Er lijkt een einde te zijn gekomen aan de onduidelijkheid over één van de grootste vraagstukken met betrekking tot de AVG: zijn accountants, belastingadviseurs en salarisprofessionals verwerkingsverantwoordelijke of verwerker bij de uitvoering van hun dienstverlening aan cliënten? Dat schrijft extern projectmanager voor Novak, Marcel Kurvers, naar aanleiding van het nieuws dat NBA, NOB, RB, Novak en NIRPA AVG-richtsnoeren hebben gepubliceerd.
Discussie ten aanzien van de rolverdeling
Ellen Timmer (advocaat ondernemingsrecht bij Pellicaan Advocaten) heeft in 2018 als één van de eersten in haar artikelen en blogs openlijk kritiek geuit op de publicaties van de NBA, ten aanzien van de rolverdeling (verwerkingsverantwoordelijke versus verwerker) bij de dienstverlening aan cliënten. Hiermee is de discussie aangezwengeld of de wijze waarop de NBA (na overleg met de Autoriteit Persoonsgegevens) de rol van de accountant onder de AVG uiteen heeft gezet, wel juist is. Ook kantoren hebben hierover massaal vragen gesteld aan de helpdesk van de NBA, zo blijkt uit het rapport over het raadplegen van de helpdesk door de leden in 2018. Ook beroepsorganisaties waar belastingadviseurs en salarisprofessionals bij zijn aangesloten, hebben hierover diverse vragen gekregen.
Dienstverlening onder de loep genomen
Inmiddels is er bij de beroepsorganisaties het nodige achter de schermen gebeurd om gezamenlijk duidelijkheid aan de leden te verschaffen. Het gaat hierbij om NBA, NOB, RB, Novak en NIRPA in samenwerking met de Autoriteit Persoonsgegevens. Samen hebben zij de meest voorkomende dienstverlening (en de daarbij behorende werkzaamheden) binnen mkb-praktijk in kaart gebracht waarbij wordt aangegeven wanneer men, vanuit de AVG bezien, ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is. . Dit inclusief onderbouwing per dienstverlening. Het eindresultaat is verwerkt in richtsnoeren.
Bij de vaststelling wie verwerkingsverantwoordelijke of verwerker is bij een verwerkingsactiviteit voor cliënten is het van belang om goed te kijken naar het soort dienstverlening:
- Is het verwerken van persoonsgegevens daarbij het primaire doel?
- Wat is de inhoud van de dienstverlening (betreft het ‘kale’ of uitgebreide dienstverlening)?
- Wie bepaalt het doel en de middelen?
In de richtsnoeren wordt met name ingegaan op de rol van accountants, belastingadviseurs en salarisprofessionals bij fiscale opdrachten, salarisadministratie en administratieve dienstverlening omdat bij deze dienstverlening de meeste onduidelijkheid binnen de mkb-praktijk heerst. De conclusie luidt, mede na afstemming met de Autoriteit Persoonsgegevens, dat men binnen de mkb-praktijk in veel gevallen verwerkingsverantwoordelijke is. De consequenties hiervan op de verschillende rollen staan hieronder beschreven.
Fiscale opdrachten
Ten aanzien van fiscale aangiftes geldt dat bij het uitvoeren van deze werkzaamheden belastingadviseurs zich dienen te houden aan de beroeps- en gedragsregels. Zij zijn zelfstandig verantwoordelijk voor het bewaken van de kwaliteit van de te leveren diensten en kunnen daarop tuchtrechtelijk worden aangesproken.
Daarnaast geldt dat een cliënt de adviseur doorgaans inschakelt omdat hij over specifieke specialistische kennis beschikt om de werkzaamheden uit te voeren. Tevens geldt dat bij het opstellen of indienen van een belastingaangifte het verwerken van persoonsgegevens niet het primaire doel is, dit is slechts een uitvloeisel van een andere vorm van dienstverlening. Kortom, de belastingadviseur bepaalt het doel en de middelen voor de verwerking van persoonsgegevens.
Ook voor het verrichten van advieswerkzaamheden kwalificeert de adviseur zelfstandig als verwerkingsverantwoordelijke omdat hij vanwege zijn specialistische kennis wordt ingeschakeld en het primaire doel van de aan hem verleende opdracht niet het verwerken van persoonsgegevens is. Bij het verlenen van belastingadvieswerkzaamheden bepaalt de belastingadviseur het doel en de middelen voor de verwerking van persoonsgegevens.
Salarisadministratie
Het voeren van een salarisadministratie voor een cliënt wordt in de parlementaire geschiedenis van de Wbp als een klassiek voorbeeld genoemd van werkzaamheden waarbij de cliënt als verwerkingsverantwoordelijke wordt aangemerkt en de zakelijke dienstverlener als verwerker. Dit voorbeeld en het uitgangspunt dat de zakelijke dienstverlener daarbij altijd als verwerker optreedt dient echter te worden genuanceerd.
Een salarisverwerkingsopdracht kan samengevat op twee manieren worden uitgevoerd:
- Het uitvoeren van de “kale” salarisverwerking, daar waar de zakelijke dienstverlener aan zijn cliënt enkel de IT-infrastructuur (een loonpakket) ter beschikking stelt ten behoeve van het opstellen van salarisberekeningen/salarisstroken en/of daar waar de zakelijke dienstverlener enkel de door de cliënt aangeleverde gegevens invoert in de salarisapplicatie zonder daarbij aanvullende controle- of advieswerkzaamheden te verrichten; of
- Een uitgebreidere vorm van dienstverlening, waarbij niet alleen de IT-infrastructuur ter beschikking wordt gesteld maar waarbij de zakelijke dienstverlener ook controlerende en adviserende werkzaamheden uitvoert, zoals advisering ten aanzien van de inrichting van de salarisadministratie, het beoordelen en waar nodig corrigeren van aangeleverde gegevens en het toetsen of wordt voldaan aan wet- en regelgeving (fiscale regelgeving, cao’s, pensioenafspraken etc.).
De laatste vorm van dienstverlening is de variant die doorgaans door zakelijke dienstverleners binnen de mkb-praktijk wordt uitgevoerd.
Bij het “kale” salariswerkingsmodel treedt de zakelijke dienstverlener op als verwerker, nu hij enkel in opdracht en ten behoeve van zijn cliënt, overeenkomstig de instructies van de cliënt, persoonsgegevens verwerkt. Bij deze vorm van dienstverlening is de opdracht primair gericht op het verwerken van persoonsgegevens. De cliënt bepaalt het doel en de middelen voor de verwerking van persoonsgegevens bij de te voeren salarisadministratie.
Echter, bij het uitvoeren van de uitgebreidere vorm van salarisverwerking treedt de zakelijke dienstverlener op als verwerkingsverantwoordelijke. Bij het uitvoeren van de salarisverwerkingsopdracht beoordeelt de zakelijke dienstverlener bepaalde zaken zelfstandig (bijvoorbeeld of de ingevoerde gegevens voldoen aan wet- en regelgeving). Daar waar nodig bepaalt hij of aanvullende werkzaamheden dienen te worden uitgevoerd. De zakelijke dienstverlener wordt bij deze variant ingeschakeld vanwege zijn vaktechnische expertise, de dienstverlening is niet primair gericht op het verwerken van persoonsgegevens en de zakelijke dienstverlener is verantwoordelijk voor het bewaken van de kwaliteit van de te leveren diensten. Kortom, de zakelijke dienstverlener bepaalt het doel en de middelen voor de verwerking van persoonsgegevens. De controlerende- en adviserende werkzaamheden zijn dusdanig verweven met het ter beschikking stellen van de IT-infrastructuur (salarisapplicatie) aan de cliënt, dat deze variant geldt als één type dienst waarbij sprake is van “één gegevensverwerking” waarvoor de zakelijke dienstverlener optreedt als verwerkingsverantwoordelijke.
Administratieve dienstverlening
Ook bij het voeren van de financiële administratie voor een cliënt dient te worden gekeken naar de aard en omvang van de door de zakelijke dienstverlener uit te voeren werkzaamheden. Samengevat kan onderscheid worden gemaakt tussen drie varianten:
- De zakelijke dienstverlener stelt aan zijn cliënt een boekhoudpakket ter beschikking (bijvoorbeeld als een Software-as-a-Service applicatie);
- De cliënt heeft zelf een boekhoudpakket aangeschaft en de zakelijke dienstverlener kijkt mee met de door de cliënt gevoerde administratie, waarbij de zakelijke dienstverlener adviseert of de financiële administratie van zijn cliënt op de juiste wijze wordt gevoerd en of de cliënt voldoet aan de wettelijke eisen; of
- De zakelijke dienstverlener voert namens zijn cliënt de administratie (in een eigen of door de cliënt aangeschaft boekhoudpakket), waarbij de zakelijke dienstverlener tevens adviseert of de financiële administratie van zijn cliënt op de juiste wijze wordt gevoerd en of de cliënt voldoet aan de wettelijke vereisten.
Daar waar de zakelijke dienstverlener enkel een boekhoudpakket aan zijn cliënt ter beschikking stelt, kwalificeert de zakelijke dienstverlener als verwerker. Op de cliënt rust de plicht tot het voeren van een deugdelijke administratie en het is de cliënt die het doel en de middelen voor de verwerking van de gegevens bepaalt. De zakelijke dienstverlener verwerkt de gegevens overeenkomstig de instructies van de cliënt en onder diens verantwoordelijkheid.
In de tweede en derde variant kwalificeert de zakelijke dienstverlener als verwerkingsverantwoordelijke. Het verwerken van persoonsgegevens is niet het primaire doel van de opdracht, het is slechts een uitvloeisel van een andere vorm van dienstverlening. De zakelijke dienstverlener beoordeelt bepaalde zaken zelfstandig (bijvoorbeeld of de gevoerde administratie voldoet aan wet- en regelgeving), daar waar nodig bepaalt hij of aanvullende werkzaamheden dienen te worden uitgevoerd en de zakelijke dienstverlener is verantwoordelijk voor het bewaken van de kwaliteit van de te leveren diensten. Kortom, de zakelijke dienstverlener bepaalt het doel en de middelen voor de verwerking van persoonsgegevens.
Beoordeling per situatie
Van belang is om elke situatie afzonderlijk te beoordelen omdat een nuance in dienstverlening kan betekenen dat een kantoor voor een bepaalde verwerkingsactiviteit toch wordt aangemerkt als verwerker terwijl in de richtsnoeren wordt gesproken over verwerkingsverantwoordelijke of andersom.
Marcel Kurvers, is externe projectmanager voor Novak met betrekking tot het Novak Kwaliteitssysteem en externe kwaliteitsmanager voor mkb-accountantskantoren met betrekking tot het (op onderdelen) opzetten, inrichten en onderhouden van kwaliteitssystemen.
Rachel Schulte zegt
Na het lezen van dit artikel bestaat bij mij nog de vraag:
Heb ik als Zzp’er (mediator) een verwerkersovereenkomst nodig voor mijn boekhouder?
Mvg
Marcel zegt
Beste Rachel,
Dat hangt er in eerste instantie vanaf welke dienstverlening door de boekhouder aan u wordt aangeboden. Ik ga bij de beantwoording van uw vraag ervan uit dat uw boekhouder voor u de administratie en de aangifte verzorgt. Tevens ga ik ervan uit dat de boekhouder u ‘uitgebreide’ dienstverlening biedt ten aanzien van bovengenoemde dienstverlening. Kortom, hij draagt zorg voor (nagenoeg) alle werkzaamheden, toetst één en ander met betrekking tot de van toepassing zijnde wet- en regelgeving en zet daarmee zijn specialistische kennis in. Dit is immers binnen de MKB-praktijk de meest voorkomende situatie (de andere optie zou ‘kale’ dienstverlening zijn, waarbij de boekhouder bijvoorbeeld alleen een boekhoudapplicatie aan u ter beschikking zou stellen en u zelf de administratie verzorgt).
In het geval van uitgebreide dienstverlening met betrekking tot de administratieve dienstverlening geldt hetgeen zoals beschreven in hoofdstuk 8, derde bullet in de richtsnoeren. In dat geval geldt dat er geen verwerkersovereenkomst nodig is. De boekhouder is verwerkingsverantwoordelijke.
Met betrekking tot het verzorgen van de aangifte voor u (beschreven in hoofdstuk 6 van de richtsnoeren), geldt eveneens dat er geen verwerkersovereenkomst nodig is. Ook hier is de boekhouder verwerkingsverantwoordelijke.
Voor een verdere toelichting verwijs ik naar hoofdstuk 6 en 8 van de richtsnoeren.
Stefan van der Horst zegt
Ik zit met de volgende situatie:
Wij leveren een boekhoudpakket dat gratis te gebruiken is en open source. Daarbinnen zijn commerciele modules opgenomen.
Gebruikers vragen ons regelmatig even mee te kijken naar hun cijfers, of mee te denken over een probleem.
Het meekijken gebeurt meestal via een Teamviewer verbinding waarbij we de klant ook mee laten kijken en de regie laten houden.
Wij zien dan de gegevens van de administratie en de posten waarover de vraag gaat. Regelmatig verwerken wij de aanpassingen ook op het grootboek.
Zijn wij op dat moment verwerkingsverantwoordelijke?
Marcel zegt
Beste Stefan,
Zie pagina 20 van de richtsnoeren, tweede bullet. Hier wordt bovenstaande situatie genoemd. In een dergelijke situatie is de accountant verwerkingsverantwoordelijke inderdaad.