Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 20 februari 2020

In uw brief van 23 januari jl. verzoekt u namens de vaste commissie voor Financiën om de Tweede Kamer te informeren over hoe de gegevens die met belastingdiensten van andere EU-lidstaten worden uitgewisseld zijn beveiligd en of deze gegevens versleuteld worden verstuurd. In antwoord op dat verzoek kan ik de Kamer als volgt informeren.

Beveiliging van netwerken

Het merendeel van de massale gegevensuitwisselingen vindt plaats via een speciaal voor gegevensuitwisselingen tussen douane- en belastingautoriteiten aangelegd netwerk, het zogenaamde Common Communication Network/Common System Interface (CCN/CSI). De richtlijn betreffende de administratieve samenwerking op het gebied van de belastingen1 verplicht tot het gebruik van dit netwerk. Het voorziet in een afgesloten, veilige verbinding voor de uitwisseling van gegevens tussen nationale overheidsorganen in de Europese Unie (EU). Voor uitwisselingen met nationale overheden van buiten de EU, fungeert dit netwerk als het centrale distributiepunt. Zo komen gegevensuitwisselingen met bijvoorbeeld Canada binnen op het aansluitpunt in Brussel. Daarvandaan gaan de gegevens via het CCN/CSI-netwerk naar de Nederlandse Belastingdienst en vice versa. Ook voor individuele gegevensuitwisselingen met nationale overheden binnen de EU wordt gebruik gemaakt van het CCN/CSI-netwerk.

Voor individuele gegevensuitwisselingen met nationale overheden van buiten de EU kan er ook rechtstreeks een e-mail verzonden worden naar de betreffende nationale overheid. Deze e-mail met eventuele bijlagen worden in dat geval adequaat versleuteld, waarbij het bijbehorende wachtwoord via een apart kanaal (SMS) verzonden wordt.

Overigens is het ook nog mogelijk dat uit te wisselen gegevens versleuteld op een CD of DVD worden geplaatst, waarbij de CD of DVD per koerier wordt afgeleverd bij de vragende nationale overheid. De omvang van de set uit te wisselen gegevens bepaalt uiteindelijk de wijze van uitwisseling.

Toezicht

Toezicht op het bepalen met welke landen veilig gegevens kunnen worden uitgewisseld, wordt gedaan door de EU en de OESO/ Global Forum on Transparency and Exchange of Information for Tax Purposes (Global Forum) door middel van questionnaires en (self) assessments. Voordat een land mag deelnemen aan de (wederkerige) automatische gegevensuitwisseling moet het eerst het Verdrag inzake wederzijdse administratieve bijstand in belastingzaken (WABB-verdrag) ondertekend hebben, de juiste wetgeving geïmplementeerd hebben en voldoen aan de OECD «Guidelines on the Protection of Privacy and Transborder Flows of Personal Data».2 Dit betekent dat van alle landen wordt getoetst of zij de vertrouwelijkheid van de gegevens (kunnen) waarborgen. Daartoe heeft het Global Forum een expertteam ingesteld dat onderzoek doet naar de status van de beveiliging. Het expertteam bestaat uit leden uit diverse landen, waaronder Nederland, die zijn aangesloten bij het Global Forum. In 2015 en 2016 zijn ruim 100 landen onderzocht voordat zij mochten deelnemen aan de automatische gegevensuitwisseling van bankrekeninggegevens onder de Common Reporting Standard (CRS). Van een door het Global Forum uitgevoerd onderzoek wordt een rapportage gemaakt en voorgelegd aan de leden van het Global Forum. Indien er harde aanbevelingen zijn gedaan dan wordt geadviseerd niet wederkerig uit te wisselen alvorens de aanbevelingen zijn opgevolgd. De Belastingdienst wisselt geen gegevens uit met nationale overheden van landen zolang zij die harde aanbeveling niet verholpen hebben.

Onderzoek door team Global Forum

Hoewel de Bulgaarse belastingdienst was geslaagd voor bovengenoemd onderzoek, is hij in de zomer van 2019 toch het slachtoffer geworden van hackers. Het Global Forum heeft een expertteam samengesteld dat komend voorjaar in Bulgarije gaat vaststellen of er weer sprake is van een robuuste, veilige omgeving. Totdat door het expertteam is vastgesteld dat daarvan sprake is, zal de Belastingdienst geen gegevens verstrekken aan de Bulgaarse belastingdienst. De Belastingdienst heeft overigens al geen gegevens meer uitgewisseld met de Bulgaarse belastingdienst sedert die dienst landen informeerde dat er een hack had plaatsgevonden.

Eind 2019 is besloten door het Global Forum om in de komende periode (3–5 jaar) alle landen wederom te laten onderzoeken door een expertteam. Voorts is er eind 2019, naar aanleiding van de Bulgaarse casus, een extra vragenlijst uitgezet, die focust op maatregelen die het doen van een cyberaanval bemoeilijken. De uitkomsten hiervan zijn vertrouwelijk en worden door het expertteam gebruikt om de planning van de onderzoeken te bepalen.

Ik vertrouw erop u aldus voldoende geïnformeerd te hebben.

De Staatssecretaris van Financiën, J.A. Vijlbrief