In deze rubriek worden wekelijks TMC-gerelateerde Kamervragen en –antwoorden besproken. Deze week: antwoord op vragen over een datalek bij de Belastingdienst. Nieuwe vragen zijn gesteld over het mobiele bereik in een aantal Nederlandse dorpen.
Datalek Belastingdienst
Kamerleden Oosenbrug en Groot (beiden PvdA) hebben Kamervragen gesteld aan de minister van Veiligheid en Justitie en de staatsecretaris van Financiën met betrekking tot een bericht over een datalek bij de Belastingdienst. Het bericht stelde dat de Belastingdienst ten onrechte betrokkenen niet had geïnformeerd over het datalek en de Kamerleden vroegen om nadere informatie wat betreft de omvang van het datalek en een mogelijke schending van de Wet Bescherming Persoonsgegevens (Wbp). Het datalek bestond uit naar verkeerde belastingconsulenten opgestuurde Cd-roms(!), waarop gegevens van belastingconsulenten stonden, en ook de namen, BSN en uitsteldata voor het indienen van de aangiften van hun klanten.
Op de vraag of de Belastingdienst in strijd met de Wbp heeft gehandeld gaf staatsecretaris Wiebes afgelopen week een curieus antwoord. Staatsecretaris Wiebes stelt dat de Belastingdienst de belastingplichtigen wier gegevens foutief zijn verstuurd niet individueel diende te informeren over het datalek. Omdat belastingconsulenten behoren tot een specifieke beroepsgroep, veelal aangesloten bij een overkoepelende organisatie die nauw contact heeft met de Belastingdienst, en omdat ze een geheimhoudingsplicht hebben, acht Wiebes de kans op onrechtmatig gebruik van de Cd-roms klein. De Belastingdienst is dus niet in overtreding van artikel 34a van de Wbp, aldus Wiebes.
Is deze redenering correct?
Artikel 34a lid 2 van de Wbp stelt dat een betrokkene geïnformeerd moet worden over het datalek wanneer de inbreuk “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.” De beleidsregels (hier) die de Autoriteit Persoonsgegevens (AP) heeft opgesteld, vragen van elke organisatie waar zich een datalek heeft voorgedaan om een beoordeling: hoe groot is de kans dat er ongunstige gevolgen ontstaan voor de persoonlijke levenssfeer van de betrokkene? De staatsecretaris is duidelijk in zijn beoordeling: de verkeerd verzonden gegevens zorgen niet voor grote, ongunstige gevolgen zullen hebben voor de betreffende belastingplichtigen.
Echter, de beleidsregels die de AP als handvatten voor deze beoordeling aanbiedt, stellen wellicht iets anders. Sterker nog, als de beleidsregels aandachtig worden gelezen blijkt dat indien er onbeveiligde (lees: zonder encryptie) persoonsgegevens van gevoelige aard zijn gelekt, dat er dan vanuit gegaan kan worden dat het datalek niet alleen aan de AP, maar óók aan de betrokkenen moet worden gemeld. En juist ditzelfde document wijst een BSN aan als een dergelijk persoonsgegeven van gevoelige aard. De staatssecretaris lijkt dus wat te kort door de bocht te gaan met de stellingname dat de betrokkenen niet geïnformeerd dienden te worden.
Nieuwe vragen
Tot slot stelde Kamerlid Oosenbrug (dit keer samen met Mulder) aan de ministers van Economische Zaken en van Veiligheid en Justitie vragen over de mobiele bereikbaarheid van een groot aantal Nederlandse dorpen, naar aanleiding van dit nieuwsbericht. Daarover later meer…
Met dank aan Remi van Mansfeld
