Vragen van het lid Neppérus (VVD) aan de staatssecretaris van Financiën over de problemen bij KPN bij de ingebruikname van het BAPI-certificaat (ingezonden 8 maart 2012).

Antwoord van staatssecretaris Weekers (Financiën) (ontvangen 10 april 2012).

Vraag 1

Heeft u het artikel «KPN onderschat vervanging Diginotar-certificaten» gelezen?1

Antwoord 1

Ja.

Vraag 2, 3, 4, 5

Bent u bekend met de hier in geschetste problematiek bij de invoering van het BAPI-certificaat?2

Voor de leden van de VVD-fractie staat, zoals eerder ook aangegeven, de veiligheid van de aangiften voor burgers en ondernemers centraal, is deze veiligheid gewaarborgd, ondanks de problemen bij de invoering van het nieuwe BAPI-certificaat van KPN?

Deelt u de mening dat het van cruciaal belang is dat ondernemers veilig kunnen communiceren met de Belastingdienst en geen vertraging oplopen bij het indienen van hun aangiften door invoering van het nieuwe BAPI-certificaat? Zo ja, binnen welke termijn verwacht u dat de problemen zijn opgelost?

Deelt u de mening dat het heel vervelend is als ondernemers bij hun maandelijkse aangifte onnodig vertraging oplopen en zo zelfs buiten hun schuld te laat zijn met het doen van aangifte? Zo ja, wat denkt u hier aan te gaan doen gezien het grote aantal klachten hierover? Hoe kunnen deze mensen nu aangifte doen, als het BAPI-certificaat de enige mogelijkheid is en kennelijk nog niet naar behoren functioneert?

Antwoord 2, 3, 4, 5

Meteen na het Diginotar-incident begin september 2011 is in samenspraak met alle betrokken partijen gestart met een plan voor de migratie van BAPI-certificaten. Voor het migratietraject is de Belastingdienst een samenwerking met KPN aangegaan (zie ook het antwoord op vraag 6. De certificaten worden direct bij KPN aangeschaft door fiscaal dienstverleners en individuele ondernemers. Vanaf einde december konden certificaathouders zich als abonnee bij KPN melden. Tot nu toe hebben ruim 13 000 abonneehouders zich gemeld; in totaal gaat het om maximaal 16 000 overstappers. Er zijn 2 500 certificaten aangevraagd, waarvan er inmiddels ruim 2 000 zijn uitgegeven; deze moeten vervolgens door de gebruikers in hun software worden geïnstalleerd. De softwarepakketten die in gebruik zijn bij fiscale dienstverleners en individuele ondernemers moeten zijn aangepast om de installatie van nieuwe certificaten aan te kunnen. 98% van de softwarepakketten is daarvoor nu gereed.

KPN heeft aanvankelijk opstartperikelen gekend. Intussen is de productie opgeschaald en is de communicatie geïntensiveerd. De veiligheid is echter nimmer in het geding geweest. Er is geen enkele indicatie dat het aanvraag- en uitgifteproces van deze certificaten op enige manier onveilig is.

Geplande einddatum voor de omwisseloperatie is 1 juni 2012. Ik ben voortdurend in overleg met de sector over de voortgang van de operatie. Begin april zal opnieuw overleg plaatsvinden. Als nodig zou zijn om de einddatum van 1 juni enigszins op te schuiven, dan ben ik daartoe bereid. Dat betekent dat het gebruik van de oude Diginotar-certificaten nog met dezelfde periode wordt verlengd. De na het incident getroffen beheersmaatregelen zorgen weliswaar voor voldoende veiligheid, maar het is van belang tot een afsluiting te komen.

Er is dus geen reden om aan te nemen dat fiscale dienstverleners en bedrijven om reden van een certificatenprobleem niet aan hun aangifteverplichting zouden kunnen voldoen. Mocht zich dat desondanks voordoen, dan heb ik reeds eerder toegezegd coulance te betrachten. Fiscale dienstverleners en VNO-NCW hebben aangegeven met deze coulanceregeling te kunnen instemmen.

Vraag 6

Is er bij de keuze om KPN het beveiligingscertificaat te laten ontwikkelen gebruik gemaakt van aanbesteding? Is er ondanks de spoed waarmee deze keuze gemaakt moest worden ook gekeken naar andere kandidaten? Waarom is de keuze op KPN gevallen?

Antwoord 6

Door de Belastingdienst is meteen na het DigiNotar-incident een verkenning gedaan naar solide en betrouwbare partijen die op korte termijn de certificaatdienstverlening aan fiscaal dienstverleners en ondernemers ten behoeve van het aanleveren van aangiften via BAPI zouden kunnen overnemen van DigiNotar. Uitgangspunt daarbij was dat met het oog op een spoedige migratie de BAPI-architectuur zoveel mogelijk ongewijzigd moest blijven. Als gerede partij kwam KPN/Getronics naar voren. Deze partij bleek ook bereid om de dienstverlening van DigiNotar over te nemen.

Van belang is te benadrukken dat KPN de vervangende BAPI-certificaten direct aan fiscale dienstverleners en ondernemers levert, net zoals DigiNotar placht te doen. Er is geen opdrachtgever-opdrachtnemer relatie tussen de Belastingdienst en KPN. Derhalve is ook geen sprake van een aanbestedingsplichtige opdracht.

Wel heeft de Belastingdienst op zich genomen om het proces van vervanging van de BAPI-certificaten bij fiscale dienstverleners en ondernemers maximaal te faciliteren. Dat betekende het beschikbaar stellen van BAPI-specificaties, het onderhouden van de contacten met en het communiceren naar fiscale dienstverleners, ondernemers(organisaties) en softwareleveranciers. Daarnaast heeft de Belastingdienst bij KPN bedongen dat de BAPI-certificaten tegen dezelfde prijs worden geleverd als de oude DigiNotar certificaten, teneinde nadeel bij marktpartijen als gevolg van het DigiNotar-incident te voorkomen of in elk geval zoveel mogelijk te beperken.

Vraag 7

Wordt er overwogen om meerdere fabrikanten van beveiligingscertificaten in te schakelen, naast KPN, om zo de risico’s te spreiden en een optimale dienstverlening mogelijk te maken?

Antwoord 7

Op 21 maart jl. heeft op het Ministerie van Financiën een bijeenkomst plaatsgevonden met (software)leveranciers die producten leveren op het gebied van autorisatie en authenticatie, daaronder begrepen (beveiligings)certificaten. In deze bijeenkomst is de toekomstvisie van de Belastingdienst op het gehele terrein van autorisatie en authenticatie uiteengezet en is aangegeven hoe de Belastingdienst zich de migratie voorstelt van huidige situatie naar gewenste eindsituatie. Een onderdeel daarvan is het BAPI-kanaal. Tijdens deze bijeenkomst bleken de leveranciers geïnteresseerd in de visie en in verdere participatie in de toekomst. Twee leveranciers gaven te kennen met de Belastingdienst te willen overleggen over het ook gaan leveren van BAPI-certificaten. Met hen is overleg geweest. Het is nu aan deze leveranciers om te bepalen of ze de certificaten daadwerkelijk willen gaan aanbieden. Als het tot een aanbod komt, zal dit geen betekenis meer hebben voor de huidige migratie-operatie. Het in samenwerking tussen de aanbieders en de Belastingdienst komen tot een aanbod vergt in ieder geval twee tot drie maanden voorbereidingstijd. Daarbij komt dan nog de doorlooptijd die nodig is om de softwarepakketten in de markt er geschikt voor te maken – voor zover de softwareleveranciers hier markt voor zien. Zoals gezegd is afronding van de migratie-operatie op dit moment gepland per 1 juni a.s. (eventueel kan deze datum nog iets opschuiven; zie het antwoord op de vragen 2 tot en met 5).

Zoals uit het voorgaande blijkt, is er geen sprake van exclusiviteit voor KPN en sta ik open voor elke aanbieder die aan de gestelde kwaliteitscriteria voldoet. Het is evenwel aan de markt zelf om met een aanbod te komen.


X Noot
1

www.nu.nl, 5 maart 2012.

X Noot
2

Beveiligingscertificaat voor het doen van digitale aangifte.

Naar boven