Blog door Robert Stamsnijder, The Auditfile Factory

Iedereen weet nu wel dat de 158 Fte’s bij de Autoriteit Persoonsgegevens reuze actief zijn om onze persoonsgegevens te bewaken. Onze persoonsgegevens, die we overigens in ruime mate vrijwillig delen via Twitter, LinkedIn, Facebook, Instagram en andere media.

In 2017 zijn 10.009 datalekken gemeld. Het aantal meldingen is in 2017 met ruim 70% toegenomen ten opzichte van het jaar ervoor, van 5.849 naar 10.009. In 2018 waren het er 20.881 en in de eerste helft van 2019 waren het er 11.906. De zorgsector is het zorgenkindje, daar worden de meeste datalekken gemeld. In 2019 is dan ook eerste AVG-boete uitgedeeld, het Haga Ziekenhuis had de primeur.

Wat uit het oog verloren is, is dat de Algemene Verordening Gegevensbescherming (AVG) ook een artikel 20 kent dat ons het recht op dataportabiliteit geeft. Oftewel, de softwareleveranciers dienen er maar voor te zorgen dat de gegevens die ze verwerken en opslaan op een duidelijke, gemakkelijke wijze uit hun systemen te extraheren zijn. Niet leuk voor ze, want dankzij de “vendor lock-in” die ze via hun programmatuur konden creëren hebben ze jarenlang extra diensten en software in rekening kunnen brengen. Dat het midden- en kleinbedrijf in Nederland, met behoud van data, de transitie naar de Cloud heeft kunnen maken, is te danken aan de Belastingdienst, de belangrijkste initiator en financier van standaarden in de financieel-administratieve rapportageketen.

Dankzij die standaarden kunt u onder andere genieten van het gemak van de vooraf ingevulde aangifte inkomstenbelasting. Leuker wordt het niet, wel gemakkelijker, voor ons allemaal.

Recent heeft het Ministerie van Economische Zaken en Klimaat "De Nederlandse visie op datadeling tussen bedrijven" uitgebracht. Met name de daarin genoemde principes zijn interessant:

• Principe 1: Datadeling komt bij voorkeur vrijwillig tot stand;
• Principe 2: Datadeling komt zo nodig verplicht tot stand;
• Principe 3: Personen en bedrijven houden grip op gegevens.

Over de hele wereld zien we trouwens dat overheden standaarden gaan afdwingen, zoals:

1. E-facturering
   Verplichte e-facturering verandert de wettelijke rapportagevereisten voor belastingbetalers, van het handmatig indienen van geaggregeerde informatie op specifieke tijdsintervallen tot het online indienen van transactionele informatie in realtime.
   
   Het is inmiddels in 55 landen al wettelijk verplicht om te factureren via e-invoicing, zodat de data direct digitaal beschikbaar is. Het is in de jaren 90 in China begonnen, daar werd het "Golden Tax System" (“GTS”) geïntroduceerd als een van de 12 informatiesystemen waarmee het land waar ongeveer 18,6 % van de wereldbevolking woont, bestuurd wordt.
   
   Argentinië (2007), Brazilië (2008) en Mexico (2010), gevolgd door Chili (2014), Peru (2014), Colombia (2018) en bijna elk ander land in Latijns-Amerika introduceerden daarop systemen gebaseerd op e-invoicing.
   
   In India is e-invoicing per 1 april 2020 wettelijk verplicht. Nu ‘kruipt’ e-invoicing de EU binnen. De EU, waar we met zijn allen toch naar een “VAT-Gap” van zo’n 155 miljard kijken. Ja, u leest het goed, 155 miljard, die u en ik extra moeten betalen omdat “boefjes” gebruik maken van de inadequaatheid van de huidige controlesystemen.
   
   In Frankrijk zal e-invoicing vanaf januari 2023 wettelijk verplicht zijn en Griekenland zal het 1e lid van de EU zijn waar het vanaf 1 januari 2020 wettelijk verplicht is.
         
2. Boekhouddata
   Nederland kent al jaren standaarden om gegevens uit administratieve systemen uit te kunnen wisselen via standaard formaten. Zie: auditfiles.nl. De Nederlandse XML Auditfile Financieel (XAF) heeft aan de basis gestaan van de door de Organisatie voor Economische Samenwerking en Ontwikkeling (36 landen) ontwikkelde SAF-T (Standard Audit File for Tax).
   Inmiddels is, op initiatief van China, de wereldstandaard ISO 21378:2019 - Audit Data Collection neergezet én is, om het onderhoud, de govenance, te regelen de werkgroep ISO/TC 295 - Audit Data Services in het leven geroepen.
   Kortom, voor boekhouddata is er een uitwisselingsstandaard voor ieder formaat, van Huawei tot het eenmanszaakje in Peking dat dim sum verkoopt, Van Shell, Philips en AKZO tot de bakker op de hoek.

Zowel de multinationals àls de grote softwareproducenten (SAP, Oracle, Microsoft, Infor etc., etc.) zijn hier blij mee, want in ieder land worden ze geconfronteerd met andere B2G (Business-to-Government) vereisten. Inefficiënt, tijdrovend, en kostenverhogend.

Geaggregeerde informatie op specifieke tijdsintervallen is yesteryear besturen. “In god we trust, all others must bring data” is meer van deze tijd. De technologie om direct alle data te hebben én die te kunnen verwerken is er immers. Nederland zit bij beste zeven EU-landen in het terug-dringen van de BTW-kloof (VAT Gap), maar we missen toch zo’n 5,2 %. Oftewel € 2.744 miljoen die u en ik meer moeten betalen omdat de overheid inadequaat toezicht houdt.

Het verdienmodel is duidelijk en het wordt interessant om te zien hoe accountants en de banken de standaarden zullen gaan gebruiken. Accountants verkopen nu “Assurance” en geen “Insurance” en aan dat eerste heb je weinig als ze het even niet gezien hebben. Krijgen ze wel een boete van de AFM, maar daarmee heb je je geld niet terug. Banken zullen dus snel algoritmes gaan ontwikkelen als ze realtime alle data kunnen krijgen en niet meer hoeven te varen op achterhaalde geaggregeerde data. “data keeps us honest”, vertrouwen gaat nu eenmaal hand in hand met verificatie.

Maar de Autoriteit Persoonsgegevens (AP) moet snel gaan doen waarvoor ze ook in het leven geroepen is, artikel 20 van de AVG handhaven. Laat de Belastingdienst met haar jarenlange ervaring de techniek invullen en de AP de politiek, handhaving. Bijkomend voordeel is dat we de Nederlandse AI Ambities kunnen realiseren. We hebben dan immers data.