Brief regering; Datalek melding door de Bulgaarse belastingdienst (NRA) - Verwerking en bescherming persoonsgegevens

Deze brief is onder nr. 156 toegevoegd aan dossier 32761 - Verwerking en bescherming persoonsgegevens.

1.

Kerngegevens

Officiële titel Verwerking en bescherming persoonsgegevens; Brief regering; Datalek melding door de Bulgaarse belastingdienst (NRA)
Document­datum 18-12-2019
Publicatie­datum 23-12-2019
Nummer KST32761156
Kenmerk 32761, nr. 156
Commissie(s) Financiën (FIN)
Externe link origineel bericht
Originele document in PDF

2.

Tekst

Tweede Kamer der Staten-Generaal

Vergaderjaar 2019-2020

32 761

Verwerking en bescherming persoonsgegevens

Nr. 156    BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 18 december 2019

In juli 2019 werd door de Bulgaarse belastingdienst (NRA) gemeld, dat er een hack van haar bestanden had plaatsgevonden. In dezelfde tijd verschenen ook berichten in de media hierover. Er zou informatie van 5 miljoen belastingplichtigen gestolen zijn. Navraag leerde mij dat daarbij ook informatie zat die door en met Nederland is uitgewisseld onder de EU Richtlijn Administratieve Samenwerking (DAC) - het betreft dan informatie over bepaalde inkomsten- en vermogenscategorieën, (bank)reke-ninggegevens (CRS) en landenrapporten - en onder de EU Verordening betreffende administratieve samenwerking en de bestrijding van fraude op het gebied van de belasting over de toegevoegde waarde (via Eurofisc netwerk). De op automatische wijze verstrekking van informatie aan Bulgarije werd stilgelegd en Bulgarije werd de toegang tot Eurofisc ontnomen.

Verzoek Bulgaarse belastingdienst

De NRA heeft geïnventariseerd welke informatie gelekt is en heeft de betrokken landen geïnformeerd.1 Nederland heeft bericht gehad van Bulgarije dat informatie van ongeveer 2400 belastingplichtigen2 onder de DAC gelekt was. Van de Bulgaarse autoriteiten is een verzoek ontvangen om de door de hack getroffenen in Nederland (voor wat betreft de informatie uitgewisseld onder de DAC3) te informeren. Dat is echter een verplichting die rust op de NRA, die is namelijk in het kader van de Algemene Verordening Gegevensbescherming (AVG) de verwerkingsver-woordelijke. Elke uitwisseling van inlichtingen is onderworpen aan de AVG en dat verplicht lidstaten zorg te dragen voor de veiligheid van persoonsgegevens. Dat betekent ook, zo stelt ze, dat de individuele

1    Het blijkt dat alle landen onder de CRS-uitwisseling (= wereldwijd) betrokken zijn.

2    Dit betreft informatie van Nederlanders met bijv. een bankrekening in Bulgarije.

3    Onder DAC1 wordt bijv. uitgewisseld: arbeidsinkomen, pensioenen, eigendom van en inkomsten uit onroerende zaken. Onder DAC2 (CRS) wordt bijv. bankrekeninginformatie uitgewisseld.

kst-32761-156 ISSN 0921 - 7371 's-Gravenhage 2019

belastingbetaler meteen geïnformeerd moet worden als er kans is op onrechtmatig gebruik van persoonsgegevens. De verplichting om dat te doen ligt bij de verwerkingsverantwoordelijke (data controller) die dat -indien sprake zou zijn van disproportionele inspanning - kan doen door een publicatie waardoor betrokkenen even effectief geïnformeerd worden. De NRA heeft landen om hulp gevraagd om betrokkenen op een passende wijze te informeren. Hoewel op de Belastingdienst geen verplichting rust om de in Nederland wonende betrokkenen te informeren, heeft de Belastingdienst zich bereid getoond de NRA behulpzaam te zijn bij het informeren van betrokkenen in Nederland. Aangegeven is dat dan wel met een brief van de NRA zou moeten gebeuren. Pas op 18 november 2019 heeft Nederland de brief ontvangen die aan de betrokkenen gestuurd zou kunnen worden. Deze brief wordt tegelijk met deze brief aan uw Kamer aan de betrokkenen gestuurd.

Maatregelen Bulgaarse belastingdienst

De NRA meldt in haar brief dat persoonsgegevens gestolen zijn maar dat deze dikwijls niet compleet waren en bovendien niet in een leesbaar format geopenbaard zijn. Alleen met specifieke computerkennis zou de data te herleiden zijn tot een bepaalde belastingbetaler. Er zou dan ook geen direct gevaar zijn voor misbruik van de persoonsgegevens. Voor vragen kunnen betrokkenen terecht op een in de brief genoemde website. De NRA heeft ook aangegeven alle nodige maatregelen genomen te hebben om de veiligheid van de IT-systemen te verbeteren en de gevolgen van de breuk te matigen.

Dit zou kunnen betekenen dat de automatische informatieverstrekking aan Bulgarije hervat zou kunnen en dat Bulgarije weer toegang verleend zou kunnen worden tot Eurofisc. Echter, begin 2020 gaat een expertteam van het Global Forum een onderzoek doen naar de dataveiligheid in Bulgarije. Net als een groot aantal andere landen acht Nederland het verstandig om de resultaten van dat onderzoek af te wachten, eer weer informatie verstrekt wordt aan Bulgarije.

Ik vertrouw erop u hiermee voldoende te hebben geïnformeerd.

De Staatssecretaris van Financiën,

  • M. 
    Snel

Tweede Kamer, vergaderjaar 2019-2020, 32 761, nr. 156 2


 
 
 

3.

Meer informatie

 

4.

Parlementaire Monitor

Met de Parlementaire Monitor volgt u alle parlementaire dossiers die voor u van belang zijn en bent u op de hoogte van alles wat er speelt in die dossiers. Helaas kunnen wij geen nieuwe gebruikers aansluiten, deze dienst zal over enige tijd de werkzaamheden staken.