Nieuwe richtsnoeren
De NBA heeft op 1 oktober jl. samen met het Nederlands Instituut van Register Payroll Accounting (NIRPA), de Nederlandse Orde van Belastingadviseurs, de Novak en het Register Belastingadviseurs richtsnoeren in het kader van de AVG (Algemene verordening gegevensbescherming) gepubliceerd. Dit naar aanleiding van de vele vragen die de betrokken organisaties hebben ontvangen. Met deze richtsnoeren worden handvatten gegeven aan de leden om zo hun verplichtingen in het kader van deze wetgeving beter in te kunnen vullen.
Sinds 25 mei 2018 geldt de AVG binnen alle lidstaten van de EU. In Nederland geldt naast de AVG ook de Uitvoeringswet AVG. Omdat ook accountants de regels van de AVG en UAVG moeten naleven, moeten zij onder andere bepalen of zij voor hun diensten handelen als verwerker of als verwerkingsverantwoordelijke. De verschillende rollen brengen immers verschillende verplichtingen met zich mee. De richtsnoeren zijn een ondersteuning om die rol te bepalen. Desondanks is het essentieel dat dienstverleners iedere specifieke situatie afzonderlijk (blijven) beoordelen.
De juiste vaststelling of men verwerkingsverantwoordelijke of verwerker is, is essentieel, omdat de AVG voorschrijft hoe men in beide rollen dient te handelen, bijvoorbeeld in het kader van een datalek. Ook bepaalt de rolverdeling of er een verwerkersovereenkomst met de cliënt moet worden gesloten.
In veel gevallen geen verwerkersovereenkomst nodig
De conclusie naar aanleiding van de nieuwe richtsnoeren is dat binnen de MKB-praktijk men in veel gevallen verwerkingsverantwoordelijke is. De nieuwe richtsnoeren geven heldere handvatten ten aanzien van samenstel-, beoordelings- en controlewerkzaamheden, overige assurance opdrachten, overeengekomen specifieke werkzaamheden en overige opdrachten. Bij al deze werkzaamheden treedt de accountant op als verwerkingsverantwoordelijke en is een verwerkersovereenkomst niet van toepassing. Dat geldt ook voor fiscale advisering en fiscale aangiften. De accountant of belastingadviseur wordt doorgaans ingeschakeld omdat hij/zij daartoe over specifieke specialistische kennis beschikt en hij/zij bepaalt het doel en de middelen voor de verwerking van persoonsgegevens. Ook is het primaire doel van de opdracht niet het verwerken van persoonsgegevens.
Uitsluitend indien sprake is van een opdracht op grond van de Standaard 4400 (rapport van feitelijke bevindingen) kan sprake zijn van een situatie waarbij de accountant als verwerker optreedt als de dienst (specifiek) gericht is op de verwerking van persoonsgegevens.
Verzorgen loonadministratie
Een uitzondering wordt gevormd indien sprake is van het uitvoeren van de ‘kale’ loonverwerking. Het gaat dan om situaties waar uw kantoor aan de klant alleen de IT-infrastructuur (een loonpakket) ter beschikking stelt ten behoeve van het opstellen van loonberekeningen/loonstroken en/of daar waar uw kantoor als zakelijke dienstverlener enkel de door de klant aangeleverde gegevens invoert in het loonpakket zonder daarbij aanvullende controle- of advieswerkzaamheden te verrichten. In die situatie blijft een verwerkersovereenkomst van belang tussen uw kantoor en de klant specifiek voor deze werkzaamheden.
Op het moment dat uw kantoor ook een uitgebreidere dienstverlening verricht (zoals advisering ten aanzien van de inrichting van de loonadministratie, het beoordelen en waar nodig corrigeren van aangeleverde gegevens en het toetsen of wordt voldaan aan wet- en regelgeving (fiscale regelgeving, cao’s, pensioenafspraken etc.), is een verwerkersovereenkomst niet nodig. De richtsnoeren geven verder ook handvatten bij het gebruik van onderaannemers (zoals een gespecialiseerd salarisverwerkingsbureau).
Administratie dienstverlening
Vergelijkbaar met het uitvoeren van een salarisverwerkingsopdracht dient bij het voeren van de administratie voor een klant te worden gekeken naar de aard en omvang van de door uw kantoor uit te voeren werkzaamheden.
Indien uw kantoor slechts een boekhoudpakket aan de klant ter beschikking stelt, kwalificeert uw kantoor als verwerker. Op de klant rust de plicht tot het voeren van een deugdelijke administratie en het is de klant die het doel en de middelen voor de verwerking van de gegevens bepaalt. Uw kantoor verwerkt de gegevens overeenkomstig de instructies van de klant en onder diens verantwoordelijkheid. Een verwerkersovereenkomst blijft hiervoor nodig.
Een tweede mogelijkheid is dat uw klant zelf een boekhoudpakket heeft aangeschaft en uw kantoor meekijkt met de door de klant gevoerde administratie, waarbij u ook adviseert of de financiële administratie van de klant op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke eisen terzake.
Een derde mogelijkheid is dat uw kantoor namens de klant de administratie voert (in een eigen of door de klant aangeschaft boekhoudpakket), waarbij uw kantoor tevens adviseert of de financiële administratie van de klant op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke vereisten terzake.
Bij deze twee varianten kwalificeert uw kantoor als verwerkingsverantwoordelijke. Het verwerken van persoonsgegevens is niet het primaire doel van de opdracht, het is slechts een uitvloeisel van een andere vorm van dienstverlening. Uw kantoor bepaalt het doel en de middelen voor de verwerking van persoonsgegevens.
Ons advies bij bestaande verwerkersovereenkomsten
Voor de klanten waar u al (of toch) een verwerkersovereenkomst heeft getekend in uw rol als verwerker terwijl volgens de nieuwe richtsnoeren er sprake is van verwerkingsverantwoordelijke, kan dit betekenen dat de verwerkersovereenkomst niet langer van toepassing behoeft te zijn of aanpassing behoeft (afhankelijk van de aard van de opdracht die u heeft). In dat geval adviseren wij u uw klanten te informeren dat er nieuwe richtsnoeren in het kader van de AVG zijn vastgesteld die tot nieuwe inzichten hebben geleid over het gebruik van verwerkersovereenkomsten en dat de eerder getekende verwerkersovereenkomst niet meer van toepassing is ofwel aangepast moet worden. Daarbij kunt u ook aangeven dat uw kantoor opdrachten uitvoert conform de aanbevelingen zoals in de nieuwe richtsnoeren staan aangegeven en dat dit uiteraard betekent dat u in uw rol als verwerkingsverantwoordelijke de verplichtingen van de AVG in acht neemt.