Tijdens een bijeenkomst van de Nederlandse Orde van Advocaten waren de aanwezige privacyspecialisten er helder over: een advocaat is ten opzichte van zijn cliënt altijd ‘verantwoordelijke’ in de zin van de nieuwe privacyregelgeving, de Algemene Verordening Gegevensbescherming (AVG – maar onder de huidige wet is dat niet anders.) Accountants en belastingadviseurs lijken te denken dat zij ‘verwerker’ kunnen zijn, wat ik niet goed begrijp.
Accountants kennen uitgebreide regelgeving die minutieus regelt wat zij wel en niet mogen, zelfs als ze niet eens als accountant werken. Hun regels hebben uitstraling naar alle andere beroepsgroepen binnen hun accountantsorganisatie, zoals belastingadviseurs, salarismedewerkers en organisatieadviseurs. Verder vallen accountants en andere financials onder de Nederlandse antiwitwas-wetgeving, de Wwft. Deze beroepsbeoefenaren hebben een wettelijke taak en/of assisteren hun cliënten met de naleving van wettelijke verplichtingen. Dat betekent dat zij altijd het doel en de middelen van hun werkzaamheden bepalen en ten opzichte van hun cliënt nimmer de rol van ‘verwerker’ spelen. Die boodschap is echter niet tot hun beroepsorganisaties doorgedrongen.
NBA-toelichting
Op de site van de Nederlandse Beroepsorganisatie van Accountants (NBA) staat een toelichting op het begrip ‘verantwoordelijke’ en ‘verwerker’ waarin wordt gesuggereerd dat er situaties kunnen voorkomen waarin de cliënt aan de accountant instructies kan geven over de wijze waarop de werkzaamheden worden uitgevoerd. In zulke gevallen zou een accountant verwerker zijn. Dit lijkt op een misverstand van de auteurs te berusten. Er is een verschil tussen het definiëren van de inhoud van een opdracht en de wijze waarop en met welk doel de opdracht door de accountant wordt uitgevoerd. Overigens wordt door de NBA over het aansluiten van een verzamelloonstaat en het opnemen van een loonheffingsschuld gezegd dat de accountant daar verantwoordelijke is, terwijl ten aanzien van het voeren van de salarisadministratie wordt opgemerkt dat de accountant hier de instructie van de cliënt zou mogen opvolgen. Dat kan niet waar zijn. Het voeren van een salarisadministratie is niet anders dan het uitvoeren van samenstelwerkzaamheden, waarvan de NBA constateert dat de accountant daar ‘verantwoordelijke’ is.
Onbekendheid
Overigens is die salarisadministrateur een hardnekkig gebruikt voorbeeld van een ondernemingsactiviteit die per definitie ‘verwerking’ zou inhouden. Ik denk dat dit berust op onbekendheid met de activiteiten en verantwoordelijkheden van een salarisadministrateur, die onder meer verplichtingen op grond van de Wwft heeft. In hele oude parlementaire geschiedenis wordt het als voorbeeld genoemd, maar ik denk dat het niet (meer) klopt.
De Nederlandse Orde van Belastingadviseurs (NOB) lijkt in de handreiking die in januari 2018 is uitgebracht ook te denken dat de belastingadviseur in relatie tot cliënten verwerker kan zijn. Men lijkt te denken dat het voor verwerkerschap voldoende is dat de cliënt geen natuurlijke persoon is. De belastingadviseur speelt een centrale rol in de regelgeving ter bestrijding van belastingfraude en dient zich aan de Wwft te houden. Klakkeloos instructies van cliënten opvolgen is er niet bij. Ook die belastingadviseur is verantwoordelijke.
Nu het leven op dit punt eenvoudig is geworden kan iedereen met cybersecurity, dataminimalisatie en tijdig verwijderen aan de slag.
Mr. Ellen Timmer is advocaat ondernemingsrecht en verbonden aan Pellicaan Advocaten. Dit artikel is geschreven op persoonlijke titel.
In de Handleiding AVG van het ministerie van Justitie en Veiligheid dd jan18 wordt op pagina 32 heel nadrukkelijk het voorbeeld benoemd van de salarisadministratie als zijnde verwerker….
Dit is afkomstig uit oude parlementaire geschiedenis en naar mijn mening achterhaald, respectievelijk niet van toepassing.
Interessante benadering. De lijn van het betoog is helder en voor de conclusie is alleszins iets te zeggen.
Belangrijkste onderliggende conclusie van dit verhaal is vooralsnog, dat de ‘geleerden’ het dus ook allemaal nog niet precies weten en dat we met zijn allen met een exercitie bezig zijn, die op punten gelijkenis vertoont met bezigheidstherapie. Kan immers goed zijn dat het straks weer allemaal anders moet.
Onduidelijke en daarmee slechte wetgeving?
Of in gebreke blijvende brancheorganisaties?
Die laatste weten immers al twee jaar dat er open normen zijn in de verordening en hebben verzuimd om over de invulling daarvan voor de eigen beroepsgroep overleg te voeren met de AP.
Tegen wil en dank met deze materie bezig zijnde voor een franchisecoöperatie van administratiekantoren pijnig ik me na lezing met de vraag of in de lijn van dit betoog nog een nuanceverschil tussen accountants en administrateurs kan worden gevonden, die die laatste beroepsgroep wel weer verwerker doet kunnen zijn. Het luistert namelijk nogal nauw allemaal.
Bovendien bekruipt mij steeds meer het gevoel dat de privacy van de burger ook anders dan met deze Brusselse papieren tijger gewaarborgd had kunnen worden.
Dit artikel maakt wel duidelijk hoe complex en multi-interpretabel de wetgeving is. Persoonlijk vind ik het al heel onlogisch dat de accountant verwerkingsverantwoordelijke is voor zijn wettelijke taak. Het is alsnog de gecontroleerde entiteit de opdracht verstrekt en die alle informatie en de benodigde bezoldiging verstrekt. Dat noem ik doel en middelen. En dat de accountant een eigen verantwoordelijkheid heeft voor het betrekken van alle benodigde informatie om tot een juist oordeel te komen, is niet anders dan bij heel veel andere verwerkingen waar wel sprake van een verwerker is. Maar goed, ik ben geen jurist.
Als je kijkt naar de praktische implicaties dan is dit geen goede zaak. De verwerkingsverantwoordelijke heeft een relatie met de betrokkene en moet de betrokkene in sommige gevallen informeren bij een datalek. Maar als de verwerkingsverantwoordelijke de accountant van de werkgever of leverancier of klant van de betrokkene is? Het zou veel logischer zijn wanneer de verantwoordelijkheid lag bij degene die in een relatie tot de betrokkene staat. Dit kunnen verantwoordelijken natuurlijk onderling overeenkomen, maar makkelijk uit te leggen is het niet.
Ook naar aanleiding van de reactie van Feijten: het valt best mee, maar het is wel belangrijk dat de beroepsorganisaties goed naar dit soort regelgeving kijken en de beroepsbeoefenaren niet laten verdwalen.
De NBA waardeert de moeite die mevrouw Timmer heeft genomen om na te denken over de toepassing van de AVG, maar is het niet eens met de inhoud van het artikel.
Daarom wijs ik graag op onderstaande link naar een reactie op de website van de NBA:
https://www.nba.nl/nieuws-en-agenda/nieuwsarchief/2018/mei/reactie-nba-op-berichtgeving-accountancy-vanmorgen-inzake-de-avg/
Beste Ellen,
Is een (kandidaat-)notaris een verwerker in de zin van de AVG?
Notarissen maken net zoals fiscalisten ook contracten.
Groet!
Jeffrey
De conclusie van mw Timmer komt wat te simplistisch over. De belastingadviseur, niet zijnde een register-accountant, die een aangifte opstelt doet dat voor zijn cliënt en zijn cliënt dient die in, dan wel de adviseur doet dat juridisch en praktisch namens de cliënt. Gezien de definities van de verordening wordt het wel erg gekunsteld om daar een verwerkingsverantwoordelijkheid van te maken. Het doel (verwerking persoonsgegevens in aangifte) en de middelen worden vnl bepaald door de wet/overheid en cliënt. De belastingadviseur heeft bij deze werkzaamheid geen zelfstandige wettelijke verplichting en een zeer beperkte discretionaire bevoegdheid. Voor de verwerking van de cliëntgegevens in de eigen administratie zal de adviseur weer wel verwerkingsverantwoordelijke zijn. Het werkelijke probleem is onduidelijke, slechte, one-size-fits-all regelgeving waardoor zelfs nu nog onduidelijk is hoe deze geïnterpreteerd moet worden.
De regelgeving lijkt me niet bedoeld om het ingewikkelder te maken als het is.
Eenvoudig gezegd is elke Organisatie die een opdracht verstrekt krijgt door een Opdrachtgever automatisch ‘Verwerker’ indien de gegevens verwerkt worden (lees: opgeslagen of bewaard of gebruikt op welke manier dan ook).
Een beetje verwarrend in de AVG is dat de organisatie ‘Verwerker’ wordt genoemd, maar tevens ook de medewerker in de Organisatie die met die klantgegevens werkt (en niet de hoofdverantwoordelijke is binnen die organisatie voor die gegevens) wordt ‘Verwerker’ genoemd.