NL1016142C1 - Werkwijze voor het geautomatiseerd verzamelen van betrouwbare informatie en/of innen van een heffing. - Google Patents

Werkwijze voor het geautomatiseerd verzamelen van betrouwbare informatie en/of innen van een heffing. Download PDF

Info

Publication number
NL1016142C1
NL1016142C1 NL1016142A NL1016142A NL1016142C1 NL 1016142 C1 NL1016142 C1 NL 1016142C1 NL 1016142 A NL1016142 A NL 1016142A NL 1016142 A NL1016142 A NL 1016142A NL 1016142 C1 NL1016142 C1 NL 1016142C1
Authority
NL
Netherlands
Prior art keywords
declaration
declarations
information
authority
relevant
Prior art date
Application number
NL1016142A
Other languages
English (en)
Inventor
Wiebren De Jonge
Original Assignee
Wiebren De Jonge
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wiebren De Jonge filed Critical Wiebren De Jonge
Priority to NL1016142A priority Critical patent/NL1016142C1/nl
Application granted granted Critical
Publication of NL1016142C1 publication Critical patent/NL1016142C1/nl

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Description

«
Werkwijze voor het geautomatiseerd verzamelen van betrouwbare informatie en/of innen van een heffing 5 1 Inleiding
Een bestaande werkwijze voor het verzamelen van betrouwbare informatie en/of het innen (berekenen) van een heffing is gebaseerd op het opleggen van de verplichting aan personen en/of organisaties om een (al dan niet uitgebreide) administratie bij te houden en bij tijd en wijle aangifte te doen. De betreffende aangiften moeten af en toe (i.e. met een lage frequentie) en meestal regelmatig, b.v. eens per jaar of eens per kwartaal, worden inge-10 diend. De aangifte-plichtigen worden i.h.a. niet alleen verantwoordelijk gesteld voor het doen van aangiften, maar i.h.b. ook voor het tijdig en juist doen van de aangiften. De juistheid van ingediende aangiften wordt bij de bedoelde werkwijze steekproefsgewijs gecontroleerd door de informatie verzamelende en/of heffing innende instantie. Om de controleerbaarheid te bevorderen worden meestal allerlei verplichtingen opgelegd m.b.t de bij te houden administraties (zie ook hoofdstuk 5 en m.n. sectie 5.1).
15 Controles op de juistheid van aangiften kunnen b.v. één of meerdere van de volgende aspecten betreffen: 1) controle op de onderlinge consistentie van aangiften, 2) controle op de juistheid van aangiften t.o.v. de onderliggende administratie(s), 3) controle op de juistheid van administraties.
Controle op onderlinge consistentie kan plaats vinden door voor bepaalde aangiften te controleren of ze consis-20 tent zijn met andere aangiften, waarbij die andere aangiften afkomstig kunnen zijn van dezelfde aangifte-plichtige en/of van andere aangifte-plichtigen. Controle op de juistheid van aangiften t.o.v. de onderliggende administratie(s) kan plaats vinden door voor bepaalde aangiften te controleren of ze overeenstemmen met de administratie die aan die aangifte ten grondslag ligt. De juistheid van administraties kan o.a. hun juistheid t.o.v. de werkelijkheid betreffen, waaronder begrepen volledigheid en juistheid in striktere zin. Controle op volledig-25 heid kan plaats vinden door voor bepaalde relevante gebeurtenissen, die in werkelijkheid plaats hebben gevonden, te controleren of ze ook opgenomen zijn in de betreffende administratie. Controle op juistheid (in striktere zin) kan plaats vinden door voor bepaalde relevante gebeurtenissen, die in werkelijkheid plaats hebben gevonden, te controleren of ze ook juist zijn vastgelegd. Dit laatste kan ook controle op het tijdstip van registratie betreffen, i.e. controle of gebeurtenissen in de betreffende, aan controle onderworpen administratie zijn opgenomen 30 binnen de voor hun vastlegging maximaal toegestane termijn en dus of (een deel van) de betreffende administratie niet stiekem achteraf geconstrueerd is. Kortom, voor het gemak scharen we controle op de authenticiteit van de administratie hier ook onder juistheid in striktere zin. (Hoewel deze controle beter als een apart aspect van juistheid in ruimere zin gezien kan worden.)
Niet alle genoemde aspecten (controles) hoeven steekproefsgewijs uitgevoerd te worden. B.v. kan de controle op 35 onderlinge consistentie eventueel voor elke aangifte worden uitgevoerd en/of eventueel voor een te controleren aangifte volledig uitputtend (i.e. door vergelijking van die aangifte met alle andere daaraan op een of andere wijze gerelateerde aangiften) worden uitgevoerd. Maar m.n. de twee andere genoemde controles zullen i.h.a. slechts steekproefsgewijs worden uitgevoerd. Voor het uitvoeren van deze laatste twee controles is inzage in de 10 1 6 142 2 betreffende administratie vereist. Dus moet de instantie voor die controles inzage in (het betreffende deel van) die administratie kunnen vorderen.
De bedoelde, bestaande werkwijze wordt o.a. toegepast bij het heffen van allerlei belastingen, zoals b.v. omzet-en inkomstenbelasting. Bij bestaande toepassingen ligt (voor zover bekend) de nadruk van de controle veelal op 5 de eerste twee controle-aspecten, i.e. op de vormen van controles genoemd onder punt 1 en punt 2. Dit omdat een aantal aspecten van de onder punt 3 genoemde controles i.h.a. veel moeilijker (en dus duurder) uit te voeren zijn.
1.1 Enkele voordelen van de nieuwe werkwijze
De hier te beschrijven vinding betreft zodanige aanpassingen van en/of uitbreidingen op de bovengenoemde bestaande werkwijze, dat nieuwe werkwijzen ontstaan die zich in één of meerdere opzichten gunstig onderschei-10 den t.o.v. reeds bekende werkwijzen. Denk hierbij b.v. aan het bieden van een betere fraudebestendigheid, het bieden van een betere privacybescherming, het geschikter zijn voor toepassing in geval van gedigitaliseerde administraties bij de aangifte-plichtigen, het (door verregaande automatisering) goedkoper uitgevoerd kunnen worden en/of het voor meer doeleinden toepasbaar zijn. Eventueel kunnen toepassingen van de nieuwe werkwijzen op langere termijn een belangrijke bijdrage leveren aan b.v. het op privacy vriendelijke wijze bestrijden van 15 zwart geld circuits en/of witwassen.
1.2 B(j de uitleg gebruikte voorbeelden
Bij onderstaande uitleg zullen we zo nu en dan een voorbeeld geven, meestal in de context van (bepaalde heffingen op) wegverkeer of in de context van (het heffen van omzetbelasting op) economisch verkeer. Ook noemen we soms expliciet een aantal mogelijke varianten op de beschreven aanpak. De gegeven voorbeelden en ge-20 noemde varianten dienen alleen ter illustratie en mogen dus niet begrepen worden als opgelegde beperkingen. Een ter zake kundige zal op basis van de gegeven uitleg zelf een, waar nodig enigszins aangepaste, beschrijving kunnen maken voor (andere voorbeelden van) toepassingen.
1.3 Heffingen
Het begrip heffing moet ruim worden opgevat. Bijvoorbeeld omvat het begrip heffing in de context van wegver-25 keer niet alleen zaken als b.v. motorrijtuigenbelasting, tolheffing en kilometerheffing, maar ook allerlei andere kosten die in rekening kunnen worden gebracht en op een of andere wijze gerelateerd zijn aan actieve of passieve verkeersdeelname, zoals b.v. verkeersboetes, parkeerboetes, vervoerkosten en verzekeringspremies. In de context van economisch verkeer kan het begrip heffing niet alleen omzet-, inkomsten-, vennootschaps- en assurantiebe-lasting omvatten, maar b.v. ook bepaalde provisies en royalty’s. (Denk b.v. aan het bijhouden van de door verko-30 pers verdiende verkoopprovisies en/of aan de royalty’s die in Nederland door de BUMA/STEMRA namens uitvoerende artiesten en auteurs geïnd worden.)
Het verzamelen van voldoende betrouwbare informatie kan vanzelfsprekend ook van belang zijn zonder dat er sprake is (of zonder dat er direct sprake is) van een of andere heffing. Denk b.v. aan het beter zicht krijgen op (i.e. ‘monitoring’ van) het economisch verkeer of wegverkeer en/of aan het verbeteren van de wetshandhaving.
35 1.4 De instantie
De personen en/of organisaties die belang hebben bij en/of betrokken zijn bij het verzamelen van de informatie en/of het innen van de heffing en/of het controleren van de aangiften, zullen we verder blijven benoemen met de enkelvoudige term instantie, tenzij anders aangegeven. Dit doen we om, waar gewenst, zo veel mogelijk te kun- 1016 142 3 nen abstraheren van het feit dat de instantie bepaalde taken, zoals b.v. het uitvoeren van inspecties, kan uitbesteden en dat de bedoelde instantie dus eventueel feitelijk kan bestaan uit meerdere (in zekere mate) onafhankelijke instanties.
1.5 Fraudebestendigheid, privacy en goedkope fysieke beveiliging 5 Een belangrijk aspect van de bedoelde werkwijze is dat een voldoende betrouwbaarheid van de verzamelde informatie afgedwongen kan worden, m.n. door het uitvoeren van steekproefsgewijze controles, terwijl er geen of slechts een zeer beperkt gebruik hoeft te worden gemaakt van fysieke beveiliging. Daarnaast is een belangrijk aspect dat tegelijkertijd gezorgd kan worden voor een voldoende privacybescherming. Denk bij privacybescherming b.v. aan het tegengaan van onrechtmatige tracering van individuele, uniek identificeerbare personen en/of 10 aan het tegengaan van onrechtmatige (b.v. volledige) inventarisering van welke goederen door een bepaalde identificeerbare persoon zijn gekocht en/of verkocht.
1.6 Overzicht van verdere inhoud
Ter nadere oriëntatie op de rest van tekst geven we hier een overzicht van alle nog volgende hoofdstukken: 2. Privacybescherming 15 3. Betrouwbaarheid en fraudebestendigheid 4. Het reduceren van fysieke beveiliging en het gebruik van cryptografie 5. Controleerbaarheid van administraties: digitalisering als bedreiging 6. Aangiften en steekproefsgewijze controles m.b.v. ICT als oplossing 7. Aangiften 20 8. Gebruik van agenten 9. Controles in de nabije omgeving van relevante gebeurtenissen 10. Zorgen voor voldoende privacybescherming 11. Beknopte beschrijving van en toelichting op de vinding resp. de conclusies 12. Conclusies 25 2 Privacybescherming
Een belangrijk aspect bij het verzamelen van betrouwbare informatie en/of het innen van een heffing is de wijze waarop gezorgd kan worden voor voldoende privacybescherming, i.e. de wijze waarop onrechtmatige inbreuk op de privacy kan worden tegengegaan. Zoals in sectie 1.5 al is gezegd, kan men bij privacybescherming o.a. denken aan het tegengaan van onrechtmatige tracering van individuele, uniek identificeerbare personen en/of aan het 30 tegengaan van onrechtmatige inventarisering van welke goederen door een bepaalde identificeerbare persoon zijn gekocht en/of verkocht. Over privacybescherming zou veel meer gezegd kunnen worden dan wij hier zullen doen. Om echter een indruk te geven van de betekenis en reikwijdte van m.n. de woorden ‘onrechtmatige’ en ‘tegengaan’, zullen we wat dieper ingaan op het tegengaan van onrechtmatige tracering. De lezer wordt daaraan geacht voldoende te hebben om ook te kunnen begrijpen wat er zoal schuil gaat, resp. kan gaan, achter onze 35 korte omschrijving ‘tegengaan van onrechtmatige inventarisering’ en meer in het algemeen achter de omschrijving ‘tegengaan van onrechtmatige inbreuk op de privacy’. Merk op dat de bedoelde privacybescherming eventueel ook één of meer andere aspecten dan onrechtmatige tracering en/of onrechtmatige inventarisering kan betreffen.
1016142 ) 4 2.1 Tegengaan van onrechtmatige tracering
Het is gewenst om bij het innen van een heffing en/of het verzamelen van betrouwbare informatie over personen en/of over op een bepaalde wijze nauw aan hun verblijfplaats gerelateerde objecten er voor te zorgen dat onrechtmatige tracering van individuele, uniek identificeerbare personen of van individuele, uniek identificeerbare, 5 nauw aan hun verblijfplaats gerelateerde objecten niet praktisch uitvoerbaar wordt gemaakt. Denk bij ‘nauw aan hun verblijfplaats gerelateerde objecten’ b.v. aan mobiele telefoons of voertuigen. In het navolgende zullen voor zulke objecten vaak kortweg de term gerelateerd object gebruiken. Met de eerste volzin van deze sectie bedoelen we dat de instantie i.h.a. geen onbeperkte toegang krijgt, of redelijkerwijs zelfs kan krijgen, tot (privacy gevoelig beschouwde) informatie over het bewegingspatroon van een bepaalde persoon, dan wel van een nauw aan zijn of 10 haar verblijfplaats gerelateerd object, waarvan de identiteit achterhaald kan worden.
Het ‘waarvan de identiteit achterhaald kan worden’ is van belang, omdat tracering van blijvend anonieme, i.e. niet identificeerbare, personen en/of gerelateerde objecten geen gevaar voor de privacy oplevert. De formulering dekt niet alleen het geval af dat de identiteit bij het verzamelen van de informatie kan worden vastgesteld, maar ook het geval dat de identiteit (al dan niet later) op een andere wijze achterhaald kan worden. Merk op dat onbe-15 perkte, volledige tracering van een vooralsnog niet identificeerbare persoon of gerelateerd object een aanzienlijk gevaar oplevert, omdat er dan een reële kans is op latere identificatie. De bedreiging van de privacy door een vooralsnog anonieme tracering wordt kleiner naarmate de maximale duur en/of afstand waartoe zo'n tracering beperkt wordt, kleiner is. Als er sprake is van een voldoende beperking van de bedoelde duur en afstand, is er geen wezenlijk gevaar voor de privacy of, beter gezegd, kan het gevaar voor de privacy acceptabel worden ge-20 vonden.
In zo'n geval spreken wij van rechtmatige tracering. Het moge duidelijk zijn dat dit met het oog op de huidige praktijk alleszins gerechtvaardigd is. Immers, als een willekeurige burger een auto langs ziet rijden (i.e. het voertuig voor een tamelijk beperkte duur en afstand traceert) en vervolgens de identiteit van dat voertuig (meestal juist) vaststelt door het lezen van de kentekenplaat, wordt algemeen geaccepteerd dat er geen sprake is 25 van onrechtmatige tracering. Hoe dan ook, er bestaan vormen van rechtmatige tracering. (Het moge duidelijk zijn dat bij de keuze of een bepaalde vorm van tracering zal worden toegestaan, een afweging tussen het praktisch nut en het gevaar ervan een rol speelt.)
De toevoeging van het woord ‘onrechtmatig’ in de formulering van de genoemde eigenschap heeft nog een tweede reden. Vaak wil men voorkomen dat tracering onbeperkt kan plaatsvinden, maar wil men wel degelijk dat in 30 bepaalde (bij voorkeur wettelijk vastgelegde) omstandigheden en onder bepaalde (bij voorkeur wettelijk vastgelegde) vooiwaarden tracering mogelijk wordt. Denk enerzijds b.v. aan de vorm van trajectsnelheidscontroles waarbij de gemiddelde snelheid van een voertuig op een bepaald traject van, zeg, enkele kilometers wordt bepaald door het voertuig aan het begin en aan het eind van dat traject uniek te identificeren en door de tijd vast te stellen die tussen beide identificaties verlopen is. Bij dit voorbeeld is de grootte van het traject meestal beperkt, 35 zodat dit voorbeeld misschien niet voldoende overtuigend is. Denk daarom anderzijds b.v. ook aan de eventuele opsporing van gestolen voertuigen of zelfs aan de eventuele tracering van zware criminelen.
Tenslotte maken we nog een paar opmerkingen over ons gebruik van diverse formuleringen. We spreken i.h.a. kortweg van ‘voorkomen’ of ‘tegengaan’ i.p.v. ‘niet praktisch uitvoerbaar maken’. De omslachtige formulering ‘niet praktisch uitvoerbaar maken’ is gebruikt vanwege de grotere nauwkeurigheid t.o.v. ‘voorkomen’ en ‘tegen- 10 1 6 H2 » 5 gaan’. Immers, tracering (of iets anders dat de privacy bedreigt, zoals inventarisering) kan in bepaalde mate toch al mogelijk zijn, zoals in zekere mate ook al uit het gegeven voorbeeld van passerende auto’s blijkt. En als tracering (resp. iets anders) al mogelijk is buiten een nieuwe toepassing om, i.e. buiten het bedoelde proces van verzamelen van betrouwbare informatie en/of van innen van een heffing om, kan dat natuurlijk niet voorkomen of 5 tegengegaan worden door het toevoegen van die nieuwe toepassing, ook niet als bij de nieuwe toepassing een privacyvriendelijke werkwijze wordt gehanteerd. Soms laten we voor het gemak de toevoeging ‘onrechtmatige’ achterwege en spreken we dus gewoon van ‘tegengaan van tracering’ of ‘tegengaan van inventarisering’. Het ‘tegengaan van onrechtmatige tracering’ betekent bij ons hetzelfde als ‘privacybescherming m.b.t. bewegingspatronen’. Evenzo betekent ‘privacybescherming m.b.t. inventarisering’ bij ons hetzelfde als ‘tegengaan van in-10 ventarisering’.
3 Betrouwbaarheid en fraudebestendigheid
Strikt genomen is er pas sprake van (absolute) fraudebestendigheid als er geen enkele vorm van fraude mogelijk is. In de praktijk spreekt men vaak al van (voldoende) fraudebestendigheid als er sprake is van bestandheid tegen elke bekende, praktisch uitvoerbare en lonende vorm van fraude waartegen de belanghebbende zich wenst te 15 wapenen. Immers, het is i.h.a. moeilijk zich te wapenen tegen alle nog onbekende vormen van fraude. En soms wenst men zich niet te bewapenen tegen bepaalde bekende vormen van fraude, omdat de kans op onaanvaardbare schade te klein wordt geacht (al dan niet in verhouding tot de kosten van beveiliging ertegen).
Wij gebruiken de term m.n. in de tweede betekenis. In dit stuk is de belanghebbende, i.e. degene die zich tegen fraude wil wapenen, m.n. de instantie en wordt fraudebestendigheid dus vooral beschouwd vanuit het oogpunt 20 van de verdediging van de belangen van de instantie. Dat belang behelst m.n. de juistheid van bepaalde informatie die verzameld wordt. Fraude door onjuiste informatie te verstrekken (i.e. door valse aangifte te doen) wordt bij de hier beschreven werkwijze met name tegengegaan door (tenminste steekproefsgewijs) controles uit te voeren op de verstrekte informatie (i.e. de aangiften). Controles op de betrouwbaarheid van de verstrekte informatie zullen dus i.h.a. zorgen voor (een belangrijk deel van) de fraudebestendigheid.
25 Informatie kan niet alleen onjuist zijn t.g.v. (pogingen tot) fraude, maar ook te goeder trouw door b.v. onnauwkeurigheid of slecht functioneren van bepaalde apparatuur. Controles op de betrouwbaarheid van informatie zijn dus bruikbaar voor meer dan alleen fraudebestrijding en het begrip betrouwbaarheid kan dus ruimer worden opgevat dan alleen fraudebestendigheid. Omdat de termen betrouwbaarheid en fraudebestendigheid in onze context nauw met elkaar samenhangen, worden ze in deze tekst vaak toch min of meer als een soort van synoniemen 30 gebruikt.
Met bovenstaande denken we voldoende duidelijk te hebben gemaakt wat fraudebestendig betekent. Met name moet nu voldoende duidelijk zijn wat we verstaan onder het verzamelen van voldoende betrouwbare informatie (en m.n. het voldoende fraudebestendig verzamelen van informatie). Het lijkt ons echter nuttig nog wat nader in te gaan op de toepassing van de term fraudebestendigheid op een individuele component. We doen een poging 35 tot het scheppen van extra duidelijkheid door hieronder een aanvullende, meer gedetailleerde en informatieve omschrijving te geven van het begrip fraudebestendigheid toegepast op een individuele component.
10 1 6 U2 6 3.1 Fraudebestendigheid van een individuele component
Een individuele component (zoals b.v. een agent; zie verderop) noemen we in deze tekst i.h.a. fraudebestendig als die component van zichzelf (!) zodanig beveiligd is dat deze redelijkerwijs niet vervalst kan worden, i.e. als die van zichzelf zodanig beveiligd is dat het niet lonend of niet praktisch uitvoerbaar is om die component te 5 vervalsen. Onder vervalsen wordt niet alleen het maken van een (bedrieglijke) nabootsing verstaan, maar ook het manipuleren van die component (ten nadele van de instantie als belanghebbende). Denk bij dit laatste b.v. aan het in (voor de instantie) ongunstige zin beïnvloeden van het functioneren van de component (exclusief vernielen) of aan het aan de component ontfutselen van cruciale informatie (zoals b.v. van een cryptografische sleutel).
Bijvoorbeeld is een magneetkaart dus niet fraudebestendig, ook niet als de erin opgeslagen informatie m.b.v. 10 cryptografische technieken beveiligd is. Immers, het maken van een nabootsing is bij een magneetkaart vrij makkelijk, omdat de bitpatronen op een magneetkaart zonder veel problemen gelezen kunnen worden. Bovendien geldt dat een magneetkaart niet van zichzelf beveiligd is tegen manipulatie, want het lezen, schrijven en/of wijzigen van het bitpatroon is tamelijk eenvoudig. Het doet dus niet ter zake dat het totale systeem (dat gebruik maakt van de bedoelde magneetkaarten) zich eventueel m.b.v. cryptografische technieken wel degelijk kan wapenen 15 tegen bepaalde vormen van fraude met magneetkaarten, zoals b.v. tegen het begrijpend lezen of het zinvol veranderen van het bitpatroon dat erop staat. Voor andere passieve middelen voor gegevensopslag geldt natuurlijk iets soortgelijks.
Merk op dat er bij bepaalde elektromagnetische (hulp)middelen, zoals b.v. magneet- en chipkaarten, i.h.a. alleen sprake kan zijn van nabootsing als men bepaalde cruciale bitpatronen (die b.v. een representatie zijn van softwa-20 re of gegevens, waaronder m.n. ook begrepen cryptografische sleutels) weet te kopiëren of produceren. Om zulke cruciale bitpatronen te kunnen kopiëren of produceren, is het gewoonlijk nodig om die of andere cruciale bitpatronen eerst aan één of meerdere niet vervalste exemplaren te ontfutselen. Maar dan is er dus eerst sprake van manipulatie van een écht exemplaar ten nadele van de instantie. Kortom, manipulatie ten nadele van de belanghebbende is bij elektromagnetische middelen i.h.a. de van overheersend belang zijnde vorm van vervalsing.
25 3.2 Logische vs. fysieke beveiliging
Merk ook op dat bij de fraudebestendigheid van een individuele component fysieke beveiliging i.h.a. een overheersende rol speelt en doorslaggevend is. Bij een groter geheel, zoals het totale informatiesysteem, spelen logische beveiligingen (zoals b.v. toepassing van cryptografie, controles en organisatorische maatregelen) juist een grote rol. Bij de beoordeling van individuele componenten op hun eigen fraudebestendigheid, telt de logische 30 beveiliging in het grotere geheel niet mee. Dit draagt in zekere zin bij aan de overheersende rol die fysieke beveiliging speelt bij de beschouwing van individuele componenten.
4 Het reduceren van fysieke beveiliging en het gebruik van cryptografie
Bij beveiliging is er altijd sprake van een soort van wapenwedloop. Met name bij fysieke beveiliging is er bij elke beveiligingsmaatregel wel weer een manier te vinden om die te omzeilen, wat verdergaande beveiligings-35 maatregelen noodzakelijk maakt, wat uitnodigt tot nieuwe tegenmaatregelen, etc., etc. Een hoog fysiek beveiligingsniveau gaat daarom i.h.a. gepaard met hoge kosten. Dit geldt te meer vanwege de dan vrijwel altijd aanwezige noodzaak om regelmatig fysieke inspectie uit te voeren, wat omslachtig en duur is i.v.m. de personeelskos- 10 1 6 142 7 ten van controleurs. Dit alles verklaart waarom wij de fraudebestendigheid bij het verzamelen van betrouwbare informatie i.h.a. niet graag willen laten afhangen van allerlei vormen van fysieke beveiliging.
Bij de door ons voorgestelde werkwijzen kan een zeer hoog niveau van beveiliging en ook van privacybescherming worden bereikt, terwijl geen of minimaal gebruik wordt gemaakt van fysieke beveiliging. Hiertoe kan men, 5 zoals we zullen schetsen, gebruik maken van logische beveiligingen in de vorm van controles, organisatorische maatregelen en m.n. ook van cryptografie1. Fysieke beveiliging is alleen noodzakelijk voor de eventueel aanwezige agenten. Als er geen agenten gebruikt worden, kan men dus zelfs zonder fysieke beveiliging toe.
Natuurlijk is het gebruik van meer fysieke beveiliging dan echt noodzakelijk is wel toegestaan. Als men het verstandig acht om bepaalde apparatuur enige niet echt noodzakelijke fysieke beveiliging mee te geven om pogin-10 gen tot fraude te helpen ontmoedigen, kan men zich daarbij beperken tot goedkope maatregelen, omdat die extra beveiliging niet van essentieel belang is, i.e. geen volledige bescherming hoeft te bieden. Ook de voor agenten wel noodzakelijke fysieke beveiliging hoeft allerminst kostbaar te zijn, omdat chips goedkoop fysiek te beveiligen zijn (zie ook sectie 4.2).
4.1 De wapenwedloop by cryptografie 15 Bij gebruik van cryptografische technieken is er weliswaar ook sprake van een wapenwedloop, maar kan het beveiligingsniveau i.h.a. eenvoudig verhoogd worden door grotere getallen, i.e. bitpatronen, te gaan gebruiken. De toenemende rekenkracht door de voortgaande ontwikkeling van steeds snellere chips vormt geen wezenlijke bedreiging voor de veiligheid van cryptografische technieken. Weliswaar wordt door grotere rekenkracht ontcijferen steeds gemakkelijker gemaakt, maar dat geldt ook voor het vercijferen. De veiligheid is bij cryptografische 20 technieken veeleer gebaseerd op een essentieel verschil in complexiteit tussen bepaalde bewerkingen op getallen. Een zeer hoog beveiligingsniveau kan dus gewaarborgd blijven worden, zolang er maar een duidelijk verschil in complexiteit blijft bestaan tussen de onderliggende bewerkingen.
4.2 Fysieke beveiliging by gebruik van cryptografie
Omdat bij gebruik van cryptografische technieken het beveiligingsniveau o.a. afhangt van de mate waarin de 25 gebruikte cryptografische sleutels beveiligd worden, is er bij gebruik van cryptografie i.h.a. wel degelijk sprake van een of andere vorm van fysieke beveiliging. Als, bijvoorbeeld, de gebruikte sleutels opgeslagen liggen in chips, is voor de beveiliging van deze chips tegen het ontfutselen van hun inhoud ook een vorm van fysieke beveiliging nodig. Echter, deze vorm van fysieke beveiliging, die o.a. gebruikt wordt bij chipkaarten, heeft in de praktijk bewezen een hoge mate van beveiliging te kunnen bieden tegen lage kosten, zodat wij het gebruik hier-30 van niet bezwaarlijk achten. Sterker nog, wij zien het als een voordeel dat bij de door ons ontwikkelde werkwijzen (resp. gesuggereerde systemen) de fysieke beveiliging (die alleen noodzakelijk is bij eventueel aanwezige agenten) beperkt kan worden tot deze specifieke, goedkope vorm, waarvan de betrouwbaarheid zich heeft bewezen.
70 16 142
Cryptografie staat strikt genomen alleen voor geheimschrift. Eigenlijk is de juiste term voor de leer van zowel vercijferen als ontcijferen (zeg maar, van zowel produceren als lezen van geheimschrift) cryptologie. In de rest van deze tekst zullen we desalniettemin de wat meer bekende en ingeburgerde term cryptografie blijven gebruiken.
8 4.3 Toepassing van cryptografie
Er is al gesuggereerd dat het gebruik van cryptografische technieken gunstig kan zijn. Vanzelfsprekend geldt dat b.v. voor het eventueel ondertekenen van aangiften met een digitale handtekening, zodat de aangever later niet zo maar kan ontkennen een bepaalde door hem of haar ingediende aangifte te hebben gedaan. Ook kan m.b.v. cryp-5 tografische technieken eventueel gezorgd worden voor geheimhouding van aangiften t.o.v. derden en/of b.v. voor het vastleggen van de juiste volgorde van aangiften. (Maar voor dit laatste kan het simpelweg opnemen van volgnummers in de aangifte al voldoen en lijkt toepassing van cryptografie niet nodig.)
Gebruik van cryptografische technieken kan m.n. ook van pas komen bij de privacybescherming. Niet alleen om, zoals al genoemd, berichten (aangiften) te beschermen tegen ongeoorloofd lezen, maar ook om allerlei zaken, 10 zoals b.v. de identiteit van de aangever en/of de plaats van aangifte, in meer of mindere mate te anonimiseren. (Zie ook hoofdstuk 10.) Over allerlei mogelijke, al dan niet reeds genoemde toepassing van cryptografische technieken zullen wij hier niet verder uitweiden, omdat ter zake kundigen dergelijke details zelf kunnen invullen.
5 Controleerbaarheid van administraties: digitalisering als bedreiging
Vaak worden administraties bijgehouden en wil men in hoge mate kunnen vertrouwen op de betrouwbaarheid 15 van die administraties. In veel gevallen bereikt men (een deel van) de gewenste betrouwbaarheid door te eisen, respectievelijk ervoor te zorgen, dat de juistheid (authenticiteit) van de administratie in zekere (en liefst hoge) mate (achteraf) controleerbaar is.
B.v. kan de overheid eisen dat in bepaalde gevallen een bepaalde administratie moet worden bijgehouden en dan ook nog op een geschikte (i.e. voldoende controleerbare) wijze. De overheid eist zulks o.a. ten behoeve van door 20 haar gewenste belastingheffing(en). In dit voorbeeld moeten bepaalde administraties dus gecontroleerd kunnen worden op juistheid vanwege een externe partij, in dit geval de overheid. Maar ook bestaat er vaak behoefte aan interne controle, b.v. bij bedrijven.
5.1 Controleerbaarheid in de papieren situatie
In de behoefte aan controleerbaarheid kan op velerlei wijze worden voorzien, o.a. door het opleggen van allerlei 25 boekhoudkundige eisen. In geval van een met de hand bijgehouden papieren boekhouding kan men b.v. eisen dat gebruik van gum of lak (Tipex) verboden is (om wijzigingen achteraf tegen te gaan), dat in schriften geschreven moet worden met inkt (i.p.v. met potlood om het ontdekken van gummen te vergemakkelijken), dat de bladzijden in volgorde vol geschreven moeten worden, dat geen pagina’s mogen worden uitgescheurd of toegevoegd, dat onderaan elke bladzijde bepaalde informatie moet staan (b.v. één of meerdere controlegetallen, zoals b.v. totalen, 30 om wijzigingen op de betreffende bladzijde verder te bemoeilijken), dat bepaalde informatie onderaan een bladzijde op de volgende bladzijde herhaald moet worden (b.v. verplicht transport van de controlegetallen naar de volgende bladzijde om het toevoegen of weglaten van hele pagina’s te bemoeilijken), etc., etc. Merk op dat in de hier geschetste situatie m.n. ook voorkomen moet worden dat een fraudeur later alsnog een alternatieve, valse boekhouding kan creëren door een heel schrift te vervangen door een vals exemplaar.
35 In de zojuist geschetste situatie berust een groot deel van de beveiliging tegen fraude op de mogelijkheid om later forensisch onderzoek te verrichten. Het wapen van forensisch onderzoek kan m.n. ingezet worden bij twijfel aan de authenticiteit van (een deel van) de boekhouding. (We doelen hier dus m.n. op een aantal aspecten van de controle op juistheid, die vallen onder punt 3 van de opsomming in hoofdstuk 1.) Het is dan b.v. mogelijk om f016 142 9 vast te stellen of het papier wel of niet met een gum bewerkt is, maar ook om b.v. de ouderdom van het gebruikte papier, de gebruikte inkt en al dan niet toevallig aanwezige koffievlekken e.d. te bepalen. Aldus kan men o.a. het tijdsverloop bij het schrijven van de boekhouding bepalen en controleren of dit consistent is met andere gegevens, zoals b.v. de inhoud van de boekhouding, waarin b.v. verplicht relevante data (in de betekenis van dagaan-5 duidingen) en tijdstippen kunnen zijn vastgelegd.
5.2 Hoge kosten van fysieke beveiliging
Zoals m.b.v. bovenstaand voorbeeld al in zekere mate is geïllustreerd, berust de beveiliging van administraties tegen fraude thans veelal voor een flink deel op de mogelijkheid van forensisch onderzoek of, beter en meer algemeen geformuleerd, op diverse vormen van fysieke beveiliging. Echter, de kosten van fysieke beveiliging en 10 van bijbehorend forensisch onderzoek worden i.h.a. zeer hoog als een hoog beveiligingsniveau bereikt moet worden. Of anders gezegd, de kosten van fysieke beveiliging hebben de neiging zeer snel (of zelfs steeds sneller) toe te nemen naarmate een hoger beveiligingsniveau nagestreefd wordt. (Zie ook hoofdstuk 4.) 5.3 Digitalisering als bedreiging
De huidige digitalisering (of anders geformuleerd, de toenemende toepassing van ICT) lijkt alles alleen maar 15 moeilijker en kostbaarder te maken, d.w.z. het probleem van de hoge kosten van forensisch onderzoek en meer in het algemeen van fysieke beveiliging lijkt niet opgelost, maar eerder erger te worden. Denk bij dit laatste o.a. aan de goede kopieerbaarheid van digitale informatie en het snel en makkelijk kunnen produceren van een alternatief exemplaar van (een deel van) de boekhouding. (De boekhouding kan b.v. vastgelegd worden op meerdere tapes of op al dan niet eenmalig beschrijfbare CD’s.) Controles m.b.v. forensisch onderzoek is sowieso al geen aan-20 trekkelijke optie meer, maar lijkt in het digitale geval zelfs moeilijker en duurder en daarmee dus nog onaantrekkelijker te worden.
We zullen in onderstaande laten zien dat ICT niet alleen een bedreiging vormt, maar juist ook (letterlijk en figuurlijk) ongekende mogelijkheden biedt om tot oplossingen te komen. Ook oplossingen die in meerdere opzichten gunstig afsteken t.o.v. van de tot nu toe gebruikelijke oplossingen.
25 6 Aangiften en steekproefsgewijze controles m.b.v. ICT als oplossing
Zoals al eerder is gezegd, staat bij een bekende en veel gebruikte aanpak voor het verzamelen van voldoende betrouwbare informatie het doen van aangiften en het steekproefsgewijs controleren van de juistheid van aangiften centraal. Deze aanpak wordt o.a. toegepast t.b.v. de heffing van belastingen, zoals b.v. omzet- of inkomstenbelasting. Bij deze aanpak zijn personen en/of organisaties veelal verplicht een administratie bij te (laten) houden 30 en moeten zij regelmatig (b.v. eens per jaar) en/of bij tijd en wijle (b.v. na elk geautoriseerd verzoek) aangifte doen, d.w.z. op basis van de bijgehouden administratie relevante informatie verstrekken aan de instantie die bepaalde informatie wil verzamelen en belang heeft bij de betrouwbaarheid van de verzamelde informatie. Bij deze aanpak zijn de aangifte-plichtigen verantwoordelijk voor de juistheid van de aangifte en voor de tijdige indiening ervan, terwijl de informatie verzamelende instantie (kortweg: de instantie) o.a. verantwoordelijk is voor 35 het'm.b.v. (steekproefsgewijze) controles afdwingen van een voldoende graad van betrouwbaarheid van de ingediende aangiften. De instantie moet dus over een mogelijkheid beschikken om de juistheid van een willekeurige aangifte voldoende effectief te controleren. In ons eerder gegeven voorbeeld van een met de hand op papier 1016 142 10 bijgehouden administratie zorgen o.a. de papieren boekhouding en de gesuggereerde forensische onderzoekstechnieken voor deze mogelijkheid.
6.1 Het nut van een zeer korte indieningstermyn
De volgende observatie levert een belangrijke bijdrage aan de richting waarin wij de oplossing zoeken. Nadat 5 een aangifte m.b.t. bepaalde relevante gebeurtenissen is ingediend bij de instantie, kan de aangifte-plichtige daar geen wijzigingen meer in aanbrengen zonder dat de instantie in staat is om het feit dat later alsnog wijzigingen zijn aangebracht, op te merken. (Immers, de aangifte-plichtige kan alleen nog wijzigingen aanbrengen in een reeds gedane aangifte door de instantie op de hoogte te stellen van de gewenste wijzigingen.) Dus als men eist dat er direct na elke relevante gebeurtenis aangifte wordt gedaan, dan zijn de fysieke beveiligingen tegen het 10 achteraf aanbrengen van wijzigingen in de er aan ten grondslag liggende administratie helemaal niet meer nodig! Sterker nog, als elke aangifte alle benodigde informatie bevat (wat, zoals we later zullen uitleggen, niet altijd het geval hoeft te zijn), dan hoeft de aangifte-plichtige, althans wat de instantie betreft, (bijna) helemaal geen administratie meer te voeren!
Het is dus in principe mogelijk dat de instantie de (voor het verzamelen van de gewenste betrouwbare informatie 15 en/of voor het innen van de heffing) benodigde administratie zelf als enige bijhoudt. (Dus, het belang van b.v. het tweede controle-aspect genoemd in de opsomming van hoofdstuk 1 kan tot nul worden gereduceerd.)
Natuurlijk kan de aangifte-plichtige ook belang hebben bij het houden van de betreffende administratie of een deel ervan en kan er dus eventueel dubbel geadministreerd worden. Maar in principe is het mogelijk dat de aangifte-plichtige zich steeds beperkt tot het administreren van alle relevante gegevens m.b.t. relevante gebeurtenis-20 sen sinds de laatste aangifte. Deze gegevens worden dan in de volgende aangifte naar de instantie toegestuurd en zouden, althans vanuit het oogpunt van de instantie, direct nadat de instantie ze in goede orde heeft ontvangen niet meer door de aangifte-plichtige bewaard hoeven te worden.
Kortom, wat wij zojuist hebben uitgelegd komt er op neer dat het opleggen van zeer strikte eisen m.b.t. de indie-ningstermijn van aangiften (vrijwel direct na elke relevante gebeurtenis of na elke korte periode met relevante 25 gebeurtenissen) een uitstekende beveiliging biedt tegen het achteraf aanbrengen van frauduleuze wijzigingen. Anders gezegd, nadat een rapportage over een klein stukje geschiedenis heeft plaatsgevonden, ligt die rapportage vast en is dus ook de geschiedenis van de werkelijkheid (min of meer) vastgelegd, omdat men later niet onopgemerkt alsnog wijzigingen kan aanbrengen. Natuurlijk kan men in latere rapportages soms best wijzigingen aanbrengen t.o.v. een eerdere rapportage, b.v. omdat er een vergissing is begaan, maar dan moet men de instantie uit 30 kunnen leggen waarom de eerdere rapportage incorrect was. De bescherming tegen fraude bestaat er dan o.a. uit dat de instantie wantrouwig kan worden (en b.v. een nader onderzoek kan instellen en/of het toezicht kan verscherpen) als een aangifte-plichtige buitensporig vaak wijzigingen blijkt te rapporteren.
6.2 Gebruik van ICT ter realisatie
Voor het kunnen opleggen van zeer stringente eisen m.b.t. de indieningstermijn van aangiften is het nodig dat 35 men de aangifte ook snel en makkelijk genoeg kan samenstellen en snel genoeg kan overdragen aan de instantie. In de traditionele papieren situatie is het b.v. onzinnig om te eisen dat de aangifte de instantie in, zeg, 95% van de gevallen binnen, zeg, één seconde na de relevante gebeurtenis bereikt moet hebben. Bijvoorbeeld is het voor een automobilist onmogelijk om binnen één seconde na het passeren van een tolpunt een schriftelijke aangifte ingediend te hebben bij de tol heffende instantie. (De eventuele mogelijkheid om aangifte te doen van een met f0 16 142 11 grote waarschijnlijkheid aanstaande gebeurtenis, i.e. nog voor de betreffende gebeurtenis werkelijk plaats vindt, willen we hier uitdrukkelijk noemen, maar laten we bij dit voorbeeld even buiten beschouwing.) Bovendien is het ondoenlijk om zo vaak aangifte te doen, d.w.z. zou het normale proces te veel geschaad worden. Bijvoorbeeld kan een automobilist onmogelijk met de hand aangifte doen van elke omwenteling van de aandrijfas van zijn auto 5 en zou een verkoopproces (te) veel hinder kunnen ondervinden als na elke verkooptransactie meteen met de hand schriftelijke aangifte zou moeten worden gedaan.
Dat de bedoelde aanpak met stringente inlevertermijnen toch binnen bereik komt, i.e. wel degelijk realistisch kan zijn, is te danken aan de observatie dat het mogelijk is om m.n. hedendaagse en/of toekomstige Informatie- en Communicatie Technologie (ICT) in te schakelen. Automatisering kan er toe bijdragen dat een aangifte snel 10 genoeg kan worden voorbereid en samengesteld. En moderne communicatiemiddelen kunnen er voor zorgen dat een aangifte vrijwel direct na versturing door de geadresseerde, i.e. de instantie, ontvangen kan worden (zie ook sectie 7.5).
6.3 Enkele van de voordelen
De zojuist geschetste aanpak gebaseerd op aangiften en steekproefsgewijze controles en op het gebruik van In-15 formatie- en Communicatie Technologie (ICT) kan zodanig uitgevoerd worden dat o.a. een betere fraudebestendigheid verkregen kan worden, het gebruik van fysieke beveiliging geminimaliseerd kan worden en (mede daardoor) de kosten van het verzamelen van betrouwbare informatie lager uit kunnen komen. Dit kan niet alleen bestaande toepassingen ten goede komen, maar kan ook nieuwe toepassingen binnen bereik brengen.
7 Aangiften 20 Elk leveren van informatie aan de informatie verzamelende en/of heffing innende instantie betitelen wij als een aangifte. De term aangifte moet dus ruim worden opgevat. De persoon of organisatie die verantwoordelijk is voor een aangifte noemen wij de aangever. De verantwoordelijkheid voor het doen van aangiften (i.e. voor het aanleveren van bepaalde informatie) kan o.a. de verantwoordelijkheid voor één of meer van de drie volgende aspecten betreffen: 1) dat er inderdaad aangifte wordt gedaan, 2) dat de aangifte tijdig plaats vindt, en 3) dat de 25 inhoud van de aangifte juist is. In principe is het misschien mogelijk dat verschillende personen of organisaties verantwoordelijk kunnen zijn voor een verschillend aspect van de aangifte. Om de uitleg eenvoudig te houden, wijden niet verder uit over deze eventuele mogelijkheid en spreken we bij elke aangifte steeds over één bijbehorende aangever. Als de aangever op een of andere wijze verplicht is om een bepaalde aangifte te doen, dan noemen we de aangever ook wel een aangifte-plichtige. Merk op dat er ook aangevers kunnen zijn die niet aangifte-30 plichtig zijn. Denk b.v. aan een persoon die een kooptransactie waarneemt tussen twee andere partijen en die een aantal relevante gegevens m.b.t. de betreffende transactie vrijwillig meldt aan de instantie. Een dergelijke vorm van sociale controle kan bijdragen aan de betrouwbaarheid van de door de instantie verzamelde informatie, resp. aan de fraudebestendigheid.
7.1 Actieve en passieve aangiften resp. aangevers 35 Onder onze termen aangifte en aangever vallen ook passieve aangiften resp. passieve aangevers. We noemen de mogelijkheid dat er passief aangifte wordt gedaan expliciet, omdat het aanleveren van informatie zodanig opgezet en volledig geautomatiseerd kan zijn door de informatie verzamelende en/of heffing innende instantie, dat e.e.a. ogenschijnlijk buiten de bedoelde verantwoordelijke, i.e. de aangever, om geschiedt. In zo’n geval lijkt het 1016142 12 (althans op het eerste gezicht) misschien alsof de bedoelde verantwoordelijke niet als echte aangever betrokken is bij het proces van informatie aanleveren (i.e. bij het aangifte-proces). Daarom benadrukken wij hier dat ook een persoon of organisatie (die geen deel uitmaakt van de instantie en) die slechts verantwoordelijkheid draagt voor het in stand houden van een correct verloop van het proces van informatie aanleveren, onder onze betiteling 5 van aangever (en aangifte-plichtige) valt.
Ter illustratie van deze laatste opmerking geven we het volgende voorbeeld. Stel dat de overheid het innen van tol op bepaalde tolpunten (zeg, op het wegennet, al dan niet bij bruggen, tunnels of dergelijke) als volgt organiseert. Bij elk tolpunt wordt een boodschap uitgezonden die opgevangen wordt door apparatuur in passerende voertuigen. Elk passerend voertuig moet voorzien zijn van een agent, d.w.z. een fraudebestendig, uit hard- en/of 10 software bestaand apparaatje dat namens de instantie bepaalde taken uit kan uitvoeren en dat de instantie in het voertuig representeert (zie ook hoofdstuk 8). Hierbij is het de bedoeling dat de eerder genoemde boodschap uiteindelijk bij de agent, i.e. de (volledig) geautomatiseerde vertegenwoordiger van de tol innende instantie, terecht komt. Als een agent van de instantie in een voertuig de bedoelde boodschap inderdaad ontvangt, neemt deze passende actie, zoals b.v. het aflagen van een tegoed (zodat in feite tol wordt betaald).
15 Hoewel degene die verantwoordelijk is voor het gebruik van het voertuig en/of de betaling van de tol mogelijk niet zichtbaar betrokken is bij dit proces van aanleveren van informatie (over het passeren van een bepaald tolpunt) aan de agent, beschouwen we dit toch als het doen van een aangifte onder de verantwoordelijkheid van de voor het voertuig en/of de betaling van tol verantwoordelijke persoon of organisatie. Immers, essentieel is dat deze laatste niet op een of andere wijze verhindert dat de agent in het voertuig de (juiste) informatie over het 20 passeren van het tolpunt (tijdig) ontvangt. Dus zelfs als bij ons voorbeeld alle betrokken apparatuur en software toebehoort aan (en dus in zekere mate ook onder de verantwoordelijkheid valt van) de tol innende instantie, is er toch sprake van een aangever (aangifte-plichtige) die er voor verantwoordelijk is dat het hele proces onverstoord blijft verlopen.
Vanzelfsprekend is in dit geval de instantie (in ons voorbeeld, de overheid) verantwoordelijk voor het in beginsel 25 juist functioneren van het systeem, maar wordt de tolplichtige verantwoordelijk gesteld voor het toezicht houden op de instandhouding van correcte, ongestoorde werking. M.a.w. de bedoelde aangever is verantwoordelijk voor een blijvend correcte en onbelemmerde werking en wordt verplicht in geval van enig voor hem of haar waarneembaar gebrek (zoals een belemmering of een defect) een passende actie ondernemen, zoals b.v. het onverwijld daarvan melding maken aan de instantie. De instantie zal i.h.a. (laten) controleren of de bedoelde aangever 30 zich houdt aan de hem/haar opgelegde verplichtingen.
Met bovenstaande denken we voldoende duidelijk te hebben gemaakt dat in deze tekst de woorden ‘aangifte’ en ‘aangifte doen’ ruim opgevat moet worden. Het doen van aangifte kan dus o.a. de volgende mogelijkheden betreffen: 1) dat er voor gezorgd wordt dat de vereiste informatie (tijdig) aangeleverd wordt, en/of 2) dat niet verhinderd wordt dat de vereiste informatie (tijdig) geleverd wordt, en/of 3) dat eventuele problemen, tekortkomin-35 gen of belemmeringen (tijdig) gemeld worden.
7.2 De mogelijkheid van onvolledige aangiften
Zoals al eerder is gesuggereerd hoeft een aangifte niet per sé altijd alle relevante gegevens te bevatten m.b.t. de relevante gebeurtenissen in de betreffende periode. Er kan bijvoorbeeld eventueel ook volstaan worden met het slechts sturen van controle-informatie, b.v. in de vorm van één of meerdere controlegetallen (‘checksums’), i.p.v. 40 een volledige aangifte. Zo’n onvolledige aangifte levert geen problemen voor de fraudebestendigheid op als er 1016 142 13 maar voor gezorgd wordt dat de later alsnog in te dienen volledige aangifte in zekere zin al vast ligt, i.e. al voldoende vastligt.
Dit is b.v. voldoende het geval in het navolgende voorbeeld. In dit voorbeeld worden de relevante gebeurtenissen in de periode verstreken sinds de vorige aangifte net als altijd (al dan niet tijdelijk) geadministreerd. Op het mo-5 ment dat aangifte moet worden gedaan, wordt de volledige aangifte samengesteld, maar niet als zodanig meteen verstuurd naar de instantie. In plaats daarvan laat men een niet-inverteerbare, comprimerende vercijfering (i.e. een ‘one-way compression cipher’) los op de aangifte om (via berekening) een bijpassend, allesomvattend kenmerk (i.e. een ‘digest’) te verkrijgen en stuurt men een aangifte met alleen dit kenmerk naar de instantie. De volledige aangifte wordt dan later (al dan niet samengevoegd met andere aangiften) alsnog naar de instantie ge-10 stuurd.
De instantie is in dit voorbeeld beveiligd tegen fraude in de vorm van het later sturen van een valse volledige aangifte, doordat de gebruikte vercijfering niet inverteerbaar (i.e. ‘one-way’) is en het dus onmogelijk maakt om een andere aangifte te vinden waarbij hetzelfde kenmerk (i.e. dezelfde ‘digest’) past.
Voor diegenen die zich afvragen waarom men überhaupt zo’n ogenschijnlijk onnodig omslachtige procedure zou 15 gebruiken, merken we hier nog het volgende op. Het kan b.v. voordelig zijn om via een relatief duur, maar wel voldoende snel communicatiekanaal korte aangiften met slechts controlegetallen te versturen direct na afloop van elke (maximaal) toegestane, korte periode en/of na afloop van het (maximaal) toegestane aantal relevante gebeurtenissen om zo goedkoop mogelijk te voldoen aan de tijdigheidseisen en dan (eventueel pas later) de bijbehorende volledige aangiften te versturen via een veel goedkoper, maar trager communicatiekanaal. (Natuurlijk 20 bedoelen we hier trager in de zin van meer bezorgtijd nodig hebbend, i.e. meer ‘latency’ veroorzakend.)
Als voorbeeld geven we de mogelijkheid om b.v. elke dag (of elk uur, of elk kwartier, of...) een volledige aangifte (i.e. de vereiste administratie, mogelijk in de vorm van een logboek) op een CD-ROM vast te leggen en aan het einde van elke aangifte-periode (i.e. van elke dag, uur, kwartier of ...) alleen het bijpassende controlegetal naar de belastingdienst te sturen. Men kan dan later, zeg aan het eind van iedere maand, de CD-ROMs met de 25 volledige aangiften (van die maand) per post naar de belastingdienst sturen.
7.3 Een tjjd geheim blijvende aangiften
In sommige gevallen kan van aangevers geëist worden dat ze op zodanige wijze aangifte doen dat de inhoud van hun aangifte niet, of in ieder geval niet direct, bekend wordt. B.v. kan de aangever een aangifte zodanig vercijfe-ren dat alleen de instantie in staat is om de vercijfering ongedaan te maken en de feitelijke inhoud te lezen. Door 30 de aangifte echter niet in te dienen bij de instantie, maar bij een vertrouwenswaardige derde partij (Trusted Third Parties ofwel TTP), kan worden voorkomen dat de instantie de aangifte zomaar kan lezen1. Een alternatief is om de aangifte te vercijferen m.b.v. een sleutel die men alleen aan één of meerdere TTPs bekend maakt, en de aangifte wel gewoon bij de instantie in te dienen.
1016 142 N.B. Hier veronderstellen we dat de TTP geen deel uitmaakt van de instantie. We wijken hier dus expliciet af van onze eerdere opmerking dat we voor hét gemak alle betrokken organisaties op één hoop gooien, en wel gezamenlijk onder de noemer van ‘de instantie’. Merk op dat we dus toestaan dat de aangifte eventueel niet bij de instantie, in de nu beperktere zin, wordt ingediend.
14
Op deze wijze kan men direct aangifte doen (i.e. een stuk geschiedenis vastleggen), terwijl de inhoud van het vastgelegde toch pas later onder bepaalde omschreven omstandigheden bekend wordt. Hoewel de controle op de juistheid van de aangifte hierdoor in zekere mate negatief kan worden beïnvloed, blijft in ieder geval de eigenschap in stand dat de aangever een eenmaal vastgelegde geschiedenis niet meer zonder meer kan veranderen.
5 Om een idee te geven van mogelijke toepassingen wordt hier gewezen op het voorbeeld van notulen van kabinetsvergaderingen en -besluiten die vanwege staatsbelang een tijd geheim moeten blijven. Maar onder bepaalde omstandigheden, zoals b.v. in geval van een parlementaire enquête, wil men later toch inzage hebben in de betreffende notulen en tevens de zekerheid hebben dat deze inmiddels niet zijn vervalst.
7.4 Vaak krappe inlevertermün voor aangiften 10 Bij de door ons bedoelde werkwijzen worden i.h.a. naar huidige maatstaven strenge eisen gesteld aan de tijdigheid van het indienen van tenminste een deel van de aangiften, i.e. wordt geëist dat bepaalde aangiften zeer snel na afloop van de betreffende periode en/of gebeurtenissen bij de instantie (waaronder ook begrepen één van haar agenten) of een TTP (Trusted Third Party) moeten zijn ingediend.
Het stellen van zulke strenge eisen heeft het voordeel dat er slechts heel weinig tijd beschikbaar is om een alter-15 natieve, valse geschiedenis te bedenken en nog tijdig weer te geven in een (valse) aangifte. Met andere woorden, de strenge tijdigheidseisen leveren een belangrijke bijdrage aan de gewenste fraudebestendigheid. Vergeet hierbij niet dat het na indiening van een aangifte niet meer mogelijk is om wijzigingen aan te brengen in de gerapporteerde geschiedenis, althans niet zonder dat zoiets door de instantie opgemerkt wordt of kan worden.
De inlevertermijn kan zo krap zijn dat er (vrijwel) direct na een relevante gebeurtenis meteen aangifte moet wor-20 den gedaan. Als zich een gestage stroom van relevante gebeurtenissen voordoet, zal er dan dus ook (vrijwel) continu aangifte moeten worden gedaan. We gebruiken daarom ook wel de formulering dat er sprake is van het vrijwel direct en vaak vrijwel continu doen van aangifte. Voor alle duidelijkheid merken we expliciet op dat de het woord ‘vaak’ misschien wat lichtvaardig gekozen is, zij het bij gebrek aan een betere vondst. Hoe dan ook, laat duidelijk zijn dat er, zelfs als inderdaad steeds onmiddellijk aangifte moet worden gedaan, beslist nog geen 25 sprake hoeft te zijn van continu aangifte doen. Immers, het kan zijn dat zich slechts af en toe een relevante gebeurtenis voordoet.
7.5 Aangiften via een steekproefsgewijs afluisterbaar kanaal
Een bijzonder geval is dat een groot deel van de gedane aangiften de instantie niet eens zal (en hoeft te) bereiken. De instantie hoeft namelijk soms geen moeite te doen om alle aangiften werkelijk te ontvangen. SterkeT nog, de 30 instantie mag dat vaak niet eens i.v.m. de privacybescherming. We zullen e.e.a. toelichten aan de hand van een voorbeeld.
Stel b.v. dat de aangever de plicht heeft vrijwel continu aangifte te doen en wel door zijn aangiften via een zender met een bereik van slechts 100 meter te versturen. Als de aangiften in zekere mate cumulatief zijn (b.v. bepaalde totaalstanden tot dan toe omvatten), dan hoeft de instantie niet per sé al zijn aangiften te ontvangen om 35 toch een goed totaalbeeld te krijgen. Omdat controles slechts steekproefsgewijs hoeven plaats te vinden, kan de instantie volstaan met een aanpak waarbij slechts bij tijd en wijle aangiften van de betreffende aangever worden opgevangen. Soms alleen maar om een voldoende goed totaalbeeld te blijven houden, i.e. om een beeld te houden van de stand van zaken m.b.t. de informatie van de betreffende aangever. Maar soms ook om een steekproefsgewijze controle uit te kunnen oefenen. Het is essentieel voor de fraudebestendigheid dat de aangever niet 1016 142 15 weet welke aangiften de instantie wel en welke de instantie niet zullen bereiken. Want de aangever mag niet weten welke aangiften wel of niet een kans maken om gecontroleerd te gaan worden. Althans, hij of zij mag dat m.b.t. een bepaalde aangifte niet weten vóór het moment van indienen (verzenden) van die aangifte (zie ook sectie 8.3).
5 Een voorbeeld van een toepassing is het opleggen van een kilometerheffing aan automobilisten. Dit kan b.v. als volgt gedaan worden. Tijdens het rijden moet er m.b.v. bepaalde apparatuur vrijwel continu aangifte worden gedaan (i.e. verzonden) betreffende de juiste kilometerstand op dat moment. Stel dat dit gebeurt via een zender met beperkt bereik. Omdat de instantie van een willekeurig traject de lengte kan bepalen en kan gaan controleren of bij passerende auto’s op dat traject de kilometerstand correct wordt opgehoogd en omdat een automobilist niet 10 weet wanneer zo’n controle wel of niet plaats vindt, wordt een automobilist min óf meer gedwongen altijd juiste aangifte te doen. Om een totaalbeeld te krijgen van het aantal afgelegde kilometers door een bepaalde automobilist heeft de instantie voldoende aan het, zeg, slechts eens per week of maand werkelijk opvangen van een aangifte. Ook controles zijn slechts af en toe (nl. steekproefsgewijs) nodig. D.w.z. de instantie hoeft slechts een fractie van alle aangiften te ontvangen.
15 Natuurlijk zijn er veel meer mogelijke toepassingen te bedenken. B.v. zou men op soortgelijke wijze het heffen van omzetbelasting gestalte kunnen geven. Ook is niet alleen communicatie via een zender met een beperkt bereik geschikt voor deze aanpak. Want hetzelfde kan natuurlijk ook bereikt worden met elk ander kanaal dat steekproefsgewijs ‘afgeluisterd’ kan worden. Anders geformuleerd, zo lang de instantie maar in staat kan worden gesteld om zo nu en dan onopgemerkt steekproefsgewijze controles uit te voeren, kan ook elk ander soort kanaal 20 gebruikt worden waarbij slechts een deel van de door de afzender (i.e. de aangever) verstuurde boodschappen (i.e. aangiften) de ontvanger (i.e. de instantie) daadwerkelijk bereikt. We zullen zulke kanalen in het vervolg steekproefsgewijs afluisterbare kanalen noemen.
7.6 Aangiften indienen by een agent
In het volgende hoofdstuk zullen we ingaan op de mogelijkheid van het gebruik van agenten. M.n. komt daarbij 25 de mogelijkheid aan bod dat aangiften kunnen worden ingediend bij agenten.
8 Gebruik van agenten
De term agent gebruiken we voor elke uit apparatuur en/of programmatuur bestaande component waarvoor geldt dat deze: • bij tijd en wijle t.b.v. de instantie actief één of meerdere taken uitvoert, èn 30 · fraudebestendig moet zijn (gezien vanuit het oogpunt van de instantie).
We merken wellicht ten overvloede op dat in het laatstgenoemde punt al opgesloten ligt dat de correcte uitvoering van tenminste één van de in het eerste punt genoemde taken essentieel is voor de bescherming van de belangen van de instantie en dus voor de betrouwbaarheid van de verzamelde informatie en/of van de inning van een heffing. M.a.w. een agent behartigt de belangen van (resp. vertegenwoordigt) de betrokken instantie en betreft 35 een component op het juist, i.e. ongemanipuleerd, functioneren waarvan de instantie kan en moet vertrouwen, juist ook in een vanuit het oogpunt van fraudebestrijding door de instantie als onveilig te bestempelen omgeving. Bedenk bij dit laatste dat agenten zich inderdaad vaak in een als onveilig te bestempelen omgeving zullen bevinden. Want bij typische voorbeelden van het gebruik van agenten hebben de aangifte-plichtigen een agent bij zich 1016 142 16 en/of zijn agenten op andere wijze aanwezig in de nabije omgeving van relevante gebeurtenissen. Denk b.v. aan agenten bevestigd in voertuigen of in kassa’s van winkels.
8.1 Enkele voorbeelden van taken
Om een idee te geven van welke taken een agent eventueel uit kan voeren, zullen we hier een klein aantal expli-5 ciet opnoemen. Een agent kan b.v. aangiften in ontvangst nemen en eventueel ook bij geschikte gelegenheden bepaalde (al dan niet samenvattende) informatie doorgeven aan (de rest van) de instantie. Ook kan een agent eventueel bepaalde controles op de betrouwbaarheid van de verstrekte informatie uitvoeren of helpen uitvoeren. Bepaalde controles kan een agent eventueel geheel en/of geheel zelfstandig uitvoeren, bij andere controles levert de agent eventueel alleen een nuttige bijdrage. Straks zullen we nader ingaan op de bijdrage die agenten kunnen 10 leveren aan steekproefsgewijze controles.
8.2 Het begrip centrale instantie
Een agent is feitelijk een deel van de instantie. (Althans, een agent kan worden gezien als een deel van de instantie en wij doen dat hier.) Dit betekent o.a. dat het indienen van een aangifte bij de instantie ook het indienen van een aangifte bij een agent omvat. Als agenten gebruikt worden, is het vaak handig om (toch) onderscheid te kun-15 nen maken tussen de agenten en de rest van de instantie. Daarom introduceren wij de term centrale instantie voor de rest van de instantie, i.e. de instantie minus de agenten.
8.3 Steekproefsgewijze controle m.b.v. een agent
We gaan nu wat nader in op het feit dat een agent een belangrijke bijdrage kan leveren aan het (kunnen) uitvoeren van steekproefsgewijze controles. Als de instantie (of preciezer geformuleerd, de centrale instantie) contact 20 opneemt (resp. krijgt) met een agent (al dan niet via draadloze communicatie), kan de agent om bepaalde informatie gevraagd worden, zoals b.v. de inhoud van de meest recente aangifte(n). Als de centrale instantie beschikt over een onafhankelijke, betrouwbare waarneming van de gebeurtenissen) in de periode bestreken door een aangifte, dan kan de centrale instantie dus controleren of de betreffende aangifte juist is geweest. Of andersom, als de centrale instantie de gegevens m.b.t. een onafhankelijke, betrouwbare waarneming aan de agent verstrekt, 25 kan deze de bedoelde controle uitvoeren, althans als de agent nog voldoende gegevens van de bijpassende aangifte in zijn bezit heeft. Dit laatste zal meestal inderdaad het geval zijn als het een waarneming van een zeer recente gebeurtenis betreft.
Merk op dat het voor een goede fraudebestendigheid altijd (dus ook als er geen agenten gebruikt worden) van belang is dat de aangifte-plichtige op het moment van aangifte niet (of niet met voldoende kans op juistheid) kan 30 vaststellen of er al dan niet een onafhankelijke waarneming m.b.t. de in de aangifte te rapporteren gebeurtenissen is (of zal worden1) gedaan t.b.v. de instantie. Het kan voor een goede fraudebestendigheid ook van belang zijn dat de aangifte-plichtige niet met voldoende kans op juistheid mag kunnen voorspellen wanneer de centrale instantie wel en wanneer deze niet in contact zal (kunnen) komen, i.e. zal (kunnen) communiceren, met de betreffende agent. Denk bij dit laatste b.v. aan de mogelijkheid dat een agent de volledige inhoud van de ontvangen 1016 142
Let op. Soms kan later iets waargenomen worden dat indirecte, maar voldoende informatie geeft over een eerdere gebeurtenis. Bijvoorbeeld kan soms uit het passeren van een voertuig op een bepaald punt van een snelweg met voldoende zekerheid afgeleid worden dat het voertuig ook een eerder punt (zoals b.v. een tolpunt) moet hebben gepasseerd.
17 aangiften maximaal een kwartier bewaart. Als in dit voorbeeld de aangifte-plichtige wel op een of andere wijze te weten kan komen dat en wanneer de instantie een uur lang zeker geen contact zal hebben met die agent, dan zou hij of zij zonder risico de eerste drie kwartier van dat uur valse aangiften kunnen doen bij die agent. Immers, de aangever weet dan dat die aangiften niet gecontroleerd zullen worden op die aspecten die die agent niet geheel 5 zelfstandig kan controleren en waarvoor dus contact met de centrale instantie nodig is.
8.4 Enkele belangrijke voordelen van het gebruik van agenten
Zoals al eerder is gezegd, is een belangrijk aspect van de tot de vinding behorende werkwijzen dat een aangifte-plichtige kort na afloop van een relevante gebeurtenis al een bepaalde (i.e. volledige of onvolledige) aangifte daarvan moet doen via een modern (i.e. snel) communicatiemiddel. Maar als de instantie zich op een substantiële 10 afstand van de aangifte-plichtige bevindt, is het vaak ondoenlijk of niet praktisch of domweg te duur om op elk willekeurig moment (al dan niet draadloos) een aangifte te kunnen verzenden in de richting van de instantie om te kunnen voldoen aan de plicht tot tijdige aangifte. (N.B. De zojuist gebruikte formulering ‘een aangifte te kunnen verzenden in de richting van’ is wat preciezer dan ‘in contact te kunnen treden met’, omdat de eerste formulering beter weergeeft dat een verzonden aangifte niet altijd hoeft aan te komen. Zie sectie 7.5.) 15 Eén voordeel van het gebruik van agenten is dat tegemoet kan worden gekomen aan dit probleem. Immers, agenten kunnen zich juist wel makkelijk in de nabije omgeving van de aangifte-plichtige en/of van de relevante gebeurtenissen bevinden. M.a.w., (al dan niet draadloze) communicatie van een aangever met een agent kan veel praktischer en goedkoper zijn. Kortom, m.b.v. agenten kan de instantie zijn tentakels tot in allerlei uithoeken uitspreiden.
20 Weliswaar is er ook behoefte aan (al dan niet draadloos) contact tussen agenten en de centrale instantie, maar dat contact hoeft veel minder frequent te zijn (nl. is alleen nodig t.b.v. steekproefsgewijze controles en eventueel ook nog af en toe voor bepaalde rapportages) en vereist bovendien een veel lagere bandbreedte. Het laatste omdat een agent meerdere aangiften kan samenvatten en/of omdat er minder stringente eisen kunnen (en i.h.a. zullen) zijn m.b.t. de tijdigheid van het doorsturen van alle aangiften. (Als aangiften tijdig beland zijn in de veilige han-25 den van een agent, i.e. van de instantie, is daarna het doorsturen naar de centrale instantie i.h.a. niet spoedeisend.)
Een ander belangrijk voordeel van het gebruik van agenten is dat zij een uiterst nuttige bijdrage kunnen leveren aan de privacybescherming. 0.a. kunnen zij het gebruik van identificaties terug dringen. Anders geformuleerd, agenten kunnen o.a. gebruikt worden voor het op zodanige wijze verzamelen en controleren van allerlei informa-30 tie dat het gebruik van privacy bedreigende, unieke identificaties van aangevers en/of van aan hen gerelateerde objecten niet, of nog maar nauwelijks, nodig is.
Agenten hoeven zelf ook niet per sé uniek identificeerbaar te zijn. Maar als ze dat wel zijn, kunnen ze b.v. anoniem verstrekt worden, d.w.z. dat ze op zodanige wijze verstrekt worden dat niet aan de instantie bekend wordt welke agent door welke aangever of door welk gerelateerd object gebruikt wordt. B.v. als de agenten zelf teller-35 standen bijhouden of teüerstanden op aparte middelen (zoals b.v. magneet- of chipkaarten) bijwerken, kan het gebruik van identificaties van aangevers en/of gerelateerde objecten vaak geheel vermeden worden. Voor een duidelijker uitleg met voorbeelden in de context van wegverkeer verwijzen we naar de Nederlandse octrooiaanvrage met nr. 1011501, resp. de PCT-octrooiaanvrage met kenmerk PCT/NL0O/00161.
10 16 142 18 9 Controles in de nabije omgeving van relevante gebeurtenissen
Controles van aangiften hoeven zich niet te beperken tot b.v. het controleren van de onderlinge consistentie (zoals b.v. gebeurt als men controleert of iemands opgegeven salaris overeenkomt met dfe opgave door de werkgever), maar kunnen zich i.h.b. ook uitstrekken tot het zelfstandig waarnemen van de aan de aangifte ten grondslag 5 liggende gebeurtenissen in de werkelijkheid en het vergelijken van wat onafhankelijk waargenomen is met wat beschreven staat in de aangifte.
We geven twee voorbeelden in de context van een verkeersinformatiesysteem t.b.v. het opleggen van verkeers-heffingen. Bij het ene voorbeeld gaat het om een tolheffing bij het passeren van een tolpunt. Men kan dan b.v. de verplichting opleggen dat men aangifte moet doen van het passeren van een tolpunt. We veronderstellen in dit 10 voorbeeld dat de aangifte ingediend wordt bij een agent in de vorm van een chipkaart, die o.a. het nog beschikbare tegoed bij houdt en ook steeds de gegevens van, zeg, de laatste twee aangiften bewaart voor controledoeleinden. Zoals eerder geschetst kan het bedoelde aangifte-proces eventueel volledig geautomatiseerd worden en is er dan slechts sprake van passieve aangiften resp. passieve aangevers. Steekproefsgewijze controle in de nabije omgeving van de betreffende relevante gebeurtenissen betekent in dit geval dat controle in de nabije om-15 geving van het passeren van het tolpunt kan plaatsvinden. Eén mogelijkheid is b.v. dat de instantie iets verder op dezelfde weg voorbij het betreffende tolpunt (maar nog voor er een gelegenheid is voor voertuigen om anders dan via het tolpunt op dit weggedeelte te komen) via telecommunicatie in contact treedt met zijn agent in het gecontroleerde voertuig en bij die agent de gegevens opvraagt over de laatste aangifte om vervolgens de juistheid van die gegevens (b.v. het laatst gepasseerde tolpunt, het soort voertuig en het aantal inzittenden) te controleren 20 door ze te vergelijken met wat de instantie onafhankelijk (van de aangifte) ter plekke van de controle waarneemt. Merk op dat de onafhankelijke waarneming eventueel ook kan plaatsvinden m.b.v. bepaalde hulpmiddelen, zoals b.v. camera’s en/of detectors.
Ons tweede voorbeeld betreft een kilometerheffing. Hiertoe kan b.v. de plicht worden opgelegd dat vanuit elk voertuig vrijwel continu via een zender met slechts een beperkt bereik (zeg, 100 meter) informatie uitgezonden 25 moet worden over de precieze kilometerstand. Dit is een vorm van (zeg maar, cumulatief) aangifte doen, waarbij niet alle aangiften de instantie hoeven te bereiken (zie ook sectie 7.5 en conclusie 3 in hoofdstuk 11 en 12). Een steekproefsgewijze controle in de nabije omgeving van de relevante gebeurtenissen kan in dit geval bestaan uit het opvangen van de vanuit het te controleren voertuig uitgezonden informatie (i.e. de aangiften) op twee punten langs de door het voertuig gevolgde route en de daaruit af te leiden afgelegde afstand te vergelijken met de via 30 een onafhankelijke waameming/meting vastgestelde afstand van het door het voertuig tussen die twee punten afgelegde traject.
Tenslotte geven we nog een voorbeeld in de context van belastingheffing op economisch verkeer. Stel dat men t.b.v. automatische BTW-heffing verplicht wordt elke aan- resp. verkooptransactie te melden aan een agent in de vorm van een chipkaart, die o.a. het saldo van een BTW-tegoed bijhoudt en b.v. ook bepaalde gegevens over de 35 laatste, zeg, 100 transacties. Als bij de verkoop van een produkt aan een particulier, zeg in een winkel, BTW ontvangen wordt oveT het aankoopbedrag, is de winkelier dat bedrag vervolgens verschuldigd aan de belastingdienst. Derhalve betekent aangifte door de winkelier bij (één van) zijn agent(en) van de gedane transactie, dat de betreffende agent van de winkelier zijn BTW-tegoed zal verlagen met het betreffende BTW-bedrag. (Als met dezelfde agent ook inkopen mogen worden gedaan waarvan de BTW voor de winkelier aftrekbaar is, zal bij zo’n 1016 142 19 transactie zijn BTW-tegoed juist verhoogd worden. Het is dus eventueel mogelijk dat bij bepaalde transacties twee agenten betrokken zijn, één van de koper en één van de verkoper, die het BTW-bedrag met elkaar verrekenen.) Met de controle in de nabije omgeving van de betreffende relevante gebeurtenissen wordt in dit voorbeeld dus een controle in de nabije omgeving van de kooptransactie bedoeld. Wanneer een belastingcontroleur zich ten S tijde van de kooptransactie in dezelfde winkel bevindt, kan hij b.v. via draadloze communicatie informatie uitwisselen met de agent en controleren of de aangifte correct was. Natuurlijk kan ook de koper of een willekeurige andere persoon in dezelfde winkel die de verkoop waarneemt (zeg maar, een ‘verklikker’), de transactie (al dan niet elektronisch) melden aan de belastingdienst. De belastingdienst kan dan op zeker moment controleren of de betreffende transactie conform de regels direct aan één van de agenten is gemeld.
10 Als ter plekke of in de nabije omgeving van de relevante gebeurtenissen controles t.o.v. het relevante deel van de werkelijkheid kunnen worden uitgevoerd, dus met de werkelijkheid als vergelijkingsmateriaal, dan komt dat vanzelfsprekend ten goede aan de mate van betrouwbaarheid die bereikt kan worden. Oftewel, dan kan een hogere graad van fraudebestendigheid worden bereikt. M.n. hoger dan wanneer alleen controles plaats vinden door verschillende administraties onderling op consistentie te vergelijken. Kortom, een verbeterde mogelijkheid om in 15 de nabije omgeving van relevante gebeurtenissen controles uit te voeren draagt bij aan het kunnen bereiken van een hogere graad van fraudebestendigheid dan tot nu toe vaak gebruikelijk is.
Verder merken we nog op dat de controles met de onafhankelijk geobserveerde werkelijkheid als vergelijkingsmateriaal vaak direct, i.e. tijdens de betreffende relevante gebeurtenis, plaatsvinden en dus niet achteraf, zoals tot nu toe gebruikelijk is bij het vergelijken van de onderlinge consistentie van binnenkomende aangiften afkomstig 20 van verschillende aangifte-plichtigen.
9.1 Het makkelyker maken van vrijwel directe controles
Overigens kan bij de nieuwe werkwijze ook de controle op onderlinge consistentie vrijwel direct (en dus sneller dan gebruikelijk is) plaats vinden, althans als (zoals voor de hand ligt) voor alle aangevers een krappe inlever-termijn wordt gehanteerd.
25 Het vrijwel direct na afloop van een relevante gebeurtenis kunnen controleren van de bijbehorende aangifte (ook m.b.t. volledigheid en/of juistheid, i.e. in zekere zin het derde controle-aspect in de opsomming van hoofdstuk 1; dus niet alleen t.o.v. andere aangiften, maar eventueel ook t.o.v. de werkelijkheid), respectievelijk het vergemakkelijken van diverse vormen van controle vrijwel direct na afloop van een relevante gebeurtenis, lijkt een aanzienlijk bijdrage te kunnen leveren aan het verbeteren van de fraudebestendigheid t.o.v. de bestaande situatie. 30 Daarbij komt ook nog het feit dat het belang van de door de aangever bij te houden administratie voor de instantie tot (bijna) nul kan worden gereduceerd. Kortom, het tweede controle-aspect in de opsomming van hoofdstuk 1 kan als het ware verdwijnen, wat ook weer gunstig is voor de fraudebestendigheid.
Ter afronding geven we één voorbeeld (in de context van economisch verkeer) van verbetering van de fraudebestendigheid, nl. dat gemakkelijker en sneller uitvoerbare controles een samenzwering van een koper met een 35 verkoper (b.v. met de bedoeling geen omzetbelasting te hoeven betalen) in bepaalde opzichten riskanter maken.
10 Zorgen voor voldoende privacybescherming
Het gebruik van unieke identificaties van aangevers en/of aan hen gerelateerde objecten bij het verzamelen en/of controleren van informatie kan een bedreiging voor de privacybescherming vormen, omdat het tracering van de 1016 142 20 betreffende aangevers en/of de genoemde objecten mogelijk kan maken of vergemakkelijken. Het zo veel mogelijk vermijden van het gebruik van unieke identificaties is daarom i.h.a. goed voor de privacybescherming.
Zoals al eerder is opgemerkt, kunnen agenten m.n. ook gebruikt worden om het gebruik van de bedoelde identificaties terug te dringen en eventueel zelfs volledig te vermijden. Van voldoende terugdringen kan b.v. sprake zijn 5 als de anonimiteit van de aangever en/of het gerelateerde object alleen doorbroken wordt bij bepaalde steekproefsgewijze controles of als er gebruik wordt gemaakt van een slechts steekproefsgewijs afluisterbaar kanaal (zie sectie 7.5). Immers, als m.b.t. een bepaalde aangever slechts een heel enkele keer b.v. zijn positie en/of de door hem of haar verrichte kooptransactie bekend wordt in samenhang met zijn identiteit (i.e. met een unieke identificatie van hem of haar), dan hoeft dat niet per sé een onaanvaardbaar ernstige bedreiging van zijn of haar 10 privacy te betekenen. Voor wat gedetailleerdere voorbeelden (in de context van wegverkeer) van zowel vermijden als terugdringen verwijzen we naar de aan het eind van dit hoofdstuk genoemde octrooiaanvraag.
Echter, ook als er vaker identificaties worden uitgewisseld, b.v. als er wel veel aangiften plaats vinden met daarin de bedoelde unieke identificaties, kan er vaak toch voldoende privacybescherming worden geboden. Dit kan m.n. door gebruik te maken van cryptografische technieken en van jagers en/of intermediairs.
15 Een jager is een organisatie die althans een deel van de communicatiemiddelen die gebruikt worden voor de communicatie tussen aangevers en de instantie, beheert en die een bijdrage levert aan het zoveel mogelijk geheim houden van de positie van een aangever en/of een aan hem of haar gerelateerd object op het moment van verzending van de aangifte.
Een intermediair is een organisatie die onafhankelijk is van de instantie en die t.b.v. de privacybescherming bij 20 de communicatie van aangevers, (en/of gerelateerde objecten) met de instantie fungeert als tussenpersoon. Eventueel kan er gebruik worden gemaakt van een keten van intermediairs.
Door de grote haast waarin deze patentaanvraag moest worden geschreven, is er (helaas) geen tijd meer om in deze tekst dieper op e.e.a. in te gaan. We volstaan daarom met een verwijzing naar de Nederlandse octrooiaanvrage met nr. 1011501, resp. de PCT-octrooiaanvrage met kenmerk PCT/NL00/00161, waarin meer uitleg en 25 details worden gegeven over de mogelijkheden van privacybescherming m.b.v. het gebruik van agenten en/of m.b.v. het gebruik van cryptografische technieken en van jagers en/of intermediairs.
XI Beknopte beschrijving van en toelichting op de vinding resp. de conclusies
De uitvinding is gekenmerkt door een werkwijze voor het verzamelen van voldoende betrouwbare informatie en/of het innen van een heffing door een instantie 30 a) waarbij relevante personen en/of organisaties er voor verantwoordelijk zijn dat bepaalde informatie naar waarheid en/of tijdig aangeleverd wordt, i.e. verantwoordelijk zijn voor het actief of passief doen van aangiften, b) waarbij een essentieel deel van de te leveren informatie, i.e. een essentieel deel van de aangiften, rapportages over een korte periode en/of over een beperkt aantal relevante gebeurtenissen betreft, 35 c) waarbij een essentieel deel van de informatie geleverd wordt, i.e. een essentieel deel van de aangiften gedaan wordt, binnen een beperkte en i.h.a. korte termijn na de betreffende periode en/of gebeurtenissen, d) waarbij het verzamelen, samenstellen en verzenden van de te leveren informatie, i.é. het aangifte-proces, geheel of gedeeltelijk is geautomatiseerd, 1016 1 4 2 21 e) waarbij voor het verzenden (resp. het doen) van (alle of een deel van) de aangiften gebruik wordt gemaakt van moderne communicatiemiddelen, f) waarbij de gewenste betrouwbaarheid (mede) wordt bereikt doordat de juistheid van de verstrekte informatie voor zover nodig door of namens de instantie steekproefsgewijs wordt gecontroleerd 5 g) waarbij het gebruik van fysieke beveiliging in verregaande mate geminimaliseerd kan worden.
Toelichting:
Wat korter en minder precies geformuleerd beschrijft conclusie 1 een werkwijze voor het verzamelen van informatie die aangifte-gebaseerd is èn waarbij vrijwel direct en vaak vrijwel continu aangifte moet worden gedaan èn waarbij het gebruik van ICT onontbeerlijk is èn nauwelijks of geen fysieke beveiliging noodzake-10 lijk is.
Hierbij betekent aangifte-gebaseerd dat de werkwijze gebaseerd is op het laten doen van aangiften en op het t.b.v. de betrouwbaarheid uitvoeren van steekproefsgewijze controles (zie punten a en f). Het vrijwel direct en vaak vrijwel continu aangifte moeten doen drukt uit dat de toegestane inlevertermijn voor aangiften i.h.a. zeer beperkt (en in zekere zin misschien zelfs krap bemeten) is, zodat bij een gestage stroom van relevante 15 gebeurtenissen vrijwel continu aangifte moet worden gedaan (zie punten c en b). Dat het gebruik van ICT onontbeerlijk is drukt uit dat het opleggen van de bedoelde en naar huidige maatstaven meestal krappe inlever-termijnen, resp. het voldoen aan de strenge tijdigheidseisen, mogelijk wordt gemaakt d.m.v. het gebruik van ICT (zie punten d en e). Dat er nauwelijks of geen fysieke beveiliging nodig is drukt uit dat alleen voor agenten fysieke beveiliging noodzakelijk is en dat er dus geen fysieke beveiliging noodzakelijk is van com-20 ponenten in de omgeving van aangevers als er geen gebruik wordt gemaakt van agenten.
Een essentieel punt is dat een aangifte-gebaseerde aanpak op een juiste wijze gecombineerd met het gebruik van ICT en met de hantering van tot nu toe ongebmikelijk stringente tijdigheidseisen een algemeen toepasbare (en aantrekkelijke) werkwijze kan opleveren voor bet verzamelen van (voldoende) betrouwbare informatie. Er zijn heel veel verschillende redenen denkbaar voor het willen verzamelen van voldoende betrouwbare in-25 formatie. Het in rekening willen brengen van een heffing is slechts één van de vele mogelijkheden. Dat het innen van een heffing in de formulering van de vinding als enige expliciet genoemd wordt, heeft de volgende reden. Als bijvoorbeeld de heffing geïnd wordt door agenten saldi op magneet- of chipkaarten (al dan niet dezelfde chipkaarten als waarop de agenten zitten) te laten aflagen, waarbij die kaarten anoniem worden verkocht, dan kan het lijken, resp. zo zijn, dat de instantie centraal geen of nauwelijks informatie verzameld. 30 Bijvoorbeeld kan dan de enige informatie die door de instantie centraal verzameld wordt, de totale opbrengst uit de verkoop van de kaarten met de saldi zijn1. Om elk mogelijk misverstand uit te sluiten hebben we deze belangrijke mogelijkheid daarom voor alle zekerheid toch maar expliciet genoemd.
Ad punt a:
Zie hoofdstuk 7.
10 16 14 2
Althans, bijna de enige informatie, want er wordt ook altijd enige informatie verkregen uit het doen van steekproefsgewijze controles, zoals informatie over hoe goed e.e.a. verloopt. Dus zelfs als de agenten verder geen enkele informatie doorspelen naar het centrale deel van de instantie, dan wordt er centraal toch informatie verzameld. Er lijkt dus op zijn minst iets voor te zeggen dat het apart noemen van het innen van een heffing niet noodzakelijk was.
22
Ad punt b:
Ter illustratie van wat bedoeld wordt, geven we een klein aantal voorbeelden. In de context van verkeers-heffingen kunnen b.v. relevante gebeurtenissen zijn: 1) een (deel van een) omwenteling van de aandrijfas en/of 2) het afgelegd hebben van een bepaalde zeer korte afstand5 (b.v. 1 meter) en/of 3) het beginnen te 5 passeren en/of afronden van het passeren van een tolpunt6.
Bij het beperkte aantal gebeurtenissen en/of de korte periode gerapporteerd in één aangifte kan men dan b.v. denken aan respectievelijk 4 omwentelingen van de aandrijfas, het afgelegd hebben van een korte afstand (b.v. 10 meter) en/of het gepasseerd hebben van 1 tolpunt, dan wel aan de korte periode waarin de respectievelijk genoemde gebeurtenissen plaats hebben gevonden.
10 In de context van het heffen van belasting op economisch verkeer, zeg BTW-heffing, zijn kooptransacties (i.e. aan- en verkooptransacties) vanzelfsprekend (goede voorbeelden van) relevante gebeurtenissen en kan b.v. de eis opgelegd worden dat een aangifte maximaal een periode van 5 minuten en tevens maximaal 8 kooptransacties betreft.
Punt b impliceert dat er in geval van een voldoende omvangrijke stroom van relevante gebeurtenissen 15 sprake zal zijn van een hoge frequentie van het doen van aangifte. Anders gezegd, punt b beschrijft dat er heel vaak aangifte moet worden gedaan, althans als er een bijna continue stroom van relevante gebeurtenissen is.
Ad punt c:
Bij dit punt wordt beschreven dat er bij de bedoelde werkwijzen i.h.a. vrijwel direct (en dus vaak vrijwel 20 continu) aangifte moet worden gedaan. Bedoeld wordt dat er i.h.a. naar huidige maatstaven strenge eisen worden gesteld aan de tijdigheid van het indienen van tenminste een deel van de aangiften, i.e. dat er i.h.a. geëist wordt dat bepaalde aangiften zeer snel na afloop van de betreffende periode en/of gebeurtenissen bij de instantie (waaronder ook begrepen één van haar agenten) of een TTP (Trusted Third Party) moeten zijn ingediend. (Zie ook secties 6.1, 7.3 en 7.4.) 25 Denk bij ons voorbeeld van verkeersheffingen b.v. aan de eis dat de aangifte binnen 0,1 seconde na afloop moet zijn ingediend. Bij ons voorbeeld van BTW-heffing zou b.v. geëist kunnen worden dat de aangifte binnen 1 minuut moet zijn ingediend.
Ad punten b en c:
Voor de keuze van de formulering ‘een essentieel deel van’ in zowel punt b als punt c verwijzen we m.n. 30 naar sectie 7.2, waar uitgelegd wordt dat de strenge tijdigheidseisen zeker niet voor alle aangiften hoeven op te gaan.
De punten b en c hangen vrij nauw met elkaar samen en zijn essentieel voor het kunnen minimaliseren van het gebruik van fysieke beveiliging en het toch kunnen bereiken van een adekwate fraudebestendigheid. (Zie ook secties 6.1 en 7.4.) Beide punten hebben te maken met de bij een gestage stroom van relevante 35 gebeurtenissen hoge frequentie van indienen van aangiften. Immers, als er relatief veel gebeurtenissen zijn en er maar relatief weinig gezamenlijk gerapporteerd mogen worden in één aangifte, dan wel als er een 5 Deze twee eerste voorbeelden passen bij het geval van een continue heffing (die we elders ook wel eens totaal-heffing hebben genoemd), zoals b.v. een kilometerheffing.
6 Dit derde voorbeeld past bij het geval van een discrete heffing, zoals b.v. een passeer- of grensheffing.
f016142 23 lange periode met gebeurtenissen is en elke aangifte slechts een relatief korte deelperiode mag betreffen, dan moet er wel sprake zijn van relatief veel aangiften. Evenzo geldt dat, als het indienen van een aangifte m.b.t. een bepaalde relevante gebeurtenis snel na die gebeurtenis moet plaatsvinden, men dan relatief weinig gebeurtenissen kan opsparen alvorens aangifte te doen. (En men dus relatief vaak aangifte zal 5 moeten doen, tenminste als zich voldoende gebeurtenissen voordoen.) Merk dus op dat in veel gevallen de onder punt b geformuleerde voorwaarde min of meer volgt uit de voorwaarde geformuleerd onder punt c. De punten b en c geven een wezenlijk verschil aan (althans, zijn mede bedoeld om een wezenlijk verschil aan te geven) t.o.v. reeds bestaande toepassingen van een combinatie van aangiften en steekproefsgewijze controles voor het verzamelen van voldoende betrouwbare informatie. Een typisch voorbeeld van het ge-10 bruik van aangiften en steekproefsgewijze controles voor het verzamelen van voldoende betrouwbare in formatie is de werkwijze die momenteel gebruikt wordt (althans in Nederland) voor het heffen van inkomstenbelasting, waarbij men jaarlijks aangifte moet doen. Het bedoelde verschil betreft dan m.n. de tijdigheid (i.e. de toegestane indieningstermijn) en ook de frequentie waarmee aangifte gedaan wordt. (Overigens geldt min of meer hetzelfde b.v. ook voor ons eerdere voorbeeld van BTW-heffing.) 15 Punten b en c zijn dus m.n. ook bedoeld om uit te drukken dat de tijdigheid en de frequentie wezenlijk verschillen (sterk afwijkend zijn) van wat gebruikelijk is. Meer i.h.b. zijn de tijdigheidseisen veel strenger (i.e. zijn de toegestane indieningstermijnen véél korter) en ligt de aangifte-frequentie i.h.a. véél hoger dan tot nu toe gebruikelijk is (bij b.v. het heffen van inkomstenbelasting of BTW). Dit is m.n. het geval om de dreiging die uitgaat van het gemakkelijk kopieerbaar zijn van digitale informatie, té beteugelen of zelfs 20 meer dan te compenseren.
Voor alle duidelijkheid, het verschil lijkt op het eerste gezicht misschien voornamelijk gradueel i.p.v. wezenlijk, nl. een (mogelijk veel) kortere inlevertermijn met daaraan gepaard een (mogelijk veel) hogere frequentie van aangifte doen. Maar dat het verschil wel degelijk wezenlijk is, wordt waarschijnlijk pas duidelijk als we de feitelijke consequentie in een uiterste vorm beschrijven. In de bestaande situatie is er 25 sprake van aangevers die elk t.b.v. de controleerbaarheid van hun aangiften een eigen administratie moe ten voeren, welke dan eventueel gecontroleerd kan worden door de instantie1. Bij gebruik van de bedoelde nieuwe werkwijze kan de nieuwe situatie zijn dat de aangever helemaal geen echte administratie meer hoeft bij te houden, maar alle ‘basisgegevens’ direct middels aangiften naar de instantie moet sturen, die dan feitelijk de benodigde administratie bij houdt. (Het tweede controle-aspect verdwijnt dan als het ware 30 en men kan zich dan dus meer gaan concentreren op m.n. de derde vorm van controles, daarbij geholpen door het feit dat zulke controles ook vergemakkelijkt worden.)
Merk verder op dat juist het gebruik van ICT het mogelijk maakt om vrijwel direct na elke relevante gebeurtenis of korte periode en dus vaak vrijwel continu (i.e. met zeer hoge frequentie) aangifte te doen. Hoewel de introductie van ICT, respectievelijk digitalisering, eerder een bedreiging (b)leek in te houden 35 voor het kunnen inzamelen van voldoende betrouwbare informatie, hebben we hier dus (tenminste voor een deel) al laten zien dat ICT juist ook nieuwe oplossingen mogelijk maakt. Denk hierbij m.n. ook aan oplossingen die zonder gebruik van ICT in de praktijk niet werkelijk haalbaar of adekwaat zouden zijn.
10 16 142
Overigens, bij de controles in de bestaande situatie lijkt de nadruk meestal sterk, i.e. nogal eenzijdig, op de eerste twee controle-aspecten van de opsomming in hoofdstuk 1 te liggen.
24
Ad punt d:
De formulering ‘... geheel of gedeeltelijk is geautomatiseerd’ omvat meerdere betekenissen, waaronder m.n. ook de betekenis dat slechts een deelverzameling van alle aangiften geautomatiseerd hoeft te zijn en/of de betekenis dat slechts een deel van elk (afzonderlijk) aangifte-proces geautomatiseerd hoeft te 5 zijn.
Wat de laatstgenoemde betekenis betreft merken we het volgende op. Inderdaad vraagt de hoge frequentie van aangifte die zich kan voordoen, welhaast om verregaande automatisering van het aangifte-proces. Desalniettemin hoeft niet alles per sé volledig geautomatiseerd te zijn. Er kan dus eventueel wel degelijk een handeling van de verantwoordelijke aangever bij te pas komen. Dat kan heel goed een slechts geringe 10 handeling zijn, zoals b.v. het alleen maar indrukken van een knop ter bevestiging van het akkoord gaan met en het accepteren van de verantwoordelijkheid voor de indiening van een automatisch voorbereide aangifte.
Wat betreft de eerstgenoemde van beide betekenissen merken we op dat o.a. ook de mogelijkheid bestaat dat frequent bepaalde geheel of grotendeels geautomatiseerde aangiften worden gedaan en dat daarnaast 15 (veel) minder frequent meer omvattende, uitgebreidere aangiften worden gedaan waarvan het aangifte- proces in veel mindere mate of zelfs in het geheel niet is geautomatiseerd. Bijvoorbeeld kunnen frequent (vrijwel) geheel geautomatiseerde aangiften worden gedaan die slechts informatie, zoals b.v. controlegetallen (‘checksums’), bevatten die essentieel is voor het mogelijk maken van voldoende sluitende controle door de instantie. En daarnaast worden dan zo nu en dan de bijbehorende volledige aangiften ingediend, 20 waarvan het aangifte-proces niet of slechts voor een klein deel is geautomatiseerd. Merk op dat de laatst genoemde soort aangiften eventueel ook op traditionele wijze, zeg per post, zou kunnen worden ingediend. (Zie ook sectie 7.2 en het volgende punt.)
Ad punt e:
Met name de onder punt c gesuggereerde strenge eisen m.b.t. de tijdigheid maken dat voor het zenden van 25 tenminste een deel van de aangiften moderne communicatiemiddelen gebruikt moeten worden. Met mo derne communicatiemiddelen doelen we m.n. op communicatiemiddelen waarbij een bericht kort na verzending afgeleverd wordt bij de geadresseerde. Dus snelle communicatiemiddelen in de betekenis van een laag oponthoud (i.e. ‘latency’) veroorzakend. We doelen dus niet op verzending per traditionele post, maar o.a. wel op communicatie m.b.v. golven (b.v. geluidsgolven of elektromagnetische golven, waarbij 30 onder de laatsten o.a. begrepen moeten worden: infrarode lichtstralen en/of pulsen, laserstralen en/of pul sen, radiogolven, elektrische geleiding, e.d.) en al dan niet via zenders en ontvangers, een computernetwerk en/of een telecommunicatienetwerk. Zoals aan het eind van de toelichting bij punt d al is geschetst, is het heel goed mogelijk dat een deel van de aangiften niet via een modern communicatiemiddel wordt ingediend (verzonden), omdat voor dat deel van de aangiften volstaan kan worden met veel soepelere (i.e. 35 meer traditionele) tijdigheidseisen. (Zie ook sectie 7.2.)
Ad punten d en e:
Deze beide punten beschrijven het gebruik van ICT bij de bedoelde werkwijze. Zoals inmiddels duidelijk zal zijn is het gebruik van ICT nodig om te kunnen voldoen aan de onder punten b en c geschetste voorwaarden m.b.t. tijdigheid en frequentie. (Zie ook sectie 6.2.) Voor alle duidelijkheid merken we hier ex- 10 16 142 25 pliciet op dat de inzet van ICT meer voordelen kan bieden dan alleen het voldoen aan de onder punten b en c geschetste voorwaarden.
Punten d en e betreffen m.n. een verregaande, zo niet volledige automatisering van het maken en verzenden van een aangifte. Dit wijkt voor zover bekend af van bestaande op aangiften en steekproefsgewijze 5 controle gebaseerde werkwijzen.
Ad punt f:
Om af te kunnen dwingen dat de instantie kan vertrouwen op een voldoende betrouwbaarheid van de aangeleverde informatie (m.n. de inhoud van de aangiften), moet de instantie kunnen beschikken over een mogelijkheid om aangiften te controleren.
10 Denk hierbij dus m.n. aan het controleren van de juistheid van de inhoud van de aangifte. (Want controle op de tijdigheid is i.h.a. zeer eenvoudig.) Voor het bereiken van voldoende betrouwbaarheid, i.e. voldoende fraudebestendigheid, is het voldoende om slechts steekproefsgewijs controle uit te oefenen, althans als het aangeleverd hebben van onjuiste informatie na ontdekking beboet kan worden of op een andere wijze kan worden bestraft. (Omdat het kunnen opleggen van sancties ook van belang is, hebben we 15 in de formulering van punt f tussen haakjes het woord ‘mede’ opgenomen.)
De combinatie van aangiften en steekproefsgewijze controles kan alleen tot een voldoende betrouwbaar-heidsniveau leiden als aangevers i.h.a. niet in staat zijn om vast te stellen welke aangiften wel en welke niet gecontroleerd (zullen) worden. Als slechts voor een aanvaardbaar klein deel van de aangiften de betreffende aangever(s) zulks wel te weten komen en daar ook misbruik van maken, kan er toch sprake zijn 20 van het bereiken van een voldoende niveau van fraudebestendigheid/betrouwbaarheid. (Zie ook hoofdstuk 1, hoofdstuk 6 en sectie 8.3.)
Ad punt g:
Zie m.n. hoofdstuk 4 en secties 5.2,5.3 en 6.1.
In een verdere voorkeursuitvoeringsvorm van een werkwijze overeenkomstig de uitvinding worden de aangiften 25 ingediend bij een agent van de instantie. (Dit is conclusie 2.)
Toelichting:
Zie hoofdstuk 8.
In een verdere voorkeursuitvoeringsvorm van een werkwijze overeenkomstig de uitvinding wordt gebruik gemaakt van een steekproefsgewijs afluisterbaar kanaal, d.w.z. hoeft (resp. zal) slechts een deel van de aangiften de 30 instantie te bereiken èn weet de afzender van een bepaalde aangifte op het moment van verzenden van die aangifte niet of die aangifte de instantie wel of niet zal bereiken. (Dit is conclusie 3.)
Toelichting:
In dit geval worden aangiften niet alleen steekproefsgewijs gecontroleerd, maar worden ze ook slechts steekproefsgewijs ontvangen! Zie sectie 7.5.
35 In een verdere voorkeursuitvoeringsvorm van een werkwijze overeenkomstig de uitvinding worden onvolledige aangiften gebruikt. (Dit is conclusie 4.)
Toelichting:
Zie sectie 7.2.
10 1 6 142 26
In een voorkeursuitvoeringsvorm van een werkwijze volgens de uitvinding worden alle of een deel van de (steekproefsgewijze) controles geheel of gedeeltelijk uitgevoerd in de nabije omgeving van de betreffende relevante gebeurtenissen. (Dit is conclusie 5.)
Toelichting: 5 Zie m.n. hoofdstuk 9.
In een verdere voorkeursuitvoeringsvorm van een werkwijze overeenkomstig de uitvinding wordt onrechtmatige inbreuk op de privacy tegengegaan. (Dit is conclusie 6.)
Toelichting: T.b.v. de privacybescherming kan b.v. gebruik worden gemaakt van een steekproefsgewijs afluisterbaar ka-10 naai en/of van cryptografie en/of van jagers en/of van intermediairs. Zie de hoofdstukken 2 en 10.
In een verdere voorkeursuitvoeringsvorm van een werkwijze overeenkomstig de uitvinding wordt tenminste een deel van de aangiften voor een bepaalde of onbepaalde termijn geheim gehouden. (Dit is conclusie 7.)
Toelichting:
Zie sectie 7.3.
15 De uitvinding heeft tevens betrekking op elk systeem waarbij gebruik wordt gemaakt van een werkwijze overeenkomstig de vinding. (Dit is conclusie 8.) 10 16 142

Claims (4)

12 Conclusies Conclusie 1: Werkwijzen voor het verzamelen van voldoende betrouwbare informatie en/of het innen van een heffing door een instantie 5 a) waarbij relevante personen en/of organisaties er voor verantwoordelijk zijn dat bepaalde informatie naar waarheid en/of tijdig aangeleverd wordt, i.e. verantwoordelijk zijn voor het actief of passief doen van aangiften, b) waarbij een essentieel deel van de te leveren informatie, i.e. een essentieel deel van de aangiften, rapportages over een korte periode en/of over een beperkt aantal relevante gebeurtenissen betreft, 10 c) waarbij een essentieel deel van de informatie geleverd wordt, i.e. een essentieel deel van de aangiften gedaan wordt, binnen een beperkte en i.h.a. korte termijn na de betreffende periode en/of gebeurtenissen, d) waarbij het verzamelen, samenstellen en verzenden van de te leveren informatie, i.e. het aangifte-proces, geheel of gedeeltelijk is geautomatiseerd, e) waarbij voor het verzenden (resp. het doen) van (alle of een deel van) de aangiften gebruik wordt gemaakt 15 van moderne communicatiemiddelen, 0 waarbij de gewenste betrouwbaarheid (mede) wordt bereikt doordat de juistheid van de verstrekte informatie voor zover nodig door of namens de instantie steekproefsgewijs wordt gecontroleerd, g) waarbij het gebruik van fysieke beveiliging in verregaande mate geminimaliseerd kan worden. Conclusie 2:
20 Werkwijze volgens een voorgaande conclusie, waarbij de aangiften worden ingediend bij een agent van de instantie. Conclusie 3: Werkwijze volgens een voorgaande conclusie, waarbij gebruik wordt gemaakt van een steekproefsgewijs af-luisterbaar kanaal, d.w.z. waarbij slechts een deel van de aangiften de instantie zal (respectievelijk, hoeft te) 25 bereiken èn waarbij de afzender van een bepaalde aangifte op het moment van verzenden van die aangifte niet weet of die aangifte de instantie wel of niet zal bereiken. Conclusie 4: Werkwijze volgens een voorgaande conclusie, waarbij onvolledige aangiften worden gebruikt. Conclusie 5:
30 Werkwijze volgens conclusie 1, waarbij alle of een deel van de (steekproefsgewijze) controles geheel of gedeeltelijk uitgevoerd worden in de nabije omgeving van de betreffende relevante gebeurtenissen. Conclusie 6: Werkwijze volgens een voorgaande conclusie, waarbij onrechtmatige inbreuk op de privacy wordt tegengegaan.
35 Conclusie 7: Werkwijze volgens een voorgaande conclusie, waarbij tenminste een deel van de aangiften voor een bepaalde of onbepaalde termijn geheim wordt gehouden. f0 16 142 Conclusie 8: Systeem waarbij gebruik gemaakt wordt van een werkwijze volgens een voorgaande conclusie. 10 16 142
NL1016142A 2000-09-11 2000-09-11 Werkwijze voor het geautomatiseerd verzamelen van betrouwbare informatie en/of innen van een heffing. NL1016142C1 (nl)

Priority Applications (1)

Application Number Priority Date Filing Date Title
NL1016142A NL1016142C1 (nl) 2000-09-11 2000-09-11 Werkwijze voor het geautomatiseerd verzamelen van betrouwbare informatie en/of innen van een heffing.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1016142A NL1016142C1 (nl) 2000-09-11 2000-09-11 Werkwijze voor het geautomatiseerd verzamelen van betrouwbare informatie en/of innen van een heffing.
NL1016142 2000-09-11

Publications (1)

Publication Number Publication Date
NL1016142C1 true NL1016142C1 (nl) 2002-03-12

Family

ID=19772047

Family Applications (1)

Application Number Title Priority Date Filing Date
NL1016142A NL1016142C1 (nl) 2000-09-11 2000-09-11 Werkwijze voor het geautomatiseerd verzamelen van betrouwbare informatie en/of innen van een heffing.

Country Status (1)

Country Link
NL (1) NL1016142C1 (nl)

Similar Documents

Publication Publication Date Title
US11928681B2 (en) System and method for confidentially sharing information across a computer network
Budnitz Privacy protection for consumer transactions in electronic commerce: why self-regulation is inadequate
Wells International Fraud Handbook
Tan Personal privacy in the information age: Comparison of internet data protection regulations in the United Stats and European Union
Chander et al. Cyber laws and IT protection
US20220217154A1 (en) Email certification system
Cate Privacy in perspective
Camp et al. The economics of financial and medical identity theft
Brown et al. Public information management and E-Government: policy and issues
Neace Biometric privacy: Blending employment law with the growth of technology
Buba Waging war against identity theft: Should the United States borrow from the European Union's battalion
Thomas Is Malaysia's MyKad the'One Card to Rule Them All'? The Urgent Need to Develop a Proper Legal Framework for the Protection of Personal Information in Malaysia
NL1016142C1 (nl) Werkwijze voor het geautomatiseerd verzamelen van betrouwbare informatie en/of innen van een heffing.
Camp Economics of Identity Theft: Avoidance, Causes and Possible Cures
Linn Regulating the cross‐border movement of prepaid cards
Bogoeva et al. Blockchain technology in healthcare: Opportunities and challenges
Briscoe On the Cards: privacy, identity and trust in the age of smart technologies
Frieden An introduction to data property ownership rights and data protection responsibilities
Neace Biometric Privacy: Blending Employment Law with the Growth of Technology, 53 UIC J. Marshall L. Rev. 73 (2020)
Luncheon et al. Tales from the Front, at the Front
Boyce Identifying and Protecting Senior Citizens and Vulnerable Adults from Financial Exploitation
Mohamed et al. Customer protection and money laundering in the era of digital currencies: are Malaysian regulations enough to combat?
Karpagam A Survey about Fusion of Blockchain Technology in Various Application Realms
Ratnam et al. It and information security
Ziwa The Effectiveness of Legal Framework On Personal Data Protection in E-Commerce in Kenya

Legal Events

Date Code Title Description
VD1 Lapsed due to non-payment of the annual fee

Effective date: 20050401