Is de accountant verwerkings-verantwoordelijke of verwerker?

YourSafetynet - Vraag en antwoord

Accountants hebben zonder uitzondering te maken met de Europese privacywetgeving (AVG/GDPR). Wat dat precies betekent voor de dagelijkse praktijk, hangt voor een groot deel af van een belangrijke factor: of de accountant tijdens een opdracht de rol van externe verwerker of die van verwerkingsverantwoordelijke aanneemt.

Accountants en de AVG / GDPR: wat is het verband?

Deze beroepsgroep verwerkt op grote schaal persoonsgegevens. Denk aan bijvoorbeeld naam- en adresgegevens, IP-adressen, BSN-nummers of financiƫle informatie die te herleiden is naar een natuurlijke persoon. De nieuwe Europese privacywetgeving vereist dat die verwerking aan allerlei spelregels voldoet.

Welke spelregels dat precies zijn, hangt af van de rol die de accountant aanneemt. De AVG/GDPR kent namelijk twee rollen: die van de verwerkingsverantwoordelijke, en die van verwerker. Die rolverdeling kent grote verschillen.

Rol: verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke bepaalt de manier waarop de verwerking plaatsvindt, en voor welk doel dat gebeurt. Hiervoor is uiteraard toestemming nodig van de betrokkene, maar de verwerkingsverantwoordelijke heeft in dit proces als het ware de leiding. Hij/zij is dan ook hoofdverantwoordelijk voor een goede, compliant verwerking van persoonsgegevens.

Gaat het mis, bijvoorbeeld wanneer een datalek optreedt, dan zal de wetgevende macht de verwerkingsverantwoordelijke aansprakelijk stellen. Eventuele boetes en dwingende maatregelen die daaruit voortvloeien, komen op het bordje van de verwerkingsverantwoordelijke.

Een accountant is verwerkingsverantwoordelijke op het moment dat hij/zij (of in zijn algemeenheid: het accountantskantoor) in zekere zin de regels van de verwerking zelf bepaalt en afstemt met de betrokkenen. Het gros van de werkzaamheden van de accountant zal hij/zij optreden in deze rol. Het controleren of samenstellen (uitvoeren samenstellingsopdracht) van de jaarrekening valt hier bijvoorbeeld onder.

Rol: externe verwerker

Dat is een groot verschil met de rol van externe verwerker. Daarbij bepaalt niet de accountant, maar zijn klant hoe de verwerking plaatsvindt, en blijft de klant van de accountant eindverantwoordelijk voor een deugdelijk verwerkingsproces. De verwerker moet hierbij strikt de instructies opvolgen die de verantwoordelijke heeft gegeven. Deze instructies en afspraken worden vastgelegd in een zogeheten verwerkersovereenkomst.

Het controleren van de jaarrekening treedt een accountant niet op als externe verwerker. Dan zou hij/zij zich immers moeten houden aan de regels en afspraken die de klant hem oplegt. Dat schaadt de onafhankelijke positie die van de accountant wordt verlangd. Toch kan het wel degelijk voorkomen dat accountants werkzaamheden uitvoeren in de rol van verwerker. Bijvoorbeeld op het moment dat hij/zij de salarisadministratie uitvoert voor een klant. Kortom: in de gevallen waar een accountant gedetailleerde instructies uitvoert in opdracht van de klant, treedt de accountant op als externe verwerker.

Veel accountants krijgen in de rol van verantwoordelijke ook te maken met externe verwerkers. Bijvoorbeeld wanneer zij bepaalde persoonsgegevens bewaren bij een cloudprovider. Of wanneer ze hun ICT-park laten beheren door een Managed Service Provider. Ook met hen moeten zij een verwerkersovereenkomst afsluiten.

De NBA (Nederlandse Beroepsvereniging voor Accountants) heeft een overzicht beschikbaar gesteld bij welke opdrachten welke rol van toepassing is.

Gevolgen van de verschillende rollen

De rol is cruciaal voor de manier waarop de verwerking moet plaatsvinden. In de rol van verwerker is de accountant gebonden aan de verwerkersovereenkomst. Deze wordt in de regel opgesteld door de verantwoordelijke, in de praktijk dus vaak de klantrelatie. Gaat het mis, dan kan de verantwoordelijke verhaal halen bij de verwerker. Welke consequenties dat precies heeft, kan in een verwerkersovereenkomst worden aangegeven.

Veel complexer wordt het wanneer de accountant in de rol van verwerkingsverantwoordelijke optreedt. In de meeste gevallen dus. In dat geval moet de accountant zich strikt houden aan de eisen die de AVG/GDPR aan de verwerking stelt. Denk daarbij aan het voeren van een verwerkingsregister, waarin onder andere het doel en de methode van verschillende verwerkingen wordt vastgelegd. Ook het nemen van voldoende technische en organisatorische beveiligingsmaatregelen ter bescherming van de persoonsgegevens valt hieronder.

Verplichte procedures

Ook krijgt de accountant als verwerkingsverantwoordelijke te maken met verplichte preventieve maatregelen en andere procedures. Daaronder valt bijvoorbeeld het mogelijk uitvoeren van een Privacy Impact Assessment, wanneer een bepaalde verwerking bijzondere persoonsgegevens zijn gemoeid of wanneer de verwerking een grote risico met de betrokkenen met zich meeneemt. In sommige gevallen moet een kantoor een privacyverantwoordelijke aanstellen (ook wel een Functionaris Gegevensbescherming genoemd). Ook het melden van (ernstige) datalekken bij de Autoriteit Persoonsgegevens valt hieronder.

Welke rol de accountant ook aanneemt tijdens zijn of haar werkzaamheden, het moge duidelijk zijn dat vanaf 25 mei 2018 het is veranderd. Compliance is in alle gevallen cruciaal.

Alle berichten

Ja! Ik wil meer weten
over YourSafetynet

Laat je gegevens achter en ontvang de brochure met meer informatie over YourSafetynet per e-mail of maak een afspraak.



    Akkoord metPrivacyverklaring