Wanneer is de accountant de Verantwoordelijke?

De accountant en de GDPR

De accountant en de GDPR: Het is van groot belang om te bepalen wanneer u als boekhouder, accountant of belastingadviseur voor een bepaalde opdracht de Verwerkingsverantwoordelijke of de Verwerker bent op het gebied van de verwerking van persoonsgegevens.

De Verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de verwerking van persoonsgegevens bij een bepaalde bedrijfsactiviteit. De Verwerkingsverantwoordelijke bepaalt dus wat met de te verwerken persoonsgegevens mag gebeuren en ook op welke manier de verwerking gebeurt.

Als boekhouder bent u soms de verwerker en ook verwerkingsverantwoordelijke wat gevolgen heeft betreffende uw verantwoordelijkheden ten aanzien van betrokkenen en ten aanzien van de overheid, meer bepaald de GBA.

De accountant als Verwerker van persoonsgegevens.

Het is onjuist om de accountant automatisch te bestempelen als de verwerkingsverantwoordelijke omdat de boekhouder niet altijd het doel en de middelen voor de verwerking van persoonsgegevens van klanten kan en zal bepalen.

Bij loonadministratie zoals de berekening van lonen, pensioenregeling en bij de aangifte van lonen is de accountant de verwerker van de persoonsgegevens die hij doorkrijgt van de verwerkingsverantwoordelijke. Hier is de verwerkingsverantwoordelijke degene die het doel en de middelen bepaalt om de persoonsgegevens van personeel te verwerken binnen zijn of haar organisatie.

Ook bij het inboeken van cijfers en bij de aangifte van BTW is de boekhouder de verwerker van de persoonsgegevens die hij van de verwerkingsverantwoordelijke in opdracht verder verwerkt. Er wordt hier dan ook duidelijk bepaald wie de verantwoordelijke en wie de verwerker is, in de verwerkingsovereenkomst.

De belastingadviseur als verwerkingsverantwoordelijke.

Als de boekhouder advies verleent op het gebied van belastingen, dan bepaalt deze als adviseur het doel en de middelen om deze verwerking uit te voeren. Het is omdat de accountant als belastingadviseur optreedt, dat hij of zij voor deze verwerking als verwerkingsverantwoordelijke optreedt. Het is de boekhouder zelf die de persoonsgegevens van burgers in het rapport op zijn of haar eigen manier zal verwerken om tot het gewenste resultaat te komen.

De accountant kan als verwerkingsverantwoordelijke ook managementadvies verlenen op het gebied van financiële planning, activa planning of op een organisatie economisch adviseren.

Als bewindvoerder voor particulier klanten treedt de boekhouder ook op als de verwerkingsverantwoordelijke omdat de accountant dan zelf het doel en de middelen bepaalt voor de verwerking van de persoonsgegevens binnen deze organisatie.

Moeten boekhouders een DPO aanstellen?

Accountants verwerken gevoelige gegevens op grote schaal. Alhoewel het inlezen van identiteitskaarten voor de GDPR niet aanzien wordt als een gevoelige persoonsgegeven dient de boekhouder rekening te houden met het proportionaliteitsbeginsel die vereist is binnen de regels van de GDPR.

In geval van fraude bij haar klanten is het vanzelfsprekend dat de accountant kennis neemt van art. 10 binnen de privacywetgeving maar zijn verwerkingen van persoonsgegevens bij criminele activiteiten verboden. De verwerking van deze gegevens kan enkel gebeuren door de overheid, politiediensten of onder strikt toezicht van de overheid.

Een boekhoudkantoor verwerkt gevoelige gegevens op grote schaal zoals de verwerking van financiële gegevens en medische gegevens in het geval van bijvoorbeeld mantelzorg. Om een belangenconflict te vermijden zal de accountant werken met een onafhankelijke en externe Data Protection Officer of kortweg DPO. De DPO zal via een GDPR-audit alle verwerkingen in kaart brengen en via een DPIA of gegevensbeschermingseffectenbeoordeling ervoor zorgen dat de rechten en vrijheden van de burgers waarvan persoonsgegevens verwerkt worden binnen de accountancy gewaarborgd worden.

Ben ik als boekhouder ook gezamenlijk verantwoordelijke?

Een boekhouder of accountant kan dus zowel de verwerker, de verwerkingsverantwoordelijke en in sommige gevallen ook de gezamenlijke verantwoordelijke zijn bij de verwerking van persoonsgegevens bij klanten.

De boekhouder werkt soms samen met een juridisch adviseur of advocaat om samen adviezen uit te brengen. Bij bepaalde opdrachten zal ook een boekhouder moeten samenwerken met een bedrijfsrevisor waardoor beide partijen voor een deel van de verwerking van persoonsgegevens de verantwoordelijke zullen zijn.

In dit geval zal er een verwerkingsovereenkomst worden opgesteld als “gezamenlijke verantwoordelijken” omdat de samenwerkende partijen het doel en de middelen onder een gezamenlijk akkoord zullen bepalen.

Accountant GDPR? 

Voor meer info kan u hier een DPO contacteren.

Delen:

Meer berichten

gdpr audit

Een Audit in NIS2

Inleiding: De Europese Unie heeft ingespeeld door de NIS2-richtlijn te introduceren, een update van de oorspronkelijke Network and Information Systems (NIS) richtlijn

Partners

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden