Rondom de AVG leven ook onder accountants veel misverstanden. Maar welke misverstanden zijn dit dan? En wat moet u doen om deze misverstanden te voorkomen? In deze blog bespreekt Helga Vercammen de 5 meest voorkomende misverstanden binnen de accountancy. In de accountancy heeft u volop te maken met de AVG, bijvoorbeeld bij het samenstellen van jaarrekening, het uitvoeren van controles voor jaarrekeningen, het opstellen van loonstroken, bij gebruik van een salarisadministratie systeem of het CRM-systeem van de klant.
# 1. Ik mag mijn prospect geen nieuwsbrieven meer sturen zonder expliciete toestemming
Stel, u bent op een event en u wisselt meerdere visitekaartjes uit. Op deze visitekaartjes staan persoonsgegevens zoals naam, telefoonnummer, adres en email-adres van de contactpersoon (de prospect) vermeld. De prospect is geïnteresseerd in de diensten die u aanbiedt. Een grijsgebied, is deze vorm van impliciete toestemming genoeg om iemand toe te voegen op LinkedIn en contact op te nemen?
Ja, deze impliciete toestemming is genoeg, mondelinge toestemming is ook toestemming. Echter is het bewijzen van mondelinge toestemming moeilijk, maar het feit dat u het visitekaartje heeft gekregen verondersteld dat deze toestemming aanwezig is. Bij het accepteren van het visitekaartje bent u verwerkingsverantwoordelijke voor de verkregen gegevens. U bent dus ook verplicht inzage te geven in deze gegevens of om de gegevens te verwijderen, te rectificeren, etc als de prospect hierom vraagt. Onder #4 leggen wij uit wat het betekent als u verwerkingsverantwoordelijke bent.
Mag u ook reclame en/of een nieuwsbrief toe sturen aan deze prospect? Dit mag in principe alleen na expliciete en vrijelijke gegeven toestemming. Stel dus eerst de vraag per mail aan de prospect of hij of zij op de mailinglist wil komen te staan. Ook moet u ervoor zorgen dat er altijd een Opt-out mogelijkheid is. Opt-out is de mogelijkheid voor de ontvanger om zich te kunnen uitschrijven. Indien de prospect aangeeft van Opt-out gebruik te willen maken moet u de persoonsgegevens verwijderen, tenzij u een andere grondslag hebt om deze alsnog te bewaren.
# 2. Ik kom als accountant regelmatig in aanraking met (bijzondere) persoonsgegevens, zoals foto’s of kopieën van identiteitskaarten. Mag ik deze bewaren?
Kort gezegd, JA! De AVG is niet opgesteld om uw werk onmogelijk te maken. Zij is er om de privacy van personen te beschermen. Echter zijn persoonsgegevens in sommige gevallen nodig om uw werkzaamheden en gegeven opdrachten uit te kunnen voeren. Denk bijvoorbeeld aan het uitvoeren van de loonadministratie voor uw klanten. Hierbij heeft u de bankrekeningnummers, adresgegevens en namen nodig van de werknemers. In dit geval is er een wettelijke grondslag aanwezig, namelijk uitvoering van de overeenkomst. Onder de AVG zijn er in totaal zes grondslagen om persoonsgegevens te verwerken. Is er geen grondslag aanwezig? Dan mogen de persoonsgegevens niet verwerkt worden.
# 3. Mijn bedrijfswebsite is privacy proof
Helaas kunnen wij niet van afstand zeggen of uw website voldoet aan de AVG en de aankomende E-privacy verordening. Wel kunnen wij een aantal tips geven.
- Ga na welke gegevens u verzamelt van uw websitebezoekers. Welke gegevens vraagt u bijvoorbeeld in het aanmeld/contactformulier? Probeer deze gegevens in het kader van dataminimalisatie te beperken tot de hoognodige gegevens.
- Verzamelt u persoonsgegevens (zoals IP-adres) bij het bezoek aan uw website en vraagt u hier vooraf geen toestemming voor? Dan is uw website niet AVG-proof.
- Wees terughoudend in, en transparant over, het verzamelen van persoonsgegevens. Dit is een verplichting onder de AVG. Zorg voor een cookie pop-up en een privacyverklaring op uw website.
- Beveilig uw site met SSL. Dit zorgt ervoor dat de verbinding tussen de server en de bezoeker beveiligd is en wordt er voorkomen dat vertrouwelijke informatie makkelijk te achterhalen is.
# 4. Je moet met elke relatie een verwerkersovereenkomst sluiten
Nee, niet in iedere relatie of uitvoering van opdracht is er sprake van een verwerker en verwerkingsverantwoordelijke. In bepaalde gevallen is er sprake van derdenverstrekking, dit betekent dat de persoonsgegevens van de ene verantwoordelijke aan de andere verantwoordelijke worden overgedragen. Maar hoe weet u dan wanneer iemand een verwerker is? Of wanneer u verwerker bent?
Het verschil tussen de verwerkingsverantwoordelijke en de verwerker is dat de verwerkingsverantwoordelijke beslist over de manier waarop de persoonsgegevens worden verwerkt en met welk doel. De verwerker werkt in opdracht van de verwerkingsverantwoordelijke, bijvoorbeeld via een verwerkingsovereenkomst of hoofdovereenkomst. De verwerker bepaalt dus niet op welke wijze en met welk doel persoonsgegevens worden verwerkt, maar voert uit wat de verwerkingsverantwoordelijke vraagt. Echter komt de verwerker bij de uitvoering van de opdracht wel in aanraking met deze persoonsgegevens.
In de praktijk is het soms lastig vast te stellen of een accountant verwerkingsverantwoordelijke of verwerker is. Bedenk daarom vooraf wie de middelen en het doel van het verwerken beslist en of er in opdracht wordt verwerkt. Staat het vast wie de verantwoordelijke is en wie de verwerker? Sluit dan een verwerkersovereenkomst af.
# 5. Op verzoek van betrokkene moeten persoonsgegevens direct verwijderd worden
Een betrokkene kan een verzoek indienen om zijn of haar gegevens te verwijderen. Uw organisatie hoeft niet aan dit verzoek te voldoen als de persoonsgegevens nog steeds nodig zijn voor uitvoering van de overeenkomst of wanneer er een wettelijke verplichting bestaat om de gegevens te bewaren (denk aan de bewaartermijnen van de Belastingdienst). Daarnaast volgt uit de AVG dat je nooit meer gegevens mag verzamelen dan nodig en dat deze gegevens direct verwijderd moeten worden wanneer het bewaartermijn verstreken is. Wanneer dit strikt nageleefd wordt zou dit betekenen dat een verzoek tot verwijdering van gegevens nooit toegewezen hoeft te worden!
Hella Vercammen, oprichtster en directeur van TLC en TLPC, bedrijfsjuridisch adviseur & privacyjurist (CIPP/EE)
Masterclasses – 3 PE punten
The Legal Company organiseert regelmatig onder haar label The Legal Privacy Company masterclasses die betrekking hebben op de privacywetgeving. 14 februari 2019 organiseren wij de Masterclass AVG Management van Z tot A, waarin wij met een pragmatische blik naar de AVG kijken. Voor het volledige aanbod van masterclasses kijkt u onze website.
Heeft u vragen over de e-privacy verordening of de AVG? Of wilt u meer weten over de overige aspecten van de AVG? Neem dan contact op met ons door te bellen naar 020 – 345 01 52 of te mailen naar
Geef een reactie