Door een fout bij digitale DigiD-machtigingen, waardoor iedereen namens een ander een belastingaangifte kan doen, konden sinds vorig jaar onder meer accountants de persoonsgegevens en aangiften van oud-cliënten inzien en aanpassen, ook al was daar geen toestemming voor.

De Volkskrant meldt dat het afgeven van deze machtiging, waardoor bijvoorbeeld accounts inzage krijgen in het persoonlijke DigiD van cliënten, maandenlang niet in orde was. De krant had contact met een accountant uit Rotterdam die het datalek bij toeval ontdekte: "Toen ik in november vorig jaar met de aangiftes van twee klanten bezig was, zag ik de naam van de één rechtsboven in mijn browser staan, terwijl ik in de gegevens van de ander zat." Hij bleek toegang te kunnen krijgen tot de persoonlijke gegevens van een voormalige cliënt die voor 2018 geen machtiging meer had afgegeven.

Deze ongeoorloofde toegang was mogelijk door eerst in te loggen en gebruik te maken van de machtiging van een andere cliënt. Door in de Edge-browser op de terug-knop te klikken belandde de accountant bij een lijst met verschillende cliënten, waaronder ook enkelen waarvan de machtiging al was verlopen. Hij kon bijvoorbeeld uitroeptekens zien bij oud-cliënten, wat betekende dat zij nog aangifte moesten doen. "Als ik kwaad zou willen, zou ik dus de aangiften waar ik geen toegang tot mag hebben, kunnen aanpassen. Hoe dan ook is het natuurlijk niet de bedoeling dat ik toegang tot die strikt persoonlijke informatie heb", aldus de accountant. In feite was de lopende machtiging van een enkele cliënt genoeg om ook toegang te hebben tot de gegevens van andere cliënten.

De Belastingdienst heeft de fout erkend en het datalek gemeld bij de Autoriteit Persoonsgegevens. De overheidsdienst zou de fout deze week hersteld hebben. Dat betekent dat onbevoegden in ieder geval ruim een half jaar toegang toegang hadden tot de persoonlijke gegevens van personen die eerder een machtiging hebben afgegeven voor de belastingaangifte. Het is niet duidelijk hoeveel mensen hierdoor getroffen zijn en of er sprake is geweest van misbruik. De Belastingdienst laat weten dat meerdere browsers worden getest, maar dat deze fout nooit eerder boven water is gekomen. Bij andere browsers dan Edge speelde dit probleem niet; er volgde een foutmelding als de terug-knop werd gebruikt.