U bent hier

Onderneming & Administratie
Elektronisch factureren5. Regels voor factureren5.3 Privacyregels
Voor Onderneming & Administratie

5.3 Privacyregels

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2018

Sinds 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens. Deze regels zijn opgenomen in de Algemene verordening gegevensbescherming (AVG). Bij facturering of het verwerken van de administratie kan uw onderneming te maken krijgen met deze privacyregels.

5.3.1 PersoonsgegevensHEADER_BREAK

identificeren

medisch ­dossier

De nieuwe privacywet ziet dus op persoonsgegevens. In het kort is dat alle informatie over een te identificeren persoon. U kunt iemand identificeren aan de hand van zijn/haar naam. Alle informatie die aan een naam te koppelen is, wordt dus aangemerkt als persoonsgegeven. Denk daarbij aan iemands:

  • rekeningnummer;
  • medisch dossier of personeelsdossier;
  • gespecificeerde telefoonrekening;
  • overzicht van aankopen bij de supermarkt;
  • overzicht van ‘likes’ op Facebook;
  • vastgelegde aanwezigheid of uitspraken in notulen van een vergadering.

unieke ­kenmerken

Maar ook als geen naam bekend is, kan toch sprake zijn van persoonsgegevens. Dit is het geval als een persoon op basis van unieke kenmerken toch van andere personen kan worden onderscheiden, zoals bij een IP-adres of burgerservicenummer.

De nieuwe privacywet heeft een grote impact op uw onderneming. Op rendement.nl/fadossier vindt u verschillende tools die u kunnen helpen om de juiste maatregelen in uw onderneming te nemen.

5.3.2 Rollen onder de AVGHEADER_BREAK

Als uw onderneming werkt met persoonsgegevens, moet u voldoen aan alle vereisten uit de privacywet. De AVG onderscheidt daarbij verschillende rollen. Welke rol geldt voor uw onderneming?

BetrokkeneHEADER_BREAK

verwerken

Dit is de persoon bij wie de persoonsgegevens horen, en dus degene van wie persoonsgegevens worden verwerkt. De betrokkene levert persoonsgegevens aan de verwerkingsverantwoordelijke.

VerwerkingsverantwoordelijkeHEADER_BREAK

meerdere

Het gaat hierbij om de persoon of onderneming die het doel en de middelen van het verwerken van persoonsgegevens bepaalt. Hij verwerkt de gegevens of laat dat onder zijn leiding doen. Bij het verwerken kunnen meerdere verantwoordelijken betrokken zijn.

VerwerkerHEADER_BREAK

externe partij

De verwerker is degene die in opdracht van de verwerkingsverantwoordelijke (een deel van) het verwerken uitvoert. De verwerker is een externe partij waaraan de verwerkingsverantwoordelijke het verwerken van persoonsgegevens heeft uitbesteed. Dit is bijvoorbeeld de accountant die de salaris­administratie namens uw onderneming uitvoert.

Uw onderneming kan dus een derde partij inschakelen voor het verwerken van persoonsgegevens. Voor de samenwerking met deze partij heeft u een verwerkersovereenkomst nodig. Op rendement.nl/fadossier vindt u een voorbeeld van zo’n verwerkersovereenkomst.

OntvangerHEADER_BREAK

ketenpartner

De ontvanger is een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan aan wie of waaraan de persoonsgegevens worden verstrekt. In de regel wordt de ontvanger aangemerkt als ketenpartner die in het verlengde van de verwerkingsverantwoordelijke dienst taken en dienstverlening uitvoert.

Functionaris voor de gegevensbescherming (FG)HEADER_BREAK

taken

Een FG is een personeelslid van de verwerkingsverantwoordelijke of de verwerker. Zijn werkzaamheden bestaan uit de volgende drie taken:

  • ongevraagd adviseren en informeren over de verwerking van persoonsgegevens in uw onderneming;
  • gevraagd adviseren en informeren;
  • intern toezicht houden op naleving van de AVG.

doeleinden

Uit de wettekst van de AVG volgt dat de FG bij de uitvoering van zijn taken rekening moet houden met de risico’s die verbonden zijn aan het verwerken van persoonsgegevens binnen de onderneming. Ook moet de FG aandacht hebben voor de aard, de omvang, de context en de doeleinden van de verwerkingen.

5.3.3 De rol van uw ondernemingHEADER_BREAK

Uw onderneming kan dus met verschillende rollen te maken krijgen. Welke rol uw onderneming onder de AVG krijgt toebedeeld, is afhankelijk van de werkzaamheden.

AccountantHEADER_BREAK

ondersteunen

Als accountant krijgt u veel te maken met persoonsgegevens. Maar bent u dan verwerker of verwerkingsverantwoordelijke? Stel dat een accountant zich bezighoudt met de samenstellingsopdracht: het ondersteunen bij het opstellen en presenteren van de jaarrekening in overeenstemming met de wet.

De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat de accountant in dat geval optreedt als verwerkingsverantwoordelijke. Het maakt niet uit dat de accountant daarbij ook een aantal zaken zelf beoordeelt.

Eigen administratieHEADER_BREAK

verzamelen

U kunt ook te maken krijgen met de rol van verwerkingsverantwoordelijke als u de administratie verzorgt van bijvoorbeeld een webshop. Uw onderneming is dan aan te merken als verwerkingsverantwoordelijke. U krijgt immers te maken met het verzamelen van persoonsgegevens, zoals naam, adres en misschien ook bankgegevens. Deze verwerking is nodig om de producten af te leveren.

AdministratiekantoorHEADER_BREAK

op verzoek

Heeft of werkt u in een administratiekantoor, dan verwerkt u gegevens op verzoek van een klant. Meestal zitten daar ook persoonsgegevens tussen. Uw klant is dan hoogst waarschijnlijk aan te merken als gegevensverantwoordelijke, omdat het om zijn administratie gaat. Uw onderneming is dan de verwerker van deze administratie.

FacturenHEADER_BREAK

zorgvuldig

verwerker

Op een factuur kunnen ook de nodige persoonsgegevens staan. Zeker als u ook voor particulieren een factuur opstelt. Als verwerkingsverantwoordelijke moet u zorgvuldig omgaan met die gegevens en mag u alleen maar gegevens verzamelen die u echt nodig heeft voor de factuur. Mogelijk maakt u daarbij gebruik van een boekhoudprogramma. Heeft de leverancier van de software daardoor ook toegang tot de persoonsgegevens van de betrokkene, dan is hij een verwerker. Uw onderneming moet een verwerkersovereenkomst afsluiten met de softwareleverancier.

Boekhoudpakket moet ook AVG-proof zijnHEADER_BREAK

datalek

Uw onderneming kan een boekhoudpakket gebruiken voor de online facturatie, financiële administratie, belastingaangifte en urenregistratie. Het is belangrijk dat de persoonsgegevens voldoende zijn beveiligd. Boekhoudpakketten moeten dus een goede beveiliging hebben om een datalek te voorkomen. Daarnaast is het niet de bedoeling dat cybercriminelen eenvoudig toegang hebben tot alle persoonsgegevens. Check daarom of uw boekhoudpakket AVG-proof is! Op de website onlinefactureren.net vindt u onder ‘nieuws’ een lijst met boekhoudpakketten en de score voor de beveiliging van persoonsgegevens van deze aanbieders.

5.3.4 Bewaarplicht AVGHEADER_BREAK

controleren

aansluiten

U bent verplicht om bepaalde gegevens langer te bewaren. Dit kan bijvoorbeeld nodig zijn omdat de Belastingdienst de gegevens later nog wil controleren (zie ook paragraaf 5.2). Het gaat hierbij om de zogenoemde bewaar- en administratie­plicht. De AVG kent geen concrete bewaartermijn voor persoonsgegevens. Hiervoor kunt u dus aansluiten bij de specifieke wetten en regels.

DoeleindenHEADER_BREAK

bewaren

De enige eis die de AVG stelt, is dat uw onderneming een persoonsgegeven mag bewaren voor zolang dat nodig is voor de doeleinden waarvoor het verzameld is. Als die niet meer nodig zijn, of de bewaartermijn is verlopen, moet de onderneming ze vernietigen.

U mag gegevens wel langer bewaren als ze geanonimiseerd worden en daardoor niet meer direct zijn te linken aan een persoon. Daarnaast bestaat er een uitzondering voor wetenschappelijk of historisch onderzoek, statische doeleinden of archivering in het algemeen belang.

5.3.5 Flinke boeteHEADER_BREAK

privacyregels

Bij de verwerking van persoonsgegevens krijgt u dus te maken met de nieuwe privacyregels. Het is van groot belang dat u weet wat dat betekent voor uw onderneming. Dit betekent onder andere dat u verwerkersovereenkomsten moet opstellen met verwerkers en zorgvuldig moet omgaan met persoonsgegevens.

GevolgenHEADER_BREAK

boete

Doet uw onderneming dat niet, dan kan dat grote gevolgen hebben. De Autoriteit Persoonsgegevens (AP) kan in dat geval een boete opleggen, die kan oplopen tot een administratieve geldboete van € 10 miljoen of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar (als dat bedrag hoger is).