Belastingdienst houdt voor cruciaal btw-systeem vast aan VS-tech
Digitale soevereiniteit blijft loze belofte
Het kabinet heeft de mond vol van digitale soevereiniteit en autonomie. Er is met Willemijn Aerdts zelfs een aparte staatssecretaris aangesteld die zich over dit onderwerp moet ontfermen. Maar ingrijpen wanneer zich een acuut vraagstuk aandient — zoals de uitbesteding van de bouw van een omzetbelastingsysteem aan een Amerikaans bedrijf — blijkt dan weer een brug te ver. Intussen weten ze in Polen wel beter.
Tekst: Rik Sanders Beeld: ENVATO / RIK SANDERS / MARTIJN BEEKMAN
In het kantoor van de Belastingdienst in de Utrechtse wijk Overvecht werken al enige tijd medewerkers van het Amerikaanse Fast Enterprises aan de bouw van Gentax, een nieuw omzetbelastingsysteem waarin jaarlijks circa tachtig miljard euro aan omzetbelasting wordt verwerkt. Over hoeveel medewerkers het gaat en waar zij zijn gehuisvest, doet de Belastingdienst uit privacyoverwegingen geen uitspraken. Ook Martin Rankin, ceo van Fast Enterprises, wil geen toelichting geven en verwijst voor vragen naar de fiscus en het ministerie van Financiën.
Dat de opdracht de afgelopen maanden tot rumoer heeft geleid, had Rankin hoogstwaarschijnlijk niet meer voorzien, gezien de al gestarte werkzaamheden. Na artikelen in Computable over een Amerikaanse leverancier dat een closed-source-systeem gereed maakt voor de Nederlandse omzetbelasting, barstte een storm van kritiek los, wat weer leidde tot Kamervragen. Volgens it-expert Marcel van Kooten, die een reconstructie van de besluitvorming maakte, levert de Belastingdienst zich volledig uit aan Fast Enterprises. Het leveringsmodel creëert een totale afhankelijkheid, want als Fast Enterprises onder druk van de Amerikaanse regering vanwege geopolitieke overwegingen geen ondersteuning meer verleent voor bijvoorbeeld incident response, bugfixes, beheer, onderhoud en systeemupdates, dan stopt het in ‘Apeldoorn’ gewoon. De keuze voor dit bedrijf staat op gespannen voet met het Europese streven naar digitale autonomie, aldus Van Kooten.
Bronnen binnen de fiscus geven aan dat er nog niks onomkeerbaars aan de hand is
Technisch rookgordijn
Staatssecretaris Eelco Eerenberg (Financiën) zet ondanks alle heisa het project gewoon voort. Stopzetten — inclusief een afkoopsom voor Fast Enterprises — zou zo’n tweehonderd miljoen euro kosten. Dat bedrag lijkt te zijn afgeleid van de contractwaarde van negentien miljoen euro per jaar gedurende een periode van tien jaar. Bovendien schreef hij aan de Kamer dat ‘de risico’s rondom continuïteit in relatie tot de Amerikaanse leverancier dienen te worden afgewogen tegen de risico’s die samenhangen met het langer in stand houden van het huidige verouderde systeem’. En dat hij deze risico’s ‘groter en reëler acht dan dat de relatie met de leverancier als drukmiddel wordt ingezet.’
Van Kooten spreekt van een afleidingsmanoeuvre in de vorm van een vage technische discussie, waarbij de indruk wordt gewekt dat zaken niet meer zijn terug te draaien en waarbij in de Kamer vaak niemand goed kan anticiperen op zulke argumenten. Dat is volgens hem een bekend trucje binnen de overheid, recent nog gebruikt bij het debat over de voorgenomen verkoop van Solvinity aan het Amerikaanse Kyndryl, waardoor het Logius-platform met onder meer DigiD en MijnOverheid onder Amerikaans beheer zou komen te vallen. Op de wens van de Tweede Kamer om het beheer van dat platform bij een andere leverancier onder te brengen, antwoordde staatssecretaris Eric van der Burg (BZK) dat zoiets op korte termijn niet mogelijk is ‘zonder dat hierbij de continuïteit en veiligheid van de dienstverlening van Logius in gevaar komen’.
Diverse experts betwijfelen dat. Ook stellen zij dat de bouw van het btw-systeem nog eenvoudig te stoppen is, in tegenstelling tot het standpunt van het ministerie van Financiën dat het proces te ver gevorderd zou zijn om nog terug te draaien. Barbara Kathmann van GroenLinks-PvdA meldde bijvoorbeeld dat bronnen binnen de fiscus aangeven dat er nog ‘niks onomkeerbaars aan de hand is’. Dat blijkt ook uit een antwoord van de Belastingdienst op vragen over de status van het project: ‘Het programma bevindt zich momenteel in de zogenoemde realisatiefase. Dat betekent dat er nog wordt gewerkt aan het gereedmaken van de oplossing. Er zijn nog geen gegevens of processen overgegaan naar het nieuwe systeem.’
Van uitstel komt afstel
Tot frustratie van Kathmann blijft ingrijpen bij dit soort it-dossiers keer op keer uit en worden besluiten vooruitgeschoven, ondanks de ambitieuze Nederlandse digitaliseringsstrategie om het anders te doen. ‘We hebben eindelijk een kans om iets te stoppen dat niemand in de Kamer wenselijk vindt — wachten kan betekenen dat we opnieuw voor een voldongen feit worden gezet, zoals bij DigiD’, zei het Kamerlid tijdens een overleg met Willemijn Aerdts, onlangs aangesteld als staatssecretaris voor digitale soevereiniteit en digitale economie.
De risicoanalyse zal niet uitwijzen dat de VS geen toegang tot de data kunnen krijgen
Om de onrust in de Kamer weg te nemen, somde Eerenberg een reeks maatregelen op die de risico’s rond datatoegang en continuïteit moeten beperken. Maar onderaan de streep blijft staan dat de Belastingdienst, om het btw-systeem werkend te houden, afhankelijk is en blijft van dit Amerikaanse bedrijf. Fast Enterprises voorziet de Belastingdienst van productupdates. Dat weerspiegelt het leveringsmodel: gebruikerslicenties waarbij het eigenaarschap van de code bij Fast berust.
Bovendien, wijst Van Kooten erop, zal de risicoanalyse niet uitwijzen dat de VS geen toegang tot de data kunnen krijgen. Het is technisch niet mogelijk dat Fast geen toegang tot de data heeft; juridisch is het voor het bedrijf evenmin mogelijk om zaken zo te regelen dat de Amerikaanse overheid geen toegang kan eisen.
Zo bleek uit een juridische toetsing eerder dit jaar van de zogenoemde soevereine Europese cloud van Amazon Web Services door advocatenkantoor Greenberg Traurig, in opdracht van SLM Rijk (ministerie van Justitie en Veiligheid), opnieuw dat volledige technologische autonomie niet haalbaar is zolang een moederbedrijf in de VS is gevestigd. Onder de Clarifying Lawful Overseas Use of Data (Cloud) Act kunnen Amerikaanse techbedrijven worden verplicht gegevens te overhandigen aan de Amerikaanse overheid, ongeacht waar die data fysiek zijn opgeslagen.
Overigens is de fiscus zich bewust van de afhankelijkheid van Fast Enterprises. Op vragen hierover antwoordt de woordvoering: ‘De implementatie van de pakketoplossing Gentax zorgt voor meer afhankelijkheid; dat is inherent aan het werken met externe leveranciers. Die afhankelijkheid zit niet zozeer in het aantal koppelingen met andere systemen, maar in het feit dat de Belastingdienst voor dit systeem gaat samenwerken met een Amerikaanse leverancier. De Belastingdienst is daar niet naïef in en voert als onderdeel van het programma een risicoanalyse uit.’
Het kan wel
Wellicht komt er uit die risicoanalyse alsnog een dringend advies om te stoppen met Fast Enterprises, al lijkt die kans klein. De Poolse overheid nam in vergelijkbare omstandigheden een andere beslissing, nadat een project voor de vernieuwing van belastingsystemen was mislukt doordat de twee it-partners — het Poolse Sygnity en Fast Enterprises — met elkaar in conflict raakten. In 2021 kwamen beide partijen tot een schikking waarbij Fast voor enkele miljoenen werd afgekocht.
Daarna kozen het Poolse ministerie van Financiën en de Nationale Belastingadministratie niet langer voor één grote totaaloplossing, maar voor een modulair platform waarbij de regie in eigen hand wordt gehouden en wordt samengewerkt met Poolse leveranciers, waaronder Comarch en Adecco Poland. Dat sluit bovendien goed aan bij de bredere Europese GovTech-strategie, waarin digitale soevereiniteit en autonomie belangrijke pijlers zijn om minder afhankelijk te worden van de VS en China.
Maatregelen
Staatssecretaris Eelco Eerenberg (Financiën) meldde aan de Tweede Kamer dat een aantal maatregelen is getroffen om de afhankelijkheidsrisico’s bij de bouw van het nieuwe omzetbelastingsysteem Gentax te beperken:
- Als onderdeel van het programma voert de Belastingdienst een risicoanalyse uit conform de Information Risk Assessment Methodology. Deze veelgebruikte methode helpt bij het identificeren, analyseren en beheersen van risico’s op het gebied van informatiebeveiliging. Op basis daarvan worden maatregelen uitgewerkt, geïmplementeerd en vervolgens op effectiviteit getoetst. Uiterlijk in juni moet het oordeel op tafel liggen.
- De Gentax-infrastructuur komt in het datacenter van de Belastingdienst in Apeldoorn te staan en wordt ingericht als ‘onvertrouwde’, gezoneerde omgeving. Koppelingen en verbindingen met andere systemen worden gecontroleerd.
- Fast Enterprises, dat een geheimhoudingsverklaring heeft ondertekend, beheert de infrastructuur en verzorgt productupdates. Een van de maatregelen is dat medewerkers van de leverancier op locatie in Apeldoorn gaan werken onder toezicht van medewerkers van de Belastingdienst (vierogenprincipe), die tevens worden opgeleid om het systeem zelf te beheren.
- De mate waarin medewerkers van Fast toegang krijgen tot data op de servers hangt af van hun autorisaties. Het uitgangspunt is dat zij tijdens de productiefase geen toegang hebben tot productiedata en alleen tijdelijk toegang krijgen wanneer dat noodzakelijk is voor beheerwerkzaamheden.
- Als onderdeel van de risicoanalyse wordt onderzocht op welke termijn en onder welke voorwaarden de Belastingdienst het beheer en onderhoud van de infrastructuur in Apeldoorn kan overnemen van Fast.
- Ook wordt broncode ondergebracht bij een onafhankelijke derde partij, die deze alleen onder vooraf afgesproken voorwaarden vrijgeeft (escrow). Daarnaast wordt de code extern onderzocht op kwetsbaarheden.
- Voor medewerkers is trainingsmateriaal ontwikkeld. Via de leeromgeving van de Belastingdienst hebben medewerkers nu al toegang tot dit interactieve materiaal. De trainingen staan gepland voorafgaand aan de livegang, zodat medewerkers goed zijn voorbereid wanneer het systeem in gebruik wordt genomen.
- Daarnaast is de Belastingdienst in gesprek met Fast Enterprises over aanvullende maatregelen, zoals het inzetten van medewerkers die niet onder Amerikaanse jurisdictie vallen en de mogelijkheid dat de leverancier een onafhankelijke Europese entiteit opricht waarheen het contract kan worden overgeheveld.
Dit alles neemt de twee fundamentele bezwaren die tegen de deal zijn ingebracht niet weg: afhankelijkheid van de Amerikaanse regering voor de Nederlandse overheidsfinanciën, en de mogelijkheid van inzage van gegevens van Belastingplichtigen door de Amerikaanse overheid. En dan hangt er ook nog een mogelijke overgang naar een (Amerikaanse) cloud in de lucht, een voornemen dat in het bestek van de aanbesteding van het omzetbelastingsysteem staat.
Vestiging van de Belastingdienst in Overvecht (Utrecht) waar Fast Enterprise kantoor houdt, maar Apeldoorn wordt de nieuwe standplaats.
