De Belastingdienst kan straks iedere B2B factuur meelezen, is dat wenselijk?

Dat is geen fictief scenario, het is een reële mogelijkheid die op tafel ligt. Op 10 maart 2026 is de Kabinetsreactie op het rapport ViDA e-facturatie en digitale rapportage (opent in nieuw tabblad) verschenen, opgesteld door EY in opdracht van het Ministerie van Financiën. Het rapport onderzoekt hoe Nederland de Europese ViDA-richtlijn (VAT in the Digital Age) moet implementeren. 

Namens Moneybird heb ik meegewerkt aan interviews om kennis over Peppol te delen die gebruikt zijn in het rapport. Ook was ik aanwezig bij een rondetafelsessie op het Ministerie van Financiën over de digitale facturatie en rapportageverplichtingen van de aangenomen ViDA-richtlijn. 

In het rapport worden veel zaken goed uiteengezet, het geeft wat mij betreft een heldere inkijk in de stand van zaken en bovenal de taken die Nederland te doen staat. Maar er zit ook een voorstel in waar ik serieuze risico’s voor de samenleving zie: de mogelijke rapportageverplichting voor alle binnenlandse B2B-facturen, welke hand in hand zou moeten gaan met een verplichting op e-facturatie.

Laat me uitleggen wat dat allemaal betekent en waarom we hier een kritisch debat over moeten voeren.

Wat is ViDA en wat verandert er? #

Alle EU-lidstaten kampen met een btw-gat: het verschil tussen wat er aan btw zou moeten binnenkomen en wat er daadwerkelijk wordt geïnd. Carrouselfraude, waarbij handelaren btw innen maar niet afdragen, vaak via schimmige ketens van bedrijven over landsgrenzen heen, is daarbij een hardnekkig probleem. Omdat iedere lidstaat zijn eigen btw-systeem hanteert en informatie-uitwisseling traag verloopt, kunnen fraudeurs relatief eenvoudig uit het zicht blijven. ViDA is het Europese antwoord op dat probleem: door facturen te digitaliseren en de gegevens real-time te delen met belastingdiensten, wordt het speelveld transparanter en kunnen afwijkingen sneller worden gevonden.

ViDA vervangt de huidige ICP-opgave, die niet real-time is en een veel groter risico op belastingfraude kent. Verstuur je als ondernemer een factuur begin januari, dan is de ICP-opgave daarvan pas uiterlijk eind april. Ook is de informatie in de ICP erg summier, er wordt alleen gerapporteerd naar welke entiteit en voor welk bedrag een levering is gedaan. In Nederland zijn er naar schatting 150 miljoen facturen per jaar die onder de ICP vallen.

De Europese Raad heeft daarom in november 2024 de ViDA-richtlijn aangenomen. Vanaf 1 juli 2030 moeten alle EU-lidstaten e-facturatie en digitale rapportage invoeren voor grensoverschrijdende B2B-transacties. Facturen moeten voldoen aan de Europese EN16931-norm. Waarschijnlijk betekent dat in de praktijk dat ondernemers B2B facturen binnen Europa via Peppol moeten gaan versturen. De kerngegevens, waaronder afzender, ontvanger, btw-nummer én factuurregels moeten vrijwel real-time worden gerapporteerd aan nationale belastingdiensten. Dat betekent dat er een centrale database komt in Europa waarin op factuurregel-niveau gegevens staan van alle intracommunautaire leveringen en prestaties.

Tot zover is het verhaal helder. De ViDA-richtlijn is Europees verplicht en biedt kansen voor standaardisatie en efficiëntie, maar tegelijkertijd is de implementatie ervan een pittige uitdaging.

Dan de grote stap: van 150 miljoen naar 1,5 miljard #

De ViDA-richtlijn geeft lidstaten ook de optie om dezelfde rapportage-verplichtingen toe te passen op binnenlandse B2B-transacties. Het EY-rapport adviseert Nederland om dit te doen, het zogenaamde "ViDA-B" scenario.

Dat klinkt als een logische uitbreiding, maar de schaal is fundamenteel anders. We hebben het dan over naar schatting 1,5 miljard binnenlandse B2B-facturen per jaar, waarover de Belastingdienst op factuurregel-niveau gegevens gaat ontvangen en opslaan. Zoals mij nu bekend is, worden dan van iedere factuur de kerngegevens (inclusief beschrijving en bedragen van factuurregels) bij de Belastingdienst opgeslagen.

Laat dat even bezinken. De Belastingdienst zou dan van vrijwel elke zakelijke transactie in Nederland weten: wie levert aan wie, wat wordt er geleverd, in welke hoeveelheden, tegen welke prijzen, en wanneer.

Het belangrijkste argument voor binnenlandse rapportage is het dichten van het btw-gat. Het rapport vermeldt dat Nederland in 2023 bijna 6 miljard euro aan btw-inkomsten misliep. Mijn grote vraag is of de privacy-inbreuk en de risico's van zo'n enorme dataset in verhouding staan tot de te verwachten opbrengst.

Tijdens de diverse bijeenkomsten hebben ik, en andere aanwezigen met mij, te kennen gegeven dat we de risico’s van een dusdanige dataset niet moeten onderschatten.

De risico’s die we onder ogen moeten zien #

Risico 1: Een ongekende data concentratie

Het rapport erkent dat de structurele doorgifte van factuurgegevens aan de Belastingdienst kwalificeert als "grootschalige verwerking van persoonsgegevens." Een centraal uitwisselingspunt voor factuurgegevens wordt aangeduid als "een aantrekkelijk doelwit voor cyberaanvallen."

Bij 1,5 miljard facturen per jaar ontstaat een dataset die een vrijwel compleet beeld geeft van de Nederlandse economie op transactieniveau. Eén datalek, één succesvolle cyberaanval, en de bedrijfsgevoelige informatie van meer dan een miljoen ondernemers ligt op straat. Daarbij is nog maar de vraag waar al deze data worden opgeslagen en in hoeverre de Belastingdienst bij machte is om een dergelijke infrastructuur zelf op te zetten en in eigen beheer te houden.

Hoe actueel dat laatste punt is, bleek in januari 2026 toen de Autoriteit Persoonsgegevens een zeer kritisch rapport publiceerde over de Belastingdienst (opent in nieuw tabblad). Daaruit blijkt dat de dienst honderden intern ontwikkelde applicaties gebruikt die buiten het centrale toezicht zijn ontstaan en waarvan onvoldoende vaststaat of ze voldoen aan de AVG en beveiligingsnormen. Een centraal overzicht ontbreekt, structurele risicoanalyses worden nauwelijks uitgevoerd en bij 65% van de onderzochte applicaties kunnen gegevens worden geëxporteerd terwijl onduidelijk is waar die terechtkomen. 

De AP noemt de Fraude Signalering Voorziening (FSV) als voorbeeld van zo'n applicatie waarmee in het verleden de rechten van burgers ernstig zijn geschaad. 

Ik ben daarom zeer behoudend dat we zomaar blindelings op de Belastingdienst kunnen vertrouwen. De kans is reëel dat dergelijke applicaties ook voor de dataset van 1,5 miljard facturen worden gebouwd.

Risico 2. Doelverbreding: data die voor btw wordt verzameld, maar breder kan worden ingezet

Het rapport noemt zelf dat data van een e-factuur ook kan doorwerken naar "een efficiënter proces voor de IB- en/of Vpb-aangiften." Dat is begrijpelijk vanuit efficiency-oogpunt, maar het illustreert wel hoe snel het gebruik van data zich kan uitbreiden, voorbij het oorspronkelijke doel. Het rapport adviseert ook dat de juridische kaders moeten worden vastgelegd voor "welke partijen binnen de Belastingdienst en (andere instellingen binnen) de overheid toegang hebben tot de ontvangen bedrijfsgegevens."

Het is goed dat het rapport dit punt adresseert. Maar het verdient aandacht: zodra een uitgebreide dataset beschikbaar is, ontstaat er logischerwijs druk om die ook voor andere doeleinden in te zetten. Dat is niet per se kwaadwillend, maar het maakt het des te belangrijker om van tevoren scherp vast te leggen waarvoor de data wél en niet mag worden gebruikt.

Risico 3. Algoritmische risico’s

Het rapport waarschuwt terecht voor "het te snel aanmerken van fouten als geval van fraude" en "de beperkingen in de verstrekte data en daarop gebaseerde, maar mogelijk onjuiste fiscale conclusies." Bij 1,5 miljard facturen is handmatige controle onmogelijk, er zal met algoritmes worden gewerkt. De recente geschiedenis van de Belastingdienst met algoritmische besluitvorming (denk aan de toeslagenaffaire) maakt dit risico niet hypothetisch. Moeten we als samenleving überhaupt willen dat dit risico kan bestaan?

Wat ik als Moneybird zie #

Wij verwerken als boekhoudpakket jaarlijks miljoenen facturen. Als de binnenlandse rapportageverplichting er komt, worden wij en onze collega-softwareleveranciers in feite een verlengstuk van de Belastingdienst. Elke factuur die een ondernemer maakt, wordt automatisch (deels) doorgestuurd naar de overheid.

Ik ben niet tegen e-facturatie. Integendeel, gestructureerde, e-facturen via Peppol zijn een enorme stap vooruit voor ondernemers. Snellere verwerking, minder fouten, betere cashflow. We zijn immers niet voor niets een van de koplopers op het gebied van Peppol adoptie.

Maar de verplichting op e-facturatie is iets fundamenteel anders dan rapportageverplichting voor binnenlandse B2B facturen. Het is het verschil tussen "ondernemers helpen efficiënter te factureren" en "van elke zakelijke transactie in Nederland de details naar de overheid sturen."

Vier vragen die beantwoord moeten worden #

We moeten als ondernemers, softwareleveranciers en als samenleving het debat voeren over de volgende vragen:

Ten eerste: proportionaliteit. Is het verzamelen van gedetailleerde gegevens van 1,5 miljard facturen per jaar proportioneel ten opzichte van het Nederlandse btw-gat?

Ten tweede: databescherming. Welke technische en organisatorische waarborgen worden getroffen om de grootste commerciële dataset van Nederland te beschermen? Wie draagt de verantwoordelijkheid bij een datalek? Is het een mogelijkheid om met meer privacy-by-design minder data op te slaan om ook hetzelfde resultaat te bereiken? 

Voor de taakstelling die de Belastingdienst heeft, kan ook een systeem worden bedacht waarbij gegevens uit een boekhouding uitgevraagd kunnen worden om deze tijdelijk te kunnen onderzoeken.

Ten derde: doelbinding. Wordt wettelijk vastgelegd dat de data uitsluitend voor btw-doeleinden mag worden gebruikt? En hoe wordt voorkomen dat de doeleinden niet stukje bij beetje worden uitgebreid met alle onvoorspelbare gevolgen van dien?

Ten vierde: rechtsbescherming. Hoe wordt voorkomen dat algoritmische analyse van factuurdata leidt tot onterechte verdachtmakingen? Welke transparantie krijgen ondernemers over hoe hun data wordt geanalyseerd?

Het moment is nu #

Het rapport adviseert dat er uiterlijk medio 2028 wetgeving moet zijn aangenomen en dat er in 2026 een internetconsultatie moet komen. De politieke beslissingen worden nu voorbereid. Als we willen dat privacy, rechtsbescherming en proportionaliteit serieus worden meegewogen, dan moeten we nu het gesprek voeren.

E-facturatie is een kans. Maar een centrale database met de details van elke zakelijke transactie in Nederland is ook een risico dat we niet lichtvaardig moeten nemen. Het EY-rapport biedt een degelijke technische basis, maar de fundamentele vraag “Willen we een rapportageverplichting voor binnenlandse btw, en zo ja, onder welke strikte voorwaarden?” verdient een breder en kritischer debat dan tot nu toe is gevoerd. Daarbij zou het voor mij een stuk acceptabeler zijn wanneer de Belastingdienst niet permanent alle factuurgegevens bezit, maar op uitvraag gegevens inzichtelijk krijgt. Binnenlandse digitale btw-rapportage is een optie volgens de richtlijn, we kunnen nog keuzes maken.

Ik nodig ondernemers, privacy-experts, juristen, concullega’s en beleidsmakers en niet te vergeten onze Staatssecretaris Eelco Eerenberg uit, om zeer kritisch het debat te voeren. De digitale toekomst van het Nederlandse bedrijfsleven wordt nu vormgegeven.