De Belastingdienst heeft het gebruik van Adobe Analytics in de digitale betaalomgeving stopgezet nadat bleek dat zonder toestemming gegevens naar Adobe werden doorgestuurd. Staatssecretaris Eerenberg beantwoordt Kamervragen over de verwerking van persoonsgegevens, de naleving van de privacyregels en de vervolgstappen.
De Belastingdienst is recent door een ethisch hacker gewezen op het gebruik van Adobe Analytics op de websites van de Belastingdienst, waarbij gegevens zonder toestemming werden doorgestuurd naar Adobe. Toen bleek dat dit inderdaad het geval was, is deze functionaliteit direct uitgezet. Ook is de Autoriteit Persoonsgegevens geïnformeerd en is een datalek gemeld.
De staatssecretaris betreurt dat dit is gebeurd en geeft aan dat de Belastingdienst, Douane en Dienst Toeslagen signalen over beveiliging en privacy via het responsible disclosure-proces waarderen. Daarnaast wordt onderzocht of ook op andere plaatsen binnen de Belastingdienst, Douane of Toeslagen sprake is van vergelijkbare onzorgvuldigheden bij het gebruik van analysetools.
Privacyregels niet nageleefd
De Belastingdienst gebruikte Adobe Analytics om het gebruik, de navigatie en de prestaties van de digitale dienstverlening te meten. Inmiddels worden geen gegevens meer aan Adobe verzonden. De staatssecretaris erkent dat het gebruik van Adobe Analytics niet in lijn was met de geldende ePrivacy-regels en de Algemene verordening gegevensbescherming (AVG).
Voordat de functionaliteit werd uitgezet, werd een identifier gebruikt en werden trackingcookies met een bewaartermijn van twee jaar geplaatst. Ook werd in ieder geval het IP-adres meegestuurd. Omdat destijds niet de bedoeling was persoonsgegevens te verwerken, zijn de noodzakelijkheid en de grondslag van de verwerking niet beoordeeld. Achteraf concludeert de staatssecretaris dat verwerking van alle gedeelde gegevens niet noodzakelijk was.
Nieuwe inrichting pas na beoordeling
De feitelijke verwerking sloot volgens de staatssecretaris niet aan bij de cookieverklaring en de privacyverklaring van de Belastingdienst. Ook ontbraken een verwerkersovereenkomst, een Data Protection Impact Assessment (DPIA) en een beoordeling van de risico’s.
Voordat websiteanalytics opnieuw wordt ingericht, worden de rechtmatigheid en proportionaliteit beoordeeld. Indien nodig wordt eerst een DPIA uitgevoerd en worden passende verwerkersafspraken, waaronder een verwerkersovereenkomst, opgesteld. Daarbij worden ook de risico’s rond analytics, persoonsgegevens en mogelijke doorgifte van gegevens betrokken.
Geef een reactie