Algemene VerordeningGegevensbescherming (AVG)

De AVG verplicht deverwerkingsverantwoordelijke om schriftelijk (of in een andere gelijkwaardigevorm) afspraken te maken met zijn verwerker(s) over de omgang metpersoonsgegevens.  

Of wij als accountant(s)voor deze opdracht een verwerker zijn in de zin van de AVG moeten wij metelkaar bekijken. Voor meer informatie over de AVG verwijzen wij u graag naar dewebsite van de Autoriteit Persoonsgegevens(https://autoriteitpersoonsgegevens.nl/).[1]

1.Deze passage in deopdrachtbevestiging beoogt de accountant en de cliënt aan het denken te zettenover dit onderwerp. Daarom is ervoor gekozen om de tekst in deopdrachtbevestiging zeer algemeen te houden. De accountant moet zich dus bijelke individuele opdracht afvragen of hij/zij verwerker ofverwerkingsverantwoordelijke is. Voor sommige opdrachten zal dat eenvoudigzijn: bij een controleopdracht is de accountant verwerkingsverantwoordelijke;bij een opdracht tot het bijhouden van een salarisadministratie is deaccountant vrijwel altijd een verwerker. Bij andere opdrachten is het watminder voor de hand liggend. De accountant dient per geval te bekijken of hijverwerker of verwerkingsverantwoordelijke is. De website van de NBA geeft (metde Autoriteit Persoonsgegevens afgestemde) guidance over dit onderwerp.Daarnaast zijn er modellen verwerkersovereenkomsten te vinden.

 

Algemeen

Op 25 mei 2018 wordtde General Data Protection Regulation (GDRP) van kracht, in het Nederlands deAlgemene Verordening Gegevensbescherming (AVG). De AVG geldt voor allebedrijven en organisaties die persoonsgegevens vastleggen van klanten,personeel of andere personen. Wij moeten aan kunnen tonen dat wij de juisteorganisatorische en technische maatregelen hebben genomen om aan de eisen tevoldoen. Ook dienen wij te kunnen bewijzen dat wij de geldige toestemminghebben gekregen voor het verwerken van de persoonsgegevens.

 

SezenAdministratiekantoor verwerkt uw persoonsgegevens doordat u gebruik maakt vanonze diensten en/of omdat u deze zelf aan ons verstrekt.

Hieronder vindt u eenoverzicht van de persoonsgegevens die wij verwerken:

• Voor-     en achternaam;
• Voorletters;
• Geslacht;
• Geboortedatum;
• Geboorteplaats;
• Adresgegevens;
• Telefoonnummer;
• Kopie     identiteitsbewijzen;
• E-mailadres;
• IP-adres;
• Overige     persoonsgegevens die u actief verstrekt bijvoorbeeld in correspondentie en     telefonisch;
• Gegevens     over uw activiteiten op onze website;
• Salaris     en andere gegevens die voor fiscale aangiften, salarisberekeningen e.d.     nodig zijn;
• Huwelijkse     staat, gegevens partner en evt. informatie over kinderen; voor zover nodig     voor bijvoorbeeld fiscale aangiften);
• IBAN/     bankrekeningnummers.

 

Wij werken metpersoonsgegevens van u als klant en dienen hier zorgvuldig mee om te gaan.Hierbij gaat het om alle gegevens die kunnen leiden naar de identiteit van eenpersoon. Aangezien wij met persoonsgegevens werken, zijn wij in dit kader ondermeer verplicht om een verwerkers-overeenkomst af te sluiten (o.a. het doel vande verwerking, het soort persoonsgegevens dat wordt verwerkt). Eenverwerkersovereenkomst is alleen van toepassing wanneer de verantwoordelijkepersoonsgegevens bij een externe partij, de verwerker, laat verwerken. Is dathet geval, dan moet deze externe partij een door de verantwoordelijke partijopgestelde verwerkersovereenkomst ondertekenen. In dit kader is het van belangom vast te stellen of wij bij het aannemen van een opdracht zijn aan te merkenals verwerker of als verwerkingsverantwoordelijke. De wettelijke definitie vaneen verantwoordelijke is simpel: de partij die het doel van de verwerkingbepaalt en de middelen daarvan kiest. De verwerker is dan een partij die deverwerking doet zonder deze bepaling en keuze te maken. De feitelijke situatieis hierbij bepalend of wij worden aangemerkt als verantwoordelijke dan wel alsverwerker. Voor wat betreft de middelen gaat dit niet zover  dat u alsklant precies moet bepalen welke software wij gebruiken. Het gaat er meer om ofde data die in die software komt, alleen ten behoeve van u wordt ingezet. Alsde strekking is dat wij de administratie van u als klant beheren en geen eigendoeleinden daarbij bepalen, en de software combineert ook niet feitelijk dieinformatie met informatie van anderen, dan blijft u de verantwoordelijke.

 

Wij zijnverwerkingsverantwoordelijke voor de verwerkingen waarvoor wij doel en/ofmiddelen bepalen.

Voorbeelden hiervanzijn:

• het     door ons verzamelen van de identificerende gegevens van     klanten/opdrachtgevers (grondslag  is het moeten voldoen aan een     wettelijke verplichting);
• het     verzamelen van contactgegevens van potentiële klanten en relaties, dit     betreft bijvoorbeeld de gegevens van personen die inschrijven op een     nieuwsbrief of graag informatie willen ontvangen. Bij het verkrijgen van     deze gegevens zullen wij de expliciete toestemming vragen van de     betrokkene om deze gegevens te mogen gebruiken en bewaren;
• verwerkingen     van persoonsgegevens die in opdracht van u als klant (verantwoordelijke)     worden uitgevoerd, maar waarbij de onafhankelijke uitoefening van ons     beroep een voorwaarde is. Voorbeelden zijn het samenstellen van een     jaarrekening, het beoordelen of controleren van een jaarrekening, het     uitvoeren van een assurance-opdracht, advisering of consultancy, het     uitvoeren van een bijzondere opdracht;
• het werken     door ons met fiscale en administratieve software. In dit geval is onze     leverancier de verwerker. Met alle softwareleveranciers die met klantdata     van ons te maken krijgen, hebben wij een verwerkersovereenkomst gesloten     of is dit verwerkt in Algemene voorwaarden van deze partijen. Wij zijn     hier verantwoordelijk voor. Wij moeten kunnen laten zien aan de Autoriteit     Persoonsgegevens dat wij in alles wat wij outsourcen verantwoordelijk met      data omgaan.

 

Wij zijn verwerkervoor de verwerkingen van persoonsgegevens die wij in opdracht van u als klant(verwerkingsverantwoordelijke) uitvoeren.

Voorbeelden zijn:

• het     verwerken van salarissen;
• het     bijhouden van een administratie als wij  toegang krijgen tot de     (online) administratie;
• overeengekomen     specifieke werkzaamheden;
• het     opstellen van fiscale aangiften.

 

Met welk doel en opbasis van welke grondslag wij persoonsgegevens verwerken

SezenAdministratiekantoor verwerkt uw persoonsgegevens voor de volgende doelen:

• ten     behoeve van de dienstverlening voor u;
• het     afhandelen van betalingen;
• verzenden     van onze nieuwsbrief en/of reclamefolder;
• u te     kunnen bellen of e-mailen indien dit nodig is om onze dienstverlening uit     te kunnen voeren;
• u te     informeren over wijzigingen van onze diensten;
• Sezen     Administratiekantoor verwerkt ook persoonsgegevens als wij hier wettelijk     toe verplicht zijn, zoals gegevens die wij nodig hebben voor     belastingaangiften.

Geautomatiseerdebesluitvorming

SezenAdministratiekantoor neemt niet op basis van geautomatiseerde verwerkingenbesluiten over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen.Het gaat hier om besluiten die worden genomen door computerprogramma’s of-systemen, zonder dat daar een mens (bijvoorbeeld een medewerker van SezenAdministratiekantoor) tussen zit.

Hoe lang wepersoonsgegevens bewaren?

SezenAdministratiekantoor bewaart uw persoonsgegevens niet langer dan strikt nodigis om de doelen te realiseren waarvoor uw gegevens worden verzameld. Wijhanteren de volgende bewaartermijnen voor de volgende (categorieën) vanpersoonsgegevens:

• 7 jaar     voor personen;
• 10 jaar     voor personen, die onroerend goed bezitten en btw plichtig zijn;
• 30 jaar     voor personen, die een eigen woning bezitten in verband met de aftrek van     hypotheekrente;

Wij sluiten hierbijaan bij de fiscale termijnen.

Delen vanpersoonsgegevens met derden

SezenAdministratiekantoor deelt uw persoonsgegevens met verschillende derden als ditnoodzakelijk is voor het uitvoeren van de overeenkomst en om te voldoen aan eeneventuele wettelijke verplichting. Met bedrijven die uw gegevens verwerken inonze opdracht, sluiten wij een verwerkersovereenkomst om te zorgen vooreenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens. SezenAdministratiekantoor blijft verantwoordelijk voor deze verwerkingen. Daarnaastverstrekt Sezen Administratiekantoor uw persoonsgegevens aan andere derden,bijvoorbeeld in het kader van de loonadministratie. Dit doen wij alleen met uwnadrukkelijke toestemming. Sezen Administratiekantoor gebruikt geen cookies ofvergelijkbare technieken.

Overzicht vandata/registerplicht

Wij hebben als kantooreen register, waarin onder meer is aangegeven waar wij persoonlijke data van uals klant bewaren, welke persoonsgegevens worden verwerkt en waarom. Wij dienende juridische basis van de verwerking van gegevens van u als klant te kunnenbewijzen. En dit geldt niet alleen voor alle digitale bestanden, ook op papieris dit van toepassing (denk aan jaarrekeningen en fiscale aangiften). Als ergeen doel is om gegevens op te slaan, dan moet er een veilige manier vanvernietiging of archivering zijn. In het kader van de AVG moeten deze processenen procedures inzichtelijk zijn.

Privacy dient in degehele werkwijze van ons kantoor doorvlochten te zijn. Welke persoonsgegevensverzamelen wij en met welk doel? Zolang de informatie nodig is voorboekhoudkundige, fiscale, juridische of financiële  activiteiten, dan ishet toegestaan. Voldoet het daar niet aan dan mogen die gegevens nietopgeslagen worden. Het doen van een Privacy Impact Assessment  (PIA) iseen middel om privacy by design te implementeren en de applicaties op hetgebied van privacy te optimaliseren. In dit kader vullen wij bij elk nieuwproject met betrekking tot wijziging van applicaties, een ‘Pre PIA Screening’in. Dit is een korte vragenlijst, waarin uit- of ingesloten wordt ofpersoonsgegevens geraakt worden. Is dat het geval, dan wordt een volledige PIAuitgevoerd.

Gegevens inzien,aanpassen of verwijderen

U heeft het recht omuw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaastheeft u het recht om uw eventuele toestemming voor de gegevensverwerking in tetrekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door SezenAdministratiekantoor en heeft u het recht op gegevensoverdraagbaarheid. Datbetekent dat u bij ons een verzoek kunt indienen om de persoonsgegevens die wijvan u beschikken in een computerbestand naar u of een ander, door u genoemdeorganisatie, te sturen. U kunt een verzoek tot inzage, correctie, verwijdering,gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uwtoestemming of bezwaar op de verwerking van uw persoonsgegevens per e-mailsturen naar ons. Om er zeker van te zijn dat het verzoek tot inzage door u isgedaan, vragen wij u een kopie van uw identiteitsbewijs met het verzoek mee testuren. Maak in deze kopie uw pasfoto, MRZ (machine readable zone, de strookmet nummers onderaan het paspoort), paspoortnummer en Burgerservicenummer (BSN)zwart. Dit ter bescherming van uw privacy. We reageren zo snel mogelijk, maarbinnen vier weken, op uw verzoek.

 

Datalekken melden

Datalekken moeten inbepaalde gevallen gemeld worden.

Hoe wijpersoonsgegevens beveiligen

SezenAdministratiekantoor neemt de bescherming van uw gegevens serieus en neemtpassende maatregelen om misbruik, verlies, onbevoegde toegang, ongewensteopenbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeftdat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik,neem dan contact op met ons op via het contactformulier van SezenAdministratie.

Privacyverklaring

Door gebruik te makenvan onze website gaat u akkoord met het gebruik van uw gegevens zoalsomschreven in deze Privacyverklaring.

Wij verwerken uwpersoonsgegevens uitsluitend in overeenstemming met de Algemene VerordeningGegevensbescherming (hierna AVG). Ons kantoor is verplicht zorgvuldig met uwpersoonlijke gegevens om te gaan. Binnen ons kantoor worden de medewerkershierop gewezen en dienen daartoe ook een geheimhoudingsverklaring teondertekenen.

Wij gebruiken alleengegevens die uitdrukkelijk en vrijwillig zijn verstrekt door personen die onzewebsite bezoeken. Verkregen informatie wordt in geen enkel geval aan derdenverhuurd of verkocht.

Er kan tijdens uwbezoek aan onze website gebruik worden gemaakt van cookies om u de door ugezochte informatie veilig te kunnen aanbieden en deze website technisch goedte laten functioneren. Cookies worden niet gebruikt voor het doen vanongevraagde aanbiedingen.

Wij zijngeïnteresseerd in gegevens die iets zeggen over het resultaat van onze website.De informatie die wordt verzameld, wordt gebruikt ten behoeve van deverbetering van onze dienstverlening en marketingactiviteiten.

Jaarrekening

Een van de vereistenonder de nieuwe regelgeving is dat in iedere situatie waarin (mogelijk)persoonsgegevens worden verwerkt, een zogeheten verwerkersovereenkomst tussenpartijen, die de verwerking uitvoeren, dient te worden gesloten. Deverwerkersovereenkomst bevat onder meer de (verdeling van)verantwoordelijkheden en aansprakelijkheden ten aanzien van (verwerking van)persoonsgegevens. Aangezien wij betreffende het opmaken van uw jaarrekening metsamenstellingsverklaring met persoonsgegevens werken, dient in het kader van deAVG een verwerkersovereenkomst opgesteld te worden

‍