De meeste kantoren weten dat de Algemene verordening gegevensbescherming (AVG) in werking is getreden. Dat is wat anders dan dat elk kantoor daar ook evenveel werk van maakt (of heeft gemaakt). Gezien de aansprakelijkheidsrisico’s bij niet-naleving is dat geen aanrader. Het ‘AVG-rollenspel’ zal ook binnen uw kantoor volgens de regels van het spel gespeeld moeten worden. Afhankelijk van uw rol – verwerkingsverantwoordelijke, verwerker of subverwerker – worden er andere afspraken gemaakt en wordt er anders gewerkt. Wordt 2020 ook hét AVG-implementatiejaar voor uw kantoor?
Eerst een korte opfrisser, want hoe zit het ook alweer met de privacywetgeving? Welke rol u onder de AVG hebt, hangt af van het type dienstverlening dat u biedt. Op hoofdlijnen is dit als volgt geregeld:
- Betrokkene: dit is de natuurlijke persoon van wie er persoonsgegevens worden verwerkt. Met de persoonsgegevens in de hand, al dan niet met elkaar gecombineerd, kan deze persoon worden geïdentificeerd. Denk aan een postcode en huisnummer, het BSN, maar ook aan een bankrekeningnummer. Ook uzelf kunt een betrokkene zijn. Bijvoorbeeld wanneer u zich aanmeldt voor een cursus; uw persoonsgegevens zullen dan aan de cursusaanbieder worden doorgegeven. En wellicht is de cursusaanbieder weer verplicht om uw persoonsgegevens aan de brancheorganisatie toe te sturen ten behoeve van de accreditatie.
- Verwerkingsverantwoordelijke: dit is de organisatie die de touwtjes in handen heeft voor wat betreft de verwerking van de persoonsgegevens. Deze organisatie bepaalt immers doel en middelen en zal hierbij doorgaans gebonden zijn aan wet- en regelgeving. Wanneer u een werkgever bent, dan hebt u als werkgever onder meer de verplichting om een loonbelastingverklaring door het personeel te laten ondertekenen. Als accountant bent u bijvoorbeeld bij samenstellingsopdrachten ook een verwerkingsverantwoordelijke, want u bepaalt hoe u deze samenstellingsopdracht binnen de kaders van de wet uitvoert.
- Verwerker: deze persoon of partij neemt de verwerkingsverantwoordelijke werk uit handen, gericht op de verwerking van persoonsgegevens. Deze organisatie heeft niet zelf de touwtjes in handen en bepaalt ook niet het doel en de middelen voor gegevensverwerking. Deze instructies worden immers via de verwerkersovereenkomst door de verwerkingsverantwoordelijke aan de verwerker verstrekt. De opdracht van de verwerker is steeds slechts gericht op de verwerking van de persoonsgegevens, bijvoorbeeld doordat de verwerker een (salaris)administratiepakket beschikbaar stelt aan de klant.Let op! Recente richtsnoeren (d.d. 1 oktober jl.) van de NBA, Novak, NOB, het RB en NIRPA schrijven voor dat de (salaris)administrateur niet langer een verwerker is indien er ook controlerende- of advieswerkzaamheden worden aangeboden. Er wordt alleen nog van verwerken gesproken als u zich beperkt tot het (laten) inkloppen van de cijfers. U controleert dus ook niet of de cijfers juist zijn en u adviseert evenmin of er aanspraak kan worden gemaakt op gunstige regelingen.
- Sub-verwerker. De verwerker kan zich ook weer laten helpen door een andere organisatie: de sub-verwerker. Die organisatie neemt ook weer slechts administratieve zaken uit handen, gericht op de verwerking van persoonsgegevens. Mocht de salarisadministrateur van zojuist het (salaris)administratiepakket dat hij aan zijn klanten aanbiedt inkopen van een andere organisatie, dan zal die organisatie de sub-verwerker zijn.
Rollen concreter ingevuld
Als accountantskantoor verricht u allerhande werkzaamheden voor uw klanten. Die kunnen bestaan uit samenstelwerk, btw-aangiftes, ondersteuning bij subsidievraagstukken, enz. Wellicht genieten uw klanten inkoopvoordeel, doordat u een salarispakket voor hen allen beschikbaar stelt. U kunt vanuit de AVG dan met verschillende petten op werken: de ene keer bent u verwerkingsverantwoordelijke, de andere keer verwerker.
Zodra uw werk gericht is op adviseren en niet meer op het verrichten van louter administratief werk, kan uw rol van kleur verschieten. Een voorbeeld ter verduidelijking: u kunt een pakket als Nmbrs, Exact of Loket aanbieden aan een bij u aangesloten kantoor. Zolang dat kantoor zelf de gegevens in dit pakket inklopt, bent u alleen verwerker. Gaat u aan het einde van de maand of één keer per kwartaal of per jaar om de tafel met het kantoor, omdat u allerhande tips en voordelen uit de wet met hen doorneemt? Dan zult u op dat moment adviseren. U bent op dat moment dan niet langer een verwerker, maar een verwerkingsverantwoordelijke.
Te maken afspraken
Wanneer u verschillende petten draagt bij het verrichten van uw dienstverlening, zult u ook verschillende afspraken moeten maken. Ik ga ervan uit dat u in ieder geval altijd een opdrachtbevestiging sluit met uw klanten. Doet u dit nog niet, dan is het tijd om dit alsnog te gaan doen. Een overzicht van de afspraken wanneer partijen vanuit verschillende AVG-rollen met elkaar samenwerken:
Verwerkingsverantwoordelijke werkt samen met een verwerkingsverantwoordelijke
Bent u een verwerkingsverantwoordelijke en is uw klant dit ook? Dan sluit u voor die werkzaamheden geen verwerkersovereenkomst. Wel legt u in de opdrachtbevestiging vast dat u zich beiden aan de volgende uitgangspunten zult houden:
- U gebruikt de verkregen persoonsgegevens uitsluitend ten behoeve van het doel waartoe u de gegevens hebt ontvangen. Dit betekent bijvoorbeeld dat u de werknemers van uw klant niet ineens in een nieuwsbrief opneemt, als u hun e-mailadres hebt ontvangen om de salarisstrook rechtstreeks toe te kunnen zenden.
- U spreekt met elkaar af dat u de persoonsgegevens technisch en organisatorisch goed beveiligt. Dit houdt in dat u niet alleen wachtwoorden gebruikt waar mogelijk, maar ook dat u met het personeel afspreekt dat zij niet onnodig in dossiers zullen grasduinen (dus alleen volgens het need-to-know-principe).
- Wanneer er sprake is van een datalek of een privacyverzoek van een betrokkene, dat ook relevant is voor de ander, dan zult u elkaar informeren. Ook zult u zo nodig uw medewerking verlenen aan het afwikkelen van het lek of het verzoek.
- Tot slot kunt u uw aansprakelijkheid inperken, in de zin van dat u vastlegt dat de persoonsgegevens die u van de ander ontvangt, op rechtmatige wijze zijn verkregen. En zo niet, dat dit voor rekening en risico van de ander komt.
Verwerkingsverantwoordelijke werkt samen met een verwerker
Bent u een verwerker of maakt u gebruik van de diensten van een verwerker, dan dient u ook een verwerkersovereenkomst te sluiten. In de verwerkersovereenkomst geeft de verwerkingsverantwoordelijke aan de verwerker de instructies over hoe er moet worden omgegaan met de te verwerken persoonsgegevens. Doordat de verwerkingsverantwoordelijke de instructies uitdeelt, is het ook de verwerkingsverantwoordelijke die letterlijk de eindverantwoordelijkheid draagt – en daarmee in beginsel ook de aansprakelijkheid. Mits u een en ander goed regelt, uiteraard. Want regelt u niets en is uw klant u voor? In dat geval zou uw klant u zomaar een verwerkersovereenkomst kunnen aanbieden waarbij de aansprakelijkheid naar u verschuift.
Verwerker werkt samen met een sub-verwerker
Een verwerker die een sub-verwerker inschakelt, is verplicht om de instructies zoals hij deze van de verwerkingsverantwoordelijke heeft verkregen, één-op-één op te leggen aan de subverwerker. U mag als verwerker immers slechts conform de instructies van de verwerkingsverantwoordelijke te werk gaan en hetzelfde gaat op voor de sub-verwerker. U draagt de verantwoordelijkheid voor het handelen van de sub-verwerker, dus u kunt zich voorstellen dat deze afspraken van zeer groot belang zijn. In de regel wordt er een verwerkersovereenkomst gesloten tussen de verwerker en de sub-verwerker.
U werkt samen met een particuliere klant
U sluit geen specifieke AVG-overeenkomst, maar u wijst uw particuliere klant wel op de maatregelen die u hebt getroffen in het kader van de AVG. Ook legt u uit welke gegevens u van deze klant verwerkt, met welk doel en voor welke periode. Dit alles kan worden vervat in een privacy statement. Het privacy statement stuurt u mee met de opdrachtbevestiging, of u verwijst ernaar. Het privacy statement plaatst u ook op uw website, bij voorkeur in pdf-formaat, zodat het eenvoudig kan worden gedownload en afgedrukt.
Pak de regie
In alle relaties waarbij er persoonsgegevens worden uitgewisseld, is het noodzakelijk om goede afspraken te maken. Dit maakt niet alleen helder wat de partijen van elkaar mogen verwachten, maar het voorkomt ook onnodige discussies zodra de verwerking misgaat. Voorkom vervelende aansprakelijkheidskwesties en stel proactief de benodigde documenten op. Daarmee pakt u de regie en hoeft u niet te vrezen dat er onnodig veel risico bij u komt te liggen.
mr. Melanie Hermes is AVG specialist | advocaat arbeidsrecht | specialist aansprakelijkheid en verzekeringen | trainer verbonden aan Fiscount
Meer weten over de AVG? Volg de cursus “Van eenpitter tot groot kantoor; de privacywetgeving biedt ook kansen”. Tijdens deze interactieve bijeenkomst krijg je praktische tips en voorbeelden over de juiste en meest effectieve toepassing van de privacywetgeving. Je kunt jouw kantoorvoorbeelden vergelijken met die van anderen.
Geef een reactie