Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals

 

In de AVG-praktijk bestaat er veel onduidelijkheid over de vraag of een accountant, belastingadviseur of salarisprofessional bij het verlenen van diensten aan klanten optreedt als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’.

Inmiddels zijn de betrokken beroepsorganisaties, NBA, NOB, RB, Novak en NIPRA, bijeengekomen om in samenwerking met de Autoriteit Persoonsgegevens duidelijkheid te verschaffen over de rol van de accountant, belastingadviseur en salarisprofessional. De meest voorkomende diensten en werkzaamheden binnen de mkb-praktijk zijn in kaart gebracht waarbij wordt aangegeven wanneer men ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is, gezien vanuit de AVG. Dit eindresultaat is verwerkt in richtsnoeren.

Bij de afweging wordt gekeken naar het volgende:

  • Is het verwerken van persoonsgegevens het primaire doel?
  • Wat is de inhoud van de dienstverlening, betreft het kale of uitgebreide dienstverlening?
  • Wie bepaalt het doel en de middelen?

De uitkomst is dat de accountant, belastingadviseur of salarisprofessional binnen de mkb-praktijk in veel gevallen ‘verwerkingsverantwoordelijke’ blijkt te zijn, terwijl dit in veel gevallen niet zo wordt ervaren door de professionals.

 

Is jouw bedrijf al AVG-proof?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

 

De rollen van de dienstverleners en de gevolgen hiervan zijn hieronder verduidelijkt.

 

Opstellen belastingaangifte

Het verwerken van persoonsgegevens is niet het primaire doel, maar slechts een uitvloeisel van een andere vorm van dienstverlening die wordt aangeboden. De Belastingadviseur bepaalt het doel en de middelen. De Belastingadviseur is daarom ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Het verrichten van advieswerkzaamheden

De adviseur is in deze specifieke handeling ‘verwerkingsverantwoordelijke’, omdat hij wordt ingeschakeld vanwege zijn specialistische kennis. Het primaire doel is hier niet het verwerken van persoonsgegevens, maar het verlenen van advies.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Salarisadministratie

In het geval van salarisadministratie is de zakelijke dienstverlener normaal gezien ‘verwerker’ en de klant ‘verwerkingsverantwoordelijke’. Maar dit moet beoordeeld worden aan de omstandigheden van het specifieke geval en moet ook genuanceerd worden. Er zijn twee situaties mogelijk: 

 

  • Diensten waarbij de zakelijke dienstverlener enkel de IT-infrastructuur ter beschikking stelt

Hier is sprake van wanneer de zakelijke dienstverlener enkel de IT-infrastructuur levert, bijvoorbeeld een loonpakket. De dienstverlener stelt enkel de salarisberekening op of voert door de klant aangeleverde gegevens in, zonder aanvullende controle of advieswerkzaamheden.

Deze situatie maakt dat de zakelijke dienstverlener de rol van ‘verwerker’ heeft omdat hij optreedt in opdracht van de klant. Het verwerken van persoonsgegevens is het primaire doel. De zakelijke dienstverlener houdt zich in deze situatie enkel hiermee bezig en biedt geen aanvullende diensten.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

 

  • Uitgebreidere vorm van dienstverlening: IT-infrastructuur en advies

De zakelijke dienstverlener is in dit geval een ‘verwerkingsverantwoordelijke’ omdat de diensten niet primair gericht zijn op het verwerken van persoonsgegevens. Het verschil met het vorige voorbeeld is dat hier aanvullend controlerende en adviserende werkzaamheden worden uitgevoerd. De primaire taak ligt hier dus niet meer enkel op het verwerken van persoonsgegevens, maar ook op het controleren en adviseren van de klant.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Financiële administratie

In geval van financiële dienstverlening moet gekeken worden naar de aard en omvang van de werkzaamheden van de dienstverlener. Er zijn drie mogelijke situaties:

 

  • Zakelijke dienstverlener levert alleen boekhoudpakket

Wanneer de zakelijke dienstverlener enkel een boekhoudpakket, bijvoorbeeld een SaaS-pakket, levert aan zijn klant is de dienstverlener een ‘verwerker’. De verantwoordelijkheid voor een correcte administratie ligt in dit geval bij de klant. De klant bepaalt ook het doel en de middelen van de verwerking.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

 

  • Zakelijke dienstverlener levert boekhoudpakket en adviseert

Wanneer de zakelijke dienstverlener een boekhoudpakket levert aan de klant en meekijkt met de door de klant aangeleverde administratie en de klant adviseert of de financiële administratie op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke eisen, dan heeft de zakelijke dienstverlener de rol van ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

  • Zakelijke dienstverlener voert namens klant administratie in en adviseert

Wanneer de zakelijke dienstverlener namens zijn klant de administratie invoert in een (mogelijk bijgeleverd) boekhoudpakket en de klant mogelijk adviseert of deze financiële administratie op een juiste manier wordt gevoerd en/of de klant voldoet aan de geldende wet- en regelgeving, dan heeft de zakelijke dienstverlener ook de rol van ‘verwerkingsverantwoordelijke’.

In de tweede en derde situatie is het verwerken van persoonsgegevens niet het primaire doel, maar een voortvloeisel uit een andere dienstverlening. Zo kun je denken aan de specifieke kennis die een accountant heeft om te checken of de administratie aan de juiste wet- en regelgeving voldoet. Tot slot bepaalt de zakelijke dienstverlener het doel en middelen voor de verwerking.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Conclusie

Wanneer er twijfel bestaat over de rol van een accountant, belastingadviseur of salarisprofessional is het raadzaam om elke situatie afzonderlijk te beoordelen. Een kleine nuance in dienstverlening kan het verschil maken of de zakelijke dienstverlener de rol van ‘verwerker’ of ‘verwerkingsverantwoordelijke’ heeft.

 

Hulp bij privacy

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

De meest voorkomende manieren van online fraude op een rijtje

Er zijn verschillende online fraude methodes die worden gebruikt door oplichters. Hier zijn enkele van de meest voorkomende: Phishing: dit is wanneer oplichters zich voordoen als legitieme bedrijven of organisaties om persoonlijke informatie van slachtoffers te...

Er is veel te doen over het BRP (Basisregistratie Personen) maar wat is deze instantie? En waarom bestaan ze?

De BRP (Basisregistratie Personen) is een databank met persoonsgegevens van personen die in Nederland wonen of gewoond hebben. Deze database wordt gebruikt door verschillende overheidsinstanties, zoals gemeenten en de Belastingdienst, om bijvoorbeeld...

LinkedIn en Instagram eisen privacyverklaring van bedrijven voor het werven van nieuwe klanten online.

Platforms zoals LinkedIn en Instagram vereisen dat bedrijven een privacyverklaring hebben voordat ze toegang krijgen tot hun advertentieprogramma's en andere functies voor leadgeneratie. In de nieuwe feature Leads bij bedrijfspagina's op Linkedin en Instagram krijgen...

10 feiten over de AVG Privacy wetgeving

Je hebt een nieuwe papiervernietiger nodig, USB sticks zijn verboden en je mag geen foto's maken in het openbaar! nee daar klopt niets van... Hier zijn 10 feiten over de AVG. De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die geldt sinds 25 mei...

Beter omgaan met privacy: 5 tips voor ondernemers

Samen met onze partner ABN AMRO helpen wij ondernemers met Cyber, Privacy en wetgeving. Om deze reden brengen wij regelmatig artikelen uit en bieden wij de klanten van ABN AMRO het gratis Privacy Start pakket aan. Naast ontzorging bij de AVG en Privacy kunnen onze...

Uitspraak Europees hof gaat leiden tot meer controle, boetes en verantwoordelijkheid voor ondernemers binnen de AVG

Bedrijven in de EU moeten specifiek aangeven aan welke partijen ze persoonsgegevens verkopen, volgens een uitspraak van het Europees Hof van Justitie. De uitspraak kwam tot stand in een zaak waarin een Oostenrijker zich beriep op artikel 15 van de AVG (Algemene...

Begrippenlijst Privacy en AVG

De privacywetgeving en de AVG (algemene verordening gegevensbescherming) is doorspekt van ingewikkelde begrippen en jargon. Om deze reden hebben wij een begrippenlijst samengesteld voor iedere ondernemer die te maken heeft met de AVG. Persoonsgegevens: elk type...

5 Tips voor het beschermen van je online privacy

Met de groeiende digitalisering en het toenemend gebruik van internet, is het belangrijker dan ooit om te zorgen voor de bescherming van onze online privacy. Hier zijn vijf tips om je te helpen je persoonlijke informatie te beschermen: 5 tips Controleer je...

Hoe u uw persoonlijke gegevens kunt beschermen op openbare WiFi-netwerken

Privacy en WiFi Openbare WiFi-netwerken zijn een gemakkelijke en handige manier om verbinding te maken met het internet wanneer we onderweg zijn of wanneer we geen toegang hebben tot een privé-internetverbinding. Helaas kunnen deze netwerken ook een risico vormen voor...

De ernstige gevolgen van het enorme datalek bij Twitter

De gevolgen van een Datalek In een recente hack zijn ruim 200 miljoen mailadressen van Twitter-gebruikers op straat terechtgekomen. Dit kan grote gevolgen hebben voor de privacy van deze gebruikers. Volgens Privacy Zeker, de marktleider op het gebied van de Algemene...

Hoe werkt Privacy Zeker? Bekijk de video.