Brief regering : Reactie op een burgerbrief over bezwaren tegen e-herkenning
31 066 Belastingdienst
Nr. 764 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 17 december 2020
Op 26 november heb ik uw verzoek ontvangen om te reageren op de brief die de heer
J. van B. over «Bezwaar tegen E-herkenning» aan de vaste commissie voor Financiën
heeft gestuurd. Ik heb u op 30 november een brief gestuurd om u te informeren dat
ik, met het oog op een zorgvuldige en volledige beantwoording, niet aan uw verzoek
kon voldoen voor het AO van 2 december, zoals u mij had verzocht.
De heer van B. beschrijft in zijn brief enkele gevolgen die hij heeft ervaren door
de invoering van eHerkenning als inlogmiddel voor niet-natuurlijke rechtspersonen
bij Belastingdienst. De bezwaren van de heer van B. tegen eHerkenning concentreren
zich op drie terreinen:
1. De rechtsgrond voor de verplichtstelling van eHerkenning als inlogmiddel door de Belastingdienst.
2. De compensatieregeling die door de Staatssecretaris van BZK en de Staatssecretaris
van Financiën is ingesteld voor organisaties die hun eHerkenningsmiddel alleen bij
de Belastingdienst gebruiken.
3. De omgang met persoonlijke gegevens in het stelsel elektronische toegangsdiensten,
waarbinnen eHerkenningsmiddelen worden uitgegeven.
In deze brief reageer ik op de bezwaren van de heer van B. Tevens reageer ik in deze
brief op enkele punten van de heer van B. die niet gerelateerd zijn aan eHerkenning.
1. Verplichtstelling eHerkenning bij de Belastingdienst
De Belastingdienst wil dat persoonlijke en vertrouwelijke gegevens van burgers en
bedrijven goed beveiligd zijn. Een combinatie van gebruikersnaam en wachtwoord is
in de meeste gevallen onvoldoende. eHerkenning is, net als DigiD, een algemeen erkend
authenticatiemiddel dat gebruikt wordt voor de veilige toegang tot overheidsdiensten
maar bijvoorbeeld ook voor toegang tot diensten van pensioenfondsen en zorgverzekeraars.
De Belastingdienst sluit aan bij het kabinetsbeleid om gebruik te maken van generieke
en veilige inlogmiddelen zoals eHerkenning. Met eHerkenning kan bij meer dan 400 overheidsorganisaties
worden ingelogd. Alle overheidsorganisaties moeten de identiteit van ondernemingen
en rechtspersonen betrouwbaar digitaal kunnen vaststellen om persoonsgebonden of gevoelige
gegevens veilig te kunnen uitwisselen. Dat geldt wanneer het een aangifte bij de Belastingdienst
betreft, maar ook voor dienstverlening van het UWV of de Kamer van Koophandel.
De Belastingdienst is verplicht om de persoonsgegevens op zijn portaal adequaat te
beveiligen. De informatiesystemen, die persoonsgegevens verwerken, horen ingevolge
de Algemene verordening gegevensbescherming (AVG) aan bepaalde eisen te voldoen ten
aanzien van toegangsbeveiliging. De Autoriteit Persoonsgegevens (AP) houdt toezicht
op de toepassing van de AVG en is al langere tijd van mening dat het betrouwbaarheidsniveau
van de inlogmiddelen van de overheid omhoog zou moeten. Dit blijkt onder andere uit
de last onder dwangsom die de AP in 2018 aan het UWV heeft opgelegd. Om die reden
stapte ook het UWV al, vooruitlopend op de inwerkingtreding van de Wet digitale overheid,
over op het verplichte gebruik van eHerkenning niveau 3. De Belastingdienst is gelet
op artikel 5, eerste lid, letter f, AVG verplicht passende technische beveiligingsmaatregelen
te nemen. In het begrip «passend» ligt besloten dat de beveiliging in overeenstemming
is met de stand van de techniek en dat het niveau van beveiliging correspondeert met
de aard van de te verwerken persoonsgegevens.
De heer van B. geeft aan dat hij om de aangifteverplichting na te komen aan een onbekende
door de overheid uitgezochte partij moet betalen. Het lijkt hem een vorm van gedwongen
winkelnering. eHerkenning is op dit moment het enige beschikbare inlogmiddel voor
organisaties dat een passend beveiligingsniveau biedt voor de aangifte vennootschapsbelasting
vanaf belastingjaar 2019 via het nieuwe portaal «MijnBelastingdienst Zakelijk». Daarnaast
kan de aangifteplichtige gebruik maken van een fiscaal dienstverlener of aangiftesoftware.
Gezien de aard van gegevens die in MijnBelastingdienst Zakelijk worden gedeeld, wil
de Belastingdienst deze gegevens voldoende beveiligen. De Belastingdienst heeft daarom
de eis gesteld dat organisaties voor het doen van de aangiften vennootschapsbelasting
via het ondernemersportaal per 1 januari 2020 een inlogmiddel dienen te gebruiken
dat ingevolge Verordening (EU) nr. 910/2014 (de zogeheten eIDAS-verordening) voldoet
aan het beveiligingsniveau «substantieel» en bij de Europese Commissie is genotificeerd.
Momenteel is eHerkenning (niveau 3) het enige inlogmiddel dat voldoet aan de eisen
van het beveiligingsniveau «substantieel». In mijn brief die ik op 24 april 2020 naar
de Tweede Kamer heb gestuurd, informeerde ik uw Kamer over de wettelijke basis voor
de verplichtstelling van het gebruik van eHerkenning1. Artikel 3a, tweede lid, van de Algemene wet inzake rijksbelastingen (AWR) geeft
de Minister van Financiën de bevoegdheid om bij ministeriële regeling te bepalen op
welke wijze het elektronisch berichtenverkeer tussen inhoudingsplichtigen en belastingplichtigen
en de inspecteur of het bestuur van ’s Rijksbelastingen plaatsvindt. Dit is uitgewerkt
in de Regeling elektronisch berichtenverkeer Belastingdienst (Regeling EBV). In de
regeling EBV is de eis gesteld over verplicht gebruik van inlogmiddelen die gelet
op de eIDAS-verordening voldoen aan beveiligingsniveau substantieel (niveau 3)2.
Alternatieve inlogmiddelen die hetzelfde betrouwbaarheidsniveau als eHerkenning bieden
zijn op dit moment niet beschikbaar. Ik verwijs naar de brief3 van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de stand
van zaken van het onderzoek naar een publiek inlogmiddel voor ondernemers, danwel
hoe een geïntegreerd burger- en bedrijfs- en organisatiemiddel tot stand kan worden
gebracht, naar aanleiding van de motie van der Molen.
De heer van B. vraagt tevens waarom het inlogmiddel DigiD niet gebruikt kan worden
door organisaties. DigiD geldt als een overheidsbreed geaccepteerd inlogmiddel voor
natuurlijke personen. Daarbij kan het gaan om particulieren die hun aangifte inkomstenbelasting
doen maar ook om zzp'ers die voor hun eenmanszaak hun belastingzaken willen regelen.
Rechtspersonen zoals bv's en stichtingen zijn geen natuurlijk persoon en kunnen daarom
geen gebruik maken van DigiD. Indien men niet handelt als natuurlijk persoon, maar
als vertegenwoordigingsbevoegde van een rechtspersoon, moet die vertegenwoordigingsbevoegdheid
geverifieerd worden in het Handelsregister. Deze check is een essentieel onderdeel
van het uitgifteproces van bedrijfsmiddelen zoals eHerkenning. Bij DigiD gebeurt dit
niet. eHerkenning is dus nodig om vast te stellen of een persoon bevoegd is te handelen
namens een rechtspersoon. Bij een eenmanszaak vallen de natuurlijke persoon en de
ondernemer samen. Daaruit vloeit logischerwijs voort dat de natuurlijk persoon bevoegd
is te handelen namens zijn eenmanszaak en een bevoegdheidsverificatie in dat geval
dus niet nodig is.
2. Compensatieregeling eHerkenningsmiddel Belastingdienst
eHerkenning geeft organisaties toegang tot de diensten van alle voor hen relevante
overheidsorganisaties en kan ook business-to-business worden gebruikt. Als organisaties
het inlogmiddelmiddel alleen gebruiken voor het doen van belastingaangifte, dan realiseren
zij dit voordeel niet.
Leveranciers van eHerkenning bieden een speciaal Belastingdienst eHerkennings-middel
niveau 3 aan voor het doen van belastingaangifte. De aanschafkosten kunnen vanaf eind
november worden teruggevraagd bij de RvO. Er is gekozen voor een standaardbedrag aan
compensatie op basis van de laagste marktprijs voor een driejarig contract (nu € 24,20
incl. btw per jaar). Dit voorkomt een prijsopdrijvend effect en houdt de uitvoeringskosten
beheersbaar. De compensatie is inclusief btw, omdat ondernemers die van btw vrijgestelde
prestaties leveren of onder de kleine ondernemersregeling vallen, zoals de stamrecht
bv van de heer van B., de btw voor eHerkenning niet kunnen terugvragen of verrekenen.
Voor hen vormt de btw dus een kostenpost die wordt gecompenseerd zodat gesproken kan
worden van een «kosteloos» inlogmiddel voor de belastingaangifte zoals door de Tweede
Kamer is verzocht. In de brief die de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
op 12 juni 2020 naar de Tweede Kamer heeft gestuurd, is uw Kamer geïnformeerd over
de compensatieregeling «eHerkenning-Belastingdienst».4
3. Persoonlijke gegevens in het eTD-stelsel
De heer van B. geeft aan dat hij zich zorgen maakt over de bescherming van de persoonlijke
gegevens die hij deelt met zijn eHerkenningsleverancier ten behoeve van de uitgifte
van zijn eHerkenningsmiddel. De heer van B. is terecht voorzichtig met het delen van
zijn persoonsgegevens. Het doel van het gebruik van inlogmiddelen op betrouwbaarheidsniveau
substantieel is immers het voorkomen van identiteitsfraude. Dit vereist echter wel
dat de eHerkenningsleveranciers zeker kunnen zijn dat degene, aan wie zij een eHerkenningsmiddel
uitgeven, is wie hij zegt te zijn en dat deze persoon bevoegd is namens een bepaalde
rechtspersoon te handelen.
Het Afsprakenstelsel Elektronische Toegangsdiensten bevat een set van technische,
functionele, juridische en organisatorische eisen op basis waarvan eHerkenning wordt
geleverd. Dit afsprakenstelsel hanteert hierbij normenkaders aangaande de borging
van veiligheid, privacy en continuïteit. De erkende eHerkenningsleveranciers staan
onder toezicht van het Agentschap Telecom onder de verantwoordelijkheid van de Staatssecretaris
van Binnenlandse Zaken, waarbij onder meer wordt toegezien op de waarborging van de
bescherming van gevoelige gegevens. Als erkende leveranciers niet (meer) voldoen aan
de gestelde (privacy)eisen, dan kan de Staatssecretaris van BZK hun erkenning intrekken.
Daarnaast houdt de Autoriteit Persoonsgegevens toezicht op de naleving van de wettelijke
regels voor bescherming van persoonsgegevens door de commerciële partijen.
4. Overige opmerkingen
De heer van B. schrijft in zijn brief dat hij een verplichting heeft ervaren om zijn
ontslagvergoeding of «gouden handdruk» onder te brengen in een bv. Er zijn fiscaal
echter meerdere manieren om met een «gouden handdruk» om te gaan.
Ook beschrijft de heer van B. enkele punten die hij onduidelijk vindt in relatie tot
de dividendbelasting. Om de heer van B. hierin goed te kunnen helpen, is beter inzicht
in de specifieke situatie van zijn stamrecht bv nodig. Ik wil de heer van B. vragen
om ten aanzien van deze punten contact op te nemen met zijn belastinginspecteur.
Tot slot
Ik heb er geen bezwaar tegen dat u deze inlichtingen deelt met de heer van B.
De Staatssecretaris van Financiën,
J.A. Vijlbrief
Ondertekenaars
-
Eerste ondertekenaar
J.A. Vijlbrief, staatssecretaris van Financiën