen. Zo hebben we via data mining een model ontwikkeld dat via een iteratief proces steeds betrouwbaarder patronen herkent en op basis daarvan risicoscores afgeeft. Toeslagaanvragers met de hoogste risicoscore moeten bewijs leveren dat ze echt recht hebben op die toeslag. Maar we analyseren bijvoorbeeld ook de vragen die gesteld worden via de Belastingtelefoon met behulp van tekst mining. Als blijkt dat over bepaalde onderwerpen steeds dezelfde vragen binnenkomen, kunnen we onze communicatie op de site of in brieven hierop aanpassen. Dankzij data-analyse kan de Belastingdienst dus haar toezicht verscherpen en dienstverlening verbeteren.