De Belastingdienst had de afgelopen drie jaar een groot databeveiligingsprobleem waardoor de gegevens van miljoenen belastingbetalers en bedrijven mogelijk in verkeerde handen terecht zijn gekomen.

De beveiligingsmaatregelen binnen een nieuw onderdeel van de Belastingdienst waren tussen 2013 en 2016 onvoldoende waardoor kwaadwillenden met gemak miljoenen persoons- en bedrijfsgegevens buit konden maken, meldt Zembla woensdag.

Het televisieprogramma heeft naar eigen zeggen meer dan honderd vertrouwelijke documenten en e-mails in handen gekregen die de slechte beveiliging zou blootleggen. Ook heeft Zembla onder ede zeven anonieme medewerkers verklaringen laten afleggen over de toestand bij de fiscus.

Ondanks meerdere waarschuwingen zijn geen maatregelen genomen.

Het gaat om de zogenoemde broedkamer bij de Belastingdienst. In deze nieuwe afdeling werd geëxperimenteerd met gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven. Het idee is om met behulp van slimme software en data-analyses makkelijker fraude op te sporen.

Deze methode zou de Belastingdienst 150 à 250 miljoen euro aan extra belastinginkomsten opleveren, zei staatssecretaris Eric Wiebes (Financiën) in augustus vorig jaar tijdens een debat in de Tweede Kamer.

Onvoldoende

Maar uit een intern onderzoek van de overheid waaruit Zembla citeert, was er onvoldoende fysieke toegangsbeveiliging en schortte het aan monitoring en logging.

Met logging is achteraf na te gaan welke medewerker wat heeft uitgevoerd om te voorkomen dat werknemers ongezien bestanden kunnen downloaden of delen. Het onderzoek is door de Belastingdienst nooit openbaar gemaakt.

Een extern rapport, dat ook bij de vertrouwelijke documenten zit, concludeert dat het systeem de afgelopen drie jaar kwetsbaar was voor aanvallen van buitenaf en inbreuken van binnenuit.

Zeer ernstig

De oppositie is geschrokken van de onthullingen. CDA-Tweede Kamerlid Pieter Omtzigt noemt de situatie "zeer ernstig". Als de gegevens door de gebrekkige beveiliging zo makkelijk voor het oprapen liggen, overtreedt de Belastingdienst de privacywetgeving, aldus Omtzigt. SP-Kamerlid Farshad Bashir noemt de onthullingen tegenover NU.nl "zeer zorgwekkend".

D66-Kamerlid Steven van Weyenberg: "Dit is een ernstige zaak die veel vragen oproept. Belastinggegevens van mensen moeten goed beveiligd zijn. D66 wil van Wiebes weten of die beveiliging inderdaad niet op orde was en waarom hij daarover niet zelf de Kamer heeft geïnformeerd."

Wiebes

Wiebes reageert niet voor de camera's van Zembla, maar het ministerie laat in een reactie wel weten dat voor alle afdelingen van de Belastingdienst, dus ook voor de broedkamer, een streng databeveiligingsbeleid geldt.

"Dit is in lijn met geldende wet- en regelgeving op het terrein van bescherming van (persoons) gegevens", aldus de schriftelijke verklaring.

Naast het CDA nemen coalitiepartijen VVD en PvdA niet zomaar genoegen met deze uitleg. Kamerleden Aukje de Vries (VVD) en Ed Groot (PvdA) willen donderdag opheldering van Wiebes tijdens een debat over de Belastingdienst.

"Mensen moeten er natuurlijk van uit kunnen gaan dat hun gegevens veilig zijn bij de overheid en dus ook bij de Belastingdienst", aldus De Vries.

Geen kritiek

Kritiek op de broedkamer wordt niet geduld, vertellen de medewerkers aan Zembla. Voor Hans Blokpoel, tot afgelopen december de directeur bij de Belastingdienst, is de afdeling de spil van de broodnodige verandering binnen de fiscus.

De Belastingdienst zit middenin een reorganisatie die met behulp van de juiste, nieuwe werknemers moet leiden tot verdere digitalisering om efficiënter te kunnen werken.

Blokpoel wordt door medewerkers afgeschilderd als een "slimme en gehaaide bestuurder" die leden van het managementteam "manipuleert". Kritiek op de operatie is volgens deze mensen not done.

De uitzending van Zembla is woensdag om 21.20 uur te zien op NPO2.