Is de accountant verwerkings-verantwoordelijke of verwerker?

Lees Blog

Accountants hebben zonder uitzondering te maken met de Europese privacywetgeving (AVG/GDPR). Wat dat precies betekent voor de dagelijkse praktijk, hangt voor een groot deel af van een belangrijke factor: of de accountant tijdens een opdracht de rol van externe verwerker of die van verwerkingsverantwoordelijke aanneemt.

Accountants en de AVG / GDPR: wat is het verband? Deze beroepsgroep verwerkt op grote schaal persoonsgegevens. Denk aan bijvoorbeeld naam- en adresgegevens, IP-adressen, BSN-nummers of financiële informatie die te herleiden is naar een natuurlijke persoon. De nieuwe Europese privacywetgeving vereist dat die verwerking aan allerlei spelregels voldoet.

Welke spelregels dat precies zijn, hangt af van de rol die de accountant aanneemt. De AVG/GDPR kent namelijk twee rollen: die van de verwerkingsverantwoordelijke, en die van verwerker. Die rolverdeling kent grote verschillen.

Rol: verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke bepaalt de manier waarop de verwerking plaatsvindt, en voor welk doel dat gebeurt. Hiervoor is uiteraard toestemming nodig van de betrokkene, maar de verwerkingsverantwoordelijke heeft in dit proces als het ware de leiding. Hij/zij is dan ook hoofdverantwoordelijk voor een goede, compliant verwerking van persoonsgegevens.

Gaat het mis, bijvoorbeeld wanneer een datalek optreedt, dan zal de wetgevende macht de verwerkingsverantwoordelijke aansprakelijk stellen. Eventuele boetes en dwingende maatregelen die daaruit voortvloeien, komen op het bordje van de verwerkingsverantwoordelijke.

Een accountant is verwerkingsverantwoordelijke op het moment dat hij/zij (of in zijn algemeenheid: het accountantskantoor) in zekere zin de regels van de verwerking zelf bepaalt en afstemt met de betrokkenen. Het gros van de werkzaamheden van de accountant zal hij/zij optreden in deze rol. Het controleren of samenstellen (uitvoeren samenstellingsopdracht) van de jaarrekening valt hier bijvoorbeeld onder.

Rol: externe verwerker

Dat is een groot verschil met de rol van externe verwerker. Daarbij bepaalt niet de accountant, maar zijn klant hoe de verwerking plaatsvindt, en blijft de klant van de accountant eindverantwoordelijk voor een deugdelijk verwerkingsproces. De verwerker moet hierbij strikt de instructies opvolgen die de verantwoordelijke heeft gegeven. Deze instructies en afspraken worden vastgelegd in een zogeheten verwerkersovereenkomst.

Het controleren van de jaarrekening treedt een accountant niet op als externe verwerker. Dan zou hij/zij zich immers moeten houden aan de regels en afspraken die de klant hem oplegt. Dat schaadt de onafhankelijke positie die van de accountant wordt verlangd. Toch kan het wel degelijk voorkomen dat accountants werkzaamheden uitvoeren in de rol van verwerker. Bijvoorbeeld op het moment dat hij/zij de salarisadministratie uitvoert voor een klant. Kortom: in de gevallen waar een accountant gedetailleerde instructies uitvoert in opdracht van de klant, treedt de accountant op als externe verwerker.

Veel accountants krijgen in de rol van verantwoordelijke ook te maken met externe verwerkers. Bijvoorbeeld wanneer zij bepaalde persoonsgegevens bewaren bij een cloudprovider. Of wanneer ze hun ICT-park laten beheren door een Managed Service Provider. Ook met hen moeten zij een verwerkersovereenkomst afsluiten.

De NBA (Nederlandse Beroepsvereniging voor Accountants) heeft een overzicht beschikbaar gesteld bij welke opdrachten welke rol van toepassing is. Deze vind je hieronder:

Type opdrachtKlantAccountant
Standaard 100 - 999 van toepassingVerwerkingsverantwoordelijkeVerwerkingsverantwoordelijke
Standaard 2000 - 2699 van toepassingVerwerkingsverantwoordelijkeVerwerkingsverantwoordelijke
Standaard 3000 – 3850 van toepassingVerwerkingsverantwoordelijkeVerwerkingsverantwoordelijke
Standaard 4400VerwerkingsverantwoordelijkeVerwerker
Standaard 4410VerwerkingsverantwoordelijkeIn beraad
Opdrachten waarop geen Standaard van toepassing is zoals salarisadministratiesVerwerkingsverantwoordelijkeVerwerker
Bron: NBA (Nederlandse Beroepsorganisatie Accountants)

Gevolgen van de verschillende rollen

De rol is cruciaal voor de manier waarop de verwerking moet plaatsvinden. In de rol van verwerker is de accountant gebonden aan de verwerkersovereenkomst. Deze wordt in de regel opgesteld door de verantwoordelijke, in de praktijk dus vaak de klantrelatie. Gaat het mis, dan kan de verantwoordelijke verhaal halen bij de verwerker. Welke consequenties dat precies heeft, kan in een verwerkersovereenkomst worden aangegeven.

Veel complexer wordt het wanneer de accountant in de rol van verwerkingsverantwoordelijke optreedt. In de meeste gevallen dus. In dat geval moet de accountant zich strikt houden aan de eisen die de AVG/GDPR aan de verwerking stelt. Denk daarbij aan het voeren van een verwerkingsregister, waarin onder andere het doel en de methode van verschillende verwerkingen wordt vastgelegd. Ook het nemen van voldoende technische en organisatorische beveiligingsmaatregelen ter bescherming van de persoonsgegevens valt hieronder.

Verplichte procedures

Ook krijgt de accountant als verwerkingsverantwoordelijke te maken met verplichte preventieve maatregelen en andere procedures. Daaronder valt bijvoorbeeld het mogelijk uitvoeren van een Privacy Impact Assessment, wanneer een bepaalde verwerking bijzondere persoonsgegevens zijn gemoeid of wanneer de verwerking een grote risico met de betrokkenen met zich meeneemt. In sommige gevallen moet een kantoor een privacyverantwoordelijke aanstellen (ook wel een Functionaris Gegevensbescherming genoemd). Ook het melden van (ernstige) datalekken bij de Autoriteit Persoonsgegevens valt hieronder.

Welke rol de accountant ook aanneemt tijdens zijn of haar werkzaamheden, het moge duidelijk zijn dat vanaf 25 mei 2018 het is veranderd. Compliance is in alle gevallen cruciaal.

YourPrivacy Accountancy en Finance

YourPrivacy voor de Accountancy en Finance branche

YourSafetynet heeft onlangs het magazine YourPrivacy uitgegeven. Deze editie richt zich geheel op privacyproblematiek rondom datalekken en compliance-issues met de AVG/GDPR. Het magazine is kosteloos en zonder enige verplichting te downloaden.

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR in het vooruitzicht zijn veel bedrijven druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.

Share This