Brief regering; Datalek melding door de Bulgaarse belastingdienst (NRA) - Verwerking en bescherming persoonsgegevens - Parlementaire monitor

Parlementaire monitor
Zondag 31 mei 2020
kalender

Brief regering; Datalek melding door de Bulgaarse belastingdienst (NRA) - Verwerking en bescherming persoonsgegevens

1.

Tekst

Tweede Kamer der Staten-Generaal

Vergaderjaar 2019-2020

32 761

Verwerking en bescherming persoonsgegevens

Nr. 156    BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 18 december 2019

In juli 2019 werd door de Bulgaarse belastingdienst (NRA) gemeld, dat er een hack van haar bestanden had plaatsgevonden. In dezelfde tijd verschenen ook berichten in de media hierover. Er zou informatie van 5 miljoen belastingplichtigen gestolen zijn. Navraag leerde mij dat daarbij ook informatie zat die door en met Nederland is uitgewisseld onder de EU Richtlijn Administratieve Samenwerking (DAC) - het betreft dan informatie over bepaalde inkomsten- en vermogenscategorieën, (bank)reke-ninggegevens (CRS) en landenrapporten - en onder de EU Verordening betreffende administratieve samenwerking en de bestrijding van fraude op het gebied van de belasting over de toegevoegde waarde (via Eurofisc netwerk). De op automatische wijze verstrekking van informatie aan Bulgarije werd stilgelegd en Bulgarije werd de toegang tot Eurofisc ontnomen.

Verzoek Bulgaarse belastingdienst

De NRA heeft geïnventariseerd welke informatie gelekt is en heeft de betrokken landen geïnformeerd.1 Nederland heeft bericht gehad van Bulgarije dat informatie van ongeveer 2400 belastingplichtigen2 onder de DAC gelekt was. Van de Bulgaarse autoriteiten is een verzoek ontvangen om de door de hack getroffenen in Nederland (voor wat betreft de informatie uitgewisseld onder de DAC3) te informeren. Dat is echter een verplichting die rust op de NRA, die is namelijk in het kader van de Algemene Verordening Gegevensbescherming (AVG) de verwerkingsver-woordelijke. Elke uitwisseling van inlichtingen is onderworpen aan de AVG en dat verplicht lidstaten zorg te dragen voor de veiligheid van persoonsgegevens. Dat betekent ook, zo stelt ze, dat de individuele

1    Het blijkt dat alle landen onder de CRS-uitwisseling (= wereldwijd) betrokken zijn.

2    Dit betreft informatie van Nederlanders met bijv. een bankrekening in Bulgarije.

3    Onder DAC1 wordt bijv. uitgewisseld: arbeidsinkomen, pensioenen, eigendom van en inkomsten uit onroerende zaken. Onder DAC2 (CRS) wordt bijv. bankrekeninginformatie uitgewisseld.

kst-32761-156 ISSN 0921 - 7371 's-Gravenhage 2019

belastingbetaler meteen geïnformeerd moet worden als er kans is op onrechtmatig gebruik van persoonsgegevens. De verplichting om dat te doen ligt bij de verwerkingsverantwoordelijke (data controller) die dat -indien sprake zou zijn van disproportionele inspanning - kan doen door een publicatie waardoor betrokkenen even effectief geïnformeerd worden. De NRA heeft landen om hulp gevraagd om betrokkenen op een passende wijze te informeren. Hoewel op de Belastingdienst geen verplichting rust om de in Nederland wonende betrokkenen te informeren, heeft de Belastingdienst zich bereid getoond de NRA behulpzaam te zijn bij het informeren van betrokkenen in Nederland. Aangegeven is dat dan wel met een brief van de NRA zou moeten gebeuren. Pas op 18 november 2019 heeft Nederland de brief ontvangen die aan de betrokkenen gestuurd zou kunnen worden. Deze brief wordt tegelijk met deze brief aan uw Kamer aan de betrokkenen gestuurd.

Maatregelen Bulgaarse belastingdienst

De NRA meldt in haar brief dat persoonsgegevens gestolen zijn maar dat deze dikwijls niet compleet waren en bovendien niet in een leesbaar format geopenbaard zijn. Alleen met specifieke computerkennis zou de data te herleiden zijn tot een bepaalde belastingbetaler. Er zou dan ook geen direct gevaar zijn voor misbruik van de persoonsgegevens. Voor vragen kunnen betrokkenen terecht op een in de brief genoemde website. De NRA heeft ook aangegeven alle nodige maatregelen genomen te hebben om de veiligheid van de IT-systemen te verbeteren en de gevolgen van de breuk te matigen.

Dit zou kunnen betekenen dat de automatische informatieverstrekking aan Bulgarije hervat zou kunnen en dat Bulgarije weer toegang verleend zou kunnen worden tot Eurofisc. Echter, begin 2020 gaat een expertteam van het Global Forum een onderzoek doen naar de dataveiligheid in Bulgarije. Net als een groot aantal andere landen acht Nederland het verstandig om de resultaten van dat onderzoek af te wachten, eer weer informatie verstrekt wordt aan Bulgarije.

Ik vertrouw erop u hiermee voldoende te hebben geïnformeerd.

De Staatssecretaris van Financiën,

  • M. 
    Snel

Tweede Kamer, vergaderjaar 2019-2020, 32 761, nr. 156 2


 
 
 

2.

Meer informatie

 

3.

Parlementaire Monitor

Met de Parlementaire Monitor volgt u alle parlementaire dossiers die voor u van belang zijn, op de voet. De monitor signaleert de recent aan deze dossiers toegevoegde documenten en de vergaderingen waarin ze aan de orde komen. U ziet in één oogopslag van elk lopend wetsvoorstel de stand van zaken. Via e-mail-alerts en de nieuwsbrieffunctie zijn u en uw relaties altijd onmiddellijk op de hoogte.

Als u meer wilt weten over de Parlementaire Monitor, bekijk dan de uitgebreide beschrijving op www.pdc.nl of neem contact met ons op via info@parlementairemonitor.nl.