Aansluiten op SBR voor de aangiftes IB/VpB Voor aangiftes IB en VpB die system-to-system worden ingediend is SBR via Digipoort per 1 januari 2013 het exclusieve aanleverkanaal. In 3 praktische stappen
Versie: 1.0 Datum: juni 2012
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
Inhoudsopgave 1 2
Inleiding ...............................................................................................................3 Beschik tijdig over een PKIoverheid services certificaat ...............................................4 2.1 Abonneeregistratie ...........................................................................................4 2.2 Face-to-face controle ........................................................................................5 2.3 Aanvragen certificaat ........................................................................................5 2.4 Specifieke aanvraagprocedure per CSP ...............................................................5 2.5 Installeer het PKIoverheid services certificaat ......................................................6 2.6 Aandachtspunten .............................................................................................6 3 Beschik over SBR-ready fiscale aangiftesoftware ........................................................8 4 Vraag machtigingen aan om SBA’s te kunnen ontvangen ............................................9
-2-
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
1
Inleiding
Dit document is bedoeld om aanleveraars van aangiftes inkomstenbelasting (IB) en vennootschapsbelasting (VpB) duidelijkheid te verschaffen over hoe zij ervoor kunnen zorgen dat ze op tijd klaar zijn om conform SBR aan te leveren. SBR is een nieuwe standaard voor system-to-system aanleveringen van aangiftes en andere berichten tussen ondernemingen en overheid. Voor de aangiftes IB en VpB is het per 1 januari 2013 alleen nog maar mogelijk conform SBR aan te leveren zoals eind mei 2011 is afgekondigd door de Nederlandse overheid. Aanleveraars die de aangiftes via de site van de Belastingdienst verzorgen, zullen niets van SBR merken. Zij kunnen deze aangiftes op dezelfde manier blijven invullen. De genoemde stappen in deze aansluitnotitie dienen dus niet te worden gevolgd. Met de overgang van BAPI naar SBR wijzigen het bestandsformaat, de systematiek van machtigingen (t.b.v. SBA’s) en de wijze van verzending en beveiliging. Om echter niet te veel in de techniek te verzanden beschrijft dit document op praktische wijze de stappen om conform SBR te kunnen aanleveren en te ontvangen. De volgende drie stappen worden onderscheiden: 1. Beschik tijdig over een PKIoverheid services certificaat 2. Zorg voor geschikte fiscale aangiftesoftware 3. Vraag machtigingen aan om SBA’s1 te kunnen ontvangen. Elke stap wordt in een navolgend hoofdstuk nader beschreven.
1
Service Bericht Aanslag. Voorheen bekend onder de naam EKA (Elektronische Kopie Aanslag)
-3-
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
2
Beschik tijdig over een PKIoverheid services certificaat
Aanlevering via SBR kan alleen met een PKIoverheid services certificaat1. Aanvraag kunt u doen bij één van de momenteel vier Certification Service Providers (CSP’s). De certificaten die zij leveren voor SBR aanleveringen via Digipoort zijn identiek. Dit betekent dat u uw certificaat niet via uw softwarepakket aanvraagt, zoals u bij BAPI bent gewend. Als u als intermediair SBA’s wilt ontvangen, dan dient u te beschikken over een eigen PKIoverheid services certificaat. Aanbieders De CSP’s2 die PKIoverheid services certificaten leveren zijn: Digidentity (https://www.digidentity.eu/) ESG (http://www.de-electronische-signatuur.nl/) KPN (http://certificaat.kpn.com/) QuoVadis (http://www.quovadisglobal.nl/) Als intermediair kunt u het beste zo snel mogelijk een PKIoverheid services certificaat aanvragen omdat u dan zeker weet dat u niet afhankelijk bent van lange wachttijden. De prijzen verschillen per CSP. Zo kan het zijn dat uw softwareleverancier of koepel waar uw kantoor bij is aangesloten, prijsafspraken heeft gemaakt met de desbetreffende CSP. Aanvragen Het aanvragen van een PKIoverheid services certificaat kost wat meer tijd dan de aanvraag van een BAPI-certificaat omdat hier hogere veiligheidseisen aan worden gesteld. In het aanvraagproces van elke CSP kunnen drie onderdelen worden onderscheiden: 1. Abonneeregistratie 2. Face-to-face controle 3. Aanvraag certificaat Elk onderdeel wordt in één van de volgende paragrafen toegelicht. Dit hoofdstuk bevat daarnaast een aantal doorklikbare links naar de specifieke aanvraagprocedures van de CSP’s en een paragraaf met een aantal belangrijke aandachtspunten bij het aanvragen van een certificaat.
2.1
Abonneeregistratie
De intermediair moet bij de CSP zijn geregistreerd voordat deze certificaten kan aanschaffen. In dit registratieproces dienen een aantal gegevens te worden ingevuld en stukken te worden aangeleverd: a) Bewijs van naam en bestaan van de organisatie (met een uittreksel uit het Handelsregister) b) Bewijs van bevoegdheid van de vertegenwoordiger c) Als de vertegenwoordiger niet zelf als certificaatbeheerder wenst op te treden, dan dient hij een certificaatbeheerder aan te wijzen. Hiervoor dient hij iemand te machtigen.
1 Een certificaat is niets anders dan een electronische sleutel waarmee u electronisch (via internet) zaken kunt doen. 2 http://www.logius.nl/producten/toegang/pkioverheid/certificaten-aanschaffen/
-4-
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
d) Kopie identiteitsbewijs van de vertegenwoordiger e) Kopie identiteitsbewijs van de certificaatbeheerder (zie punt c.)
2.2
Face-to-face controle
PKIoverheid stelt een aantal eisen1 aan het verstrekken van PKIoverheid certificaten waarvan de face-to-face controle een belangrijke is. De CSP’s geven hier op verschillende wijze invulling aan. Tijdens de face-to-face controle dienen de vertegenwoordiger en de certificaatbeheerder geïdentificeerd te worden op basis van de door hen aangeleverde legitimatiebewijzen (zie paragraaf 2.1)
2.3
Aanvragen certificaat
Het aanvraagproces van een PKIoverheid services certificaat valt uiteen in twee gedeeltes, een administratief- en technisch gedeelte (c.). De certificaatbeheerder vraagt namens de organisatie het certificaat aan. Deze is tevens voor de CSP het eerste aanspreekpunt binnen de organisatie. Aanvullend op de abonneeregistratie dienen administratief de volgende handelingen te worden uitgevoerd: a) De certificaatbeheerder dient te worden geregistreerd. b) Opgeven van de domeinnaam (FQDN). Aangetoond dient te worden dat de aanvrager houder is van desbetreffende domeinnaam of dat hij gemachtigd is desbetreffend domein te gebruiken. c) Daarnaast dient er een certificate signing request (CSR) aangeleverd te worden bij de CSP. Op het eigen systeem dient door de certificaatbeheerder het sleutelmateriaal te worden aangemaakt. Het sleutelmateriaal bestaat uit een publieke en een private sleutel. De publieke sleutel wordt in een certificate signing request (CSR) aan de CSP verstuurd. Naast de publieke sleutel van de aanvrager bevat de CSR ook aanvullende informatie waarmee de aanvrager kan worden geïdentificeerd. De CSP zal op haar beurt de ontvangen publieke sleutel tekenen (signen) met haar private sleutel en de getekende sleutel retourneren. De certificaatbeheerder is dan in staat om de getekende publieke sleutel en de private sleutel samen te voegen tot een volwaardig PKIoverheid services certificaat Er zijn diverse tools waarmee de CSR kan worden gegenereerd. Op de websites van de CSP’s staat vermeld op welke manier dit kan.
2.4
Specifieke aanvraagprocedure per CSP
Alle CSP’s geven op eigen wijze invulling aan de hiervoor beschreven stappen. Daarbij zijn er verschillen in de wijze van uitvoering van de stappen maar ook in de naamgeving van het certificaat. In onderstaande tabel is per CSP de naam van het certificaat (product bij desbetreffende CSP) opgenomen (om aangiftes conform SBR in te kunnen dienen) evenals een link naar de site van de leverancier waar meer informatie is te vinden over de aanvraagprocedure.
1 De eisen die een CSP stelt aan haar abonnees/klanten zijn gebaseerd op de eisen die PKIoverheid stelt aan de CSP. In de praktijk zijn er verschillen tussen de gehanteerde eisen van de CSP die overigens allemaal voldoen aan de eisen die PKIoverheid stelt. De CSP’s worden regelmatig gecontroleerd of zij voldoen aan de eisen die PKIoverheid heeft gesteld.
-5-
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
Let op: Onderstaande tabel is de status per medio juni 2012. Gezien de ontwikkelingen in het speelveld rondom van de CSP’s kunnen hierin wijzigingen optreden. De aangeboden informatie is daarmee meer richtinggevend dan de allerlaatste stand van zaken.
CSP Digidentity
ESG
KPN
Quo Vadis
2.5
Naam certificaat PKIoverheid Services certificaat PKIoverheid SSL / Server certificaat PKIoverheidservercertifica at PKI overheid Server Services Certificaat
Link naar aanvraagprocedure https://sslstore.digidentity.eu
http://www.de-electronische-signatuur.nl/web/nl/digipoort/55
http://certificaat.kpn.com/pkioverheidcertificaten/servercertific aat http://www.quovadisglobal.nl/Beheer/Documenten.aspx
Installeer het PKIoverheid services certificaat
De aangiftes IB en VpB worden opgesteld in het fiscale aangiftepakket en meestal ook vanuit het pakket rechtstreeks verzonden aan de Belastingdienst. Bij SBR zal aangeleverd worden via Digipoort die op zijn beurt de aangifte doorstuurt naar de Belastingdienst. Een belangrijk verschil tussen een BAPI certificaat en een PKIoverheid services certificaat is dat het BAPI certificaat vanuit de software kan worden opgevraagd en kan worden geïnstalleerd. Een PKIoverheid services certificaat wordt in een besturings- of netwerkomgeving geïnstalleerd. Dus los van welk pakket waarmee wordt aangeleverd. Voor de installatie van het certificaat verwijzen wij naar de instructies van de CSP’s. Voor vragen m.b.t. de installatie van het PKIoverheid services certificaat kunt u het beste contact opnemen met hen of met uw softwareleverancier.
2.6
Aandachtspunten
De volgende zaken zijn van belang om bij het aanschaffen van een certificaat: • Het certificaat om via SBR berichten aan te kunnen leveren bij de Belastingdienst is NIET hetzelfde certificaat als dat voor de BAPI berichten. Ook certificaten die na de Diginotar-kwestie zijn omgezet naar een KPN certificaat zijn niet toepasbaar voor de SBR-berichten. • Het is aan te bevelen tijdig het certificaat aan te vragen. Wanneer alle financiële intermediairs dit op het laatste moment doen is niet te garanderen dat iedereen tijdig over het certificaat beschikt. • De aanvraagprocedure, de geboden ondersteuning en ook de prijs voor hetzelfde certificaat verschilt per CSP en zijn voortdurend aan veranderingen onderhevig.
-6-
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
•
Het PKIoverheid services certificaat is ook geschikt om aan te leveren aan KvK, CBS en banken. Het gaat hier dan om aanleveringen via Digipoort of de Bancaire Infrastructurele Voorziening.
Op dit moment hebben diverse koepel- en brancheorganisaties al kortingsregelingen voor hun leden getroffen bij diverse CSP’s.
-7-
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
3
Beschik over SBR-ready fiscale aangiftesoftware
Intermediairs dienen te beschikken over fiscale aangiftesoftware die niet alleen de aangiftes IB en VpB via SBR ondersteunen maar die ook de overige berichtsoorten en functionaliteiten ondersteunen die spelen rondom deze aangiftestromen. Zo zou het fiscale aangiftepakket de volgende functionaliteiten moeten bevatten om SBR-ready te zijn voor de aangifte IB en VpB: Koppeling met Digipoort om de aangiftes via SBR te versturen Uitstel aan vragen via SBR Aanvragen en terugtrekken van machtigingen t.b.v. SBA’s via het pakket Ondersteuning PKIoverheid services certificaat en BAPI certificaat om te communiceren Ophalen van SBA’s Verzoek en wijziging voorlopige aanslagen De leveranciers van fiscale aangiftesoftware werken momenteel (medio 2012) hard aan het SBR-ready maken van hun software. Deze leveranciers hebben aangegeven tijdig klaar te zijn voor de aangiftes IB en VpB via SBR. Normaal gesproken leveren de softwareleveranciers in de periode januari/februari software uit om de aangiftes te kunnen doen. De verplichtstelling vanaf 1 januari 2013 betekent dat voor april 2013 via SBR uitstel aangevraagd dient te worden voor de aangiftes IB/VpB 2012. Hiervoor is het noodzakelijk gebruik te maken van het PKIoverheid services certificaat. Daarnaast is het raadzaam om dan gelijk de machtigingen voor de SBA’s aan te vragen omdat u dan toch met al uw klanten bezig bent. Aangiftes IB/VpB over 2011 kunnen nog via BAPI worden verstuurd middels het BAPI certificaat. Daarnaast is het tot aangiftejaar 2014 mogelijk om verzoek/wijziging voorlopige aanslag via BAPI te versturen. Uiteraard kan dit ook via SBR maar dit is afhankelijk van hoe de softwareleverancier hiermee omgaat. Dit betekent tevens dat het BAPI certificaat de komende jaren nog nodig blijft.
-8-
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
4
Vraag machtigingen aan om SBA’s te kunnen ontvangen
Om Elektronische Kopie Aanslagen (EKA’s) te kunnen ontvangen van klanten werden hiervoor tot voor kort door de intermediair machtigingen aangevraagd bij de Belastingdienst. Dit gebeurde meestal via het fiscale aangiftepakket. Dat de aangiftes IB en VpB via SBR worden verstuurd betekent ook de komst van een nieuw machtigingenproces. Daarnaast zal de EKA een andere naam krijgen, namelijk Service Bericht Aanslag (SBA). Met SBR kan op ongeveer dezelfde wijze een machtiging worden aangevraagd. Voorheen werd deze machtigingsclaim ingediend bij de Belastingdienst. Bij SBR zal dit bij Logius als beheerder van Digipoort moeten gebeuren. Met de overgang naar SBR betekent dit ook dat de machtigingen voor alle klanten opnieuw moeten worden aangevraagd, want deze worden niet automatisch omgezet naar SBR. Worden er geen machtigingen aangevraagd, dan bent u niet in staat om de SBA’s van uw klanten te ontvangen. Het aanvragen van de machtigingen voor uw klanten dient vanaf 2013 elk jaar opnieuw te gebeuren. In hoofdlijnen komt het machtigingenproces bij SBR er als volgt uit te zien: 1. De intermediair dient vanuit het fiscale aangiftepakket en met een PKIoverheid services certificaat een machtigingsclaim in via Digipoort. Hierin wordt meegegeven waarvoor (welke aangiftestroom) een machtiging wordt aangevraagd en voor welke klant dit betreft. 2. Deze machtigingsclaim wordt opgenomen in een MachtigingenRegister bij Logius. Hierin wordt bijgehouden welke intermediair van welke klant welke SBA’s mag ontvangen. 3. Ter verificatie bij de belastingplichtige wordt er een zogenaamde ‘opt-out’ brief naar de klant gestuurd. a. Als deze niet binnen 19 dagen reageert, wordt de machtigingsclaim gehonoreerd en geregistreerd voor de intermediair. b. Als de belastingplichtige bezwaar maakt tegen een afgegeven machtiging, maakt hij dat kenbaar bij het Logius Servicecentrum, deze blokkeert de machtiging. 4. Via het fiscale aangiftepakket kan op elk moment de actuele status van de machtiging worden geraadpleegd. Vanaf begin 2013 kunnen er machtigingen worden aangevraagd. Het is raadzaam deze aan te vragen voordat de aangiftes worden verstuurd want de machtiging dient te zijn geregistreerd voordat de (voorlopige)aanslag wordt opgelegd.
-9-
