image

Fiscus onderzocht wegens BSN in btw-nummers zzp'ers

dinsdag 13 juni 2017, 12:35 door Redactie, 18 reacties

De Autoriteit Persoonsgegevens (AP) is een onderzoek gestart of de Belastingdienst een wettelijke grondslag heeft voor het verwerken van het burgerservicenummer (BSN) in btw-identificatienummers van zzp'ers. Zelfstandigen hebben de toezichthouder verzocht om zich hier over uit te spreken.

Het BSN is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels. Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee, bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude, aldus de AP.

Het BSN van zzp'ers is integraal opgenomen in hun btw-identificatienummer. Zzp'ers hebben de verplichting om hun btw-nummer aan (potentiële) klanten bekend te maken, bijvoorbeeld op hun website en op facturen. Vorig jaar werden er nog Kamervragen (pdf) gesteld over het risico op identiteitsfraude en privacyschending voor zelfstandigen doordat zij verplicht zijn hun btw-nummer openbaar te maken.

Reacties (18)
13-06-2017, 12:45 door Anoniem
Lekker op tijd....
13-06-2017, 13:13 door [Account Verwijderd] - Bijgewerkt: 13-06-2017, 13:51
[Verwijderd]
13-06-2017, 13:23 door karma4 - Bijgewerkt: 13-06-2017, 13:38
De AP zou zich beter druk kunnen maken over een gedegen controle of de persoon en bsn bij elkaar horen. Dat is ook een wettelijke verplichting en deze faalt zodat identiteitsfraude lastig te herkennen is. Wat dat betreft doen de Belgen het beter.

Het is toch te zot voor woorden dat het noemen van een bsn als bewijs van de persoon gezien wordt. Dan kunnen we alle wachtwoorden ook wel afschaffen het noemen van je account is wel voldoende.
Het verhaal van kevin goes (de kamervragen) is een duidelijk voorbeeld van falende Id controle een negroïde man die zich met een nagemaakt kaartje als blanke nl journalist kan voordoen. Niemand die de vervalsing ziet en een incassobureau dat maar dood blijft gaan zonder schadevergoeding voor een foute zaak.

Kleine toevoeging kvk gegevens zij ook openbaar. Bestuurders van bedrijven zijn bij fraude mogelijk hoofdelijk aansprakelijk
13-06-2017, 14:10 door Anoniem
Door karma4: De AP zou zich beter druk kunnen maken over een gedegen controle of de persoon en bsn bij elkaar horen. Dat is ook een wettelijke verplichting en deze faalt zodat identiteitsfraude lastig te herkennen is.
Dat is inderdaad een veel groter en kwalijker probleem.

Desalniettemin moeten de huidige wettelijke regels m.b.t. de omgang met het BSN als privacy-gevoelige gegeven eveneens getoetst worden. Het privacy-risico door het koppelen van andere gegevens via een BSN (als enige echt unieke persoongegeven) is onafhankelijk van de mogelijkheid tot identiteitsfraude door slechte authenticatiecontroles.
13-06-2017, 15:01 door karma4 - Bijgewerkt: 13-06-2017, 15:03
Door Anoniem:
Desalniettemin moeten de huidige wettelijke regels m.b.t. de omgang met het BSN als privacy-gevoelige gegeven eveneens getoetst worden. Het privacy-risico door het koppelen van andere gegevens via een BSN (als enige echt unieke persoongegeven) is onafhankelijk van de mogelijkheid tot identiteitsfraude door slechte authenticatiecontroles.

Klinkt leuk echter de zorg is ook al verplicht de bsn ge gebruiken net als financials Ende studies via een leerlingvolgsysteem. Van al die zaken wordt het nodige uitbesteed. Bsn dan nog bijzonder noemen omdat het zo makkelijk koppel is, sorry het zwerft overal rond.

Terugdraaien gaat niet lukken en zal ook niet helpen. Met big data genoeg opties om toch te gaan koppelen al heeft dat wat onbetrouwbaarheid.

Met carrouselfraude en andere oplichringszajen is het vrij interessant om te weten wie de spelers zijn. De klacht met herhalen fraude Hollandse wind etc is op dat gegeven gebaseerd.
13-06-2017, 16:43 door Anoniem
Zouden ze http://www.keteninformatisering.nl/artikelennederlands.php nou echt niet hebben gelezen bij de [vul naam in van iets dat BSN gebruikt]?
13-06-2017, 16:58 door Anoniem
Door karma4: Klinkt leuk echter de zorg is ook al verplicht de bsn ge gebruiken...

Maar niet verplicht om het noemen van een BSN als voldoende authenticatiemiddel te beschouwen!

Helaas kun je bij heel veel zorgverleners met de combinatie van naam, adres, geboortedatum en BSN zeer gevoelige informatie over 'jezelf' opvragen. De verplichting om je BSN - of een code waaruit het BSN kan worden afgeleid - te publiceren is onder deze omstandigheden pervers.

Als er daarentegen een BTW-nummer wordt toegewezen dat verder nergens voor gebruikt wordt, en waaruit verder ook niets afgeleid kan worden - enigszins vergelijkbaar met een KvK-nummer - dan kan het publiceren ervan verder ook weinig kwaad.
13-06-2017, 17:16 door Anoniem
Wat een ophef (KvK weer vergeten)

De KvK publiceert al jaren inbraaklijsten voor criminelen van startende zzp-ers
Alle persoonsgegevens op een presenteerblaadje, miljoenen keren gekopieerd en verder verspreid op het internet.

Het zou een interessante statistiek zijn, hoe snel wordt er bij startende zzp-ers en andere kleine ondernemingen ingebroken na publicatie door de KvK?
Mijn sterke vermoeden is in de eerste twee weken, net voordat je alles op orde hebt en ook je extra anti inbraak maatregelen op orde hebt.

Zzp-ers hebben geen recht op privacy (en veiligheid) dankzij het jarenlange blinde publiceren van gegevens door de KvK, dat btw-nummerprobleem hobbelt daar pas ruim later achteraan.

Laat AP het gedrag van de KvK eens aanpakken met terugwerkende kracht.
13-06-2017, 17:23 door karma4 - Bijgewerkt: 13-06-2017, 17:24
Door Anoniem:
Maar niet verplicht om het noemen van een BSN als voldoende authenticatiemiddel te beschouwen!

Helaas kun je bij heel veel zorgverleners met de combinatie van naam, adres, geboortedatum en BSN zeer gevoelige informatie over 'jezelf' opvragen. De verplichting om je BSN - of een code waaruit het BSN kan worden afgeleid - te publiceren is onder deze omstandigheden pervers.

Als er daarentegen een BTW-nummer wordt toegewezen dat verder nergens voor gebruikt wordt, en waaruit verder ook niets afgeleid kan worden - enigszins vergelijkbaar met een KvK-nummer - dan kan het publiceren ervan verder ook weinig kwaad.
Je geeft net de pijn aan: het noemen van bsn naam wordt als voldoende beschouwd. De administratie kan er mee verder.
Dat het een verkeerde persoon bij die gegevens is. ach niet erg toch de echte persoon draait er wel voor op.
Het is een verplichting een deugdelijke controle te doen of dd persoon en die gegevens bij elkaar horen. Laat de bewijslast en de schade ne eens liggen waar hij hoort namelijk bij de falende controle. Dan is identiteitsdiefstal snel over.

Btw nummers worden wel degelijk overal gebruikt ik noemde al carrouselfraude.
13-06-2017, 19:25 door Anoniem
En wanneer krijgen ZZP'ers een nieuw BSN nummer?
Of gaan ze er bij de fiscus (en de overheid) vanuit dat een nieuw BTW nummer voldoende is?
13-06-2017, 20:07 door Anoniem
Door Anoniem: En wanneer krijgen ZZP'ers een nieuw BSN nummer?
Of gaan ze er bij de fiscus (en de overheid) vanuit dat een nieuw BTW nummer voldoende is?
Dat laatste uiteraard. Want dat is het minste werk!
13-06-2017, 20:54 door karma4
Door Anoniem:
Door Anoniem: En wanneer krijgen ZZP'ers een nieuw BSN nummer?
Of gaan ze er bij de fiscus (en de overheid) vanuit dat een nieuw BTW nummer voldoende is?
Dat laatste uiteraard. Want dat is het minste werk!
De bedoeling g van een bsn is dat het altijd de persoon wwergeeft. Jij veranderd niet dus een ander bsn is uit den boze.
Je mag je proberen te verbergen achter een niet natuurlijk persoon bv nv maar dan is er het openbare register van de bestuurders. Frauduleuze oplichters herkennen lijken me een adequaat iets.
14-06-2017, 09:02 door Anoniem
Door Neb Poorten: Een reeds oude discussie (maar zeker nog steeds relevant).

BTW-nummer moet wel op website, ook voor de ZZP'er

Update 30 mei 2016: Het duurde bijna drie jaar, maar de belastingdienst heeft nu eindelijk de onvolledige informatie over dit onderwerp van haar website verwijderd, en ze verwijst nu door naar de ACM. Die toezichthouder schrijft volledig terecht over het BTW-nummer het volgende: “Heeft u geen webwinkel maar een onderneming die wel een eigen website heeft of andere diensten verleent via internet? Ook dan moet u deze informatie geven. Dit moet ook als u zich niet op consumenten richt.”

https://ictrecht.nl/2013/11/08/btw-nummer-moet-wel-website-zzp-er/
Die informatie heb ik dan destijds gemist. Ik heb op mijn website wel mijn KvK-nummer maar nooit mijn BTW-nummer vermeld. Op offertes en facturen stond het natuurlijk wel. Inmiddels heb ik geen eigen onderneming meer en hoef ik er dus niet meer aan te geloven.

Ik vind de opvatting van ACM overigens vreemd. Het gaat erom dat je partijen met wie je zaken doet volledige informatie geeft, zodat ook uit hun administratie te achterhalen is met wie ze zaken hebben gedaan. Dat is een behoefte van de belastingdienst (en bonafide bedrijven die door de belanstingdienst geccontroleerd worden hebben er zelf natuurlijk ook baat bij dat ze dan transparant kunnen zijn), maar die behoefte is gedekt met vermelding op facturen en andere zakelijke correspondentie. Als de gegevens op een website moeten staan dan zou je ook moeten gaan eisen dat het op elke bedrijfsauto die een herkenbaar logo bevat moet staan en in elke advertentie genoemd moet worden. Als die website zelf een integraal onderdeel van de transactie wordt lijkt het me terecht, in een besloten deel van de website, maar voor (het deel van) een website die alleen als uithangbord fungeert vind ik het een misplaatste eis.

Ik vraag me af of een KvK-nummer en een BTW-nummer, ook als dat niet het BSN bevat, niet hoe dan ook een persoonsgegeven zijn bij eenmanszaken, dan is er per definitie een een-op-een-relatie met een persoon. Daar zit je dan met een conflict tussen twee legitieme belangen waar niet zo eenvoudig een ideale oplossing voor te maken is. Dat neemt niet weg dat het BSN bovengemiddeld gevoelig voor misbruik is en de overheid zelf de bevolking adviseert om het niet aan iedereen bekend te maken.

En net als karma4 (met wie ik het vaak genoeg hartgrondig oneens ben ;-) ) vind ik het bizar dat het kennelijk een geaccepteerde praktijk is om eenvoudig te kopiëren/vervalsen gegevens als bewijs van iemands identiteit te beschouwen. Bij identiteitsfraude zou in mijn ogen degene die incassobureau's en erger begint in te schakelen moeten bewijzen dat ze iemands identiteit voldoende gecontroleerd hebben en niet alleen maar zijn afgegaan op makkelijk vervalsbare zaken als een reeksje cijfefrs of een JPG'tje van een identiteitskaart. Levert dat teveel rompslomp op? Prima, maar draag dan zelf het risico van het overslaan van die stap en leg dat niet neer bij mensen met wie je mogelijk niet eens zaken hebt gedaan.
14-06-2017, 09:05 door Whacko
Door karma4:
Door Anoniem:
Desalniettemin moeten de huidige wettelijke regels m.b.t. de omgang met het BSN als privacy-gevoelige gegeven eveneens getoetst worden. Het privacy-risico door het koppelen van andere gegevens via een BSN (als enige echt unieke persoongegeven) is onafhankelijk van de mogelijkheid tot identiteitsfraude door slechte authenticatiecontroles.

Klinkt leuk echter de zorg is ook al verplicht de bsn ge gebruiken net als financials Ende studies via een leerlingvolgsysteem. Van al die zaken wordt het nodige uitbesteed. Bsn dan nog bijzonder noemen omdat het zo makkelijk koppel is, sorry het zwerft overal rond.
Instellingen die persoonsgegevens verwerken hebben een zorgplicht over die gegevens. En moeten zorgen of dat veilig is en niet toegankelijk voor onbevoegden.
je BTW nummer MOET je zichtbaar op je website zetten en is dus voor iedereen toegankelijk. Dit zijn twee verschillende dingen.
14-06-2017, 12:36 door karma4
Door Whacko:
Instellingen die persoonsgegevens verwerken hebben een zorgplicht over die gegevens. En moeten zorgen of dat veilig is en niet toegankelijk voor onbevoegden.
je BTW nummer MOET je zichtbaar op je website zetten en is dus voor iedereen toegankelijk. Dit zijn twee verschillende dingen.
Klopt Whacko, mijn insteek is echter dat de controle bsn met de persoon met de bewering over de bsn moet kloppen. Die controle faalt of wordt achterwege gelaten omdat de administratie verder kan. Stel dat die controle we deugdelijk zou zijn dan zou identiteitsfraude een stuk laster zijn.
Nu wordt de bewijslast naar het slachtoffer geschoven waar het in ieder geval niet thuishoort. Bzk heeft wel de wettelijke vepichting voor Id bewijzen maar doet niets dan wel te weinig met de vereiste controle.

Nu lopen we er achter aan dat het bsn geheim moet zijn terwijl dat niet te realiseren valt. Wat niet mogelijk is daar moet je niet aan willen vasthouden.
Stel nu dat de bsn degelijk gecontroleerd wordt en dat je overal daarmee je zaken moet regelen. In scandanavische landen hebben ze de geheimhouding van een bsn niet zo.
14-06-2017, 13:04 door karma4
Door Anoniem: ....
Ik vind de opvatting van ACM overigens vreemd. Het gaat erom dat je partijen met wie je zaken doet volledige informatie geeft, zodat ook uit hun administratie te achterhalen is met wie ze zaken hebben gedaan. Dat is een behoefte van de belastingdienst (en bonafide bedrijven die door de belanstingdienst geccontroleerd worden hebben er zelf natuurlijk ook baat bij dat ze dan transparant kunnen zijn), maar die behoefte is gedekt met vermelding op facturen en andere zakelijke correspondentie.
.....
Ik vraag me af of een KvK-nummer en een BTW-nummer, ook als dat niet het BSN bevat, niet hoe dan ook een persoonsgegeven zijn bij eenmanszaken, dan is er per definitie een een-op-een-relatie met een persoon.
..
Daar zit je dan met een conflict tussen twee legitieme belangen waar niet zo eenvoudig een ideale oplossing voor te maken is.
..
En net als karma4 (met wie ik het vaak genoeg hartgrondig oneens ben ;-) ) vind ik het bizar dat het kennelijk een geaccepteerde praktijk .....
Zijn we het met het misbruik van het bsn eens. Nu nog meer medestanders.
Je mag het met andere zaken best oneens zijn. Dat is mogelijk leuk om face face uit te werken. Ik heb mijn achtergronden en ervaringen en dat zal voor een ander moeilijk in te leven zijn.

Btw nummer is iets met een eigen historie. Het is iets van vele tientallen jaren. Het zal de erfenis daarvan meedragen.
Het bsn is voortgekomen uit het sofi ofwel sociaal fiscaal nummer. Het sofi-nummet was een belastingdienst gebeuren.
Met de gba is dat verhuisd naar gemeentes als bsn. De opvolging daarvan is het brp. Voor bedrijven als rsin onder de kvk. Een rsin en kvk nummer horen bij elkaar.
Als eenpersoonszaken zijn het vanzelf allemaal persoonsgegevens via de verplicht openbare bestuurdersregistratie.
Je kunt je voorstellen dat met bedrijfsrisico waarderingen dat een rol heeft. Een aaa of c waardering maakt nogal wat uit.

Rsin en bsn worden beide gebruikt als basis voor het btw nummer. Een nieuwe optie is het lei nummer ofwel een Europees btw nummer. Dat ding kost wel geld.
15-06-2017, 17:38 door Jodelie
De fiscus heeft natuurlijk dikke schijt aan de AP. De fiscus overtreedt ook regels en wetten want boetes worden uiteindelijk betaalt door de klanten van de fiscus.

Het BSN is een zeer delicaat en gevoelig nummer, en toch wordt het nog steeds op dezelfde kwaadaardige manier bekend gemaakt en bestaat er een levensgroot gevaar op misbruik.

Schandalig!
17-06-2017, 19:56 door Anoniem
Door karma4:
Door Whacko:
Instellingen die persoonsgegevens verwerken hebben een zorgplicht over die gegevens. En moeten zorgen of dat veilig is en niet toegankelijk voor onbevoegden.
je BTW nummer MOET je zichtbaar op je website zetten en is dus voor iedereen toegankelijk. Dit zijn twee verschillende dingen.
Klopt Whacko, mijn insteek is echter dat de controle bsn met de persoon met de bewering over de bsn moet kloppen. Die controle faalt of wordt achterwege gelaten omdat de administratie verder kan. Stel dat die controle we deugdelijk zou zijn dan zou identiteitsfraude een stuk laster zijn.
Nu wordt de bewijslast naar het slachtoffer geschoven waar het in ieder geval niet thuishoort. Bzk heeft wel de wettelijke vepichting voor Id bewijzen maar doet niets dan wel te weinig met de vereiste controle.

Nu lopen we er achter aan dat het bsn geheim moet zijn terwijl dat niet te realiseren valt. Wat niet mogelijk is daar moet je niet aan willen vasthouden.
Stel nu dat de bsn degelijk gecontroleerd wordt en dat je overal daarmee je zaken moet regelen. In scandanavische landen hebben ze de geheimhouding van een bsn niet zo.

juist! waarom kun je nu niet altijd zo duidelijk posten dan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.