Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals

In de AVG-praktijk bestaat er veel onduidelijkheid over de vraag of een accountant, belastingadviseur of salarisprofessional bij het verlenen van diensten aan klanten optreedt als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’.

Inmiddels zijn de betrokken beroepsorganisaties, NBA, NOB, RB, Novak en NIPRA, bijeengekomen om in samenwerking met de Autoriteit Persoonsgegevens duidelijkheid te verschaffen over de rol van de accountant, belastingadviseur en salarisprofessional. De meest voorkomende diensten en werkzaamheden binnen de mkb-praktijk zijn in kaart gebracht waarbij wordt aangegeven wanneer men ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is, gezien vanuit de AVG. Dit eindresultaat is verwerkt in richtsnoeren.

Bij de afweging wordt gekeken naar het volgende:

• Is het verwerken van persoonsgegevens het primaire doel?
• Wat is de inhoud van de dienstverlening, betreft het kale of uitgebreide dienstverlening?
• Wie bepaalt het doel en de middelen?

De uitkomst is dat de accountant, belastingadviseur of salarisprofessional binnen de mkb-praktijk in veel gevallen ‘verwerkingsverantwoordelijke’ blijkt te zijn, terwijl dit in veel gevallen niet zo wordt ervaren door de professionals.

De rollen van de dienstverleners en de gevolgen hiervan zijn hieronder verduidelijkt.

Opstellen belastingaangifte

Het verwerken van persoonsgegevens is niet het primaire doel, maar slechts een uitvloeisel van een andere vorm van dienstverlening die wordt aangeboden. De Belastingadviseur bepaalt het doel en de middelen. De Belastingadviseur is daarom ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

Het verrichten van advieswerkzaamheden

De adviseur is in deze specifieke handeling ‘verwerkingsverantwoordelijke’, omdat hij wordt ingeschakeld vanwege zijn specialistische kennis. Het primaire doel is hier niet het verwerken van persoonsgegevens, maar het verlenen van advies.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

Salarisadministratie

In het geval van salarisadministratie is de zakelijke dienstverlener normaal gezien ‘verwerker’ en de klant ‘verwerkingsverantwoordelijke’. Maar dit moet beoordeeld worden aan de omstandigheden van het specifieke geval en moet ook genuanceerd worden. Er zijn twee situaties mogelijk: 

• Diensten waarbij de zakelijke dienstverlener enkel de IT-infrastructuur ter beschikking stelt

Hier is sprake van wanneer de zakelijke dienstverlener enkel de IT-infrastructuur levert, bijvoorbeeld een loonpakket. De dienstverlener stelt enkel de salarisberekening op of voert door de klant aangeleverde gegevens in, zonder aanvullende controle of advieswerkzaamheden.

Deze situatie maakt dat de zakelijke dienstverlener de rol van ‘verwerker’ heeft omdat hij optreedt in opdracht van de klant. Het verwerken van persoonsgegevens is het primaire doel. De zakelijke dienstverlener houdt zich in deze situatie enkel hiermee bezig en biedt geen aanvullende diensten.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

• Uitgebreidere vorm van dienstverlening: IT-infrastructuur en advies

De zakelijke dienstverlener is in dit geval een ‘verwerkingsverantwoordelijke’ omdat de diensten niet primair gericht zijn op het verwerken van persoonsgegevens. Het verschil met het vorige voorbeeld is dat hier aanvullend controlerende en adviserende werkzaamheden worden uitgevoerd. De primaire taak ligt hier dus niet meer enkel op het verwerken van persoonsgegevens, maar ook op het controleren en adviseren van de klant.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

Financiële administratie

In geval van financiële dienstverlening moet gekeken worden naar de aard en omvang van de werkzaamheden van de dienstverlener. Er zijn drie mogelijke situaties:

• Zakelijke dienstverlener levert alleen boekhoudpakket

Wanneer de zakelijke dienstverlener enkel een boekhoudpakket, bijvoorbeeld een SaaS-pakket, levert aan zijn klant is de dienstverlener een ‘verwerker’. De verantwoordelijkheid voor een correcte administratie ligt in dit geval bij de klant. De klant bepaalt ook het doel en de middelen van de verwerking.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

• Zakelijke dienstverlener levert boekhoudpakket en adviseert

Wanneer de zakelijke dienstverlener een boekhoudpakket levert aan de klant en meekijkt met de door de klant aangeleverde administratie en de klant adviseert of de financiële administratie op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke eisen, dan heeft de zakelijke dienstverlener de rol van ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

• Zakelijke dienstverlener voert namens klant administratie in en adviseert

Wanneer de zakelijke dienstverlener namens zijn klant de administratie invoert in een (mogelijk bijgeleverd) boekhoudpakket en de klant mogelijk adviseert of deze financiële administratie op een juiste manier wordt gevoerd en/of de klant voldoet aan de geldende wet- en regelgeving, dan heeft de zakelijke dienstverlener ook de rol van ‘verwerkingsverantwoordelijke’.

In de tweede en derde situatie is het verwerken van persoonsgegevens niet het primaire doel, maar een voortvloeisel uit een andere dienstverlening. Zo kun je denken aan de specifieke kennis die een accountant heeft om te checken of de administratie aan de juiste wet- en regelgeving voldoet. Tot slot bepaalt de zakelijke dienstverlener het doel en middelen voor de verwerking.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

Conclusie

Wanneer er twijfel bestaat over de rol van een accountant, belastingadviseur of salarisprofessional is het raadzaam om elke situatie afzonderlijk te beoordelen. Een kleine nuance in dienstverlening kan het verschil maken of de zakelijke dienstverlener de rol van ‘verwerker’ of ‘verwerkingsverantwoordelijke’ heeft.