Kamervragen en antwoorden over het gebruik van eHerkenning bij de belastingdienst

11-02-2020

Antwoorden minister van Financiën en minister van Binnenlandse Zaken en Koninkrijksrelaties op de schriftelijke vragen van CDA-lid Omtzigt en VVD-lid Lodders over het verplichte gebruik van eHerkenning bij de belastingdienst.

Vraag 1

Herinnert u zich dat de Minister van Binnenlandse Zaken, mede namens de Staatssecretaris van Financiën, antwoordde dat artikel 2:15, eerste lid, van de Algemene wet bestuursrecht (Awb) de wettelijke basis is voor het verplicht-stellen van het gebruik van eHerkenning voor het doen van aangifte loonbelasting?

Antwoord 1

Ik herinner mij dit antwoord.

Vraag 2

Klopt het dat artikel 2:15 van de Awb luidt ‘Een bericht kan elektronisch naar een bestuursorgaan worden verzonden voor zover het bestuursorgaan kenbaar heeft gemaakt dat deze weg is geopend. Het bestuursorgaan kan nadere eisen stellen aan het gebruik van de elektronische weg.’ En klopt het dat er dus zeer expliciet een kan-bepaling is en dat het dus ook mogelijk is om schriftelijk te communiceren met het bestuursorgaan? Is het mogelijk om de belastingaangiftes loonheffingen en vennootschapsbelasting (VPB) schriftelijk te doen?

Antwoord 2

Het klopt dat artikel 2:15 van de Awb zo luidt en dat het een kan-bepaling is, waardoor het mogelijk is voor een bestuursorgaan om desgewenst de digitale weg open te stellen voor het ontvangen van berichten. Specifiek voor het fiscale domein is in artikel 3a, eerste lid, van de Algemene wet inzake rijksbelastingen (AWR) bepaald dat in het verkeer tussen belastingplichtigen of inhoudingsplichtigen en de inspecteur of het bestuur van ’s Rijks belastingen een bericht uitsluitend elektronisch verzonden wordt. In het derde lid van dat artikel is een delegatiebepaling opgenomen op grond waarvan bij ministeriële regeling wordt bepaald voor welke berichten zowel de digitale als de papieren weg is opengesteld. De betreffende ministeriële regeling is de Regeling elektronisch berichtenverkeer belastingdienst (Regeling EBV). In de Regeling EBV is geregeld dat voor onder meer aangiftes loonheffingen en vennootschapsbelasting uitsluitend de digitale weg openstaat. Het is op basis van de Regeling EBV daarom niet mogelijk om de aangiftes loonheffingen en vennootschapsbelasting op papier te doen.

Vraag 3

Kunt u aangeven welke nadere eisen de Belastingdienst gesteld heeft voor het doen van aangifte en wanneer zij die eisen gesteld heeft?

Antwoord 3

Overheidsinstanties, waaronder de Belastingdienst, moeten in overeenstemming met de Algemene verordening gegevensbescherming (AVG) handelen. Informatiesystemen die persoonsgegevens verwerken, behoren aan bepaalde eisen te voldoen ten aanzien van toegangsbeveiliging. Op grond van artikel 5, eerste lid, letter f, van de AVG moeten passende technische beveiligingsmaatregelen worden genomen. In het begrip ‘passend’ ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek en het niveau van beveiliging correspondeert met de mate van privacygevoeligheid van de persoonsgegevens. De Belastingdienst heeft daarom de eis gesteld dat organisaties voor het doen van de aangiftes loonheffingen en vennootschapsbelasting via het ondernemersportaal per 1 januari 2020 een inlogmiddel dienen te gebruiken dat ingevolge Verordening (EU) nr. 910/2014 (de zogeheten eIDAS-verordening) voldoet aan het beveiligingsniveau ‘substantieel’ en bij de Europese Commissie is genotificeerd. Op dit moment is eHerkenning (niveau 3) het enige inlogmiddel dat hieraan voldoet. Eenmanszaken kunnen met DigiD inloggen.

Dat niet meer met een gebruikersnaam en wachtwoord kan worden ingelogd op het nieuwe ondernemersportaal van de Belastingdienst (MijnBelastingdienst zakelijk (MBDz)), is bekendgemaakt door het versturen van brieven aan de populatie gebruikers die voor het doen van aangifte gebruik maakten van het inmiddels voor de loonheffingen en vennootschapsbelasting afgesloten oude portaal. Voor de aangifte loonheffingen zijn brieven verstuurd op 19 september 2019 en 6 december 2019. Voor de aangifte vennootschapsbelasting zijn de brieven verstuurd op 19 december 2019. Daarnaast zijn brieven gestuurd aan de organisaties die mogelijk geen eHerkenningsmiddel kunnen aanvragen; voor de aangifte loonheffingen is dat gebeurd door middel van brieven van 29 november 2019, voor de aangifte vennootschapsbelasting op 19 december 2019. In diezelfde periode zijn verwijzingen opgenomen op de website van de Belastingdienst, in de berichtgeving op Forum Salaris, Forum Fiscaal Dienstverleners en sociale media.

Vraag 4

Kunt u het beleidsbesluit of een andere regeling van de Belastingdienst (ex artikel 2:15 Awb) publiceren waarin zij de nadere eisen stelt en aan wie zij die stelt?

Antwoord 4

Dat eHerkenning is vereist voor bepaalde aangiften is bekendgemaakt op de website van de Belastingdienst en de betreffende groepen zijn per brief geïnformeerd. Daarnaast is in juni 2019 door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties de landelijke mediacampagne voor het stimuleren van naamsbekendheid, aanschaf en gebruik van eHerkenning gestart via diverse kanalen. De campagneboodschap richtte zich op ondernemers, organisaties, medewerkers en intermediairs die nog niet bekend zijn met eHerkenning en nog geen eHerkenningsinlogmiddel hebben. Verder verwijs ik naar het antwoord op vraag 8.

Vraag 5

Is dit beleidsbesluit, of voor zover van toepassing de andere regeling, op tijd gepubliceerd zodat iedereen er kennis van kon nemen en tijdig eHerkenning kon aanschaffen?

Antwoord 5

Ja. Met betrekking tot de aangifte loonheffing, die in beginsel voor 1 maart moet worden gedaan, is op 19 september 2019 voor het eerst per brief gecommuniceerd over de beleidsbeslissing. Met betrekking tot de aangifte vennootschapsbelasting, die in beginsel voor 1 juni moet worden gedaan, is op 19 december 2019 voor het eerst per brief gecommuniceerd. Daarnaast is de beleidsbeslissing via de website van de Belastingdienst kenbaar gemaakt, zodat ook mogelijke betrokkenen die geen brief hebben ontvangen op de hoogte zijn gesteld.

Vraag 6

Bent u ervan op de hoogte dat op 22 december 2019 gewoon de ministeriële regeling Regeling elektronisch berichtenverkeer Belastingdienst geldig is?

Antwoord 6

Ik ben hiervan op de hoogte.

Vraag 7

Bent u ervan op de hoogte dat in de bijlage van de regeling elektronisch berichtenverkeer belastingdienst helder staat dat voor zowel de ‘aangifte VPB’ als de ‘aangifte loonbelasting, met uitzondering van de aangifte voor de pseudo-eindheffing, bedoeld in artikel 32bb van de Wet op de loonbelasting 1964’ dat aangifte uitsluitend digitaal plaatsvindt –aangifte plaatsvindt via of SBR/Digipoort of MijnBelastingdienst Ondernemers het authenticatiemiddel ofwel een PKI Overheid services certificaat is ofwel een door de Belastingdienst verstrekte gebruikersnaam en wachtwoord?

Antwoord 7

Ik ben hiervan op de hoogte.

Vraag 8

Kunt u heel precies aangeven welke wettelijke grondslag er dus is voor de verplichtstelling van het gebruik van eHerkenning niveau 3 per 1 januari 2020, voor wie die verplichtstelling geldt en of die tijdig en officieel gecommuniceerd is aan alle belanghebbenden? Kunt u deze vraag heel precies beantwoorden?

Antwoord 8

De wettelijke grondslag is artikel 2:15, eerste lid, van de Awb. Op grond van die bepaling is een bestuursorgaan namelijk bevoegd om nadere eisen te stellen aan het gebruik van de elektronische weg. Met betrekking tot de aangifte loonheffingen en vennootschapsbelasting heeft de Belastingdienst van die bevoegdheid gebruik gemaakt door verplicht te stellen dat gebruik wordt gemaakt van authenticatiemiddelen die gelet op de AVG en de eIDAS-verordening voldoen aan het beveiligingsniveau ‘substantieel’ en bij de Europese Commissie zijn genotificeerd. Het beveiligingsniveau ‘substantieel’ correspondeert met eHerkenning niveau 3.

Artikel 3a, tweede lid, AWR geeft de minister de bevoegdheid om bij ministeriële regeling te bepalen op welke wijze het elektronisch berichtenverkeer tussen inhoudingsplichtigen en belastingplichtigen en de Belastingdienst plaatsvindt. In dit kader wijzen de leden in vraag 7 terecht op de bijlage bij de Regeling EBV. Deze bijlage is nog niet in overeenstemming gebracht met de gestelde nadere eis over verplicht gebruik van inlogmiddelen die gelet op de eIDAS-verordening voldoen aan beveiligingsniveau ‘substantieel’ (niveau 3). Dit zal op korte termijn door middel van een ministeriële regeling met terugwerkende kracht tot 1 januari 2020 rechtgezet worden. Dit laat de wettelijke basis van artikel 2:15, eerste lid, van de Awb om eHerkenning verplicht te mogen stellen overigens onverlet.

Vraag 9

Indien die verplichtstelling bestaat, voor welke bedrijven is die dan van toepassing en wanneer zijn alle bedrijven op wie die verplichtstelling van toepassing is, geïnformeerd?

Antwoord 9

De Belastingdienst heeft de eis gesteld dat organisaties voor het doen van de aangiftes loonheffingen en vennootschapsbelasting via MBDz per 1 januari 2020 een inlogmiddel moeten gebruiken dat gelet op de AVG en de eIDAS-Verordening voldoet aan het beveiligingsniveau ‘substantieel’ en bij de Europese Commissie is genotificeerd. Dit komt erop neer dat MBDz alleen toegankelijk is via eHerkenning, een door een andere lidstaat genotificeerd inlogmiddel en DigiD (voor eenmanszaken). Organisaties kunnen ook gebruik maken van een fiscaal dienstverlener of commerciële software voor het doen van aangifte. Voor de beantwoording van de vraag wanneer de bedrijven zijn geïnformeerd, verwijs ik naar de beantwoording van vraag 3.

Vraag 10

Is er enig ander EU-land waarin bedrijven (of burgers) een privaat authenticatiemiddel, waarvoor zij moeten betalen, moeten gebruiken voor het doen van belastingaangifte? Zo ja, welk(e) land(en)?

Antwoord 10

Ja. Er zijn landen in Europa waar voor de aanschaf en het gebruik van een inlogmiddel betaald moet worden, bijvoorbeeld in Finland, Noorwegen en Zweden. In Europa wordt echter minder dan in Nederland onderscheid gemaakt tussen burger- en bedrijfsmiddelen. De middelen worden zowel door publieke als private partijen beschikbaar gesteld. Zo hebben bijvoorbeeld Italië, Zweden en Denemarken ook private inlogmiddelen.

Vraag 11

Is er enig ander EU land dat gekozen heeft voor een exclusief privaat stelsel voor identificatie van bedrijven bij de overheid? Zo ja, welk(e) landen(en)?

Antwoord 11

Op dit moment zijn geen andere landen bekend die een exclusief privaat stelsel hanteren voor inloggen door bedrijven bij de overheid. Dat zal mede komen omdat een aantal landen nog geen inlogmiddelen voor bedrijven bieden. Uit de overleggen met andere landen over de implementatie van de eIDAS-verordening blijkt interesse van andere landen om voor het Nederlandse private model te kiezen.

Vraag 12

Wie is er verantwoordelijk indien het private authenticatiemiddel op enig moment niet functioneert en bedrijven geen aangiftes kunnen doen?

Antwoord 12

Iedere deelnemer in het private stelsel is verantwoordelijk voor zijn eigen handelen en/of nalaten binnen de rol die hij vervult. Dat geldt voor inlogmiddelen, maar ook voor andere rollen binnen het stelsel. De minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor de werking van het stelsel als geheel. Daarbij gelden de algemene regels over aansprakelijkheid.

Wie in een specifiek geval verantwoordelijk is, hangt af van wat er precies gebeurd is, en wie daarin een rol heeft gespeeld. Om te zorgen dat tegemoet wordt gekomen aan de strenge eisen die aan veiligheid en betrouwbaarheid worden gesteld, is daarom ook onafhankelijk extern toezicht ingeregeld (zie hiervoor: https://afsprakenstelsel.etoegang.nl/plugins/servlet/mobile?contentId=55808512#content/view/55808512).

Toezicht op de naleving is belegd bij de minister van Binnenlandse Zaken en Koninkrijksrelaties. Daarnaast is de instelling van de besturing van het afsprakenstelsel elektronische toegangsdiensten vastgelegd in het Instellingsbesluit Besturing Elektronische Toegangsdiensten. Een belangrijke reden om te kiezen voor een stelsel is, dat dit de afhankelijkheid van één leverancier verkleint, waardoor snel een ander middel kan worden ingezet. Een dienstverlener kan, op het moment dat een burger of bedrijf buiten zijn schuld geen aangifte of andere handeling kan doen, daarvoor uitstel verlenen.

Vraag 13

Kunt u aangeven hoe de Belastingdienst de aanbevelingen van de Onderzoeksraad voor Veiligheid (OVV) naar aanleiding van het diginotar incident heeft uitgevoerd en dan met name het jaarlijkse ‘in control statement voor digitale veiligheid’ en de naleving van open standaarden NEN-ISO/IEC 27001 en 27002?

Antwoord 13

De aanbevelingen van de Onderzoeksraad voor de Veiligheid zijn gericht aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Door het ministerie van BZK is de Baseline Informatiebeveiliging Overheid (BIO) ontwikkeld en verplicht gesteld voor de overheid. De BIO is volledig gebaseerd op de ISO-norm 27002. De Belastingdienst heeft de inrichting van de informatiebeveiliging gebaseerd op de BIO. Jaarlijks wordt door de secretaris-generaal van het ministerie van financiën een “in control verklaring” afgegeven aan de minister van BZK. Naast de interne beveiligingsambtenaar zien de Auditdienst Rijk en de Algemene Rekenkamer toe op de naleving van de BIO.

Vraag 14

Kunt u het externe onderzoek dat u naar eHerkenning hebt laten uitvoeren door Blauw en de onderzoeksopdracht voor het onderzoek dat u naar eHerkenning laat uitvoeren door Blauw, aan de Kamer doen toekomen?

Antwoord 14

Er zijn twee onderzoeken door Blauw uitgevoerd naar eHerkenning. Deze zijn als bijlagen aan deze brief toegevoegd. De onderzoeksopdrachten zijn hierin als hoofdvraag beschreven.

Vraag 15

Betekent de verplichte invoering van de eHerkenning nu dat het ene onderdeel van de overheid (zeg een ministerie, een gemeente) slechts met een ander deel van de overheid (zeg de Belastingdienst) kan communiceren met een privaat identificatiemiddel?

Antwoord 15

Voor interne bedrijfsvoeringprocessen geldt dat niet. Die processen verlopen in eigen beheer. Voor zover het gaat om processen waarin de overheid niet verschilt van bedrijven, zoals het doen van ziektemeldingen, klopt dit wel.

Vraag 16

Moet de Belastingdienst als werkgever eHerkenning aanschaffen bij een private partij om aangifte te kunnen doen bij de Belastingdienst voor loonbelasting en VPB?

Antwoord 16

Nee, de Belastingdienst doet de loonbelasting en aangifte vennootschapsbelasting op een andere wijze.

Vraag 17

Indien u dit allemaal kunt invoeren, wat is dan nog de toegevoegde waarde van de Wet digitale overheid en de parlementaire behandeling daarvan?

Antwoord 17

Overheidsorganisaties hebben een eigen verantwoordelijkheid om hun gegevens adequaat te beveiligen. Gezien het wijzigende dreigingslandschap en steeds betere beveiligingsmogelijkheden is het belangrijk om als dat nodig is veiligere inlogmethoden in te zetten. Door burgers, bedrijven en overheden meer betrouwbare inlogmiddelen te bieden, zijn hun eigen gegevens beter beschermd. De Autoriteit Persoonsgegevens hamert om die reden al langere tijd op het overheidsbreed inzetten van inlogmiddelen met hogere betrouwbaarheid. eHerkenningsmiddelen bieden op dit moment dat hogere niveau. Het is niet efficiënt voor de overheid en evenmin handig voor ondernemers als iedere overheidsorganisaties zijn eigen inlogmiddelen van een substantieel betrouwbaarheidsniveau gaat ontwikkelen.

De Wet Digitale Overheid beoogt gecoördineerd de beweging naar de inzet van veiligere inlogmiddelen overheidsbreed te regelen. De wet dwingt dit af op basis van uniforme normen en uitgangspunten en is zo opgezet dat er stapsgewijze invoering kan plaatsvinden, waardoor rekening wordt gehouden en handvatten worden geboden voor de omgang met praktische aandachtspunten. Daarom is in de Wet Digitale Overheid de mogelijkheid opgenomen om – tijdelijk, bijvoorbeeld in overgangssituaties - te regelen dat de acceptatieplicht voor bepaalde dienstverleners niet geldt indien hier een praktische onmogelijkheid voor bestaat, bijvoorbeeld omdat de techniek nog in ontwikkeling is. De omstandigheid dat een individuele overheidsorganisatie – zoals de Belastingdienst – ook zelf over de bevoegdheden beschikt om eHerkenning in te voeren, doet aan het voorgaande streven naar een gecoördineerde aanpak niets af.

Vraag 18

Heeft u een impact assessment (voor de overheid en voor bedrijven) van het gebruik van eHerkenning bij de Belastingdienst? Zo ja, kunt u dat delen? Zo nee, waarom is er geen impact assessment voor een operatie die het bedrijfsleven tientallen miljoenen zal kosten?

Antwoord 18

Het ministerie van Binnenlandse zaken heeft de administratieve lasten in kaart gebracht van het rijksbeleid dat veiliger moet worden ingelogd bij de overheid via de door de minister van Binnenlandse Zaken en Koninkrijksrelaties aan te wijzen generieke inlogmiddelen. Voor bedrijven is dit eHerkenning. De gevolgen voor het bedrijfsleven zijn beoordeeld en beschreven in de memorie van toelichting van het voorstel voor de Wet digitale overheid en de administratieve lasten zijn getoetst door het Adviescollege toetsing en regeldruk.

Besloten is dat voor de nieuwe aangiftejaren loonheffing en vennootschapsbelasting het portaal van de Belastingdienst in 2020 alleen toegankelijk is via DigiD, eHerkenning of authenticatiemiddelen, die gelet op Europese regelgeving (de eIDAS-verordening) voldoen aan het beveiligingsniveau ‘substantieel’ en bij de Europese Commissie zijn genotificeerd. De Algemene verordening gegevensverwerking verplicht de Belastingdienst immers om via passende maatregelen de veiligheid van gegevens van ondernemers te waarborgen, rekening houdend met de aard van de gegevens en de voortschrijdende stand van de techniek. Naar aanleiding van het rijksbeleid en het feit dat het aantal gegevens en de privacygevoeligheid van de getoonde persoonsgegevens op het portaal van de Belastingdienst toeneemt, is beoordeeld dat het beveiligingsniveau van de inlogmiddelen verhoogd moet worden om te voorkomen dat onbevoegden toegang tot de gegevens krijgen. De effecten zijn niet specifiek in kaart gebracht door middel van een impact assessment.

Vraag 19

Kunt u deze vragen een voor een en voor 10 januari 2020 beantwoorden?

Antwoord 19

In verband met de zorgvuldigheid van de beantwoording, waarvoor nadere afstemming met de minister van BZK noodzakelijk was, is het niet haalbaar gebleken om deze vragen voor 10 januari 2020 te beantwoorden.

Bijlagen
Rapportage eHerkenning
Onderzoek eHerkenning
Memo calamiteiten eHerkenning

bron: Rijksoverheid

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer