Digitale gegevensverzameling en -uitwisseling neemt ook bij de Nederlandse overheid een grote vlucht. In het kader van de internationale fiscale samenwerking is een wet in aantocht die de de internationale uitwisseling van persoonsgegevens mogelijk zal maken. Op dit moment wordt een wetsvoorstel over de ‘Common Reporting Standard‘ (CRS) in het parlement behandeld. In het kader van deze internationale regelgeving zullen grote hoeveelheden persoonsgegevens worden uitgewisseld.
Gegevensbescherming speelt bij een dergelijke verzameling en uitwisseling een grote rol, niet alleen gegevensbescherming en een veilige en hoogwaardige technische infrastructuur binnen de Nederlandse overheid.
De grote vraag is hoe veilig en hoogwaardig die buitenlandse infrastructuren zijn. In de memorie van antwoord van 4 december 2015 aan de eerste kamer, die onder meer over dit voorstel gaat, wordt het internationale kader geschetst:
De leden van de fractie van D66 vragen in het kader van het wetsvoorstel Wet uitvoering Common Reporting Standard welke regelingen er zijn, hoe die zich tot elkaar verhouden en hoe de rechtsbescherming van burgers hierin is gewaarborgd. Ook de leden van de fractie van de PvdA hebben gevraagd hoe het wetsvoorstel aansluit op de rechtsbescherming van de burger. De Common Reporting Standard (CRS) is een internationale standaard voor de automatische uitwisseling van financiële rekeninggegevens tussen landen via de betreffende belastingdiensten. Het gaat daarbij om gegevens over personen die in een ander land fiscaal woonachtig zijn dan het land waar zij een financiële rekening aanhouden. De basis voor de automatische uitwisseling van deze zogenoemde CRS-gegevens ligt in het Verdrag inzake wederzijdse administratieve bijstand in belastingzaken (WABB-verdrag) en in belastingverdragen tussen landen indien die voorzien in automatische informatie-uitwisseling. Op basis van de betreffende bepalingen in het WABB-verdrag en in de belastingverdragen kunnen en moeten evenwel nadere afspraken worden gemaakt over de uit te wisselen gegevens. Dit is door Nederland gebeurd door ondertekening van de «Multilateral Competent Authority Agreement on automatic exchange of financial account information» (MCAA). De MCAA is opgesteld volgens de door de OESO opgestelde modelovereenkomst die onderdeel uitmaakt van de door de OESO ontwikkelde mondiale standaard voor automatische gegevensuitwisseling. In deze multilaterale overeenkomst zijn bepalingen opgenomen over bijvoorbeeld de aard van de inlichtingen die worden uitgewisseld, over de wijze en het tijdstip waarop de inlichtingen worden uitgewisseld en over geheimhouding en privacywaarborgen.
Landen die mee doen aan het systeem worden getoetst, aldus de memorie:
Voordat daadwerkelijk tot uitwisseling wordt overgegaan tussen twee landen, moet echter nog aan een aantal voorwaarden zijn voldaan. Zo moet de nationale wetgeving op orde zijn, moeten landen een adequaat gegevensbeschermingsniveau hebben, moeten landen aangeven welk transmissiekanaal ze voor de gegevensuitwisseling gaan gebruiken en moeten landen elkaar hebben aangewezen als land om mee te gaan uitwisselen.
Om de gegevensverstrekking door Nederland aan het buitenland mogelijk te maken, voorziet het wetsvoorstel in een verplichting voor Nederlandse financiële instellingen om bedoelde gegevens aan de Belastingdienst te verstrekken. Op de gegevensstromen die met dit wetsvoorstel samenhangen en de hiermee gepaard gaande verwerking van persoonsgegevens zijn de bepalingen in de Wet bescherming persoonsgegevens (Wbp) van toepassing. De Wbp bevat voorwaarden voor de verwerking van persoonsgegevens en waarborgen voor degene wiens persoonsgegevens worden verwerkt. Dit houdt bijvoorbeeld in dat een persoon bij de Belastingdienst recht heeft op inzage in zijn persoonsgegevens en zo nodig een correctieverzoek kan doen en dat bezwaar en beroep openstaat tegen de op een dergelijk verzoek genomen beslissing. Voor het geval de Belastingdienst de ontvangen gegevens uit het buitenland gebruikt bij het opleggen van een belastingaanslag, staan daartegen de gebruikelijke bezwaar- en beroepsmogelijkheden open.
De leden van de fractie van de PvdA vragen voorts hoe het wetsvoorstel zich verhoudt tot de administratieve lasten voor het bedrijfsleven. De rapportageverplichting die het wetsvoorstel invoert leidt tot een structurele stijging van de administratieve lasten. In overleg met de financiële sector wordt getracht om deze lasten te beperken, onder andere door zo veel als mogelijk aan te sluiten bij bestaande renseigneringssystemen in het kader van de binnenlandse renseignering, belastingverdragen en de FATCA. Daarnaast vergt de invoering van de onderhavige bepalingen een aanzienlijke eenmalige inspanning van de betrokken instellingen omdat voor het gehele huidige klantenbestand bij die instellingen het fiscale woonland en het fiscale identificatienummer (TIN) van de rekeninghouder of uiteindelijk belanghebbende moeten worden bepaald. In totaal wordt een structurele toename van de administratieve lasten voor het bedrijfsleven verwacht van circa € 27 miljoen.
Wat de uitwisseling gaat opleveren is nog niet bekend, zo blijkt uit dit citaat uit de memorie van antwoord:
De leden van de fractie van de PvdA vragen wat de verwachte toename in belastingopbrengsten is als gevolg van het voorliggende wetsvoorstel Wet uitvoering Common Reporting Standard. Door dit wetsvoorstel wordt informatie verstrekt die relevant kan zijn voor de belastingheffing in het buitenland en zal daarmee op zichzelf niet leiden tot extra belastingopbrengsten voor Nederland. De informatie die de Belastingdienst gaat ontvangen ingevolge de invoering van Common Reporting Standard in het buitenland zal mogelijk leiden tot extra belastingopbrengsten voor Nederland. Meer informatie voor de Belastingdienst betekent immers dat de voorwaarden voor handhaving verbeteren. Hoeveel deze verbeterde voorwaarden voor handhaving eventueel zullen opleveren is op dit moment niet in te schatten. Overigens geldt dat deze mogelijke extra belastingopbrengsten niet lastenrelevant zijn omdat het gaat om informatie die al in de belastingheffing had moeten worden betrokken en dus om opbrengsten die volgens bestaande wetgeving al opgebracht hadden moeten worden.
Ook tijdens de behandeling in de tweede kamer is gegevensbescherming aan de orde geweest, onder meer in de nota naar aanleiding van het verslag van 20 oktober 2015. Daarin komen onder meer de gegevensstromen aan bod:
De leden van de fractie van het CDA vragen of dit wetsvoorstel gegevensverstrekkingen oproept die niet rechtstreeks voortvloeien uit de richtlijn. In de memorie van toelichting is uiteengezet dat dit wetsvoorstel verschillende gegevensstromen met zich brengt. In het kort gaat het om de gegevensverstrekking van (1) de klant naar de financiële instelling, (2) de financiële instelling naar de Belastingdienst, en (3) en (4) de Belastingdienst naar buitenlandse belastingdiensten en vice versa. De gegevensverstrekking van de klant naar de financiële instelling (1) zal vooral worden geregeld bij algemene maatregel van bestuur. Ten aanzien van die gegevensstroom is in de memorie van toelichting van het wetsvoorstel aangekondigd dat in aanvulling op de richtlijn zal worden voorgeschreven dat een eigen verklaring van een nieuwe rekeninghouder het fiscale identificatienummer van die rekeninghouder moet bevatten, ongeacht of die persoon fiscaal woonachtig is in een CRS-land of niet. De overige gegevensverstrekkingen vloeien rechtstreeks voort uit de richtlijn en de CRS.
Uit de beantwoording van de minister blijkt dat Nederland alle vertrouwen heeft in de toetsing van de buitenlandse ICT-systemen. Het zal interessant zijn om te zien of de gegevensuitwisseling inderdaad die hoge kwaliteit heeft, veilig is, of fouten tijdig worden herkend en kunnen worden gecorrigeerd.
Meer informatie
Het wetsvoorstel heet voluit “Wijziging van de Wet op de internationale bijstandsverlening bij de heffing van belastingen en de Belastingwet BES in verband met de implementatie van Richtlijn 2014/107/EU van de Raad van 9 december 2014 tot wijziging van Richtlijn 2011/16/EU wat betreft verplichte automatische uitwisseling van inlichtingen op belastinggebied (PbEU 2014, L 359) en om uitvoering te geven aan de door de OESO ontwikkelde Common Reporting Standard (Wet uitvoering Common Reporting Standard)” en is op 18 november 2015 door de tweede kamer aangenomen. Op dit moment wordt het voorstel bij de eerste kamer behandeld.
Aanvulling 3 november 2020
Recent hoorde ik een voorval rondom een bankrekening van een rechtspersoon in Zwitserland. Kennelijk waren aan de Zwitserse bank de gegevens van de uiteindelijk belanghebbenden (ubo’s) doorgegeven. Naar aanleiding van de verstrekking door Zwitserland van gegevens aan Nederland, kregen de in Nederland wonende ubo’s van de rechtspersoon de vraag van de Belastingdienst waarom zij hun Zwitserse bankrekening niet aan de Belastingdienst hadden opgegeven… Dus hier was iets fout gegaan in de gegevensuitwisseling tussen Zwitserland en Nederland, want de ubo’s waren geen rekeninghouder.
Dit roept bij mij de vraag op waarom de Zwitserse bank de AVG niet naleeft. Dat lijkt me logisch, aangezien de AVG ook geldt voor Zwitserse banken als zij persoonsgegevens van Europeanen verwerken. Ook al zijn de ubo’s geen klant van de Zwitserse bank, zij zijn wel ‘betrokkene’ in de zin van de AVG, wat betekent dat de bank hen moet informeren over de gegevensverwerking en over de verstrekking van gegevens aan derden, zoals de Zwitserse overheid en/of de Nederlandse overheid.
De Zwitserse bank zal de ubo’s de gelegenheid moeten bieden onjuistheden te rectificeren.
Ellen Timmer - juridische artikelen en berichten 