De meeste kantoren weten dat de Algemene verordening gegevensbescherming (AVG) in werking is getreden. Dat is wat anders dan dat elk kantoor daar ook evenveel werk van maakt (of heeft gemaakt). Gezien de aansprakelijkheidsrisico’s bij niet-naleving is dat geen aanrader. Het ‘AVG-rollenspel’ zal ook binnen jouw kantoor volgens de regels van het spel gespeeld moeten worden. Afhankelijk van je rol – verwerkingsverantwoordelijke, verwerker of subverwerker – worden er andere afspraken gemaakt en wordt er anders gewerkt. Wordt 2020 ook hét AVG-implementatiejaar voor jouw kantoor?
De rollen op een rij
Eerst een korte opfrisser, want hoe zit het ook alweer met de privacywetgeving? Welke rol je onder de AVG hebt, is afhankelijk van het type dienstverlening dat je biedt. Op hoofdlijnen is dit als volgt geregeld:
- Betrokkene: dit is de natuurlijke persoon van wie er persoonsgegevens worden verwerkt. Met de persoonsgegevens in de hand, al dan niet met elkaar gecombineerd, kan deze persoon worden geïdentificeerd. Denk aan een postcode en huisnummer, het BSN, maar ook aan een bankrekeningnummer. Ook jijzelf kan een betrokkene zijn. Bijvoorbeeld wanneer je je aanmeldt voor een cursus; jouw persoonsgegevens zullen dan aan de cursusaanbieder worden doorgegeven. En wellicht is de cursusaanbieder weer verplicht om jouw persoonsgegevens aan de brancheorganisatie toe te sturen ten behoeve van de accreditatie.
- Verwerkingsverantwoordelijke: dit is de organisatie die de touwtjes in handen heeft voor wat betreft de verwerking van de persoonsgegevens. Deze organisatie bepaalt immers doel en middelen en zal hierbij doorgaans gebonden zijn aan wet- en regelgeving.
Als werkgever heb je onder meer de verplichting om een loonbelastingverklaring door het personeel te laten ondertekenen.
Als accountant ben je bijvoorbeeld bij samenstellingsopdrachten ook een verwerkingsverantwoordelijke, want je bepaalt hoe je deze samenstellingsopdracht binnen de kaders van de wet uitvoert.
- Verwerker: deze persoon of partij neemt de verwerkingsverantwoordelijke werk uit handen, gericht op de verwerking van persoonsgegevens. Deze organisatie heeft niet zelf de touwtjes in handen en bepaalt ook niet het doel en de middelen voor gegevensverwerking.
Deze instructies worden immers via de verwerkersovereenkomst door de verwerkingsverantwoordelijke aan de verwerker verstrekt.
De opdracht van de verwerker is steeds slechts gericht op de verwerking van de persoonsgegevens, bijvoorbeeld doordat de verwerker een (salaris)administratiepakket beschikbaar stelt aan de klant.
Let op! Recente richtsnoeren (d.d. 1 oktober jl.) van de NBA, Novak, NOB, het RB en NIRPA schrijven voor dat de (salaris)administrateur niet langer een verwerker is indien er ook controlerende- of advieswerkzaamheden worden aangeboden. Er wordt alleen nog van verwerken gesproken als je je beperkt tot het (laten) inkloppen van de cijfers. Je controleert dus ook niet of de cijfers juist zijn en je adviseert evenmin of er aanspraak kan worden gemaakt op gunstige regelingen.
Zie NIRPA publiceert Richtsnoeren AVG voor salarisprofessionals
- Subverwerker. De verwerker kan zich ook weer laten helpen door een andere organisatie: de subverwerker. Die organisatie neemt ook weer slechts administratieve zaken uit handen, gericht op de verwerking van persoonsgegevens. Mocht de salarisadministrateur van zojuist het (salaris)administratiepakket dat hij aan zijn klanten aanbiedt inkopen van een andere organisatie, dan zal die organisatie de subverwerker zijn.
Verschillende petten
Als accountantskantoor verricht je allerhande werkzaamheden voor jouw klanten. Die kunnen bestaan uit samenstelwerk, btw-aangiftes, ondersteuning bij subsidievraagstukken, enz. Wellicht genieten jouw klanten inkoopvoordeel, doordat je een salarispakket voor hen allen beschikbaar stelt. Je kunt vanuit de AVG dan met verschillende petten op werken: de ene keer ben je verwerkingsverantwoordelijke, de andere keer verwerker.
Zodra jouw werk gericht is op adviseren en niet meer op het verrichten van louter administratief werk, kan jouw rol van kleur verschieten.
Een voorbeeld ter verduidelijking:
Voorbeeld
je kunt een pakket als Nmbrs, Exact of Loket.nl aanbieden aan een bij jou aangesloten kantoor. Zolang dat kantoor zelf de gegevens in dit pakket inklopt, ben je alleen verwerker. Ga je aan het einde van de maand of één keer per kwartaal of per jaar om de tafel met het kantoor, omdat je allerhande tips en voordelen uit de wet met hen doorneemt? Dan zul je op dat moment adviseren. Je bent op dat moment dan niet langer een verwerker, maar een verwerkingsverantwoordelijke.
Afspraken per AVG-rol
Wanneer je verschillende petten draagt bij het verrichten van jouw dienstverlening, zul je ook verschillende afspraken moeten maken. Ik ga ervan uit dat je in ieder geval altijd een opdrachtbevestiging sluit met jouw klanten. Doe je dit nog niet, dan is het tijd om dit alsnog te gaan doen.
Een overzicht van de afspraken wanneer partijen vanuit verschillende AVG-rollen met elkaar samenwerken:
1 Verwerkingsverantwoordelijke werkt samen met verwerkingsverantwoordelijke
Ben je een verwerkingsverantwoordelijke en is jouw klant dit ook? Dan sluit je voor die werkzaamheden geen verwerkersovereenkomst. Wel leg je in de opdrachtbevestiging vast dat je je allebei aan de volgende uitgangspunten zult houden:
- Je gebruikt de verkregen persoonsgegevens uitsluitend voor het doel waartoe je de gegevens hebt ontvangen. Dit betekent bijvoorbeeld dat je de werknemers van jouw klant niet ineens in een nieuwsbrief opneemt, als je hun e-mailadres hebt ontvangen om de salarisstrook rechtstreeks toe te kunnen zenden.
- Je spreekt met elkaar af dat je de persoonsgegevens technisch en organisatorisch goed beveiligt. Dit houdt in dat je niet alleen wachtwoorden gebruikt waar mogelijk, maar ook dat je met het personeel afspreekt dat zij niet onnodig in dossiers zullen grasduinen. Dus alleen volgens het need-to-know-principe.
- Is sprake van een datalek of een privacyverzoek van een betrokkene, dat ook relevant is voor de ander, dan zul je elkaar informeren. Ook zul je zo nodig jouw medewerking verlenen aan het afwikkelen van het lek of het verzoek.
- Tot slot kun je jouw aansprakelijkheid inperken, in de zin van dat je vastlegt dat de persoonsgegevens die je van de ander ontvangt, op rechtmatige wijze zijn verkregen. En zo niet, dat dit voor rekening en risico van de ander komt.
2 Verwerkingsverantwoordelijke werkt samen met verwerker
Ben je een verwerker of maak je gebruik van de diensten van een verwerker, dan moet je ook een verwerkersovereenkomst sluiten.
In de verwerkersovereenkomst geeft de verwerkingsverantwoordelijke aan de verwerker de instructies over hoe er moet worden omgegaan met de te verwerken persoonsgegevens.
Doordat de verwerkingsverantwoordelijke de instructies uitdeelt, is het ook de verwerkingsverantwoordelijke die letterlijk de eindverantwoordelijkheid draagt – en daarmee in beginsel ook de aansprakelijkheid. Mits je een en ander goed regelt, uiteraard. Want regel je niets en is jouw klant je voor? In dat geval zou jouw klant je zomaar een verwerkersovereenkomst kunnen aanbieden waarbij de aansprakelijkheid naar jou verschuift.
3 Verwerker werkt samen met subverwerker
Een verwerker die een subverwerker inschakelt, is verplicht om de instructies zoals hij deze van de verwerkingsverantwoordelijke heeft verkregen, één-op-één op te leggen aan de subverwerker.
Je mag als verwerker immers slechts conform de instructies van de verwerkingsverantwoordelijke te werk gaan en hetzelfde gaat op voor de subverwerker. Je draagt de verantwoordelijkheid voor het handelen van de subverwerker, dus je kunt je voorstellen dat deze afspraken van zeer groot belang zijn. In de regel wordt er een verwerkersovereenkomst gesloten tussen de verwerker en de subverwerker.
4 Je werkt samen met particuliere klant
Je sluit geen specifieke AVG-overeenkomst, maar je wijst jouw particuliere klant wel op de maatregelen die je hebt getroffen in het kader van de AVG. Ook leg je uit welke gegevens je van deze klant verwerkt, met welk doel en voor welke periode. Dit alles kan worden vervat in een privacy statement.
Het privacy statement stuur je mee met de opdrachtbevestiging, of je verwijst ernaar. Het privacy statement plaats je ook op de website, bij voorkeur in pdf-formaat, zodat het eenvoudig kan worden gedownload en afgedrukt.
Pak de regie
In alle relaties waarbij er persoonsgegevens worden uitgewisseld, is het noodzakelijk om goede afspraken te maken. Dit maakt niet alleen helder wat de partijen van elkaar mogen verwachten, maar het voorkomt ook onnodige discussies zodra de verwerking misgaat. Voorkom vervelende aansprakelijkheidskwesties en stel proactief de benodigde documenten op. Daarmee pak je de regie en hoef je niet te vrezen dat er onnodig veel risico bij jou komt te liggen.
mr. Melanie Hermes is AVG specialist | advocaat arbeidsrecht | specialist aansprakelijkheid en verzekeringen | trainer verbonden aan Fiscount
Meer weten over de AVG? Volg de cursus “Van eenpitter tot groot kantoor; de privacywetgeving biedt ook kansen”. Tijdens deze interactieve bijeenkomst krijg je praktische tips en voorbeelden over de juiste en meest effectieve toepassing van de privacywetgeving. Je kunt jouw kantoorvoorbeelden vergelijken met die van anderen.