Door een fout met digitale machtigingen bij de Belastingdienst hebben onder andere accountants sinds vorig jaar de persoonlijke gegevens en aangiften van oud-cliënten kunnen inzien zonder dat daar toestemming voor was, meldt de Volkskrant. De Belastingdienst heeft het datalek gemeld bij de Autoriteit Persoonsgegevens.
Via de dienst ‘Machtigen met DigiD’ op MijnBelastingdienst.nl kan iedereen namens een andere persoon zaken met de overheid doen, zoals het doen van een belastingaangifte. In dat geval wordt per jaar een machtiging afgegeven om via het persoonlijke DigiD inzage te krijgen in bijvoorbeeld een belastingaangifte. De afhandeling van deze digitale machtiging blijkt maandenlang niet in orde te zijn geweest. De fout werd bij toeval ontdekt door een accountant. Deze accountant beheert voor verschillende klanten hun belastingaangifte. Deze toegang kreeg hij nadat de accountant eerst inlogde via de machtiging van een andere klant, van wie hij die machtiging wel heeft. Door vervolgens in de browser simpelweg op de terug-knop te klikken, kwam hij weer bij het lijstje met verschillende klanten, waaronder ook de verlopen machtigingen.
Hersteld
De fout komt alleen voor in de browser Edge van Microsoft. Andere browsers geven netjes een foutmelding als dezelfde route met de terug-knop wordt afgelegd. Een kinderlijk eenvoudige ‘hack’ dus. De Belastingdienst erkent in een reactie tegenover de Volkskrant de fout. De dienst heeft de fout inmiddels hersteld. Ook heeft de Belastingdienst het datalek gemeld bij de Autoriteit Persoonsgegevens. Als er persoonsgegevens betrokken zijn, is dat wettelijk verplicht.
Geef een reactie