Eén aspect uit de Algemene Verordening Gegevensbescherming (AVG) werd voor de accountancy aan de orde gesteld in een artikel op deze website. Ellen Timmer, verbonden als advocaat aan Pellicaan Advocaten & Adviseurs, ging in op de vraag: wie is de verwerkingsverantwoordelijke en wie is de verwerker? Marcel Kurvers (Novak) gaat hier verder op in.
Na het artikel van mevrouw Timmer verscheen enkele dagen later een reactie op het artikel van de NBA. Daarin wordt gesteld dat de NBA op basis van overleg met de Autoriteit Persoonsgegevens een andere mening heeft over de rol van de accountant bezien vanuit de AVG. De mening van de NBA is dat de accountant in het geval van NVKS-opdrachten, met uitzondering van Standaard 4400 opdrachten (overeengekomen specifieke werkzaamheden), doorgaans ‘verwerkingsverantwoordelijke’ is.
Tot zover geen verschil in de zienswijze van mevrouw Timmer. Echter, ten aanzien van onder andere de salarisadministratie, de administratieve dienstverlening en het indienen van een aangifte vennootschapsbelasting meent de NBA dat de accountant doorgaans moet worden aangemerkt als ‘verwerker’. Dit betekent dat er een verwerkersovereenkomst moet zijn tussen de cliënt (als verwerkingsverantwoordelijke) en de accountant (als verwerker). Hierover verschillen mevrouw Timmer en de NBA van mening.
Met de reactie van de NBA is de kous niet afgedaan, omdat het onderscheid tussen verwerker en verwerkingsverantwoordelijke een juridisch analyse vergt, aan de hand van de Europese juridische literatuur, zoals de richtlijnen van de Artikel 29-werkgroep. Die analyse is op de website van de NBA niet te vinden. Een van de kenmerken van de rol van verwerkingsverantwoordelijke, hierna ook ‘verantwoordelijke’, is dat deze primair wordt ingeschakeld vanwege diens expertise. Hierbij speelt de verwerking van persoonsgegevens een ondergeschikte rol. Tevens geldt hierbij dat hij een eigen verantwoordelijkheid heeft inzake de wijze waarop de werkzaamheden worden uitgevoerd. Kijkend naar de terugkoppeling van de NBA is er geen discussie mogelijk of de accountant bij de uitvoering van de NVKS-opdrachten verwerkingsverantwoordelijke is. Dit gezien het feit dat de accountant vanuit zijn onafhankelijke rol zijn werkzaamheden uitvoert waarbij hij in belangrijke mate rekening heeft te houden met het correct toepassen van wet- en regelgeving. Bij andere opdrachten, zoals administratieve dienstverlening, salarisadministratie en fiscale aangifte, zou de accountant inderdaad verwerker kunnen zijn wanneer hij uitsluitend de ‘tools’ aanbiedt aan de cliënt waarmee deze zelfstandig en zonder verdere begeleiding van de accountant de (salaris)administratie en de aangifte kan verzorgen. Dan is de accountant vergelijkbaar met een IT-leverancier. Veel bekende, landelijk opererende aanbieders van diensten op het gebied van (salaris)administratie bieden zo’n model aan.
Echter, bij MKB-accountantskantoren komt deze situatie nauwelijks voor. Het gemiddelde MKB-accountantskantoor verzorgt doorgaans de (salaris)administratie of zorgt voor het bijsturen daarvan wanneer de cliënt zelf de (salaris)administratie voert. In veel gevallen heeft de cliënt dan rechtstreeks met een softwareleverancier afspraken gemaakt over het gebruik van de software. In deze situatie is de accountant verantwoordelijk voor een juiste toepassing van wet- en regelgeving bij de verwerking. De accountant is daarbij geen ‘marionet’ van de cliënt, maar dient als ‘onafhankelijke’ expert de wet- en regelgeving te kennen en correct toe te passen. CAO-bepalingen dienen correct te worden doorgevoerd, fiscale regels dienen te worden toegepast, etc.
De eigen verantwoordelijkheid van de accountant komt ook tot uitdrukking in de verplichtingen die deze heeft op grond van de Wwft. In dit geval is de accountant ook aan te merken als ‘verwerkingsverantwoordelijke’. De discussie over het verschil tussen verwerker en verantwoordelijke is niet specifiek voor accountants en niet nieuw in Europa. De AVG geldt voor alle ondernemingen in Nederland en de rest van Europa. Wanneer we kijken naar de branches om de accountant heen, waarbij te denken valt aan advocaten, notarissen en de verzekeringsbranche, zien we dat al deze ‘specialisten’ om dezelfde reden worden aangemerkt als ‘verwerkingsverantwoordelijke’. Zo heeft organisatie van verzekeringstussenpersonen Adfiz een mededeling ten behoeve van assurantietussenpersonen uitgebracht, waaruit blijkt dat de laatsten ten opzichte van hun cliënten (maar ook ten opzichte van de verzekeraars) de rol van verantwoordelijke hebben. Kijken we naar een aantal landen om ons heen, dan zien we dat daar dezelfde discussie is gevoerd, waarbij de conclusie is dat fiscalisten en accountants worden aangemerkt als ‘verwerkingsverantwoordelijke’ met dien verstande dat de accountant expertise inbrengt en niet alleen een ‘tool’ zoals software. Concrete voorbeelden van landen waarin dit zo is gesteld zijn België, Duitsland en Engeland.
De slotconclusie is dat MKB-accountantskantoren in de meeste gevallen kunnen worden aangemerkt als ‘verwerkingsverantwoordelijke’, zodat geen verwerkingsovereenkomst nodig is tussen de cliënt en het accountantskantoor. Wordt in incidentele gevallen aan de cliënt alleen een ‘tool’ geleverd, dan is het kantoor aan te merken als ‘verwerker’.
Marcel Kurvers is projectmanager voor Novak met betrekking tot het Novak Kwaliteitssysteem en externe kwaliteitsmanager voor MKB-accountantskantoren met betrekking tot het (op onderdelen) opzetten, inrichten en onderhouden van kwaliteitssystemen.
Zolang de Autoriteit Persoonsgegevens hier geen duidelijkheid over geeft, zal er onduidelijkheid over bestaan, ook als grote beroepsorganisaties zoals NBA uw standpunt of dat van mevrouw Timmer niet onderschrijven.
Als blijkt dat een accountantskantoor of een administratiekantoor geen verwerker had kunnen zijn, is hij verantwoordelijke. Dit volgt uit de AVG.
In beide gevallen zal het kantoor iets moeten regelen. Een van de verplichtingen is immers het informeren van de betrokkenen op het moment, of kort na de verwerking. Dat wordt er, als je als kantoor gegevens verwerkt die niet rechtstreeks van een betrokkenen worden verkregen, niet eenvoudiger op. Zeker bij de verwerking van een salarisadminstratie en advies op dit gebied, zal een kantoor de betrokken werknemer niet willen of kunnen informeren. Of de klanten van een klant bij een BTW-aangifte. Hiervoor zul je toch wat moeten bedenken.
Kortom, wat je ook bent als kantoor, verwerker of verantwoordelijke, niets regelen met je klant lijkt mij geen optie.
Die onduidelijkheid die is er niet, aangezien er in het verleden op Europees niveau duidelijk is aangegeven wat het verschil tussen (verwerkings)verantwoordelijke en verwerker is, zie daarover de opinie van de Artikel 29 Werkgroep. Die Werkgroep signaleert dat relaties verantwoordelijke-verantwoordelijke veel voorkomen, voorbeeld: werkgever-belastingdienst. Beiden zijn verantwoordelijke maar hebben ieder hun eigen rol (werkgever: correctie loonadministratie en aangifte loonheffingen; belastingdienst: opleggen aanslag loonheffingen en opleggen aanslagen inkomstenbelasting bij de werknemers).
Een accountant en een belastingadviseur hebben een eigen verantwoordelijkheid voor hun werkzaamheden (net als de advocaat en de arts) en zijn dus beiden verantwoordelijke.
Een andere vraag is hoe moet worden omgegaan met het informeren van de ‘betrokkene’, bijvoorbeeld in het geval van de loonadministratie de werknemer. Het ligt voor de hand dat de werkgever de werknemer er over informeert dat hij persoonsgegevens moet verwerken op grond van zijn werkgeversverplichtingen. Hij kan daarbij ook aan de werknemer meedelen dat hij gespecialiseerde expertise van derden (salarisadministrateur, belastingadviseur) inroept.
De AVG zegt niet dat betrokkenen altijd door alle verantwoordelijken geïnformeerd moeten worden, er zijn uitzonderingen op, die kunnen gelden voor de hiervoor genoemde salarisadministrateur en belastingadviseur.
Voor alle verantwoordelijken geldt dat zij de persoonsgegevens van de werknemers niet voor andere doelen mogen gebruiken, voorbeeld:
• De werkgever mag de werknemergegevens niet aan een HR-bemiddelingsbureau geven.
• De salarisadministrateur mag de gegevens van de werknemers niet gebruiken om brancheoverzichten op te stellen en die aan derden te verkopen.
• De belastingadviseur mag de werknemer gegevens niet aan Google verkopen.
Ik hoop dat het daardoor wat duidelijker is geworden.
Het lijkt erop dat er pleitbezorgers zijn om de accountant te definiëren als verwerkingsverantwoordelijke voor alle diensten. Voordeel daarvan zou zijn dat er geen verwerkersovereenkomst nodig is. Ik vraag mij echter af of dat logisch en haalbaar is.
Als verwerker dien je de verwerkingsverantwoordelijke te informeren bij een datalek. De verwerkingsverantwoordelijke dient de afweging te maken wie er verder geïnformeerd dienen te worden. Het lijkt mij meest voor de hand liggend dat de klant het voortouw neemt als er gegevens van zijn of haar relaties gelekt zijn. Zeg nu zelf, hoe zou jij het vinden als iemand die je hebt ingehuurd voor een bepaalde klus contact met jouw klanten gaat opnemen omdat er ergens hoger in de keten gegevens zijn gelekt…. dat wil je dan toch het liefste zelf melden?
Als de accountant verwerkingsverantwoordelijke is moet hij of zijn de afweging maken of het lek bij de AP gemeld moet worden. Ook dient de accountant een afweging te maken of de betrokkenen geïnformeerd moeten worden. Zoals mevrouw Snellenburg terecht aangeeft, zal dat niet eenvoudig zijn. Het lijkt me lastig in de relatie met de klant als de accountant degene moet zijn die de medewerkers en/ of andere relaties van de klant moet informeren, nog even los van de vraag of hij of zij wel over de juiste gegevens beschikt om dit überhaupt te kunnen doen.
Zie over het onderscheid verantwoordelijke/verwerker mijn vorige reactie. Het komt veel voor dat er verantwoordelijke-verantwoordelijke relaties zijn, maar de AVG heeft daar een oplossing voor.
Ten aanzien van het melden van datalekken: de AVG schrijft voor dat iedere verantwoordelijke de ‘eigen’ datalekken moet melden aan de AP, dat is niet moeilijk bij meerdere verantwoordelijken. Voor zover het de melding aan de ‘betrokkene’, degene wiens persoonsgegevens gelekt zijn, betreft, draagt de verwerkingsverantwoordelijke wel de verantwoordelijkheid voor het informeren van de betrokkene, maar is er niets wat hem verbiedt dit te doen via een wederpartij die een band met de betrokkene heeft.
Voorbeeld: een datalek bij de salarisadministrateur: de salarisadministrateur meldt bij de AP en beoordeelt of de betrokkene (de werknemer) geïnformeerd moet worden. Als dat het geval is overlegt de salarisadministrateur met de werkgever. Daar kan uitkomen dat de werkgever de melding aan de werknemer zelf doet. Maar als de werkgever niet tot melding aan de werknemer zou overgaan, zal de salarisadministrateur het toch echt zelf moeten doen.