Aanbieders van betaaldiensten in lidstaten van de EU moeten begunstigden (ontvangers) van grensoverschrijdende betalingen gaan monitoren. Gegevens van rekeninghouders die meer dan 25 grensoverschrijdende betalingen per kwartaal ontvangen worden gerapporteerd aan de nationale autoriteiten, bij ons de Belastingdienst. De drempel van 25 betalingen is bedoeld om niet-commerciële grensoverschrijdende betalingen buiten de registratieplicht te houden. Deze informatie zal vervolgens gecentraliseerd worden opgeslagen in de Europese database CESOP1, waar het zal worden geaggregeerd en gekoppeld aan andere databases. De informatie in CESOP wordt via het Eurofisc-netwerk beschikbaar gesteld aan opsporingsautoriteiten van alle lidstaten. Het in 2010 opgerichte Eurofisc is een multilateriaal netwerk van deskundigen op het gebied van btw-fraudebestrijding.2
Het gecentraliseerde CESOP beoogt belastingautoriteiten van lidstaten een nieuw instrument te geven om btw-fraude bij e-commerce op te sporen. Met het gebruik van betalingsgegevens zouden de lidstaten de benodigde informatie moeten hebben om verkopers in het buitenland te kunnen identificeren, die goederen of diensten leveren op hun grondgebied te kunnen identificeren. Niet meedoen is geen optie: Nederlandse betaaldienstaanbieders die niet meewerken riskeren sinds januari 2024 forse boetes.
CESOP is in Nederland per 1 januari 2024 geïmplementeerd in de nieuwe afdeling 6 van hoofdstuk VI (Algemene verplichtingen voor betalingsdienstaanbieders) van de Wet OB 1968.3 In artikel 39a worden alle begrippen (zoals betaler, betaling, betaalrekening) gedefinieerd, in artikel 39b wordt de registratieplicht ingevoerd voor betalingsdienstaanbieders en in artikel 39c worden de regels gegeven om de locatie van de begunstigde en de betaler te bepalen (b.v. via de IBAN/BIC).
Artikel 39b Wet OB luidt: “Betalingsdienstaanbieders houden voldoende nauwkeurige registers van begunstigden en van betalingen betreffende betalingsdiensten die zij voor elk kalenderkwartaal verlenen, teneinde de bevoegde autoriteiten van de lidstaten in staat te stellen controles uit te oefenen op de leveringen van goederen en diensten die overeenkomstig de bepalingen van hoofdstuk II, afdelingen 1a en 1b geacht worden plaats te vinden in een lidstaat, om de doelstelling inzake bestrijding van btw-fraude te behalen.”
In artikel 39d, Wet OB 1968 worden de gegevens opgesomd die de betalingsdienstaanbieders moeten opnemen in hun registers. Het betreft informatie over:
- de identificatie van de betalingsdienstaanbieder die de gegevens bewaart,
- de identificatie van de begunstigde (diens adres, btw-identificatienummer, IBAN/BIC),
- de door de begunstigde ontvangen betalingen en
- de betalingstransactie zelf, zoals het bedrag, de valuta, de datum, de oorsprong van de betaling en aanwijzingen voor een eventuele terugbetaling.
De verplichtingen vanuit CESOP zijn niet vrijblijvend. Onder ‘betalingsdienstaanbieders’ vallen kredietinstellingen, instellingen voor elektronisch geld, betalingsinstellingen en postcheque-en-girodiensten die betalingsdiensten aanbieden.4 Al deze instellingen lopen sidns 1 januari 2024 een risico op forse bestuurlijke boetes.
Uit het nieuwe artikel 41 Wet OB volgt dat indien het aan opzet of grove schuld van de betalingsdienstaanbieder is te wijten dat de meldingsverplichtingen niet worden nagekomen, dit een vergrijp vormt waarvoor de inspecteur een bestuurlijke boete van ten hoogste het bedrag van de zesde categorie kan opleggen (per 1 januari 2024: € 1.030.000). Dit lid is van overeenkomstige toepassing ingeval een betalingsdienstaanbieder betaalgegevens aan de Belastingdienst aanlevert die betrekking hebben op minder dan 26 grensoverschrijdende betalingen aan dezelfde begunstigde in de loop van een kalenderkwartaal. Dit artikellid lijkt een erop gericht te zijn om onverplichte registratie beboetbaar te maken, maar de wetsgeschiedenis maakt dit niet duidelijk. In het derde lid van artikel 41 is een verjaringstermijn van 5 kalenderjaren opgenomen.5
Ten aanzien van de betaler (consument) moeten instellingen de locatie registreren, nu dit van belang zou kunnen zijn om te bepalen waar in de Unie btw verschuldigd kan zijn. De betalingsdienstaanbieders moeten, indien beschikbaar, ook registers bijhouden van alle btw- of fiscale identificatienummers van de begunstigde. De belastingautoriteiten van de lidstaten hebben de btw-identificatienummers nodig om belastingplichtigen voor de btw te kunnen identificeren. Zo kunnen zij de betalingsgegevens van deze begunstigden vergelijken met de btw-meldingen voor het éénloketsysteem.
Het systeem zou zijn ontworpen om de administratieve lasten voor betalingsdienstaanbieders te beperken door gegevens te verzamelen via een geharmoniseerd standaardformulier en de verzamelde gegevens te beperken tot wat noodzakelijk is om de verkopers te identificeren en btw-fraude in de e-handel te bestrijden. In de praktijk lijkt CESOP is een zoveelste voorbeeld van de informatiehonger van de overheid onder het mom van ‘fraudebestrijding’. Al eerder zagen we de uitwassen van een overheid die zijn controle- en opsporingstaak neerlegt bij private partijen. De doorgeslagen poortwachtersfunctie van banken in het kader van de Wwft-meldplicht wordt nu uitgebreid met een plicht om klanten te monitoren en hun gegevens af te staan aan een pan-europese database. Dit alles op straffe van boetes. Een kwalijke ontwikkeling.
De beginselen van dataminimalisatie en opslagbeperking lijken volkomen te worden genegeerd. tot CESOP zal al snel honderden miljarden betaalgegevens van particulieren bevatten, waarmee met alleen al de locatiedata gemakkelijk een beeld kan worden gevormd van het privé-leven. De privacy risico’s zijn evident, alsmede het risico op ‘function creep’. Nu al kunnen de CESOP gegevens in theorie ook door overheden worden gebruikt voor de vaststelling van de grondslag, de inning of de administratieve controle van andere belastingen. Ook kan CESOP worden benut voor gerechtelijke procedures die tot boetes kunnen leiden en die worden ingesteld in verband met ‘inbreuken op de belastingwetgeving’.6 De datahonger van de overheid, gedreven door de belofte van fraudebestrijding, balanceert meer en meer op het randje van massasurveillance.
[1] Central Electronic System of Payment information (CESOP) – European Commission (europa.eu) Richtlijn (EU) 2020/284 van de Raad van 18 februari 2020 tot wijziging van Richtlijn 2006/112/EG wat betreft de invoering van bepaalde voorschriften voor Betalingsdienstaanbieders en Verordening (EU) 2020/283 van de Raad van 18 februari 2020 tot wijziging van Verordening (EU) nr. 904/2010 wat betreft maatregelen ter versterking van de administratieve samenwerking om btw-fraude te bestrijden.
[2] VAT and Administrative Cooperation – European Commission (europa.eu)
[3] wetten.nl – Regeling – Wet op de omzetbelasting 1968 – BWBR0002629 (overheid.nl)
[4] TAXUD-2022-00763-00-02-CESOP NL-TRA-00.pdf (europa.eu)
[5] Art 41 lid 3 Wet OB De bevoegdheid tot het opleggen van de in het eerste lid bedoelde boete vervalt, in afwijking van artikel 5:45, tweede lid, van de Algemene wet bestuursrecht, door het verloop van vijf jaren na het einde van het kalenderjaar waarin de in Hoofdstuk VI, afdeling 6 genoemde verplichtingen zijn ontstaan.
[6] Zie artikel 55 lid 1 Verordening (EU) nr. 904/2010 van de Raad van 7 oktober 2010 betreffende de administratieve samenwerking en de bestrijding van fraude op het gebied van de belasting over de toegevoegde waarde (herschikking) EUR-Lex – 02010R0904-20240101 – EN – EUR-Lex (europa.eu)