Brief regering : Reactie op verzoek commissie over de beveiliging van gegevensuitwisseling met belastingdiensten van andere EU-lidstaten
31 066 Belastingdienst
Nr. 606 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 20 februari 2020
In uw brief van 23 januari jl. verzoekt u namens de vaste commissie voor Financiën
om de Tweede Kamer te informeren over hoe de gegevens die met belastingdiensten van
andere EU-lidstaten worden uitgewisseld zijn beveiligd en of deze gegevens versleuteld
worden verstuurd. In antwoord op dat verzoek kan ik de Kamer als volgt informeren.
Beveiliging van netwerken
Het merendeel van de massale gegevensuitwisselingen vindt plaats via een speciaal
voor gegevensuitwisselingen tussen douane- en belastingautoriteiten aangelegd netwerk,
het zogenaamde Common Communication Network/Common System Interface (CCN/CSI). De
richtlijn betreffende de administratieve samenwerking op het gebied van de belastingen1 verplicht tot het gebruik van dit netwerk. Het voorziet in een afgesloten, veilige
verbinding voor de uitwisseling van gegevens tussen nationale overheidsorganen in
de Europese Unie (EU). Voor uitwisselingen met nationale overheden van buiten de EU,
fungeert dit netwerk als het centrale distributiepunt. Zo komen gegevensuitwisselingen
met bijvoorbeeld Canada binnen op het aansluitpunt in Brussel. Daarvandaan gaan de
gegevens via het CCN/CSI-netwerk naar de Nederlandse Belastingdienst en vice versa.
Ook voor individuele gegevensuitwisselingen met nationale overheden binnen de EU wordt
gebruik gemaakt van het CCN/CSI-netwerk.
Voor individuele gegevensuitwisselingen met nationale overheden van buiten de EU kan
er ook rechtstreeks een e-mail verzonden worden naar de betreffende nationale overheid.
Deze e-mail met eventuele bijlagen worden in dat geval adequaat versleuteld, waarbij
het bijbehorende wachtwoord via een apart kanaal (SMS) verzonden wordt.
Overigens is het ook nog mogelijk dat uit te wisselen gegevens versleuteld op een
CD of DVD worden geplaatst, waarbij de CD of DVD per koerier wordt afgeleverd bij
de vragende nationale overheid. De omvang van de set uit te wisselen gegevens bepaalt
uiteindelijk de wijze van uitwisseling.
Toezicht
Toezicht op het bepalen met welke landen veilig gegevens kunnen worden uitgewisseld,
wordt gedaan door de EU en de OESO/ Global Forum on Transparency and Exchange of Information
for Tax Purposes (Global Forum) door middel van questionnaires en (self) assessments.
Voordat een land mag deelnemen aan de (wederkerige) automatische gegevensuitwisseling
moet het eerst het Verdrag inzake wederzijdse administratieve bijstand in belastingzaken
(WABB-verdrag) ondertekend hebben, de juiste wetgeving geïmplementeerd hebben en voldoen
aan de OECD «Guidelines on the Protection of Privacy and Transborder Flows of Personal
Data».2 Dit betekent dat van alle landen wordt getoetst of zij de vertrouwelijkheid van de
gegevens (kunnen) waarborgen. Daartoe heeft het Global Forum een expertteam ingesteld
dat onderzoek doet naar de status van de beveiliging. Het expertteam bestaat uit leden
uit diverse landen, waaronder Nederland, die zijn aangesloten bij het Global Forum.
In 2015 en 2016 zijn ruim 100 landen onderzocht voordat zij mochten deelnemen aan
de automatische gegevensuitwisseling van bankrekeninggegevens onder de Common Reporting
Standard (CRS). Van een door het Global Forum uitgevoerd onderzoek wordt een rapportage
gemaakt en voorgelegd aan de leden van het Global Forum. Indien er harde aanbevelingen
zijn gedaan dan wordt geadviseerd niet wederkerig uit te wisselen alvorens de aanbevelingen
zijn opgevolgd. De Belastingdienst wisselt geen gegevens uit met nationale overheden
van landen zolang zij die harde aanbeveling niet verholpen hebben.
Onderzoek door team Global Forum
Hoewel de Bulgaarse belastingdienst was geslaagd voor bovengenoemd onderzoek, is hij
in de zomer van 2019 toch het slachtoffer geworden van hackers. Het Global Forum heeft
een expertteam samengesteld dat komend voorjaar in Bulgarije gaat vaststellen of er
weer sprake is van een robuuste, veilige omgeving. Totdat door het expertteam is vastgesteld
dat daarvan sprake is, zal de Belastingdienst geen gegevens verstrekken aan de Bulgaarse
belastingdienst. De Belastingdienst heeft overigens al geen gegevens meer uitgewisseld
met de Bulgaarse belastingdienst sedert die dienst landen informeerde dat er een hack
had plaatsgevonden.
Eind 2019 is besloten door het Global Forum om in de komende periode (3–5 jaar) alle
landen wederom te laten onderzoeken door een expertteam. Voorts is er eind 2019, naar
aanleiding van de Bulgaarse casus, een extra vragenlijst uitgezet, die focust op maatregelen
die het doen van een cyberaanval bemoeilijken. De uitkomsten hiervan zijn vertrouwelijk
en worden door het expertteam gebruikt om de planning van de onderzoeken te bepalen.
Ik vertrouw erop u aldus voldoende geïnformeerd te hebben.
De Staatssecretaris van Financiën, J.A. Vijlbrief
Indieners
-
Indiener
J.A. Vijlbrief, staatssecretaris van Financiën