Nieuws Digitale veiligheid

Datalek bij Belastingdienst na kinderlijke truc met terug-knop in browser

Door een fout met digitale machtigingen bij de Belastingdienst hebben onder andere accountants sinds vorig jaar de persoonlijke gegevens en aangiften van oud-cliënten kunnen inzien zonder dat daar toestemming voor was. De Belastingdienst heeft het datalek gemeld bij de Autoriteit Persoonsgegevens.

De afhandeling van digitale machtigingen blijkt maandenlang niet in orde te zijn geweest.

Via de dienst ‘Machtigen met DigiD’ op MijnBelastingdienst.nl kan iedereen namens een andere persoon zaken met de overheid doen, zoals het doen van een belastingaangifte. In dat geval wordt per jaar een machtiging afgegeven om via het persoonlijke DigiD inzage te krijgen in bijvoorbeeld een belastingaangifte. De afhandeling van deze digitale machtiging blijkt maandenlang niet in orde te zijn geweest.

De onvolkomenheid werd bij toeval door een accountant uit Rotterdam (naam bij de redactie bekend) ontdekt. Deze accountant beheert voor verschillende klanten hun belastingaangifte. ‘Toen ik in november vorig jaar met de aangiftes van twee klanten bezig was, zag ik de naam van de één rechtsboven in mijn browser staan, terwijl ik in de gegevens van de ander zat.’ De accountant sloeg er verder geen acht op, maar kreeg argwaan toen hij onlangs toegang kreeg tot de strikt persoonlijke gegevens van een oud-cliënt die geen machtiging meer had afgegeven voor het laatste jaar, 2018.

Deze toegang kreeg hij nadat de accountant eerst inlogde via de machtiging van een andere klant, van wie hij die machtiging wel heeft. Door vervolgens in de browser simpelweg op de terug-knop te klikken, kwam hij weer bij het lijstje met verschillende klanten, waaronder ook de verlopen machtigingen. ‘Nu zag ik ineens uitroeptekens staan bij ex-klanten: u moet nog aangifte doen.’ De site van de Belastingdienst gooide álle klanten op één hoop en vertaalde één lopende machtiging ten onrechte naar al die cliënten. ‘Als ik kwaad zou willen, zou ik dus de aangiften waar ik geen toegang tot mag hebben, kunnen aanpassen. Hoe dan ook is het natuurlijk niet de bedoeling dat ik toegang tot die strikt persoonlijke informatie heb’, aldus de accountant.

Kinderlijk eenvoudig

De fout komt alleen voor in de browser Edge van Microsoft. Andere browsers geven netjes een foutmelding als dezelfde route met de terug-knop wordt afgelegd. Een kinderlijk eenvoudige ‘hack’ dus. Volgens beveiligingsexpert Loran Kloeze zijn het juist dit soort knullige fouten die voor grote problemen kunnen zorgen. ‘Nu wordt het per toeval ontdekt, maar wie zegt dat kwaadwillenden er al niet al veel langer misbruik van hebben gemaakt?’ Hoe dan ook ligt het probleem niet in de browser (in dit geval Edge), maar aan de kant van de server van de Belastingdienst. ‘Je moet zorgen dat je al je data aan de serverkant goed beveiligt. Dan maakt het vervolgens niet uit wat voor browser je gebruikt. Mensen die echt kwaad willen, gebruiken sowieso geen browser, maar scriptjes om gegevens boven water te krijgen.’ Kloeze hoopt dat het probleem niet diep in de systemen van de dienst zit.

De Belastingdienst erkent in een reactie tegenover de Volkskrant de fout: ‘Er worden voor verschillende belastingjaren verkeerde machtigingen getoond.’ De dienst heeft de fout deze week hersteld. Ook heeft de Belastingdienst het datalek gemeld bij de Autoriteit Persoonsgegevens. Als er persoonsgegevens betrokken zijn, is dat wettelijk verplicht. Tot slot zegt een woordvoerder dat - naast andere browsers - ook Edge altijd wordt getest, maar dat deze fout nooit eerder naar boven is gekomen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden