Sleepwetteloosheid bij de Belastingdienst via René Jan Veldwijk

Dinsdag 23 oktober 2017, wordt de Kamercommissie Financiën achter gesloten deuren geïnformeerd over wantoestanden bij de Belastingdienst, meer in het bijzonder een onderdeel dat formeel ‘Data & Analytics’ heet en informeel de ‘Broedkamer’. De dag erop, woensdag 24, is er een openbaar overleg/debat met vertrekkend staatsecretaris Wiebes. Deze gaat dan vragen krijgen over zaken als of de aanbestedingsprocedure was ‘gefixt’ ten bate van Accenture. En vragen over externe krachten die met USB-sticks met data over u, mij en wie weet concurrenten van Accenture de deur zijn uitgelopen. Lekker fris allemaal weer.

Het hele Broedkamerschandaal is aan het licht gebracht door Zembla in een uitzending met de treffende titel ‘Prutsen en Pielen Zonder Pottenkijkers’. Zembla suggereerde vuil spel rond de gunning aan Accenture en betoogde dat de hele Broedkamer één groot datalek was. Daarna bleek inderdaad dat er data waren gelekt door externen. Het is opmerkelijk hoe weinig ophef dit alles heeft veroorzaakt, helemaal in het licht van alle ophef die nu speelt rond de wetgeving rond de veiligheidsdiensten, de Sleepwet.

https://www.youtube.com/watch?v=eVF8YBn8Sac

Het Tweede Kamerlid dat bovenop de Broedkamercasus zit is, zoals wel vaker, Pieter Omtzigt van (tot en met woensdag) oppositiepartij CDA. Dat Omtzigt niet in het kabinet terechtkomt is opmerkelijk, maar levert de komende tijd ook interessante scènes op. Het wordt interessant om te zien hoe coalitiekamerlid nummer 76, Omtzigt omgaat met al die dossiers waarmee hij het Rutte 2 zo moeilijk heeft gemaakt.

De Broedkamer en de Kamer

Maar afijn, er ligt een afscheidsbrief van Wiebes over de Broedkamer-affaire en een hele serie kritische Kamervragen van Omtzigt, die na woensdag verder mag met Wiebes’ opvolger Menno Snel (D66). We lezen daar weer de gebruikelijke cover-ups. ‘Ja, externe medewerkers (gelukkig geen ambtenaren!) zijn met USB-sticks met privacygevoelige gegevens (welke gegevens precies? van welke personen of bedrijven?) de deur uitgewandeld, maar er zijn geen aanwijzingen dat er misdrijven zijn gepleegd’. Volgens Wiebes mogen inhuurkrachten dus straffeloos datgene doen waarvoor een hacker achter de tralies verdwijnt. Opmerkelijk, niet?

Het valt te hopen dat Omtzigt of een ander Kamerlid eens doorvraagt of het echt overheidsbeleid moet zijn dat datadiefstal door insiders zonder bewezen misbruik van gestolen gegevens slechts leidt tot een tik op de vingers. Strafrechtelijke vervolging lijkt zonder meer op zijn plaats. Niet een staatssecretaris met boter op zijn hoofd maar een rechter zou moeten beoordelen of de insider-datadief een lichter geval is dan de inbrekende hacker.

De brief van Wiebes vermeldt ook dat de Belastingdienst na alle ophef gaat kijken of onze persoonsgegevens toch niet beter kunnen worden beveiligd tegen diefstal en misbruik. De term die daarbij valt is ‘pseudonimiseren’ van persoonsgegevens. Dat is om twee redenen een lachertje. Enerzijds is effectief pseudonimiseren c.q. versleutelen heel moeilijk om achteraf in te bouwen, zeker in een omgeving met veel gegevensbronnen. Bij de overheid doet het CBS dat, maar daar is lang over nagedacht en het is verwerkt in de basisarchitectuur van de CBS-systemen. Doen wat het CBS doet als patch op een operationele omgeving is zonder meer een enorme klus en de belastinggeldteller staat al in de vele tientallen miljoenen.

De andere reden is fundamenteel: wie vrij mag zoeken in brede en rijke datasets kan zonder veel moeite personen selecteren op basis van bekende eigenschappen. De Accenture-mensen zullen geen probleem hebben om op basis van bekende gegevens concurrent Capgemini in de database te vinden, ook niet wanneer de gegevens zijn gepseudonimiseerd. Kortom, het heeft er alle schijn van dat de Broedkamer gewoon het zoveelste mislukte overheidsproject is. Het is dan ook het zoveelste project dat gewoon doorgaat nadat duidelijk is, dat het systeem niet werkt of, net zoals het Toeslagensysteem van diezelfde Belastingdienst, permanent ellende oplevert.

Vóór de Broedkamer: de ontkokerende, nette Belastingdienst

Stel dat de Kamer alsnog boos wordt en er, net als bij Binnenlandse Zaken en Sociale Zaken, mensen en bedrijven worden aangepakt. Veronderstel verder dat de Belastingdienst privacybescherming opeens belangrijk gaat vinden en software en procedures goed op orde krijgt. Dan nog zijn er principiële bezwaren tegen het principe van de Broedkamer. Sterker nog, ik vraag mij af of wat er in de Broedkamer gebeurt niet ronduit illegaal is. Laat mij dat toelichten.

U en ik zijn bij wet verplicht om allerlei gegevens aan de overheid te verstrekken. Zonder die gegevens kan de overheid haar werk niet doen. Om bijvoorbeeld belasting te kunnen heffen moet de Belastingdienst waanzinnig veel van ons weten: waar en met wie we wonen, hoeveel we verdienen bij onze baas, hoeveel spaargeld we hebben, enzovoorts. De overheid controleert al die gegevens op plausibiliteit, consistentie en juistheid en komt bij ons langs als zij ons verdenkt te hebben gejokt. Elke eerlijke burger en elk fatsoenlijk bedrijf zal daarmee geen probleem hebben, integendeel.

Nog niet zo lang geleden waren overheidsorganisaties en zelfs onderdelen van organisaties heel verkokerd bezig. Kwaadwillende (‘calculerende’) burgers en bedrijven maakten daar misbruik van. Die verkokering is langzaam aan het verdwijnen en intern bij de Belastingdienst zelfs behoorlijk snel. Sterker, iedereen met een controletaak bij de Belastingdienst kan al een paar jaar bij zo ongeveer alle data waarover de Belastingdienst beschikt. En als ik goed ben geïnformeerd dan is dat behoorlijk netjes geregeld. Raadplegingen worden gelogd en de mensen die uw en mijn data bekijken zijn belastinginspecteurs, geen externe ict’ers. Mensen van huisleveranciers Capgemini en Accenture komen niet bij de data. Sterker nog, het hele systeem is door mensen van de Belastingdienst zelf gebouwd.

De Broedkamer: de intransparantie regeert

De Broedkamer is een radicale breuk met de eerder ingeslagen weg om inspecteurs te empoweren. De filosofie achter de Broedkamer is dat controle volledig automatisch moet gebeuren. Menselijke controleurs zijn fossielen en moeten weg. De Broedkamer is de ict-exponent van deze denkwijze die al heeft geleid tot een enorme ramp. De Broedkamer is een mislukt ict-project omdat er helemaal geen perspectief is op volledig automatisering. Het nettoresultaat is dat deskundige inspecteurs worden vervangen door permanent ‘prutsende en pielende’ ict’ers (dixit Zembla), uiteraard vooral externen.

Los van de enorme kosten, de dubieuze resultaten en de geconstateerde datadiefstellen maak ik er als burger bezwaar tegen om te worden gecontroleerd op basis van ondoorzichtige criteria. De klassieke belastinginspecteur kan mij of de belastingrechter altijd uitleggen waarom mijn aangifte vragen oproept en er geen sprake is van willekeur. De Broedkamersoftware kan dat vrijwel zeker niet. En als het Accenture ooit lukt om de Broedkamer volledig te automatiseren (quod non) dan nog is het de vraag of die software kan uitleggen op basis waarvan een oordeel tot stand is gekomen. (Ik schreef daar eerder al eens over.)

De Broedkamer: het datasleepnet van de Belastingdienst

Mijn ultieme probleem met de Broedkamer als burger is echter dat deze een grens overschrijdt door allerlei persoonsgegevens binnen te harken die niets te maken hebben met de reguliere, bij wet geregelde bedrijfsvoering. Voor een (klein?) deel weten we dat al: de Belastingdienst verzamelt parkeergegevens van auto’s die parkeren op kenteken.

Mogelijk is de Belastingdienst met de Broedkamer al veel verder op dit pad. Er zijn zoveel gedragsgegevens beschikbaar, binnen en buiten overheidsland. Inderdaad, het doet heel sterk denken aan wat de veiligheidsdiensten straks mogen doen onder de nieuwe Wet op de Inlichtingen en Veiligheidsdiensten, beter bekend als de ‘Sleepwet’. Het verschil is dat de Belastingdienst dat gewoon zonder gepaste wetgeving invoert. Ik maak daar als burger bezwaar tegen, zelfs als de software zou werken en die gegevens niet zouden worden gejat.

Het is echt heel vreemd dat de Kamer dit zomaar laat gebeuren. Waarom vragen Pieter Omtzigt en zijn collega-Kamerleden niet om een complete lijst van gegevensbronnen en gegevenselementen die in de Broedkamerdatabases zijn terug te vinden? Dat kan nog wel eens interessante resultaten opleveren. De reisdata bij Translink (de OV-chipkaart)? Betaaldata van banken? Kijkgedrag van Ziggo en KPN? Kentekens van auto’s op de snelweg van de politie? Gegevens van slimme energiemeters? De potentiële lijst van gedragsgegevensbronnen is lang en wordt dagelijks langer. Laat alsjeblieft een Kamerlid eens vragen naar alle data-convenanten die de Belastingdienst met derde partijen heeft gesloten. Niemand buiten de Belastingdienst heeft daarvan het overzicht.

De Broedkamer: falende programmatuur, effectieve data?

Hopelijk leidt de aandacht voor de Sleepwet ook tot belangstelling voor waar de Belastingdienst mee bezig is. Er is natuurlijk ook een link: Sleepwet en Broedkamer komen direct voort uit een overheid die haar burgers wantrouwt in plaats van respecteert, zeg maar de wereld van de VVD van Fred Teeven waarin de overheid machtig en de burger machteloos is. Binnen en buiten de VVD is er gelukkig steeds meer onbehagen en lijkt er een andere wind te gaan waaien. De Broedkamercasus is daarvoor een minstens zo interessante testcase als de Sleepwet.

De Broedkamer-testcase is vooral zo interessant omdat  het binnenharken van gedragsdata alsnog een succes kan maken van de Broedkamer. Ga maar na: een Belastingdienst die allerlei gedragsdata bezit die gemakkelijk te verwerven zijn gaat heel effectief worden in het opsporen van fraude. Je hebt daarvoor niet eens zo heel geavanceerde software voor nodig. Zwart werken? Vergeet het maar. Meer geld uitgeven dan je verdient zonder dat je banksaldo afneemt? Valt meteen op. Samenwonen met je vriendin, haar koophuis verhuren en twee hypotheken aftrekken? Kansloos.

Vandaag en morgen vergadert een deel van de 24 leden tellende Kamercommissie Financiën over de wantoestanden bij de Broedkamer van de Belastingdienst. Het valt te hopen dat er een paar bij zijn die verder kijken dan de mislukte reorganisatie en de serie van schandalen rond de Broedkamer. Wat er bij de Belastingdienst gebeurt raakt aan de fundamenten van de relatie tussen de overheid en haar burgers en aan de rechtsstaat als zodanig. Misschien willen onze volksvertegenwoordigers echt dat de overheid alles controleert wat wij doen. Laten ze dan vooral doorgaan maar in elk geval met een stukje openheid en passende wetgeving komen. Daarna komt er wel een Belastingdienst-sleepwet referendum waarin de burger kan aangeven in hoeverre hij de overheid vertrouwt. O wacht!