De Belastingdienst stapt over op een nieuwe huisbank. De wissel volgt na een Europese aanbesteding door het Ministerie van Financiën. De operatie raakt miljoenen betalingen in Nederland, van toeslagen tot teruggaven. Het raakt ook regels als de AVG en de Europese AI-verordening, met gevolgen voor de overheid.
Overstap naar nieuwe huisbank
De huisbank regelt het dagelijkse betalingsverkeer voor de Belastingdienst en aanverwante diensten zoals Toeslagen. De keuze voor een nieuwe partij gebeurt via een Europese aanbesteding om prijs, continuïteit en veiligheid te borgen. Het Agentschap van de Generale Thesaurie, onderdeel van Financiën, is verantwoordelijk voor deze inkoop en het beheer. De uitvoering gebeurt in nauwe samenwerking met de Belastingdienst en de geselecteerde bank.
De belangrijkste opdracht: betalingen en incasso’s zonder onderbreking laten doorgaan. Het gaat om salarissen van medewerkers, teruggaaf inkomstenbelasting en uitbetalingen van kinderopvangtoeslag en zorgtoeslag. Ook binnenkomende betalingen, zoals aanslagen en naheffingen, lopen via deze bankkanalen. Stabiliteit en foutloze verwerking staan daarom centraal bij de overstap.
De Nederlandsche Bank houdt toezicht op de bankensector en kijkt naar de weerbaarheid van betalingsverkeer. Daarnaast gelden sectorregels als SEPA-standaarden voor eurobetalingen en PSD2 voor toegang tot betaalrekeningen. De nieuwe huisbank moet aantoonbaar voldoen aan deze kaders. Eventuele wijzigingen in processen worden vooraf getest en gefaseerd ingevoerd.
“Een huisbank is de commerciële bank die voor het Rijk het dagelijkse betalingsverkeer uitvoert, zoals uitkeringen, toeslagen en terugbetalingen.”
Wat merkt de burger
Voor burgers en bedrijven blijft de dienstverlening in de basis gelijk. Aanslagen kunt u blijven betalen via iDEAL of overboeking met het bekende betalingskenmerk. Teruggaven en toeslagen komen zoals gebruikelijk op het door u opgegeven rekeningnummer binnen. De bedoeling is dat u zo min mogelijk van de wissel merkt.
Een mogelijk zichtbaar verschil is een nieuw IBAN van de ontvanger aan overheidzijde. Als dat speelt, communiceert de Belastingdienst dit alleen via officiële kanalen, zoals MijnOverheid, brieven of de website. Dit helpt phishing te voorkomen, waarbij criminelen valse rekeningnummers gebruiken. Controleer daarom altijd het betalingskenmerk en gebruik bij voorkeur iDEAL vanuit het portaal.
Automatische incasso’s en betaalafspraken blijven in principe doorlopen. Als een herbevestiging nodig is, volgt daarover tijdige informatie. Voor getroffen burgers blijven termijnen, bezwaarmogelijkheden en wettige betaalroutes ongewijzigd. De overstap verandert niets aan rechten en plichten uit de belastingwet.
Techniek achter massabetalingen
Achter de schermen draait dit op bankstandaarden zoals ISO 20022, een afgesproken formaat voor betaal- en rapportberichten. Denk aan bestandsstromen voor uitgaande betalingen en retourbestanden met status en afschriftregels. Deze berichten gaan versleuteld heen en weer via beveiligde kanalen en API-koppelingen. Zo kan de Belastingdienst snel afletteren en fouten herstellen.
De migratie gebeurt stapsgewijs om risico’s te beperken. Eerst gaan kleine, minder kritieke stromen over, daarna volgen piekstromen zoals teruggaven rond de aangifteperiode. Voor elk onderdeel is er een fallback-plan naar de oude route. Zo blijft de continuïteit ook bij storingen of onverwachte uitval gewaarborgd.
Naast techniek zijn er organisatorische afspraken nodig. Serviceniveaus (SLA’s) dekken beschikbaarheid, hersteltijden en capaciteit tijdens pieken. Sinds de Europese DORA-regels voor financiële weerbaarheid gelden, moeten banken en hun IT-leveranciers aantonen dat ze cyberaanvallen en uitval aankunnen. Dat is extra belangrijk bij publieke betalingen met grote maatschappelijke impact.
Privacy en AVG-regels
Bij betalingen verwerkt de overheid persoonsgegevens, zoals naam, IBAN en bedragen. De Algemene verordening gegevensbescherming (AVG) schrijft dataminimalisatie, duidelijke doelen en bewaartermijnen voor. De Belastingdienst sluit daarvoor verwerkersafspraken met de bank en voert waar nodig een Data Protection Impact Assessment (DPIA) uit. Dit beperkt onnodige gegevensuitwisseling en regelt wie wat mag inzien.
Gegevens gaan versleuteld over de lijn en staan versleuteld opgeslagen, met toegangscontrole op basis van rol en noodzaak. Logging maakt later na te gaan wie wat heeft gedaan, wat helpt bij audits en incidentonderzoek. Burgers houden hun bestaande rechten, zoals inzage en correctie waar toepasselijk. Fraudepreventie en wettelijke bewaarplichten blijven wel randvoorwaarden.
De bank valt onder toezicht op witwasbestrijding (Wwft) en moet transacties monitoren. Dat mag, maar alleen binnen wettelijke doelen en met passende waarborgen. Uitwisseling met de Belastingdienst is beperkt tot wat strikt nodig is voor uitvoering van de wet. Commercieel hergebruik van data is uitgesloten.
AI-verordening en risicomodellen
Banken en overheid gebruiken algoritmen om risico’s te signaleren, zoals ongebruikelijke transacties of mogelijke fraude. Als zulke systemen bijdragen aan besluiten over publieke diensten of burgers, kunnen ze onder de Europese AI-verordening als hoog-risico gelden. Dan zijn extra eisen van kracht, zoals menselijk toezicht, documentatie, logging en uitleg over uitkomsten. Dit komt bovenop bestaande AVG-verplichtingen.
De Belastingdienst gebruikt risicomodellen voor toezicht en handhaving, met vooraf bepaalde regels en soms machine learning. Bij de migratie moeten koppelingen met deze systemen zorgvuldig getest worden. Belangrijk is dat de nieuwe bankinterfaces dezelfde datakwaliteit en timing leveren. Anders kunnen foutmarges of vertragingen toenemen, met directe gevolgen voor burgers.
Transparantie over het gebruik van algoritmen blijft essentieel. Heldere processen, proportioneel datagebruik en mogelijkheden voor bezwaar horen daarbij. Op het moment van schrijven werkt de EU aan de praktische invoeringstermijnen van de AI-verordening. Overheidsorganisaties krijgen daarmee een duidelijker kader voor inzet van digitale besluitvorming.
