image

Datalek Bulgaarse belastingdienst bevatte Nederlandse informatie

donderdag 19 december 2019, 11:06 door Redactie, 8 reacties

Een datalek bij de Bulgaarse belastingdienst (NRA) in juli van dit jaar bevatte ook informatie die door en met Nederland is uitgewisseld, zo meldt de inmiddels opgestapte staatssecretaris Snel van Financiën aan de Tweede Kamer. Bij de Bulgaarse belastingdienst zou informatie van 5 miljoen belastingplichtigen zijn gestolen. "Navraag leerde mij dat daarbij ook informatie zat die door en met Nederland is uitgewisseld", schrijft Snel.

Het gaat onder andere om informatie over bepaalde inkomsten- en vermogenscategorieën, (bank)rekeninggegevens (CRS) en landenrapporten die onder de EU Richtlijn Administratieve Samenwerking (DAC) zijn uitgewisseld. De NRA heeft Nederland laten weten dat het om 2400 belastingplichtigen in ons land gaat die slachtoffer van het datalek zijn geworden. Tevens heeft de Bulgaarse overheid Nederland gevraagd om alle gedupeerden hier te informeren.

"Dat is echter een verplichting die rust op de NRA, die is namelijk in het kader van de Algemene Verordening Gegevensbescherming (AVG) de verwerkingsverwoordelijke. Elke uitwisseling van inlichtingen is onderworpen aan de AVG en dat verplicht lidstaten zorg te dragen voor de veiligheid van persoonsgegevens. Dat betekent ook, zo stelt ze, dat de individuele belastingbetaler meteen geïnformeerd moet worden als er kans is op onrechtmatig gebruik van persoonsgegevens", stelt Snel.

Hoewel de Nederlandse Belastingdienst niet verplicht is om de in Nederland wonende betrokkenen te informeren heeft de fiscus wel haar hulp aangeboden. Daarbij werd gevraagd om een brief van de NRA die de Belastingdienst vervolgens onder betrokkenen zou verspreiden. Deze brief werd pas op 18 november ontvangen en is gisteren naar de gedupeerden gestuurd, laat Snel weten.

De voormalige staatssecretaris voegt toe dat de gestolen persoonsgegevens volgens de NRA niet compleet waren en bovendien niet in een leesbaar format geopenbaard zijn. "Alleen met specifieke computerkennis zou de data te herleiden zijn tot een bepaalde belastingbetaler. Er zou dan ook geen direct gevaar zijn voor misbruik van de persoonsgegevens", gaat Snel verder. Vanwege het datalek is de automatische informatieverstrekking aan Bulgarije stopgezet. Begin volgend jaar wordt onderzocht of die weer kan worden hervat.

Reacties (8)
19-12-2019, 11:10 door karma4
Wie heeft zijn vermogen in Bulgarije gestald?
Deze kan een brief van de belastingdienst verwachten.
Beetje vervelend is in de opgave naar de belastingdienst die vermogenscomponenten ontbreken.
19-12-2019, 14:13 door Anoniem
Een interessante testcase. Er zijn een paar meer obscure artikelen in de AVG waarbij een zekere mate van aansprakelijkheid is indien een verwerkingsverantwoordelijke betrokken is bij de verwerking en niet kan bewijzen op geen enkele wijze verantwoordelijkheid te zijn. De verwerkingsverantwoordelijke mag dan wel eventuele schade op de andere verwerkingsverantwoordelijke(n) verhalen (min of meer zoals bij verzekeringen gebruikelijk is). Het doel is dat een betrokkene die schade ondervindt niet van het kastje naar de muur wordt gestuurd. Dit zou een interessante testcase kunnen worden hoe de betrokken toezichthouders en rechters over die aansprakelijkheid denken.

Overigens spreekt de heer Snel op de drempel van de buitendeur nog even Haagsch dubbel. Er moet toch enige twijfel zijn over de kans op misbruik van de gegevens, want ze geven zelf toe dat ze conform artikel 34 verplicht zijn de betrokkenen te informeren. Dat hoeft echter alleen indien de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Je kan het niet alletwee hebben...
19-12-2019, 14:46 door Anoniem
Lekkere timing dat'ie dat nu even vertelt. Want hij is toch al opgestapt. Man man man.
19-12-2019, 15:45 door Anoniem
Door Anoniem: Lekkere timing dat'ie dat nu even vertelt. Want hij is toch al opgestapt. Man man man.

Blaat, blaat, blaat. De brief is van gisteren. Ondertekend als staatssecretaris, dus voor zijn aftreden. Wellicht zelfs voor besluit om af te treden. Anders had hij de brief niet hoeven beantwoorden.
19-12-2019, 17:22 door karma4
Door Anoniem: ....De verwerkingsverantwoordelijke mag dan wel eventuele schade op de andere verwerkingsverantwoordelijke(n) verhalen (min of meer zoals bij verzekeringen gebruikelijk is). Het doel is dat een betrokkene die schade ondervindt niet van het kastje naar de muur wordt gestuurd. Dit zou een interessante testcase kunnen worden hoe de betrokken toezichthouders en rechters over die aansprakelijkheid denken.
....
Hij wordt inderdaad interessant bij onverklaarbaar vermogen van een bn-er dan inkomsten die hier in nl onbekend zijn en waarvoor toeslagen zijn uitgekeerd.
De schade die crimineel oplichter fraude etc. ondervind is lastig te verhalen. De Panama papers geven een richting.
19-12-2019, 23:35 door Anoniem
Dit hoeven niet mensen te zijn die illegaal geld gestald hebben in Bulgarije maar ook mensen die een vakantie huis of bedrijfspand en dus bankrekening aldaar hebben.
20-12-2019, 14:06 door Anoniem
Door karma4: Wie heeft zijn vermogen in Bulgarije gestald?
Deze kan een brief van de belastingdienst verwachten.
Beetje vervelend is in de opgave naar de belastingdienst die vermogenscomponenten ontbreken.

Het lek bevat gegevens die al met Nederland zijn uitgewisseld. De belastingdienst heeft die informatie dus al lang.

Peter
20-12-2019, 22:33 door Anoniem
"Dat is echter een verplichting die rust op de NRA, die is namelijk in het kader van de Algemene Verordening Gegevensbescherming (AVG) de verwerkingsverwoordelijke. Elke uitwisseling van inlichtingen is onderworpen aan de AVG en dat verplicht lidstaten zorg te dragen voor de veiligheid van persoonsgegevens. Dat betekent ook, zo stelt ze, dat de individuele belastingbetaler meteen geïnformeerd moet worden als er kans is op onrechtmatig gebruik van persoonsgegevens", stelt Snel.
Dat "meteen" is zo "meteen" nog niet als het over één-tweetjes tussen belastingdiensten van verschillende landen gaat, zo blijkt:
Een datalek bij de Bulgaarse belastingdienst (NRA) in juli van dit jaar [...]
Daarbij werd gevraagd om een brief van de NRA die de Belastingdienst vervolgens onder betrokkenen zou verspreiden. Deze brief werd pas op 18 november ontvangen en is gisteren naar de gedupeerden gestuurd, laat Snel weten.
Een mooi gevonden truuk om tijd te winnen. Wie zei er dat amptenare niet innoveerden? Nou dan.

Hoewel de Nederlandse Belastingdienst niet verplicht is om de in Nederland wonende betrokkenen te informeren heeft de fiscus wel haar hulp aangeboden.
Nou dat is maar zeer de vraag. Ten eerste hebben de Bulgaren gevraagd of de Nederlandse belastingprutsers hier wat mee wilden doen. Ten tweede zijn het de Nederlandse belastingprutsers geweest die de data "uitgewisseld" cq. weggegeven hebben.

En onder de AVG bestaat ook zoiets als inzagerecht. Hoe moeten de betroffenen nu weer weten dat de Nederlanders hun data aan de Bulgaren weggegeven hebben? Oftewel hoe moeten ze weten aan wie te vragen? Moeten we nu echt daar een aparte verplichting op zetten, zodat organisaties dit niet als handige maas in de wet misbruiken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.