Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals

 

In de AVG-praktijk bestaat er veel onduidelijkheid over de vraag of een accountant, belastingadviseur of salarisprofessional bij het verlenen van diensten aan klanten optreedt als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’.

Inmiddels zijn de betrokken beroepsorganisaties, NBA, NOB, RB, Novak en NIPRA, bijeengekomen om in samenwerking met de Autoriteit Persoonsgegevens duidelijkheid te verschaffen over de rol van de accountant, belastingadviseur en salarisprofessional. De meest voorkomende diensten en werkzaamheden binnen de mkb-praktijk zijn in kaart gebracht waarbij wordt aangegeven wanneer men ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is, gezien vanuit de AVG. Dit eindresultaat is verwerkt in richtsnoeren.

Bij de afweging wordt gekeken naar het volgende:

  • Is het verwerken van persoonsgegevens het primaire doel?
  • Wat is de inhoud van de dienstverlening, betreft het kale of uitgebreide dienstverlening?
  • Wie bepaalt het doel en de middelen?

De uitkomst is dat de accountant, belastingadviseur of salarisprofessional binnen de mkb-praktijk in veel gevallen ‘verwerkingsverantwoordelijke’ blijkt te zijn, terwijl dit in veel gevallen niet zo wordt ervaren door de professionals.

 

Is jouw bedrijf al AVG-proof?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

 

De rollen van de dienstverleners en de gevolgen hiervan zijn hieronder verduidelijkt.

 

Opstellen belastingaangifte

Het verwerken van persoonsgegevens is niet het primaire doel, maar slechts een uitvloeisel van een andere vorm van dienstverlening die wordt aangeboden. De Belastingadviseur bepaalt het doel en de middelen. De Belastingadviseur is daarom ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Het verrichten van advieswerkzaamheden

De adviseur is in deze specifieke handeling ‘verwerkingsverantwoordelijke’, omdat hij wordt ingeschakeld vanwege zijn specialistische kennis. Het primaire doel is hier niet het verwerken van persoonsgegevens, maar het verlenen van advies.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Salarisadministratie

In het geval van salarisadministratie is de zakelijke dienstverlener normaal gezien ‘verwerker’ en de klant ‘verwerkingsverantwoordelijke’. Maar dit moet beoordeeld worden aan de omstandigheden van het specifieke geval en moet ook genuanceerd worden. Er zijn twee situaties mogelijk: 

 

  • Diensten waarbij de zakelijke dienstverlener enkel de IT-infrastructuur ter beschikking stelt

Hier is sprake van wanneer de zakelijke dienstverlener enkel de IT-infrastructuur levert, bijvoorbeeld een loonpakket. De dienstverlener stelt enkel de salarisberekening op of voert door de klant aangeleverde gegevens in, zonder aanvullende controle of advieswerkzaamheden.

Deze situatie maakt dat de zakelijke dienstverlener de rol van ‘verwerker’ heeft omdat hij optreedt in opdracht van de klant. Het verwerken van persoonsgegevens is het primaire doel. De zakelijke dienstverlener houdt zich in deze situatie enkel hiermee bezig en biedt geen aanvullende diensten.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

 

  • Uitgebreidere vorm van dienstverlening: IT-infrastructuur en advies

De zakelijke dienstverlener is in dit geval een ‘verwerkingsverantwoordelijke’ omdat de diensten niet primair gericht zijn op het verwerken van persoonsgegevens. Het verschil met het vorige voorbeeld is dat hier aanvullend controlerende en adviserende werkzaamheden worden uitgevoerd. De primaire taak ligt hier dus niet meer enkel op het verwerken van persoonsgegevens, maar ook op het controleren en adviseren van de klant.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Financiële administratie

In geval van financiële dienstverlening moet gekeken worden naar de aard en omvang van de werkzaamheden van de dienstverlener. Er zijn drie mogelijke situaties:

 

  • Zakelijke dienstverlener levert alleen boekhoudpakket

Wanneer de zakelijke dienstverlener enkel een boekhoudpakket, bijvoorbeeld een SaaS-pakket, levert aan zijn klant is de dienstverlener een ‘verwerker’. De verantwoordelijkheid voor een correcte administratie ligt in dit geval bij de klant. De klant bepaalt ook het doel en de middelen van de verwerking.

Opstellen verwerkersovereenkomst wettelijk wel noodzakelijk.

 

  • Zakelijke dienstverlener levert boekhoudpakket en adviseert

Wanneer de zakelijke dienstverlener een boekhoudpakket levert aan de klant en meekijkt met de door de klant aangeleverde administratie en de klant adviseert of de financiële administratie op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke eisen, dan heeft de zakelijke dienstverlener de rol van ‘verwerkingsverantwoordelijke’.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

  • Zakelijke dienstverlener voert namens klant administratie in en adviseert

Wanneer de zakelijke dienstverlener namens zijn klant de administratie invoert in een (mogelijk bijgeleverd) boekhoudpakket en de klant mogelijk adviseert of deze financiële administratie op een juiste manier wordt gevoerd en/of de klant voldoet aan de geldende wet- en regelgeving, dan heeft de zakelijke dienstverlener ook de rol van ‘verwerkingsverantwoordelijke’.

In de tweede en derde situatie is het verwerken van persoonsgegevens niet het primaire doel, maar een voortvloeisel uit een andere dienstverlening. Zo kun je denken aan de specifieke kennis die een accountant heeft om te checken of de administratie aan de juiste wet- en regelgeving voldoet. Tot slot bepaalt de zakelijke dienstverlener het doel en middelen voor de verwerking.

Opstellen verwerkersovereenkomst wettelijk niet noodzakelijk.

 

Conclusie

Wanneer er twijfel bestaat over de rol van een accountant, belastingadviseur of salarisprofessional is het raadzaam om elke situatie afzonderlijk te beoordelen. Een kleine nuance in dienstverlening kan het verschil maken of de zakelijke dienstverlener de rol van ‘verwerker’ of ‘verwerkingsverantwoordelijke’ heeft.

 

Hulp bij privacy

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

Cirqll: Een verfrissende en authentieke aanpak in CRM-Systemen voor de privacy bewuste ondernemer

In de hedendaagse digitale economie is het voor ondernemers essentieel om te beschikken over robuuste, veilige en gebruiksvriendelijke tools die niet alleen de bedrijfsvoering vereenvoudigen maar ook voldoen aan strikte privacyregelgeving. Cirqll, een toonaangevende...

45.000 euro boete voor het plaatsen van een foto van je kind op Social Media?

In onze huidige samenleving is het online delen van persoonlijke informatie alomtegenwoordig geworden. Dit geldt met name voor ouders die foto's en gegevens van hun kinderen delen, een fenomeen bekend als "sharenting". Dit artikel belicht de risico's en gevolgen van...

Datalekken Melden: Waarom Het Cruciaal Is Voor Jouw Onderneming

In het licht van recente gegevens van de Autoriteit Persoonsgegevens, die meer dan 25.000 datalekken in Nederland rapporteerden in 2023, is het voor MKB en zelfstandig ondernemers meer dan ooit cruciaal om de ernst van datalekken te begrijpen en passende maatregelen...

Doe de gratis AI AVG Privacy check!

Of je het nu wilt of niet, Je organisatie krijgt te maken met AI (artificial intelligence) . Met AI die steeds verder in ons zakelijke landschap doordringt, is het cruciaal om niet alleen de huidige regelgeving zoals de AVG na te leven, maar ook voorbereid te zijn op...

Waakzaamheid tijdens de Feestdagen: Bescherm jezelf tegen Cybercriminaliteit

De feestdagen zijn een tijd van vreugde, samenzijn en het vieren van bijzondere momenten. Maar helaas is het ook een tijd waarin cybercriminelen actiever worden, gebruikmakend van de feestelijke sfeer om mensen te misleiden. Phishingaanvallen, waarbij kwaadwillenden...

Webinar AVG-check zelfstandig professionals Privacy Zeker en Headfirst

In dit Webinar nemen onze collega Thomas ten Veldhuis (Legal counsel bij HeadFirst Group) en Kor de Boer ( Privacy Zeker) je mee in de belangrijkste zaken rondom de AVG-wetgeving voor zelfstandig professionals. Onderwerpen die ze aansnijden zijn onder andere: 🔒 AI en...

Dubbel Grendel op Digitale Deuren: Het Belang van 2FA

In de dynamische wereld van zelfstandig ondernemers en ZZP'ers, waar elke seconde telt en elke klantrelatie van onschatbare waarde is, wordt de noodzaak van robuuste cybersecurity steeds duidelijker. In het licht van toenemende digitale bedreigingen is het cruciaal om...

Privacy certificering noodzakelijk voor vertrouwenspersonen binnen organisaties.

Vertrouwenspersonen spelen een cruciale rol binnen organisaties. Deze personen zijn niet alleen een steunpilaar voor medewerkers die te maken hebben met ongewenste omgangsvormen of integriteitskwesties, maar zijn ook essentieel in het waarborgen van de privacy en het...

Privacy Zeker en HeadFirst Group bundelen krachten voor AVG-naleving onder zelfstandig professionals

We kondigen een strategische samenwerking aan met HR tech dienstverlener HeadFirst Group. Het doel? Het vergroten van bewustzijn, kennis en naleving van de Algemene Verordening Gegevensbescherming (AVG) onder zelfstandige professionals. Samen creëren we een veiligere...

Hoe Google Consent Mode V2 de Regels Verandert voor Online Privacy en Advertenties

Navigeer door de Nieuwe Privacy-Regelgeving met Google Consent Mode V2 In het digitale tijdperk waar privacy steeds meer in de schijnwerpers staat, introduceert Google een significante update: Consent Mode Versie 2 (V2). Deze vernieuwing legt de lat hoger voor de...

Hoe werkt Privacy Zeker? Bekijk de video.