[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Datalek melding door de Bulgaarse belastingdienst (NRA)

Verwerking en bescherming persoonsgegevens

Brief regering

Nummer: 2019D52835, datum: 2019-12-18, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-32761-156).

Gerelateerde personen:

Onderdeel van kamerstukdossier 32761 -156 Verwerking en bescherming persoonsgegevens.

Onderdeel van zaak 2019Z25712:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2019-2020

32 761 Verwerking en bescherming persoonsgegevens

Nr. 156 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 december 2019

In juli 2019 werd door de Bulgaarse belastingdienst (NRA) gemeld, dat er een hack van haar bestanden had plaatsgevonden. In dezelfde tijd verschenen ook berichten in de media hierover. Er zou informatie van 5 miljoen belastingplichtigen gestolen zijn. Navraag leerde mij dat daarbij ook informatie zat die door en met Nederland is uitgewisseld onder de EU Richtlijn Administratieve Samenwerking (DAC) – het betreft dan informatie over bepaalde inkomsten- en vermogenscategorieën, (bank)rekeninggegevens (CRS) en landenrapporten – en onder de EU Verordening betreffende administratieve samenwerking en de bestrijding van fraude op het gebied van de belasting over de toegevoegde waarde (via Eurofisc netwerk). De op automatische wijze verstrekking van informatie aan Bulgarije werd stilgelegd en Bulgarije werd de toegang tot Eurofisc ontnomen.

Verzoek Bulgaarse belastingdienst

De NRA heeft geïnventariseerd welke informatie gelekt is en heeft de betrokken landen geïnformeerd.1 Nederland heeft bericht gehad van Bulgarije dat informatie van ongeveer 2400 belastingplichtigen2 onder de DAC gelekt was. Van de Bulgaarse autoriteiten is een verzoek ontvangen om de door de hack getroffenen in Nederland (voor wat betreft de informatie uitgewisseld onder de DAC3) te informeren. Dat is echter een verplichting die rust op de NRA, die is namelijk in het kader van de Algemene Verordening Gegevensbescherming (AVG) de verwerkingsverwoordelijke. Elke uitwisseling van inlichtingen is onderworpen aan de AVG en dat verplicht lidstaten zorg te dragen voor de veiligheid van persoonsgegevens. Dat betekent ook, zo stelt ze, dat de individuele belastingbetaler meteen geïnformeerd moet worden als er kans is op onrechtmatig gebruik van persoonsgegevens. De verplichting om dat te doen ligt bij de verwerkingsverantwoordelijke (data controller) die dat – indien sprake zou zijn van disproportionele inspanning – kan doen door een publicatie waardoor betrokkenen even effectief geïnformeerd worden.

De NRA heeft landen om hulp gevraagd om betrokkenen op een passende wijze te informeren. Hoewel op de Belastingdienst geen verplichting rust om de in Nederland wonende betrokkenen te informeren, heeft de Belastingdienst zich bereid getoond de NRA behulpzaam te zijn bij het informeren van betrokkenen in Nederland. Aangegeven is dat dan wel met een brief van de NRA zou moeten gebeuren. Pas op 18 november 2019 heeft Nederland de brief ontvangen die aan de betrokkenen gestuurd zou kunnen worden. Deze brief wordt tegelijk met deze brief aan uw Kamer aan de betrokkenen gestuurd.

Maatregelen Bulgaarse belastingdienst

De NRA meldt in haar brief dat persoonsgegevens gestolen zijn maar dat deze dikwijls niet compleet waren en bovendien niet in een leesbaar format geopenbaard zijn. Alleen met specifieke computerkennis zou de data te herleiden zijn tot een bepaalde belastingbetaler. Er zou dan ook geen direct gevaar zijn voor misbruik van de persoonsgegevens. Voor vragen kunnen betrokkenen terecht op een in de brief genoemde website. De NRA heeft ook aangegeven alle nodige maatregelen genomen te hebben om de veiligheid van de IT-systemen te verbeteren en de gevolgen van de breuk te matigen.

Dit zou kunnen betekenen dat de automatische informatieverstrekking aan Bulgarije hervat zou kunnen en dat Bulgarije weer toegang verleend zou kunnen worden tot Eurofisc. Echter, begin 2020 gaat een expertteam van het Global Forum een onderzoek doen naar de dataveiligheid in Bulgarije. Net als een groot aantal andere landen acht Nederland het verstandig om de resultaten van dat onderzoek af te wachten, eer weer informatie verstrekt wordt aan Bulgarije.

Ik vertrouw erop u hiermee voldoende te hebben geïnformeerd.

De Staatssecretaris van Financiën,
M. Snel


  1. Het blijkt dat alle landen onder de CRS-uitwisseling (= wereldwijd) betrokken zijn.↩︎

  2. Dit betreft informatie van Nederlanders met bijv. een bankrekening in Bulgarije.↩︎

  3. Onder DAC1 wordt bijv. uitgewisseld: arbeidsinkomen, pensioenen, eigendom van en inkomsten uit onroerende zaken. Onder DAC2 (CRS) wordt bijv. bankrekeninginformatie uitgewisseld.↩︎