De beveiliging van belastinggegevens vertoont ernstige tekortkomingen. Onbevoegden kunnen nog steeds gemakkelijk toegang krijgen tot geautomatiseerde systemen. Ondanks alle maatregelen die de afgelopen jaren bij de Belastingdienst zijn genomen, schort er in de praktijk nog veel aan de beveiliging.
De Algemene Rekenkamer waarschuwt hiervoor in haar rapport ‘Informatiebeveiliging Belastingdienst’. Staatssecretaris Vermeend (Financiën) heeft weliswaar de nodige voorschriften uitgevaardigd, maar die worden onvoldoende nageleefd. Bovendien is er sprake van een gebrek aan controle.
Op veel afdelingen wordt slordig met de persoonlijke wachtwoorden omgegaan. Deze wachtwoorden zijn vaak voor iedereen beschikbaar. Soms staan deze codes gewoon op een afdelingslijst genoteerd. Ook worden de wachtwoorden gewoon op de PC’s geplakt en hebben te veel mensen toegang tot vertrouwelijke informatie.
Toegangscontrole
De voorgeschreven backup-procedures blijken niet altijd te worden gevolgd. Daardoor dreigt bij calamiteiten belangrijke informatie verloren te gaan. De Rekenkamer heeft ook kritiek op de inbraakbeveiliging en de toegangscontrole van de gebouwen.
De Rekenkamer onderzocht bij vijf onderdelen van de Belastingdienst de beveiliging van de toegang tot geautomatiseerde systemen. Geen van de bezochte eenheden bleek te beschikken over accurate taakbeschrijvingen per functie. Een actueel overzicht van de verstrekte autorisaties ontbrak bij de vijf eenheden. Dit kan worden geweten aan het grote aantal in gebruik zijnde systemen. Deze hebben allemaal hun eigen manieren van toekenning. Ook zijn er verschillen in de functionele opbouw van de systemen.
Meestal worden aangevraagde autorisaties automatisch toegekend. Als iemand een heel andere functie of taak krijgt, wordt niet onmiddellijk bekeken of de autorisatie nog wel nodig is. Grote aantallen personeelsleden en tijdelijke krachten die al lang bij de Belastingdienst zijn vertrokken, blijken nog steeds te zijn geautoriseerd voor een of meer systemen.
Deuk in het blazoen
De conclusies van de Rekenkamer zijn een deuk in het blazoen van staatssecretaris Vermeend (Financiën). Vermeend heeft het imago van een voortvarend man die een sterke interesse voor informatietechnologie aan de dag legt. Vier jaar geleden had de Rekenkamer al ernstige kritiek op de beveiliging van de Belastingdienst. Sindsdien is er zeker het een en ander verbeterd, maar naar thans blijkt niet voldoende. Vermeend wordt zeker geen gebrek aan aandacht verweten. Maar de Rekenkamer concludeert dat zijn bemoeienissen niet hebben geleid tot een aanvaardbaar niveau van informatiebeveiliging.
Vermeend is het uiteraard niet eens met deze eindconclusie. Hij vindt dat de laatste vier jaar wel degelijk veel is verbeterd. Dat de praktijk van de beveiliging achterblijft bij de gestelde doelen, komt volgens Vermeend door te hoog gestelde ambities. Ook zullen er in een omvangrijke organisatie als de Belastingdienst altijd wel dingen misgaan, zo verweert Vermeend zich. Corr.