De beveiliging van persoonsgegevens bij de Belastingdienst is nog steeds niet op orde. Volgens de fiscus is het "technisch onmogelijk".

De Belastingdienst kan niet garanderen dat er geen gevoelige informatie van mensen uitlekt, schrijft Trouw vrijdag. Dat komt bijvoorbeeld doordat niet wordt geregistreerd dat medewerkers gegevens opvragen.

Het nieuws komt uit een brief van directeur-generaal Jaap Uijlenbroek van de Belastingdienst aan de Autoriteit Persoonsgegevens (AP). Uijlenbroek noemt het "technisch niet mogelijk" om bij te houden wie gegevens uit de systemen van de fiscus inziet voor analyse. Ook is het onmogelijk om de toegang tot deze informatie te beperken.

Uijlenbroek schreef de brief naar aanleiding van een eerder onderzoek van de AP, na berichtgeving van het televisieprogramma Zembla. Daaruit bleek dat de Belastingdienst de financiële en persoonlijke gegevens van elf miljoen belastingbetalers en twee miljoen bedrijven in de periode tussen 2013 en 2016 onvoldoende heeft beveiligd.

Uit onderzoek van de AP blijkt verder dat honderd oud-medewerkers van de data-afdeling toegang bleven houden tot systemen, schrijft Uijlenbroek. De voormalige medewerkers hadden in sommige gevallen tot 150 dagen na vertrek nog toegang tot de informatie.

'Weinig beloofde verbeteringen doorgevoerd'

Tweede Kamerlid Pieter Omtzigt (CDA) laat in een reactie aan NU.nl weten dat uit de brief van Uijlenbroek blijkt dat "de Belastingdienst na 1,5 jaar weinig beloofde verbeteringen heeft doorgevoerd". "Dat betekent dat een centrale database met gegevens van alle burgers behoorlijk onveilig is", meent Omtzigt.

Hij vindt het "ernstig" dat de brief pas na maandenlang vragen is uitgegeven. "En dan ook nog met het bericht dat het goed gaat. Dat klopt evident niet."

Een woordvoerder van de Belastingdienst zegt dat er wel maatregelen worden genomen om te zorgen dat informatie niet uitlekt. Zo kunnen medewerkers alleen bestanden extern opslaan na toestemming van een leidinggevende.

Ook kunnen medewerkers niet alle internetpagina's bezoeken en extern mailen. "Technisch is dat op zich wel mogelijk, maar het wordt als een kwaadwillende handeling gezien. Er gelden gewoon regels waar consequenties aan verbonden zijn."

Belastingdienst voldoet voorlopig niet aan de wet

De fiscus kwam ook met andere privacyzaken in het nieuws. In juni werd bekend dat de Belastingdienst pas in 2019 aan de nieuwe Europese privacywet kan voldoen, die in mei dit jaar in werking trad.

Een maand later meldde de AP op basis van onderzoek dat de fiscus de wet overtrad. Dat kwam doordat burgerservicenummers (BSN's) werden verwerkt in btw-nummers van ondernemers met een eenmanszaak.

De AP stelde dat de Belastingdienst daar "zo snel mogelijk" mee moest stoppen. De Belastingdienst heeft daarvoor de tijd gekregen tot 1 januari 2019, daarna kan de privacywaakhond optreden.