• Magazines
    • 2026, ICT & AI
  • Nieuws
    • Accountancy
    • Fiscaal
    • Overig
  • Blog
  • Podcast
  • Partners
  • Opleidingen
    • AV Young Professional
    • Summercourses
    • Incompany
  • Vacatures
    • Kantoren
  • Kennisdocs
  • Events
    • Nationale salarisdag
    • Nationaal Congres Familiebedrijven
    • AV-padeltoernooi 2026
  • AV-Top 50
    • AV-Top 50 | 2025
    • AV-Top 50 | 2024
    • AV-Top 50 | 2023
    • AV-Top 50 | 2022
    • AV-Top 50 | 2021
  • Specialist
  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Volg een cursus
  • Nieuwsbrief
  • LinkedIn
  • Mail
  • Instagram
  • Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst
  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Volg een cursus
  • Nieuwsbrief
Accountancy Vanmorgen

  • Magazines
    • 2026, ICT & AI
  • Nieuws
    • Accountancy
    • Fiscaal
    • Overig
  • Blog
  • Podcast
  • Partners
  • Opleidingen
    • AV Young Professional
    • Summercourses
    • Incompany
  • Vacatures
    • Kantoren
  • Kennisdocs
  • Events
    • Nationale salarisdag
    • Nationaal Congres Familiebedrijven
    • AV-padeltoernooi 2026
  • AV-Top 50
    • AV-Top 50 | 2025
    • AV-Top 50 | 2024
    • AV-Top 50 | 2023
    • AV-Top 50 | 2022
    • AV-Top 50 | 2021
  • Specialist
Home » Privacyboetes in de praktijk: Wanneer raakt de nieuwe privacyregelgeving uw klant?

Privacyboetes in de praktijk: Wanneer raakt de nieuwe privacyregelgeving uw klant?

Accountancy, Artikelen, Nieuws

24 juni 2016 door Accountancy Vanmorgen

Accountancy Vanmorgen

Naast de meldplicht datalekken is per 1 januari 2016 ook een algemene boetebevoegdheid ingevoerd. De toezichthouder (Autoriteit Persoonsgegevens, afgekort AP) kan voortaan een boete opleggen voor het niet nakomen van nagenoeg álle verplichtingen uit de Wet bescherming persoonsgegevens (Wbp) ‒ dus niet alleen in het geval van (niet melden van) datalekken. De wetswijzigingen hebben nu al gevolgen voor het oordeel over de continuïteit van een gecontroleerde rechtspersoon. Niet alleen als het gaat om het beoordelen van investeringen of getroffen voorzieningen, maar ook als u moet inschatten hoe haalbaar nieuwe businessmodellen, diensten of producten van uw klanten zijn.

Algemene Verordening Gegevensbescherming
De nieuwe Europese Privacy Verordening, de Algemene Verordening Gegevensbescherming (AVG), is een feit. Het Europese Parlement heeft de AVG aangenomen op 14 april 2016. Medio 2018 zal ook in Nederland deze gedetailleerde en vergaande wetgeving rechtstreeks in werking treden. Vooruitlopend op de AVG is in Nederland per 1 januari 2016 een algemene boetebevoegdheid en de meldplicht datalekken ingevoerd.

Voor een goed beeld van de gevolgen voor de accountantspraktijk, bespreek ik eerst twee onderwerpen die het risicokader bepalen: de wet en de toezichthouder.

Wanneer is de wet van toepassing?

Zowel de Wbp als straks de AVG werken met definities, waarbij het kernbegrip ‘persoonsgegevens’ is. Een persoonsgegeven is elk gegeven met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Het hoeft dus niet direct duidelijk te zijn om welke persoon het gaat. Als door een combinatie van data of bestanden kan blijken om welke persoon het gaat, is er sprake van persoonsgegevens. Een IP-adres en mac-adressen van een mobiele telefoon (wifi tracking) vormen een persoonsgegeven. Ook al kan degene die deze gegevens heeft alleen in theorie vaststellen bij wie de gegevens horen. Bij pseudonimisering of cryptografie (encryptie en hashing) is vaak nog steeds sprake van een persoonsgegeven. De AP juicht dit toe als beveiligingsmaatregel, maar ziet dit tegelijkertijd als een omkeerbaar proces.
Voor welke klanten geldt de privacywetgeving?
De privacywetgeving geldt voor alle klanten die in het zakelijke verkeer persoonsgegevens geautomatiseerd verwerken. De wet maakt daarbij geen onderscheid in profit, non-profit, overheid, commerciële onderneming of rechtsvorm (BV, NV, stichting of vereniging). De wet maakt ook geen onderscheid naar branches. Het gebruik van persoonsgegevens gaat over het gebruik binnen de organisatie, zoals:
• loonadministraties;
• aantekeningen in een CRM-systeem om salesgesprekken persoonlijker te maken;
• een klanten-, deelnemers- of patiëntendatabase;
• een overzicht van huurders, leerlingen, prospects of sollicitanten;
• een database voor statistiek of onderzoek;
• personeelsvolg- of beloningssystemen;
• in- en uitrijcontrole; of
• cameratoezicht.

Uitwisseling tussen bedrijven

De wet is echter ook van toepassing op de uitwisseling van persoonsgegevens tussen bedrijven. Denk daarbij onder meer aan:
• uitbesteding van de salarisadministratie;
• het laten monitoren of hosten van websites of apps;
• het inschakelen van een pakketbezorgdienst;
• samenwerking met een marketingbureau, digital agency of wervingsbureau bij het benaderen van klanten of prospects;
• het laten verrichten van klanten-/patiëntenonderzoek;
• verrijking van databestanden voor klanten; of
• het aanleveren van profielen of informatie over bezoekers(aantallen) van internetpagina’s of van echte locaties.

Het moet daarbij wel gaan om een geautomatiseerde verwerking. Zodra de gegevens via een ICT-systeem lopen of als bestand zijn opgeslagen, is daar sprake van. Een verwerking is letterlijk elke denkbare handeling met data. Simpel opslaan of opvragen van gegevens is al een verwerking. Kortom, iedere accountant heeft klanten waarbij privacyregelgeving een rol speelt.

Wat zijn dan de verplichtingen?

De nationale en Europese privacywetgeving bestaat uit open normen. De klant moet dus eerst zelf beoordelen of voldaan wordt aan de Wbp en straks aan de AVG (of in het Engels de GDPR). Er bestaan echter wel een aantal principes in het privacyrecht:
• Transparantie. De betrokkene (degene over wie de gegevens gaan) moet tenminste vooraf weten dát: a) de gegevens worden verzameld; b) waarvoor en door wie dit gebeurt; en c) aan wie de gegevens worden verstrekt. Deze informatie kan staan in een privacyverklaring. Dit is geen standaarddocument. In de AVG worden strenge eisen gesteld aan de informatieverstrekking.
• Doel en doelbinding. Vooraf moet duidelijk besloten zijn voor welk gerechtvaardigd en (in het beleid) omschreven doel de gegevens worden gebruikt. Vervolgens mogen de gegevens niet worden gebruikt voor een ander doel.
• Grondslag. De wet kent slechts 6 toegestane grondslagen. Is er geen grondslag, dan mogen de gegevens niet worden verwerkt. De meest gebruikte grondslagen zijn: uitvoering van een overeenkomst (een adres is nodig om een bestelling te bezorgen), ondubbelzinnige (geïnformeerd, specifieke, in vrijheid gegeven) toestemming en een gerechtvaardigd belang. De laatste grondslag accepteert de AP pas na een zware belangenafweging, waarbij het commerciële bedrijfsbelang meestal niet zwaar genoeg weegt.
• Kwaliteit van de gegevens. Dit impliceert dataminimalisatie en actualisatie. Kortom, geen gegevens verzamelen die niet ter zake doen en verouderde of incomplete gegevens niet bewaren.
• Bewaartermijnen. Bestanden moeten worden opgeschoond. Gegevens mogen niet langer worden bewaard dan nodig voor het doel waarvoor ze zijn verzameld.
• Beveiliging. Beveiliging betekent zowel het treffen van organisatorische maatregelen als technische maatregelen. Elke organisatie zal enige vorm van cryptografie, privacy awareness training voor medewerkers en privacybeleid moeten hebben. De meldplicht datalekken gaat in feite over beveiliging.
• Verbod tot gebruik van bijzondere gegevens. Gegevens over gezondheid, politieke voorkeur, ras, seksuele leven, godsdienst, lidmaatschap vakvereniging of bepaalde strafrechtelijke gegevens mogen níet worden verwerkt, tenzij is voldaan aan specifieke eisen. BSN-nummers mogen in principe níet worden verwerkt. Voor het gebruik van gegevens van kinderen onder de 16 jaar is de toestemming van de ouders nodig.
Gegevens mogen ook niet zomaar worden uitgewisseld met organisaties buiten Europa. Nu de Safe Harbour-route niet is toegestaan en de acceptatie van het EU-US Privacy Shield discutabel is, bestaat hier een risico voor ondernemingen met Amerikaanse vestigingen of Nederlandse organisaties die samenwerken met Amerikaanse partijen.

Nieuwe verplichtingen

De AVG brengt een aantal nieuwe verplichtingen en nieuwe rechten van betrokkenen met zich mee. Hierdoor zijn aanpassing van systemen, werkwijzen en procedures bij veel ondernemingen nodig. Te denken valt aan:
• het aanstellen van een privacy officer;
• het uitvoeren en aantoonbaar vastleggen van privacy audits, privacy impact assessments en privacybeleid;
• het checken en vastleggen van afspraken met bewerkers (partijen die de dataverwerking ondersteunen), klanten en opdrachtgevers in verband met het nieuwe recht op dataportabiliteit en het recht om vergeten te worden, maar ook in verband met nieuwe verplichtingen voor bewerkers

Aanpak toezichthouder

De AP kan zowel uit eigen beweging als naar aanleiding van een (enkele!) melding een onderzoek starten. De AP heeft een handhavingsbeleid en publiceert jaarlijks een toezichtagenda. Hieruit volgt dat de AP bij ambtshalve onderzoek prioriteit geeft aan zaken waarbij sprake is van ernstige overtredingen, die structureel van aard zijn en veel mensen treffen. Het betreft zaken waarbij de AP met handhavingsinstrumenten effectief het verschil kan maken en waarbij de overtreding valt binnen de jaarlijkse aandachtspunten van de AP. Voor 2016 staan op de jaaragenda:
• beveiliging persoonsgegevens;
• big data & profiling;
• medische gegevens;
• persoonsgegevens bij de overheid;
• persoonsgegevens in de arbeidsrelatie.

Meldingen

Meldingen zijn enerzijds de signaleringen die burgers doen bij de AP. In de praktijk kwam het echter voor dat de AP al een onderzoek startte na 1 klacht van een consument tegen een grote verzekeraar en ook na 2 klachten van ontevreden werknemers tegen de werkgever. Een melding kan ook een melding van een datalek zijn. De AP ontvangt ongeveer 300 meldingen per maand. De AP heeft in maart 2016 gesteld dat er 40 onderzoeken zijn gestart naar aanleiding van meldingen over datalekken.

De AP constateert nagenoeg altijd een overtreding. Het conceptrapport wordt eerst toegestuurd, waarna een zienswijze mag worden gegeven. Het definitieve rapport wordt gepubliceerd.

Wie krijgt een boete van de AP en wanneer?

De AP kon al een last onder dwangsom opleggen. Nieuw is de boetebevoegdheid. Een boete wordt alleen direct bij de constatering van een overtreding opgelegd als sprake is van opzettelijk handelen, voorwaardelijk opzet of ernstig verwijtbare nalatigheid. Dit zijn gevallen waarin bewust, opzettelijk of ernstig onzorgvuldig met gegevens wordt omgegaan. De AP geeft zelf als voorbeeld de situatie waarin een tv-maker op de Eerste Hulp van een ziekenhuis filmde. In alle andere gevallen moet de AP eerst een bindende aanwijzing geven.
Een punt van aandacht is dat de AP, net als de ACM en AFM, een bestuursorgaan is. De boete is een administratieve boete in de zin van de Algemene Wet Bestuursrecht. Dit betekent dat de AP niet alleen de overtreder zélf een boete mag opleggen, maar ook de ‘functionele dader’, de ‘feitelijk leidinggevende’ en de ‘medepleger’. In de praktijk kan dit betekenen dat een directeur of bestuurder naast de rechtspersoon een boete kan krijgen. Ook is het mogelijk dat de partij die in nauwe samenwerking ondersteuning biedt bij de dataverwerking, een boete krijgt. Dit speelt bijvoorbeeld bij het bouwen van een app of webshop met dienstverlening na oplevering of het hosten en monitoren van systemen.

Hoogte boetes

De boetebedragen zijn ingedeeld in 3 bandbreedtes. De hoogste categorie bedraagt € 350.000 tot € 820.000 pér overtreding. Boetebedragen kunnen cumuleren. De AP kan ook besluiten om een boete gelijk aan 10% van de netto-omzet van de overtreder op te leggen. In 2018 wordt de maximale boete € 20 miljoen of 4% van de wereldwijde jaaromzet van de overtreder. De AP neemt alle omstandigheden van het geval mee in haar boeteoplegging.

Risicogroepen

Privacy is voor ondernemers en accountants geen gemakkelijk ‒ maar wel een noodzakelijk ‒ onderwerp om rekening mee te houden. Vooral de grotere (belangen)verenigingen en stichtingen behoren tot de risicogroepen, omdat deze per definitie veel persoonsgegevens gebruiken en omdat hier vaak sprake is van bijzondere of gevoelige gegevens. Ook organisaties in de zorg, (basis)onderwijs, detachering, marketing, social en digital media, personeelsdiensten, payrolling, organisaties die actief zijn op medisch gebied en organisaties die zich met innovatieve tools of apps richten op consumenten of gegevens gebruiken over personen (bijvoorbeeld bezoekersaantallen), behoren tot de risicogroepen. Daarnaast bestaat er bij elke onderneming met veel of ontevreden medewerkers een potentieel boeterisico.

Kirsten R.I. van der Zwan is advocaat op het gebied van ondernemingsrecht en initiatiefnemer van www.privacy-advocaat.nl, een portal over privacyrecht voor ondernemers en privacyprofessionals.

Categorie: Accountancy, Artikelen, Nieuws Tags: ICT, meldplicht datalekken, privacy

Tags: ICT, meldplicht datalekken, privacy

Gerelateerde artikelen

23 februari 2026

Belastingdienst krijgt Big Brother Award om onrechtmatig algoritmegebruik

5 december 2025

Belastingdienst werkt aan grote schoonmaak in ICT-systemen na RAM-affaire

20 oktober 2025

Toezichthouders vinden financiële sector te afhankelijk van niet-Europese IT

12 augustus 2025

Waarom real-time inzicht zorgt voor groei én grip

Geef een reactie Reactie annuleren

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Hoofdsponsor

ICT & AI | Meer efficiëntie, met behoud van professionele kwaliteit

Kennispartner

Fiscount lanceert NVKM.nl: online tool ondersteunt accountantskantoren bij invoering NVKM

Partners

ICT & AI | “Slim automatiseren begint bij gedrag”
Private equity in accountancy: drie spanningsvelden die het vak veranderen
ICT & AI | “Wie bewust kiest, kiest voor toekomstbestendigheid”
ICT & AI | Waarom inzicht nog geen advies is
ICT & AI | De accountant als rekenwonder
Waarom werken zoveel kantoren nog met on-premise software (en wat kost dat eigenlijk)? 
ICT & AI | Sturen begint bij actuele data
Feike Cats: “Tevreden klanten? Leg de lat hoger.”
Finergie: “We willen ons onderscheiden met moderne software”
Iedereen wil AI. Maar je processen draaien nog op Excel en post-its.
Hoe standaardisering de stille revolutie in finance ontketende
‘De accountant is essentieel voor ondernemers in het mkb’
Waarom jouw DGA-cliënt echt een arbeidsovereenkomst nodig heeft
De beste vraagpost is de vraag die je nooit stelt
Geen papier meer: wat de overstap naar iXBRL-deponeren van je kantoor vraagt
Het herbeleggen van de Herinvesteringsreserve (HIR) in een vastgoedbeleggingsfonds?
Je helpt klanten met hun administratie — maar hoe zit het met die van jouzelf?
Ketenmachtigingen centraal beheren: zo werkt u slimmer met eHerkenning
de autonome AI-boekhouder
Groene start-ups hebben het zwaar: wat betekent het veranderende investeringsklimaat voor ondernemers van start-ups?
Eenvoudig bankrekeningen koppelen met Twinfield, Exact Online en Snelstart
Is mijn baan over een paar jaar verdwenen?
ICT & AI | “Accountants willen meer grip op compliance”
ICT & AI | Met metadata meer duiding in de mappenjungle
Te veel tijd kwijt aan factuurverwerking? Dit is hoe AI het oplost
Uitspraak Hoge Raad: subsidie voor tuchtrechtspraak advocatuur is belast met btw
Informer Money genomineerd voor Best FinTech Startup of the Year België
Wwft-compliance in 2026: doen we het beter dan vorig jaar?
ICT & AI | Volledig automatische factuurverwerking: zo kom je er
Zo leg je automatisch afletteren uit aan je klant (zonder technisch verhaal)
Pensioencommunicatie anno 2026 mag burgerlijk ongehoorzaam
WIA aanvragen als werkgever: zo begeleid je je klant van 2 jaar ziekte naar de WIA
Een partner met een Amerikaans paspoort – en jij moet het oplossen
Het functiegemak van de INT bij adviezen over en aangiften van erf-en schenkbelasting.
Van zij-instromer naar accountant: hoe het Schakeltraject nieuw talent aantrekt in de Accountancy
DAC8 leidt tot 15 procent hogere crypto-compliancekosten
5 signalen dat jouw relatiebeheer niet meer werkt (en hoe je dat oplost)
Fusies en overnames | Met waardebepalingen bedrijfsadvies dichter bij de ondernemer
Zkr en SRA bundelen krachten voor efficiëntere Wwft-compliance bij accountantskantoren 
Driver-based models: de essentiële bouwstenen voor elk finance team
Werven op klik is willekeurig. Zo verminder je verloop structureel.
Sturen op cijfers: de 7 KPI’s die elk accountantskantoor moet meten
ABN Amro slokt NIBC op: wat deze overname zegt over de veranderende financiële markt
Boekhoudlandschap sterk gefragmenteerd, softwarekampioen ontbreekt (nog) in Europa
Accountants verliezen onnodig veel tijd aan het compleet krijgen van dossiers
ICT & AI | Betrokkenheid sleutel tot succesvolle onboarding
Govers bouwt aan een volwassen digitaal fundament voor governance, security en AI
Van najagen naar verwerken: waarom vraagposten je proces blokkeren (en hoe je dat stopt)
De rol van private equity bij fusies en overnames
ICT & AI | Data als fundament voor innovatie
Microsoft Copilot gebruiken? Zorg dat je eerst SharePoint op orde hebt 
De rustigste kantoren winnen de AI-wedloop
Wet DBA, VBAR en Zelfstandigenwet: dit zijn de verschillen
ICT & AI | Grote belofte AI op klantdossiers, maar praktijk stelt teleur
ICT & AI | Een toekomstbestendig accountantskantoor
ICT & AI | “Accountancywerk verandert sneller dan de meeste kantoren beseffen”
ICT & AI | “Vijftienhonderd loonstroken is niet langer houdbaar”
De mensen achter de loonstrook: in gesprek met Susan Hendriks
Klanten soepel bedienen met AFAS SB
Speech to text in compliance software: zo besparen accountants twintig minuten per dossier
Risicocategorieën AI Act blijven onderbelicht, terwijl de verplichtingen al gelden
Groeipad in de samenstelpraktijk: van gevorderd assistent naar client manager
Automatisering heeft direct invloed op declarabele uren 
De volgende stap in AI: HR-assistent Loket begrijpt nu je eigen documenten
Complimenten geven aan medewerkers: dit kan het opleveren  
Fiscaal onzakelijksheidsvermoeden bij verkoop aandelen na splitsing in strijd met Fusierichtlijn
AV-Top 50 | Hoog tijd voor opleiding die jongeren aanspreekt
Wie bepaalt of een bestuurder een tegenstrijdig belang heeft? De Hoge Raad geeft duidelijkheid!
Welke ontwikkelingen in het financieringslandschap zijn van belang voor de accountant?

Vacatures

Gevorderd assistent accountant
BonsenReuling
Assistent Accountant / Relatiemanager, Elysee Accountants
PIA Group
Klantadviseur Accountancy (32-40 uur)
Finnerz
Accountant Agri & Food – Gorinchem
aaff
Supervisor controlling & accounting
KNAV
Accountant Agri & Food – Uden
aaff
Medior assistent accountant • Druten
WEA Deltaland
Controleleider
Scab
Accountant Agri & Food – Terneuzen
aaff
Accountant Agri & Food –  Heythuysen
aaff
Senior assistent accountant | samenstel
Scab
Gevorderd assistent accountant Audit – Almelo
BonsenReuling
Corporate Finance Advisor
KNAV
Eindverantwoordelijk Accountant Samenstel (RA of AA)
PIA Group
Audit assistent
KNAV
Zelfstandig Assistent Accountant Samenstelpraktijk
PIA Group
Accountant – Eindhoven
aaff
Accountant Agri & Food – Roosendaal
aaff
Junior manager audit
Bentacera
Gevorderd Assistent Accountant Audit
PIA Group
Relatiebeheerder
BonsenReuling
Senior Assistent Accountant – Kesteren
WEA Deltaland
Abonneer nieuwsbrief AV

Meest gelezen

  • Ontslag op staande voet bij accountantskantoor onterecht, maar billijke vergoeding blijft uit 12.5k weergaven
  • Belastingdienst: gebrekkige rittenregistratie blijft veelvoorkomende oorzaak van fiscale correcties 8.9k weergaven
  • Baker Tilly lonkt naar top 10-positie met overname Baat 5k weergaven
  • OM ontkracht verklaring over contant geld onvoldoende: vrijspraak in witwaszaak 3.9k weergaven
  • Belgen zien kansen in Marokko voor nearshoring 3.7k weergaven

Vraag en aanbod

Ter overname aangeboden: accountantskantoor in West-Friesland
Mbi-kandidaat gezocht voor accountantskantoor uit Twente
Samenwerking aangeboden voor wettelijke controles
Administratiekantoor ter overname gezocht
Mbi-kandidaten en/of accountantskantoor gezocht in Zeeland
Ter overname gezocht: administratiekantoren in heel Nederland
Ter overname aangeboden: Accountantskantoor regio Den Haag
Mbi-kandidaat gezocht voor accountantskantoor uit de regio Eindhoven
Administratiekantoor regio Hendrik Ido Ambacht ter overname gezocht
Samenwerking gezocht/aangeboden door audit-onlykantoor

Accountancy Vanmorgen (AV) is het platform voor accountants en iedereen die geïnteresseerd is in nieuws, trends, ontwikkelingen, achtergronden en wetenswaardigheden in en rond accountancy en ondernemerschap.

Accountancy Vanmorgen is een uitgave van MOCuitgevers.

 

Categorie

  • Nieuws
  • Blog
  • Partners
  • Opleidingen
  • Vacatures
  • AV-events

Info

  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Shop
  • Algemene voorwaarden MOCuitgevers Vanmorgen
  • Annuleringsvoorwaarden
  • Privacybeleid
  • LinkedIn
  • Mail
  • Instagram
Cookies
Om u beter van dienst te kunnen zijn, maakt Accountancy Vanmorgen gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
  • Ik ga akkoord
  • Instellingen
  • Functionele cookies zijn noodzakelijk voor de werking van deze website.
  • We gebruiken Google Analytics, netjes geanonimiseerd.
  • We gebruiken de marketing cookies om gepersonaliseerde advertenties te tonen.
  • Annuleren
  • Ik ga akkoord

Instellingen