Brief regering : Verhoging van de betrouwbaarheid van inlogmiddelen voor online Toeslagen- en Belastingdienstomgeving

Nr. 995 BRIEF VAN DE STAATSSECRETARISSEN VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 31 maart 2022

Steeds meer mensen regelen hun toeslagen- en belastingzaken online. Wij vinden het
belangrijk dat het digitaal aanvragen en wijzigingen van toeslagen en belastingaangiften
toegankelijk en begrijpelijk is. We bieden bijvoorbeeld de vooraf ingevulde aangifte
aan, waarin veel gegevens al ingevuld zijn. Daarnaast is het ook van belang oog te
houden voor de online veiligheid van de gebruikers.

Omdat er (persoonlijke) gegevens in te zien zijn in onze digitale dienstverlening,
is het belangrijk dat alleen personen die dat mogen, hier toegang tot krijgen. Dit
volgt onder meer uit de Algemene Verordening Gegevensbescherming (AVG), de Electronic
Identities And Trust Services (eIDAS)-verordening en de Handreiking van Forum Standaardisatie,
waaraan Toeslagen en de Belastingdienst moeten voldoen. Ook in het licht van de toenemende
fraude met identiteits- en persoonsgegevens is het noodzakelijk dat Toeslagen en de
Belastingdienst hun portalen en apps zo goed mogelijk beveiligen.

In deze brief informeren wij uw Kamer over het veilig gebruik van de online Toeslagen-
en Belastingdienstomgevingen door burgers en ondernemers via DigiD en de online toegang
van maatschappelijk dienstverleners via eHerkenning.

Hoger betrouwbaarheidsniveau beveiliging noodzakelijk

Veel mensen regelen hun belasting- en toeslagenzaken online. Met behulp van DigiD
loggen zij in op MijnBelastingdienst (MBD), MijnToeslagen (MTSL), de Aangifte Inkomstenbelasting
app en de Kinderopvangtoeslagapp. Daarnaast loggen sommige ondernemers met hun persoonlijke
DigiD in op de zakelijke omgeving van de Belastingdienst.

DigiD kent inlogmogelijkheden met verschillende niveaus van betrouwbaarheid. Hoe hoger
het niveau, des te meer zekerheid er is over de identiteit van de gebruiker en des
te lastiger om ongeoorloofd voor een ander in te loggen. Zo wordt het risico op identiteitsfraude
en het risico op privacyschending verkleind.

Momenteel kan bij Toeslagen (MTSL en de app) en de Belastingdienst worden ingelogd
met DigiD Basis waarbij enkel een gebruikersnaam en wachtwoord ingevoerd dient te
worden. Op grond van de hiervoor genoemde wet- en regelgeving dienen de Belastingdienst
en Toeslagen echter de toegang tot hun portalen te beveiligen met een inlogmiddel
met het betrouwbaarheidsniveau «substantieel». DigiD Substantieel voldoet hieraan.
Dit is de DigiD app, opgewaardeerd met een eenmalige controle van het wettelijk identiteitsdocument
van de burger.

Toeslagen en de Belastingdienst vinden dat het niet realistisch is om van alle mensen
te vragen in één stap DigiD Substantieel te gaan gebruiken. Om DigiD Substantieel
te gebruiken, moet de gebruiker namelijk in bezit zijn van een smartphone en op deze
smartphone de DigiD app installeren en activeren. Wij willen ervoor waken dat het
invoeren van een hoger betrouwbaarheidsniveau voor sommige mensen leidt tot een te
grote belemmering voor gebruik van onze digitale dienstverlening of afhankelijkheid
van derden. Daarom zullen Toeslagen en de Belastingdienst stapsgewijs toewerken naar
beveiligingsniveau Substantieel voor het gebruik van DigiD bij het inloggen op de
portalen; het gebruik van DigiD Midden wordt een tussenstap naar DigiD Substantieel.
Toeslagen en de Belastingdienst volgen hier het voorbeeld van het UWV en de zorgverzekeraars.

Transitie naar DigiD Midden

Vanaf 1 oktober 2022 worden mensen gevraagd om ten minste DigiD Midden te gebruiken
wanneer zij inloggen op de online omgevingen van de Belastingdienst. Dit betekent
inloggen met gebruikersnaam, wachtwoord aangevuld met een sms-controle, of met de
DigiD app. Toeslagen zal deze stap begin januari 2023 zetten voor het inloggen op
MijnToeslagen en de Kinderopvangtoeslagapp. Voor het aanleveren van digitale documenten
aan Toeslagen wordt overigens nu al gevraagd om in te loggen met minimaal DigiD Midden.
Daarnaast kan men er momenteel al voor kiezen om DigiD Midden en/of Substantieel te
gebruiken om in te loggen bij Toeslagen en de Belastingdienst.

Toeslagen en de Belastingdienst zullen mensen zo goed mogelijk ondersteunen bij de
stap naar DigiD Midden en hen hier tijdig over informeren. De communicatie over deze
stap met burgers, ondernemers, intermediairs en andere stakeholders is dan ook heel
belangrijk. De Belastingdienst is reeds gestart met communicatie op het inlogscherm,
Toeslagen zal hiermee vanaf 1 april 2022 starten.

Uiteraard blijft het mogelijk dat mensen telefonisch en op papier hun zaken met de
Belastingdienst en Toeslagen regelen. Ook kunnen mensen iemand anders machtigen online
hun zaken voor hen te regelen. In het bijzonder is aandacht voor mensen die niet over
voldoende (digitale) vaardigheden beschikken. Zo sluiten Toeslagen en de Belastingdienst
aan bij het beleid van het Ministerie van Binnenlandse Zaken. Toeslagen en de Belastingdienst
werken samen om burgers en ondernemers te informeren en te helpen door communicatie
via de website, door vragen te beantwoorden aan de telefoon en bij onze steunpunten
en balies. Toeslagen en de Belastingdienst zullen ook het maatschappelijk veld betrekken
bij deze ontwikkelingen, zodat ook zij hun achterban tijdig kunnen informeren.

Online toegang van maatschappelijk dienstverleners via eHerkenning

Maatschappelijk dienstverlenende organisaties helpen mensen veelvuldig met hun belasting-
en toeslagenzaken. Ze maken hierbij gebruik van eHerkenning als inlogmiddel op onze
digitale omgevingen, met name op MBD, in combinatie met een DigiD Machtigingscode
van de burger. Zo geeft de burger de dienstverlener de bevoegdheid om zaken voor hem
te regelen.

Vanaf 17 december 2021 is het betrouwbaarheidsniveau voor het inloggen op MBD verhoogd
van eHerkenning 2 naar eHerkenning 3 (substantieel). De Belastingdienst informeerde
uw Kamer op 3 december 2021 over deze stap1. Sinds 24 februari 2022 is het toeslagenportaal breed toegankelijk voor maatschappelijk
dienstverleners die over een eHerkenningsmiddel beschikken. Ook voor het toeslagenportaal
moet minimaal eHerkenning niveau 3 gebruikt worden. Zo is er meer zekerheid dat de
helper die inlogt, is wie hij zegt te zijn. Dit draagt bij aan de beveiliging van
de portalen.

In de praktijk betekent dit dat de maatschappelijk dienstverleners met het middel
eHerkenning 3 in combinatie met DigiD Machtigen mensen kunnen helpen bij het digitaal
aanvragen en wijzigen van toeslagen en hun belastingzaken.

De kosten die maatschappelijk dienstverleners maken voor de aanschaf van eHerkenning 3
zouden een onwenselijke barrière kunnen opwerpen om hulp te bieden, wanneer de hulp
kosteloos geboden wordt. Daarom zullen Toeslagen en de Belastingdienst hen gezamenlijk,
met inachtneming van de regels betreffende staatssteun, compenseren voor de aanschafkosten
van eHerkenning 3. Zo wordt voorkomen dat maatschappelijk dienstverleners zich genoodzaakt
zien om de aanschafkosten door te berekenen aan de mensen die zij helpen.

De wettelijke grondslag voor het toekennen van de vergoeding door Toeslagen is geregeld
in het pakket Belastingplan 2022 (het wetsvoorstel Overige fiscale maatregelen 2022)
en is op 1 januari 2022 in werking getreden.

Recent heeft de Staatssecretaris van Fiscaliteit en Belastingdienst mede namens de
Staatssecretaris Digitalisering en Koninkrijksrelaties vragen van uw Kamer gekregen
over de wettelijke grondslag van het gebruik van eHerkenning bij de Belastingdienst.
De antwoorden heeft uw Kamer via een aparte brief ontvangen op 16 maart 20222.

Tot slot

Toeslagen en de Belastingdienst zetten zich in om de online toegankelijkheid en veiligheid
van de digitale dienstverlening aan burgers verder te verbeteren. Het doel is om mensen
zo eenvoudig mogelijk gebruik te laten maken van de online omgeving, zodat belasting-
en toeslagenzaken zo toegankelijk mogelijk zijn voor de mensen die dit nodig hebben.
Ook zetten wij ons er voor in dat mensen hulp krijgen waar nodig.

De Staatssecretaris van Financiën,
A. de Vries

De Staatssecretaris van Financiën,
M.L.A. van Rij