Brief regering : Datalek melding door de Bulgaarse belastingdienst (NRA)

Nr. 156 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 december 2019

In juli 2019 werd door de Bulgaarse belastingdienst (NRA) gemeld, dat er een hack
van haar bestanden had plaatsgevonden. In dezelfde tijd verschenen ook berichten in
de media hierover. Er zou informatie van 5 miljoen belastingplichtigen gestolen zijn.
Navraag leerde mij dat daarbij ook informatie zat die door en met Nederland is uitgewisseld
onder de EU Richtlijn Administratieve Samenwerking (DAC) – het betreft dan informatie
over bepaalde inkomsten- en vermogenscategorieën, (bank)rekeninggegevens (CRS) en
landenrapporten – en onder de EU Verordening betreffende administratieve samenwerking
en de bestrijding van fraude op het gebied van de belasting over de toegevoegde waarde
(via Eurofisc netwerk). De op automatische wijze verstrekking van informatie aan Bulgarije
werd stilgelegd en Bulgarije werd de toegang tot Eurofisc ontnomen.

Verzoek Bulgaarse belastingdienst

De NRA heeft geïnventariseerd welke informatie gelekt is en heeft de betrokken landen
geïnformeerd.1 Nederland heeft bericht gehad van Bulgarije dat informatie van ongeveer 2400 belastingplichtigen2 onder de DAC gelekt was. Van de Bulgaarse autoriteiten is een verzoek ontvangen om
de door de hack getroffenen in Nederland (voor wat betreft de informatie uitgewisseld
onder de DAC3) te informeren. Dat is echter een verplichting die rust op de NRA, die is namelijk
in het kader van de Algemene Verordening Gegevensbescherming (AVG) de verwerkingsverwoordelijke.
Elke uitwisseling van inlichtingen is onderworpen aan de AVG en dat verplicht lidstaten
zorg te dragen voor de veiligheid van persoonsgegevens. Dat betekent ook, zo stelt
ze, dat de individuele belastingbetaler meteen geïnformeerd moet worden als er kans
is op onrechtmatig gebruik van persoonsgegevens. De verplichting om dat te doen ligt
bij de verwerkingsverantwoordelijke (data controller) die dat – indien sprake zou zijn van disproportionele inspanning – kan doen door
een publicatie waardoor betrokkenen even effectief geïnformeerd worden.

De NRA heeft landen om hulp gevraagd om betrokkenen op een passende wijze te informeren.
Hoewel op de Belastingdienst geen verplichting rust om de in Nederland wonende betrokkenen
te informeren, heeft de Belastingdienst zich bereid getoond de NRA behulpzaam te zijn
bij het informeren van betrokkenen in Nederland. Aangegeven is dat dan wel met een
brief van de NRA zou moeten gebeuren. Pas op 18 november 2019 heeft Nederland de brief
ontvangen die aan de betrokkenen gestuurd zou kunnen worden. Deze brief wordt tegelijk
met deze brief aan uw Kamer aan de betrokkenen gestuurd.

Maatregelen Bulgaarse belastingdienst

De NRA meldt in haar brief dat persoonsgegevens gestolen zijn maar dat deze dikwijls
niet compleet waren en bovendien niet in een leesbaar format geopenbaard zijn. Alleen
met specifieke computerkennis zou de data te herleiden zijn tot een bepaalde belastingbetaler.
Er zou dan ook geen direct gevaar zijn voor misbruik van de persoonsgegevens. Voor
vragen kunnen betrokkenen terecht op een in de brief genoemde website. De NRA heeft
ook aangegeven alle nodige maatregelen genomen te hebben om de veiligheid van de IT-systemen
te verbeteren en de gevolgen van de breuk te matigen.

Dit zou kunnen betekenen dat de automatische informatieverstrekking aan Bulgarije
hervat zou kunnen en dat Bulgarije weer toegang verleend zou kunnen worden tot Eurofisc.
Echter, begin 2020 gaat een expertteam van het Global Forum een onderzoek doen naar
de dataveiligheid in Bulgarije. Net als een groot aantal andere landen acht Nederland
het verstandig om de resultaten van dat onderzoek af te wachten, eer weer informatie
verstrekt wordt aan Bulgarije.

Ik vertrouw erop u hiermee voldoende te hebben geïnformeerd.

De Staatssecretaris van Financiën,
M. Snel