De financiële en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven waren in de periode van 2013 tot 2016 onvoldoende beveiligd, doordat een systeem bij de Belastingdienst niet op orde was. Daardoor bestond het risico op identiteitsfraude.

Het beveiligingslek betrof een autorisatiesysteem bij een data-analyseafdeling van de Belastingdienst, ontdekte Zembla. Onder andere werden geen logs bijgehouden, waardoor niet achterhaald kan worden wie toegang had tot de gegevens. Volgens staatssecretaris Wiebes is niet geconstateerd of verlies of diefstal van de gegevens heeft plaatsgevonden, maar hij maakt niet duidelijk of het lek inmiddels verholpen is. De Autoriteit Persoonsgegevens onderzoekt de zaak.

De Belastingdienst is in maart 2015 al gewaarschuwd dat het systeem niet op orde is. Op die melding zou geen actie ondernomen zijn. De Auditdienst Rijk zou in maart vorig jaar ook tot de conclusie zijn gekomen dat er geen beveiligingsmaatregelen genomen waren naar aanleiding van de melding. Hoewel geen logging en monitoring toegepast werden bij het systeem, zou wel duidelijk zijn dat tientallen externe consultants van het Amerikaanse consultancybedrijf Accenture toegang hadden tot de data. Dit bedrijf had de opdracht om de Belastingdienst te adviseren over de nieuwe data-aanpak.