Staatssecretaris moet opnieuw besluiten over openbaren broncode Belastingdienst
Demissionair staatssecretaris Van Oostenbruggen van Financiën moet opnieuw een besluit nemen over het openbaar maken van broncode van de Belastingdienst. Dat heeft de rechtbank Gelderland geoordeeld. Begin 2023 deed een burger op grond van de Wet open overheid (Woo) het verzoek om de broncode van het BTW-systeem van de Belastingdienst openbaar te maken. Via de Woo kan iedereen informatie bij de overheid opvragen. Er zijn echter verschillende uitzonderingsgronden waarop kan worden besloten bepaalde informatie niet openbaar te maken (pdf).
De staatssecretaris weigerde de broncode openbaar te maken. In zijn besluit stelde hij dat openbaarmaking de veiligheid van de Staat in gevaar brengt. Verder vond de bewindsman dat het belang van het openbaar maken niet opweegt tegen het financiële en/of economische belang van de Belastingdienst, het belang van inspectie, controle en toezicht door de fiscus en het belang van het goed functioneren van de Belastingdienst. Daarnaast stelde de staatssecretaris dat het nooit de bedoeling is geweest de broncode van het BTW/OB (omzetbelasting)-programma open source te maken.
Verder liet de staatssecretaris weten dat het een dermate oud programma is dat onderliggende gegevens niet meer beschikbaar zijn. De broncode zou ook informatie bevatten over de manier waarop de Belastingdienst toezicht houdt, handhaaft en opspoort. Het openbaar maken van deze informatie zou deze zaken in gevaar brengen, aldus de staatssecretaris. Die liet tijdens de zitting weten dat hij de uitzonderingsgrond dat openbaarmaking de veiligheid van de Staat in gevaar brengt niet langer handhaaft.
Hardcoded toegangscontroles
De bewindsman verklaarde verder tijdens de zitting dat bij software die is geschreven in oudere programmeertalen servernamen, databasenamen, tabelnamen en de attributen van die tabellen met en naam en toenaam in de software worden genoemd. Ook zijn de 'toegangscontroles' hardcoded opgenomen in de broncode. Hierdoor zou het volgens Van Oostenbruggen voor een kwaadwillende relatief eenvoudig zijn om specifieke malware te ontwikkelen om het BTW/OB-systeem van de Belastingdienst gericht aan te vallen. Hij voegde toe dat andere systemen bij de fiscus op dezelfde manier zijn ingericht waardoor er ook een dreiging is voor een aanval op die systemen.
Uitzonderingsgronden
Volgens de burger die het verzoek deed is het standpunt dat het openbaren van de broncode de inspectie, toezicht en controle door de Belastingdienst in gevaar brengt, geen goede reden om het openbaar maken van informatie in zijn geheel te weigeren. De burger stelde ook dat het niet leveren van enige inhoudelijke informatie en geen enkel document of een deel daarvan meer een kwestie van onwil lijkt dan een correcte afweging binnen de wetgeving.De rechter stelt dat de staatssecretaris in zijn genomen besluit niet duidelijk maakt waarom de door hem genoemde uitzonderingsgronden voor alle gevraagde informatie gelden. Zo laat de bewindsman niet weten welke uitzonderingsgrond op welk deel van de verzochte informatie van toepassing is. Daarnaast verklaarde de bewindsman tijdens de zitting dat een deel van de opgevraagde informatie wel openbaar kan worden gemaakt.
De rechter kan zich wel vinden in de verklaring van Van Oostenbruggen dat er een belang is de broncode of een deel daarvan niet openbaar te maken. "De staatssecretaris moet dan echter wel inzichtelijk maken welke uitzonderingsgrond op welk deel van de BTW/OB-broncode van toepassing is. Alleen dan kan in rechte worden beoordeeld of (en op welke onderdelen) de uitzonderingsgronden van toepassing zijn en of deze op een juiste wijze zijn toegepast", zo laat het vonnis weten. De rechtbank oordeelt dat de staatssecretaris nu binnen twaalf weken een nieuw besluit moet nemen over het openbaar maken van de gevraagde informatie.
Volgens mij zijn er geen regels wanneer het document aangeleverd moet worden na de initiële aanvraag? Maar heel eerlijk waarom zal je dit doen? Wat is de meerwaarde ervan? De aanvragen zal vast wel security.nl lezen dus hopelijk kan daar iets meer achtergrond gegeven worden?
Volgens mij zijn er geen regels wanneer het document aangeleverd moet worden na de initiële aanvraag? Maar heel eerlijk waarom zal je dit doen? Wat is de meerwaarde ervan? De aanvragen zal vast wel security.nl lezen dus hopelijk kan daar iets meer achtergrond gegeven worden?
Informeer je:
1 Het bestuursorgaan beslist op het verzoek om informatie zo spoedig mogelijk, doch uiterlijk binnen vier weken gerekend vanaf de dag na die waarop het verzoek is ontvangen.
2 Het bestuursorgaan kan de beslissing voor ten hoogste twee weken verdagen, indien de omvang of de gecompliceerdheid van de informatie een verlenging rechtvaardigt. Van de verdaging wordt voor de afloop van de eerste termijn schriftelijk gemotiveerd mededeling gedaan aan de verzoeker.
...
5 Indien het bestuursorgaan heeft besloten informatie te verstrekken, wordt de informatie verstrekt tegelijk met de bekendmaking van het besluit, tenzij naar verwachting een belanghebbende bezwaar daartegen heeft, in welk geval de informatie wordt verstrekt twee weken nadat de beslissing is bekendgemaakt.
Verder heeft een burger nooit te maken met BTW aangiftes. Het zijn bedrijven die te maken krijgen met deze software. Maar ook die kunnen de BTW gewoon narekenen. De enige reden die ik kan bedenken waarom iemand inzicht in de code wil hebben is het plegen van fraude.
Zoals de tekst ook al aangeeft, bepaalt de code ook de criteria waarop de belastingdienst besluit om tot een fysieke controle van de aangifte over te gaan. Als je die criteria kent, weet je precies hoe je kunt frauderen zonder dat je controles krijgt.
McKinsey heeft er een ontluisterend verhaal over geschreven.
https://www.consultancy.nl/nieuws/53562/mckinsey-it-systeem-belastingdienst-voor-innen-btw-piept-en-kraakt
Verder heeft een burger nooit te maken met BTW aangiftes. Het zijn bedrijven die te maken krijgen met deze software. Maar ook die kunnen de BTW gewoon narekenen. De enige reden die ik kan bedenken waarom iemand inzicht in de code wil hebben is het plegen van fraude.
Zoals de tekst ook al aangeeft, bepaalt de code ook de criteria waarop de belastingdienst besluit om tot een fysieke controle van de aangifte over te gaan. Als je die criteria kent, weet je precies hoe je kunt frauderen zonder dat je controles krijgt.
Zoiets dacht ik dus ook. Het kan een persoonlijke interesse zijn, maar dan ga je je op een hellend vlak begeven. Wat is het belang om broncode in te zien? Als je denkt dat er fouten in de berekening zitten, lever je een tegenberekening aan en ga je dat traject in. Je gaat geen tienduizenden regels doorspitten, waarvan een deel sowieso niet zal worden aangeleverd, waardoor je nog niet weet hoe de software werkt. Wat is daar dan het doel van?
Dit lijkt meer op "wat is het aantal steentjes in straat XYZ?", om dan een claim in te dienen als niet tijdig genoeg wordt gereageerd op de aanvraag. Op deze manier houden we de overheid wel lekker bezig.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?