Vanaf 12 februari 2009 zijn de regels voor het elektronisch factureren vereenvoudigd door het ministerie van Financiën. Een goede zaak, want met het digitaliseren van de facturatie kunnen enorme kostenbesparingen worden gerealiseerd. Als gevolg van dit besluit accepteert de fiscus bij belastingaangiften voortaan nota’s die via internet zijn verstuurd. Tot voor kort was het elektronisch factureren aan strikte regels gebonden, waarbij de authenticiteit en de integriteit van documenten moest worden gewaarborgd met een geavanceerde digitale handtekening of andere beveiligingsmaatregelen. Door de nieuwe regelgeving is deze extra beveiligingsmaatregel niet meer noodzakelijk en wordt de implementatie van oplossingen volledig aan de markt overgelaten. De vraag is alleen of het ministerie hier goed aan doet. Of bezorgt zij hiermee de Belastingdienst een nieuw hoofdpijndossier?
Door elektronische documenten niet langer te voorzien van een geavanceerde elektronische handtekening kunnen de authenticiteit en de integriteit van digitale facturen niet langer gewaarborgd worden. Dit betekent dat het eenvoudiger wordt om facturen achteraf aan te passen, waarmee de deur wordt opengezet voor frauduleuze handelingen. Bovendien wordt er blindelings van uitgegaan dat ondernemers weten wat zij moeten doen om documenten te beveiligen en vervolgens de juiste maatregelen treffen.
Het ministerie van Financiën zelf is in ieder geval niet helemaal eenduidig in welke vormen van beveiliging kunnen worden ingezet in plaats van een digitale handtekening. Er wordt in ieder geval gesproken over 'beveiligde' pdf-documenten. Er zijn drie belangrijke mogelijkheden voor het beveiligen van pdf-bestanden: wachtwoordbeveiliging, encryptie op basis van digitale handtekeningen en digital rights management (drm). Wachtwoordbeveiliging is de meest voorkomende vorm van beveiliging en biedt onder normale omstandigheden minimaal de opties om beperkingen in te stellen voor het kunnen aanpassen van informatie in een pdf-document, het kunnen kopiëren van inhoud uit een pdf-document en het kunnen printen van een pdf-document. Het ontbreken van wachtwoordbeveiliging is zeer gevaarlijk. Hierdoor kan een document eenvoudig worden aangepast met een pdf-editor. Het hoeft weinig betoog dat dit zeker voor elektronische facturen zeer veel risico’s met zich mee kan dragen.
Het ministerie gaat echter nog een stapje verder en adviseert ondernemers via haar website om ‘gratis’ pdf-creatietools te downloaden van internet. De kans is groot dat ambtenaren van het Ministerie van Financiën zelf geen toestemming krijgen van de ict-afdeling om gratis software te downloaden van internet, omdat hiermee de kans op virussen en malware aanzienlijk toeneemt. Toch wordt dit advies wel aan ondernemers gegeven. Ook wordt geen rekening gehouden met het feit dat niet alle pdf-creatietools dezelfde functionaliteit bieden. De meeste gratis pdf-creatietools produceren verouderde versies van pdf, meestal pdf 1.4, terwijl het nieuwste pdf-standaard 1.7 is. Hoe ouder het gebruikte pdf-bestandsformaat is, hoe minder functionaliteit de pdf biedt en hoe lager het beveiligingsniveau. Veel ondernemers zijn hier niet van op de hoogte en kunnen daarom niet goed kiezen welke pdf-creatietools zij het beste kunnen gebruiken. Gratis pdf-creatietools zijn prima voor huis-, tuin- en keukengebruik, maar zijn minder geschikt voor zakelijk gebruik. De overheid zou echter moeten zorgen voor betere voorlichting en organisaties moeten helpen om de kosten te reduceren op een veilige en verantwoorde manier.
Liggen ondernemers hier wakker van? Waarschijnlijk niet, want zo lang zij niet merken dat de informatiebeveiliging niet op orde is, zullen zij ook geen actie ondernemen. Het blijkt in de praktijk keer op keer dat er nog altijd te weinig bewustzijn is op het gebied van informatiebeveiliging. Voor de fiscus zal snel genoeg blijken wat de consequenties zijn van de nieuwe richtlijnen wanneer zij al deze documenten gaan verwerken. Dan wordt duidelijk of elektronisch factureren het ei van Columbus is of het paard van Troje.
Makkelijker kunnen ze het wel maken!
Let wel, de staatssecretaris is volgende de premier wel de Bill Gates van Nederland.
Welicht daarom lijkt het eenvoudig maar wijzen latere uitlatingen van dhr De Jager op een grote verantwoordelijkheid voor de ondernemers.
Is het niet eenvoudiger om deze beveiligings- en fraudeproblemen op te lossen door een site te maken waar deze elektronische facturen doorgestuurd worden naar de plaats van bestemming. Tevens moet daar een kopie van het document worden opgeslagen zodanig dat het door de ontvangende- en verzendende partij geraadpleegd (alleen lezen)kan worden. Het beheer van deze site zou in handen kunnen zijn van de KVK’s of de belastingdienst.
Grote financiele instellingen en dienstverleners werken allang met centrale databases waar gedigitaliseerde kopieen van facturen worden opgeslagen. Als een klant een kopiefactuur wil kunnen medewerkers via een eenvoudig programmaatje de gewenste factuur opzoeken en kan hij die dezelfde dag nog krijgen.
In de lijn van wat WHT hierboven zegt zou voor ondernemers misschien een leuk tooltje ontwikkeld kunnen worden dat er voor zorgt dat een gedigitaliseerde factuur een unieke referentie krijgt en niet alleen naar de klant wordt verzonden maar ook naar zo?n centrale (beveiligde) database. Wanneer iemand een kopie van die factuur voor belastingdoeleinden wil gebruiken moet hij dat doen via een linkje in de mail bij de factuur, of misschien een linkje op de elektronische factuur zelf. Als hij dit aanklikt wordt verbinding gemaakt met de database en gaat er een opdrachtschermpje open waarin hij enkele essenti?le gegevens kan invullen (zijn BSN, de unieke referentie en mogelijk zelfs een koppeling aan bijvoorbeeld een (eveneens elektronische) aangifte, aanvraag of verzoek. Na bevestiging van de opdracht wordt op basis van de gegevens de (gegarandeerd onbewerkte) factuur opgehaald, gekoppeld en doorgezonden naar de belastingdienst. Facturen worden na vijf jaar uit de database verwijderd.
Er zijn ook weer genoeg PDF decryptie en paswoord kraak programma’s op de markt. Dus PDF beveiligen is weinig zinvol.
Bovendien wat voor beveiliging zit er op een papieren factuur? Met wat creativiteit en de juiste apparatuur is dat ook makkelijk na te maken.
Je kunt een PDF voorzien van een signature. Deze ondertekent de PDF zoals hij ten tijde van het zetten daarvan is. Je kunt hem wel aanpassen maar de signature is alleen goed in de originele versie. Simpel maar doeltreffend. En voor wat betreft de gratis tools. Ja, daar ben ik het mee eens die zijn vaak van mindere kwaliteit. Maar ontbrekende functionaliteit in 1.4 t.o.v. 1.7? Dat wil je toch als ondernemer niet? Je klant gebruikt immers misschien wel een 1.5 reader.
De overheid moet geen rol gaan spelen in de software-ondersteuning van het elektronisch factureren en het bewaren daarvan. De wettelijke administratieplicht is nu zo vrij dat de ondernemer zelf invulling kan geven in hoe en wat, overheidsinmenging is daarbij volstrekt overbodig. Als het voor de belastingheffing noodzakelijk is kan er altijd nog uitgewisseld worden.
Voor kleine ondernemers zijn er online gratis tools beschikbaar. Deze diensten zijn veelal gratis of kosten weinig per factuur/maand. Facturen worden opgeslagen in de cloud dus de gebruiker heeft geen zorgen over backup en de gegevens zijn vanaf elke locatie d.m.v. het internet bereikbaar. Een overzicht van aanbieders, mogelijkheden en prijzen staan op http://www.onlinefactureren.net