De Belastingdienst blijft bij de keuze om een Amerikaanse partij het btw-systeem te laten beheren. Dat schrijft staatssecretaris Eerenberg van Financiën in een brief aan de Tweede Kamer. Eerder hadden beveiligingsexperts en politici felle kritiek op het plan. "Dacht je dat de casus DigiD erg was. Het kan nog erger. De Belastingdienst gaat alles wat met de BTW te maken heeft aan de Amerikanen overlaten en als ik zeg alles, dan bedoel ik alles!", liet GroenLinks-PvdA-Kamerlid Barbara Kathmann eind februari weten.
De staatssecretaris zegt te begrijpen dat de keuze voor Fast Enterprises vragen oproept. Hij voegt toe dat de Belastingdienst op dit moment ook al afhankelijk is van Amerikaanse technologie in de infrastructuur. "Veel infrastructurele componenten zoals virtualisatiesoftware en de besturingssystemen van de servers zijn ook Amerikaanse producten", merkt de bewindsman op. Daarnaast scoorde Fast volgens Eerenberg het beste op zaken zoals gegevensbeheer, informatiebeveiliging, gebruiksvriendelijkheid en datamigratie.
Het is de bedoeling dat Fast het beheer gaat voeren op het totale systeem, zowel software als infrastructuur. De infrastructuur staat in Apeldoorn, maar wordt beheerd door Fast, door middel van een housing-oplossing geleverd door de Belastingdienst. "Er is hier geen sprake van opslag of verwerking van de gegevens van belastingplichtigen in een cloudomgeving", merkt de staatssecretaris op.
Eerenberg schrijft in zijn brief dat Fast een Amerikaanse partij is en daardoor onder Amerikaanse jurisdictie valt. De gegevens van Nederlandse belastingplichten komen daarmee binnen de reikwijdte van Amerikaanse wetgeving, zoals de CLOUD Act en de FISA Amendments Act. Met deze wetgeving kunnen opsporingsdiensten toegang krijgen tot gegevens of die verzamelen, laat de bewindsman weten.
De Belastingdienst is van plan verschillende maatregelen te nemen om de risico's te beperken. Zo wordt er een vier-ogenprincipe toegepast, waarbij Fast-medewerkers onder toezicht van medewerkers van de Belastingdienst zullen werken. Daarbij worden de fiscusmedewerkers opgeleid om het systeem te beheren. Verder wordt er geen beheer op afstand uitgevoerd en is de Belastingdienst in overleg met Fast om ervoor te zorgen dat er wordt gewerkt met medewerkers die niet onder Amerikaanse jurisdictie vallen.
De maatregelen moet er volgens de staatssecretaris voor zorgen dat de risico's tot een aanvaardbaar restrisico worden teruggebracht. "Daarbij merk ik op dat het gebruikmaken van een externe leverancier betekent dat risico’s nooit volledig kunnen worden weggenomen." Tevens wordt er onderzocht onder welke voorwaarden de Belastingdienst het beheer en onderhoud in eigen hand kan nemen.
"Trump kan dat bedrijf met een briefje bevelen het onderhoud te staken. En dan houdt het na een paar weken op met de btw-inning en moet Nederland dat geld ergens gaan lenen", zegt beveiligingsexpert Bert Hubert tegenover NRC. Hij vindt het positief dat er straks geen beheer op afstand wordt gedaan, maar waarschuwt dat in de praktijk daar de klad in kan komen, bijvoorbeeld als het te lang duur om een bepaalde specialist in te vliegen. Ook is hij kritisch over het genoemde vier-ogenprincipe. "Vier ogen is iets anders dan vier handen."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
