AP kritisch op zelfontwikkelde applicaties Belastingdienst: 'risico voor burger'

In dit artikel:

De Autoriteit Persoonsgegevens (AP) geeft de Belastingdienst stevige kritiek omdat honderden door de dienst zelf ontwikkelde applicaties (LOA’s) niet voldoende voldoen aan privacy- en beveiligingsregels, waaronder de AVG. De LOA’s verwerken persoonsgegevens en zijn buiten de vastgestelde beleidskaders gemaakt, waardoor de fiscus volgens de toezichthouder onvoldoende zicht en sturing heeft op naleving van wet- en regelgeving.

De AP waarschuwt dat dit risico’s oplevert voor burgers: gegevens kunnen te lang worden bewaard, onvoldoende worden beschermd, verouderd blijven of zelfs leiden tot foutieve beslissingen. Uit het onderzoek blijkt dat 65% van de onderzochte LOA’s een exportfunctie heeft — waardoor data mogelijk de beveiligde omgeving kan verlaten — en dat voor minder dan de helft een risicoanalyse is uitgevoerd. Ook schiet het autorisatiebeheer tekort en ontbreekt vrijwel overal logging en monitoring van gebruikersactiviteiten.

De toezichthouder beveelt aan dat de Belastingdienst het gebruik en het bestaan van LOA’s onder controle brengt: een plan moet aangeven wanneer LOA’s worden omgezet naar reguliere applicaties, in welke gevallen gebruik stopt en de toegang tot bronsystemen beperkt moet worden. Demissionair staatssecretaris Heijnen zegt dat de fiscus zal blijven sturen op terugdringing van LOA’s, medewerkers beter informeert, een centraal overzicht opbouwt en de AP-aanbevelingen uitvoert; de Tweede Kamer wordt periodiek over de voortgang geïnformeerd.