De AVG verplicht de verwerkingsverantwoordelijke om schriftelijk (of in een andere gelijkwaardige vorm) afspraken te maken met zijn verwerker(s) over de omgang met persoonsgegevens.
Of wij als accountant(s) voor deze opdracht een verwerker zijn in de zin van de AVG moeten wij met elkaar bekijken. Voor meer informatie over de AVG verwijzen wij u graag naar de website van de Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/).[1]
1.Deze passage in de opdrachtbevestiging beoogt de accountant en de cliënt aan het denken te zetten over dit onderwerp. Daarom is ervoor gekozen om de tekst in de opdrachtbevestiging zeer algemeen te houden. De accountant moet zich dus bij elke individuele opdracht afvragen of hij/zij verwerker of verwerkingsverantwoordelijke is. Voor sommige opdrachten zal dat eenvoudig zijn: bij een controleopdracht is de accountant verwerkingsverantwoordelijke; bij een opdracht tot het bijhouden van een salarisadministratie is de accountant vrijwel altijd een verwerker. Bij andere opdrachten is het wat minder voor de hand liggend. De accountant dient per geval te bekijken of hij verwerker of verwerkingsverantwoordelijke is. De website van de NBA geeft (met de Autoriteit Persoonsgegevens afgestemde) guidance over dit onderwerp. Daarnaast zijn er modellen verwerkersovereenkomsten te vinden.
Algemeen
Op 25 mei 2018 wordt de General Data Protection Regulation (GDRP) van kracht, in het Nederlands de Algemene Verordening Gegevensbescherming (AVG). De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen. Wij moeten aan kunnen tonen dat wij de juiste organisatorische en technische maatregelen hebben genomen om aan de eisen te voldoen. Ook dienen wij te kunnen bewijzen dat wij de geldige toestemming hebben gekregen voor het verwerken van de persoonsgegevens.
Perfect Administratiekantoor verwerkt uw persoonsgegevens doordat u gebruik maakt van onze diensten en/of omdat u deze zelf aan ons verstrekt.
Hieronder vindt u een overzicht van de persoonsgegevens die wij verwerken:
- Voor- en achternaam;
- Voorletters;
- Geslacht;
- Geboortedatum;
- Geboorteplaats;
- Adresgegevens;
- Telefoonnummer;
- Kopie identiteitsbewijzen;
- E-mailadres;
- IP-adres;
- Overige persoonsgegevens die u actief verstrekt bijvoorbeeld in correspondentie en telefonisch;
- Gegevens over uw activiteiten op onze website;
- Salaris en andere gegevens die voor fiscale aangiften, salarisberekeningen e.d. nodig zijn;
- Huwelijkse staat, gegevens partner en evt. informatie over kinderen; voor zover nodig voor bijvoorbeeld fiscale aangiften);
- IBAN/ bankrekeningnummers.
Wij werken met persoonsgegevens van u als klant en dienen hier zorgvuldig mee om te gaan. Hierbij gaat het om alle gegevens die kunnen leiden naar de identiteit van een persoon. Aangezien wij met persoonsgegevens werken, zijn wij in dit kader onder meer verplicht om een verwerkers-overeenkomst af te sluiten (o.a. het doel van de verwerking, het soort persoonsgegevens dat wordt verwerkt). Een verwerkersovereenkomst is alleen van toepassing wanneer de verantwoordelijke persoonsgegevens bij een externe partij, de verwerker, laat verwerken. Is dat het geval, dan moet deze externe partij een door de verantwoordelijke partij opgestelde verwerkersovereenkomst ondertekenen. In dit kader is het van belang om vast te stellen of wij bij het aannemen van een opdracht zijn aan te merken als verwerker of als verwerkingsverantwoordelijke. De wettelijke definitie van een verantwoordelijke is simpel: de partij die het doel van de verwerking bepaalt en de middelen daarvan kiest. De verwerker is dan een partij die de verwerking doet zonder deze bepaling en keuze te maken. De feitelijke situatie is hierbij bepalend of wij worden aangemerkt als verantwoordelijke dan wel als verwerker. Voor wat betreft de middelen gaat dit niet zover dat u als klant precies moet bepalen welke software wij gebruiken. Het gaat er meer om of de data die in die software komt, alleen ten behoeve van u wordt ingezet. Als de strekking is dat wij de administratie van u als klant beheren en geen eigen doeleinden daarbij bepalen, en de software combineert ook niet feitelijk die informatie met informatie van anderen, dan blijft u de verantwoordelijke.
Wij zijn verwerkingsverantwoordelijke voor de verwerkingen waarvoor wij doel en/of middelen bepalen.
Voorbeelden hiervan zijn:
- het door ons verzamelen van de identificerende gegevens van klanten/opdrachtgevers (grondslag is het moeten voldoen aan een wettelijke verplichting);
- het verzamelen van contactgegevens van potentiële klanten en relaties, dit betreft bijvoorbeeld de gegevens van personen die inschrijven op een nieuwsbrief of graag informatie willen ontvangen. Bij het verkrijgen van deze gegevens zullen wij de expliciete toestemming vragen van de betrokkene om deze gegevens te mogen gebruiken en bewaren;
- verwerkingen van persoonsgegevens die in opdracht van u als klant (verantwoordelijke) worden uitgevoerd, maar waarbij de onafhankelijke uitoefening van ons beroep een voorwaarde is. Voorbeelden zijn het samenstellen van een jaarrekening, het beoordelen of controleren van een jaarrekening, het uitvoeren van een assurance-opdracht, advisering of consultancy, het uitvoeren van een bijzondere opdracht;
- het werken door ons met fiscale en administratieve software. In dit geval is onze leverancier de verwerker. Met alle softwareleveranciers die met klantdata van ons te maken krijgen, hebben wij een verwerkersovereenkomst gesloten of is dit verwerkt in Algemene voorwaarden van deze partijen. Wij zijn hier verantwoordelijk voor. Wij moeten kunnen laten zien aan de Autoriteit Persoonsgegevens dat wij in alles wat wij outsourcen verantwoordelijk met data omgaan.
Wij zijn verwerker voor de verwerkingen van persoonsgegevens die wij in opdracht van u als klant (verwerkingsverantwoordelijke) uitvoeren.
Voorbeelden zijn:
- het verwerken van salarissen;
- het bijhouden van een administratie als wij toegang krijgen tot de (online) administratie;
- overeengekomen specifieke werkzaamheden;
- het opstellen van fiscale aangiften.
Met welk doel en op basis van welke grondslag wij persoonsgegevens verwerken
Perfect Administratiekantoor verwerkt uw persoonsgegevens voor de volgende doelen:
- ten behoeve van de dienstverlening voor u;
- het afhandelen van betalingen;
- verzenden van onze nieuwsbrief en/of reclamefolder;
- u te kunnen bellen of e-mailen indien dit nodig is om onze dienstverlening uit te kunnen voeren;
- u te informeren over wijzigingen van onze diensten;
- Perfect Administratiekantoor verwerkt ook persoonsgegevens als wij hier wettelijk toe verplicht zijn, zoals gegevens die wij nodig hebben voor belastingaangiften.
Geautomatiseerde besluitvorming
Perfect Administratiekantoor neemt niet op basis van geautomatiseerde verwerkingen besluiten over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen. Het gaat hier om besluiten die worden genomen door computerprogramma’s of -systemen, zonder dat daar een mens (bijvoorbeeld een medewerker van Perfect Administratiekantoor) tussen zit.
Hoe lang we persoonsgegevens bewaren?
Perfect Administratiekantoor bewaart uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld. Wij hanteren de volgende bewaartermijnen voor de volgende (categorieën) van persoonsgegevens:
- 7 jaar voor personen;
- 10 jaar voor personen, die onroerend goed bezitten en btw plichtig zijn;
- 30 jaar voor personen, die een eigen woning bezitten in verband met de aftrek van hypotheekrente;
Wij sluiten hierbij aan bij de fiscale termijnen.
Delen van persoonsgegevens met derden
Perfect Administratiekantoor deelt uw persoonsgegevens met verschillende derden als dit noodzakelijk is voor het uitvoeren van de overeenkomst en om te voldoen aan een eventuele wettelijke verplichting. Met bedrijven die uw gegevens verwerken in onze opdracht, sluiten wij een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens. Perfect Administratiekantoor blijft verantwoordelijk voor deze verwerkingen. Daarnaast verstrekt Perfect Administratiekantoor uw persoonsgegevens aan andere derden, bijvoorbeeld in het kader van de loonadministratie. Dit doen wij alleen met uw nadrukkelijke toestemming. Perfect Administratiekantoor gebruikt geen cookies of vergelijkbare technieken.
Overzicht van data/registerplicht
Wij hebben als kantoor een register, waarin onder meer is aangegeven waar wij persoonlijke data van u als klant bewaren, welke persoonsgegevens worden verwerkt en waarom. Wij dienen de juridische basis van de verwerking van gegevens van u als klant te kunnen bewijzen. En dit geldt niet alleen voor alle digitale bestanden, ook op papier is dit van toepassing (denk aan jaarrekeningen en fiscale aangiften). Als er geen doel is om gegevens op te slaan, dan moet er een veilige manier van vernietiging of archivering zijn. In het kader van de AVG moeten deze processen en procedures inzichtelijk zijn.
Privacy dient in de gehele werkwijze van ons kantoor doorvlochten te zijn. Welke persoonsgegevens verzamelen wij en met welk doel? Zolang de informatie nodig is voor boekhoudkundige, fiscale, juridische of financiële activiteiten, dan is het toegestaan. Voldoet het daar niet aan dan mogen die gegevens niet opgeslagen worden. Het doen van een Privacy Impact Assessment (PIA) is een middel om privacy by design te implementeren en de applicaties op het gebied van privacy te optimaliseren. In dit kader vullen wij bij elk nieuw project met betrekking tot wijziging van applicaties, een ‘Pre PIA Screening’ in. Dit is een korte vragenlijst, waarin uit- of ingesloten wordt of persoonsgegevens geraakt worden. Is dat het geval, dan wordt een volledige PIA uitgevoerd.
Gegevens inzien, aanpassen of verwijderen
U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft u het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door Perfect Administratiekantoor en heeft u het recht op gegevensoverdraagbaarheid. Dat betekent dat u bij ons een verzoek kunt indienen om de persoonsgegevens die wij van u beschikken in een computerbestand naar u of een ander, door u genoemde organisatie, te sturen. U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens per e-mail sturen naar ons. Om er zeker van te zijn dat het verzoek tot inzage door u is gedaan, vragen wij u een kopie van uw identiteitsbewijs met het verzoek mee te sturen. Maak in deze kopie uw pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en Burgerservicenummer (BSN) zwart. Dit ter bescherming van uw privacy. We reageren zo snel mogelijk, maar binnen vier weken, op uw verzoek.
Datalekken melden
Datalekken moeten in bepaalde gevallen gemeld worden.
Hoe wij persoonsgegevens beveiligen
Perfect Administratiekantoor neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op met ons op via het contactformulier van Perfect Administratie.
Privacyverklaring
Door gebruik te maken van onze website gaat u akkoord met het gebruik van uw gegevens zoals omschreven in deze Privacyverklaring.
Wij verwerken uw persoonsgegevens uitsluitend in overeenstemming met de Algemene Verordening Gegevensbescherming (hierna AVG). Ons kantoor is verplicht zorgvuldig met uw persoonlijke gegevens om te gaan. Binnen ons kantoor worden de medewerkers hierop gewezen en dienen daartoe ook een geheimhoudingsverklaring te ondertekenen.
Wij gebruiken alleen gegevens die uitdrukkelijk en vrijwillig zijn verstrekt door personen die onze website bezoeken. Verkregen informatie wordt in geen enkel geval aan derden verhuurd of verkocht.
Er kan tijdens uw bezoek aan onze website gebruik worden gemaakt van cookies om u de door u gezochte informatie veilig te kunnen aanbieden en deze website technisch goed te laten functioneren. Cookies worden niet gebruikt voor het doen van ongevraagde aanbiedingen.
Wij zijn geïnteresseerd in gegevens die iets zeggen over het resultaat van onze website. De informatie die wordt verzameld, wordt gebruikt ten behoeve van de verbetering van onze dienstverlening en marketingactiviteiten.
Jaarrekening
Een van de vereisten onder de nieuwe regelgeving is dat in iedere situatie waarin (mogelijk) persoonsgegevens worden verwerkt, een zogeheten verwerkersovereenkomst tussen partijen, die de verwerking uitvoeren, dient te worden gesloten. De verwerkersovereenkomst bevat onder meer de (verdeling van) verantwoordelijkheden en aansprakelijkheden ten aanzien van (verwerking van) persoonsgegevens. Aangezien wij betreffende het opmaken van uw jaarrekening met samenstellingsverklaring met persoonsgegevens werken, dient in het kader van de AVG een verwerkersovereenkomst opgesteld te worden.