Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals

 

In de AVG-praktijk bestaat er veel onduidelijkheid over de vraag of een accountant, belastingadviseur of salarisprofessional bij het verlenen van diensten aan klanten optreedt als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’.

Inmiddels zijn de betrokken beroepsorganisaties, NBA, NOB, RB, Novak en NIPRA, bijeengekomen om in samenwerking met de Autoriteit Persoonsgegevens duidelijkheid te verschaffen over de rol van de accountant, belastingadviseur en salarisprofessional. De meest voorkomende diensten en werkzaamheden binnen de mkb-praktijk zijn in kaart gebracht waarbij wordt aangegeven wanneer men ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is, gezien vanuit de AVG. Dit eindresultaat is verwerkt in richtsnoeren.

Bij de afweging wordt gekeken naar het volgende:

  • Is het verwerken van persoonsgegevens het primaire doel?
  • Wat is de inhoud van de dienstverlening, betreft het kale of uitgebreide dienstverlening?
  • Wie bepaalt het doel en de middelen?

De uitkomst is dat de accountant, belastingadviseur of salarisprofessional binnen de mkb-praktijk in veel gevallen ‘verwerkingsverantwoordelijke’ blijkt te zijn, terwijl dit in veel gevallen niet zo wordt ervaren door de professionals.

 

Is jouw bedrijf al AVG-proof?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

 

De rollen van de dienstverleners en de gevolgen hiervan zijn hieronder verduidelijkt.

 

Opstellen belastingaangifte

Het verwerken van persoonsgegevens is niet het primaire doel, maar slechts een uitvloeisel van een andere vorm van dienstverlening die wordt aangeboden. De Belastingadviseur bepaalt het doel en de middelen. De Belastingadviseur is daarom ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Het verrichten van advieswerkzaamheden

De adviseur is in deze specifieke handeling ‘verwerkingsverantwoordelijke’, omdat hij wordt ingeschakeld vanwege zijn specialistische kennis. Het primaire doel is hier niet het verwerken van persoonsgegevens, maar het verlenen van advies.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Salarisadministratie

In het geval van salarisadministratie is de zakelijke dienstverlener normaal gezien ‘verwerker’ en de klant ‘verwerkingsverantwoordelijke’. Maar dit moet beoordeeld worden aan de omstandigheden van het specifieke geval en moet ook genuanceerd worden. Er zijn twee situaties mogelijk: 

 

  • Diensten waarbij de zakelijke dienstverlener enkel de IT-infrastructuur ter beschikking stelt

Hier is sprake van wanneer de zakelijke dienstverlener enkel de IT-infrastructuur levert, bijvoorbeeld een loonpakket. De dienstverlener stelt enkel de salarisberekening op of voert door de klant aangeleverde gegevens in, zonder aanvullende controle of advieswerkzaamheden.

Deze situatie maakt dat de zakelijke dienstverlener de rol van ‘verwerker’ heeft omdat hij optreedt in opdracht van de klant. Het verwerken van persoonsgegevens is het primaire doel. De zakelijke dienstverlener houdt zich in deze situatie enkel hiermee bezig en biedt geen aanvullende diensten.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

 

  • Uitgebreidere vorm van dienstverlening: IT-infrastructuur en advies

De zakelijke dienstverlener is in dit geval een ‘verwerkingsverantwoordelijke’ omdat de diensten niet primair gericht zijn op het verwerken van persoonsgegevens. Het verschil met het vorige voorbeeld is dat hier aanvullend controlerende en adviserende werkzaamheden worden uitgevoerd. De primaire taak ligt hier dus niet meer enkel op het verwerken van persoonsgegevens, maar ook op het controleren en adviseren van de klant.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Financiële administratie

In geval van financiële dienstverlening moet gekeken worden naar de aard en omvang van de werkzaamheden van de dienstverlener. Er zijn drie mogelijke situaties:

 

  • Zakelijke dienstverlener levert alleen boekhoudpakket

Wanneer de zakelijke dienstverlener enkel een boekhoudpakket, bijvoorbeeld een SaaS-pakket, levert aan zijn klant is de dienstverlener een ‘verwerker’. De verantwoordelijkheid voor een correcte administratie ligt in dit geval bij de klant. De klant bepaalt ook het doel en de middelen van de verwerking.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

 

  • Zakelijke dienstverlener levert boekhoudpakket en adviseert

Wanneer de zakelijke dienstverlener een boekhoudpakket levert aan de klant en meekijkt met de door de klant aangeleverde administratie en de klant adviseert of de financiële administratie op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke eisen, dan heeft de zakelijke dienstverlener de rol van ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

  • Zakelijke dienstverlener voert namens klant administratie in en adviseert

Wanneer de zakelijke dienstverlener namens zijn klant de administratie invoert in een (mogelijk bijgeleverd) boekhoudpakket en de klant mogelijk adviseert of deze financiële administratie op een juiste manier wordt gevoerd en/of de klant voldoet aan de geldende wet- en regelgeving, dan heeft de zakelijke dienstverlener ook de rol van ‘verwerkingsverantwoordelijke’.

In de tweede en derde situatie is het verwerken van persoonsgegevens niet het primaire doel, maar een voortvloeisel uit een andere dienstverlening. Zo kun je denken aan de specifieke kennis die een accountant heeft om te checken of de administratie aan de juiste wet- en regelgeving voldoet. Tot slot bepaalt de zakelijke dienstverlener het doel en middelen voor de verwerking.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Conclusie

Wanneer er twijfel bestaat over de rol van een accountant, belastingadviseur of salarisprofessional is het raadzaam om elke situatie afzonderlijk te beoordelen. Een kleine nuance in dienstverlening kan het verschil maken of de zakelijke dienstverlener de rol van ‘verwerker’ of ‘verwerkingsverantwoordelijke’ heeft.

 

Hulp bij privacy

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

Waarom hebben Pinautomaten nog steeds geen 2FA beveiliging?

Amsterdam 28-09-2022 Pinpas fraude is een groot probleem. Criminelen gaan steeds geraffineerder  te werk, de schade is enorm en loopt in de honderdduizenden Euro’s. Privacy en cyber adviesorganisatie Privacy Zeker maakt zich hard voor een betere beveiliging door...

De beste, makkelijke en vooral gratis tips om je te beschermen tegen cyber criminelen (TIP1/ 2FA)

Privacy Zeker, de marktleider in privacy en AVG diensten voor de zakelijke markt geeft ondernemers gratis tips over hoe zij zich eenvoudig, makkelijk en met name gratis kunnen beschermen tegen cybercriminelen. Iedereen die met een computer werkt is potentieel...

Veruit de meeste beveiligingslekken hebben direct of indirect te maken met persoonsgegevens en hiermee ook de AVG.

Samen met onze verzekerings partner ABN AMRO helpen wij ondernemers met zaken die te maken hebben met Privacy, AVG en Cybersecurity in combinatie met verzekeringen. Cybercrime wordt steeds heviger en de premies van cyber verzekeringen stijgen. Door te voldoen aan...

Dan hoor je het een keer van een ander!

De AP ( Autoriteit Persoonsgegevens) heeft onderstaande video gemaakt.Een video waar wij als Nederlands grootste AVG dienstverlener voor de zakelijke markt heel erg blij mee zijn. Goed omgaan met persoonsgegevens is een wettelijke verplichting. Daar horen de juiste...

Privacy Zeker ondersteunt ZO Collectief

Met trots kondigen wij aan dat Privacy Zeker het nieuwe Platform ZO Collectief ondersteunt. Met de ondersteuning van Zo Collectief geven organisaties aan dat zij transparante en eerlijke belangenbehartiging voor ondernemers belangrijk vinden.   Zo Collectief...

Krijg je snel een AVG / Privacy boete? (video uitleg)

De toezichthouder mag zeer hoge geldboetes uitdelen aan organisaties die de Algemene Verordening Gegevensbescherming (AVG) overtreden. In Nederland is de Autoriteit Persoonsgegevens (AP) de toezichthouder. De maximale boete bedraagt maximaal € 20.000.000 of 4% van de...

AVG, Cyberverzekering en Privacycertificaat vanaf 19,- per maand

Datalek, cybercrime ,privacywetgeving beveiligen van persoonsgegevens. er is veel te regelen voor ondernemers.naast de wetgeving is er altijd het gevaar van cybercrime, dataverlies en onzorgvuldig handelen van personeel. Natuurlijk is er adequate beveiliging nodig...

Het verhaal van Rickey Gevers (slachtoffer en dader van Cybercrime)

Wat als je slachtoffer wordt van hackers? Hackers kunnen computers en systemen volledig overnemen. Dit overkwam ook Rickey Gevers met zijn website waarneming.nl. Alle informatie werd door een hacker verwijderd. Rickey verdiepte zich volledig in de werking en werd zelf...

Nieuw! Gratis cyberverzekering bij Privacy Zeker ZZP abonnement

Privacy Zeker biedt zzp'ers vanaf vandaag (1 maart 2022) een gratis cyberverzekering binnen het Privacy Zeker ZZP abonnement. Sinds 2016 is Privacy Zeker actief voor het MKB en zelfstandig ondernemers met privacy- en AVG diensten. Om onze klanten extra voordeel en...

Veilig oversteken, eerst de AVG dan de rest.

Voor Cyber komt altijd Privacy Feit: Cybercrime bestaat! Cybercrime is overal en iedereen kan slachtoffer worden, geen speld tussen te krijgen. Om deze reden is het verstandig om de juiste maatregelen te nemen. Nog beter is het om deze maatregelen ook in de goede...

Hoe werkt Privacy Zeker? Bekijk de video.