Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals

 

In de AVG-praktijk bestaat er veel onduidelijkheid over de vraag of een accountant, belastingadviseur of salarisprofessional bij het verlenen van diensten aan klanten optreedt als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’.

Inmiddels zijn de betrokken beroepsorganisaties, NBA, NOB, RB, Novak en NIPRA, bijeengekomen om in samenwerking met de Autoriteit Persoonsgegevens duidelijkheid te verschaffen over de rol van de accountant, belastingadviseur en salarisprofessional. De meest voorkomende diensten en werkzaamheden binnen de mkb-praktijk zijn in kaart gebracht waarbij wordt aangegeven wanneer men ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is, gezien vanuit de AVG. Dit eindresultaat is verwerkt in richtsnoeren.

Bij de afweging wordt gekeken naar het volgende:

  • Is het verwerken van persoonsgegevens het primaire doel?
  • Wat is de inhoud van de dienstverlening, betreft het kale of uitgebreide dienstverlening?
  • Wie bepaalt het doel en de middelen?

De uitkomst is dat de accountant, belastingadviseur of salarisprofessional binnen de mkb-praktijk in veel gevallen ‘verwerkingsverantwoordelijke’ blijkt te zijn, terwijl dit in veel gevallen niet zo wordt ervaren door de professionals.

 

Is jouw bedrijf al AVG-proof?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

 

De rollen van de dienstverleners en de gevolgen hiervan zijn hieronder verduidelijkt.

 

Opstellen belastingaangifte

Het verwerken van persoonsgegevens is niet het primaire doel, maar slechts een uitvloeisel van een andere vorm van dienstverlening die wordt aangeboden. De Belastingadviseur bepaalt het doel en de middelen. De Belastingadviseur is daarom ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Het verrichten van advieswerkzaamheden

De adviseur is in deze specifieke handeling ‘verwerkingsverantwoordelijke’, omdat hij wordt ingeschakeld vanwege zijn specialistische kennis. Het primaire doel is hier niet het verwerken van persoonsgegevens, maar het verlenen van advies.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Salarisadministratie

In het geval van salarisadministratie is de zakelijke dienstverlener normaal gezien ‘verwerker’ en de klant ‘verwerkingsverantwoordelijke’. Maar dit moet beoordeeld worden aan de omstandigheden van het specifieke geval en moet ook genuanceerd worden. Er zijn twee situaties mogelijk: 

 

  • Diensten waarbij de zakelijke dienstverlener enkel de IT-infrastructuur ter beschikking stelt

Hier is sprake van wanneer de zakelijke dienstverlener enkel de IT-infrastructuur levert, bijvoorbeeld een loonpakket. De dienstverlener stelt enkel de salarisberekening op of voert door de klant aangeleverde gegevens in, zonder aanvullende controle of advieswerkzaamheden.

Deze situatie maakt dat de zakelijke dienstverlener de rol van ‘verwerker’ heeft omdat hij optreedt in opdracht van de klant. Het verwerken van persoonsgegevens is het primaire doel. De zakelijke dienstverlener houdt zich in deze situatie enkel hiermee bezig en biedt geen aanvullende diensten.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

 

  • Uitgebreidere vorm van dienstverlening: IT-infrastructuur en advies

De zakelijke dienstverlener is in dit geval een ‘verwerkingsverantwoordelijke’ omdat de diensten niet primair gericht zijn op het verwerken van persoonsgegevens. Het verschil met het vorige voorbeeld is dat hier aanvullend controlerende en adviserende werkzaamheden worden uitgevoerd. De primaire taak ligt hier dus niet meer enkel op het verwerken van persoonsgegevens, maar ook op het controleren en adviseren van de klant.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Financiële administratie

In geval van financiële dienstverlening moet gekeken worden naar de aard en omvang van de werkzaamheden van de dienstverlener. Er zijn drie mogelijke situaties:

 

  • Zakelijke dienstverlener levert alleen boekhoudpakket

Wanneer de zakelijke dienstverlener enkel een boekhoudpakket, bijvoorbeeld een SaaS-pakket, levert aan zijn klant is de dienstverlener een ‘verwerker’. De verantwoordelijkheid voor een correcte administratie ligt in dit geval bij de klant. De klant bepaalt ook het doel en de middelen van de verwerking.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

 

  • Zakelijke dienstverlener levert boekhoudpakket en adviseert

Wanneer de zakelijke dienstverlener een boekhoudpakket levert aan de klant en meekijkt met de door de klant aangeleverde administratie en de klant adviseert of de financiële administratie op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke eisen, dan heeft de zakelijke dienstverlener de rol van ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

  • Zakelijke dienstverlener voert namens klant administratie in en adviseert

Wanneer de zakelijke dienstverlener namens zijn klant de administratie invoert in een (mogelijk bijgeleverd) boekhoudpakket en de klant mogelijk adviseert of deze financiële administratie op een juiste manier wordt gevoerd en/of de klant voldoet aan de geldende wet- en regelgeving, dan heeft de zakelijke dienstverlener ook de rol van ‘verwerkingsverantwoordelijke’.

In de tweede en derde situatie is het verwerken van persoonsgegevens niet het primaire doel, maar een voortvloeisel uit een andere dienstverlening. Zo kun je denken aan de specifieke kennis die een accountant heeft om te checken of de administratie aan de juiste wet- en regelgeving voldoet. Tot slot bepaalt de zakelijke dienstverlener het doel en middelen voor de verwerking.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Conclusie

Wanneer er twijfel bestaat over de rol van een accountant, belastingadviseur of salarisprofessional is het raadzaam om elke situatie afzonderlijk te beoordelen. Een kleine nuance in dienstverlening kan het verschil maken of de zakelijke dienstverlener de rol van ‘verwerker’ of ‘verwerkingsverantwoordelijke’ heeft.

 

Hulp bij privacy

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

Privacy Trends 2024: Navigeren door de Data-explosie door AI

Met de exponentiële groei van AI komt ook een tsunami van data op ons af, en ondernemers staan voor de uitdaging om hier bewust en proactief mee om te gaan. In 2024 zullen privacykwesties in het bedrijfsleven een cruciale rol spelen. Laten we eens kijken naar vijf...

Boost je onderneming met Privacy Zeker Certificering! 🚀🔐

Privacy is niet alleen een buzzword; het is een cruciaal aspect van succesvol ondernemen. Met cyberdreigingen die constant evolueren, is het tijd om je bedrijf te wapenen met het Privacy Zeker certificaat. Waarom Privacy Certificering? 🔒 Vertrouwen Opbouwen:...

Het cruciale belang van bescherming van Niet-Digitale Persoonsgegevens

In de digitale wereld waarin we leven, staat de bescherming van persoonsgegevens centraal in discussies over privacy en beveiliging. Echter, het belang van het beschermen van niet-digitale persoonsgegevens mag niet over het hoofd worden gezien. Van papieren dossiers...

De Nieuwe Frontlinie: Privacy en Persoonsgegevens in het tijdperk van AI Marketing

In een tijdperk waarin technologische vooruitgang de norm is, staan privacy en de bescherming van persoonsgegevens op de voorgrond van maatschappelijke discussies. Een Nieuw Tijdperk van Bewustwording 2024 markeert een cruciaal keerpunt waarin mensen steeds bewuster...

Adviesraad kunstmatige intelligentie (AI) aanstaande

In de razendsnelle wereld van kunstmatige intelligentie (AI) is er een dringende behoefte aan onafhankelijk advies, en recente ontwikkelingen laten zien dat de overheid hierin een cruciale rol speelt. Met aangenomen moties van zowel de VVD als D66 staat de oprichting...

Privacy in de Digitale Euro: Europese Toezichthouders Benadrukken Verbeteringen

Onlangs hebben Europese privacytoezichthouders hun aandacht gericht op het ontwerp van de digitale euro, en hoewel ze positieve notities hebben gemaakt, benadrukken ze de noodzaak van verbeteringen, vooral met betrekking tot gegevensverwerking. De feiten spreken voor...

De AI Act en Privacy: Risico’s voor Ondernemers in de Wereld van Kunstmatige Intelligentie

In een tijdperk waarin technologie voortdurend evolueert, hebben kunstmatige intelligentie (AI) en privacykwesties steeds meer de schijnwerpers gekregen. Recentelijk heeft het Europees Parlement de zogenaamde AI Act aangenomen, een Europese wet die strenge regels...

Privacy in Gevaar: Generatieve AI Gebruikt Jouw Persoonsgegevens Zonder Toestemming

In de moderne wereld zijn gegevens de drijvende kracht achter innovatie, met generatieve kunstmatige intelligentie (AI) die steeds vaker wordt ingezet om nieuwe informatie te creëren, van tekst tot afbeeldingen en meer. Hoewel dit veelbelovend is, bestaat het gevaar...

De KNVB en de Losgeldbetaling: Achtergrond en Gevolgen

De Koninklijke Nederlandse Voetbalbond (KNVB) heeft recentelijk de krantenkoppen gehaald vanwege een opmerkelijk incident waarbij ze losgeld hebben betaald aan cybercriminelen. Deze gebeurtenis werpt licht op de complexe vraagstukken rond ransomware-aanvallen en de...

De Gevaren van Persoonsgegevensverwerking voor ZZP’ers bij Opdrachtgevers

Als zelfstandige zonder personeel (ZZP'er) die werkzaam is bij opdrachtgevers, is het cruciaal om bewust te zijn van de gevaren die gepaard gaan met de verwerking van persoonsgegevens van je opdrachtgever, met name bijzondere persoonsgegevens, en de mogelijke gevolgen...

Hoe werkt Privacy Zeker? Bekijk de video.