top of page

GDPR-verplichtingen voor accountants

GDPR-verplichtingen voor accountants

GDPR voor accountants: welke verplichtingen gelden er?

Ook accountants en boekhouders moeten rekening houden met de GDPR (General Data Protection Regulation). De privacywetgeving geldt immers ook voor hen aangezien ook zij met persoonsgegevens te maken krijgen. 


Maar welke verplichtingen legt de GDPR nu specifiek op aan accountants? Mr. Franklin zet alle GDPR-verplichtingen voor accountants en boekhouders op een rijtje zodat jouw onderneming GDPR-proof kan opereren.


General Data Protection Regulation (GDPR)


Europese privacyverordening


De General Data Protection Regulation (GDPR), in het Nederlands ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd, is een relatief nieuwe Europese verordening die tot doel heeft Europese burgers een betere bescherming te bieden met betrekking tot hun persoonlijke gegevens. De privacyverordening legt een aantal verplichtingen op aan overheden en ondernemingen.


Het toezicht op de GDPR gebeurt door de bevoegde autoriteit persoonsgegevens. In België is dit de Gegevensbeschermingsautoriteit (GBA). Zij is met name bevoegd voor het opleggen van GDPR-boetes aan inbreukmakende ondernemingen.


Ruim toepassingsgebied van GDPR


Verwerkingsactiviteit


De GDPR is in principe van toepassing op alle overheden, ondernemingen en verenigingen die persoonlijke gegevens of persoonsgegevens verwerken of verzamelen. Het begrip ‘verwerkingsactiviteiten’ (verwerking) krijgt een ruime invulling door de GDPR en omvat bijvoorbeeld het verzamelen, bijhouden, vastleggen, structureren en wijzigen van persoonsgegevens. 


Persoonsgegevens


Het begrip ‘persoonsgegevens’ krijgt hier ook een ruime invulling. De wetgever bedoelt hiermee namelijk alle gegevens waardoor een natuurlijke persoon direct of indirect kan worden geïdentificeerd. 


Voorbeelden van dergelijke gegevens zijn IP-adressen,  e-mailadressen, medische gegevens, telefoonnummers of adressen. Ook een combinatie van indirecte factoren ka dus gekwalificeerd worden als persoonsgegevens indien deze combinatie kan leiden tot de identificatie van de natuurlijke persoon. 

 

Gezien dit ruime toepassingsgebied zullen de meeste ondernemingen dan ook rekening moeten houden met de GDPR-verplichtingen. De GDPR is zo ook van toepassing op zelfstandigen. 


Bijzondere categorieën


Voor zogenaamde bijzondere categorieën van persoonsgegevens legt de GDPR bovendien extra regels op waardoor Europese burgers hier nog beter beschermd worden. Met name zijn er bepaalde gevoelige gegevens, zoals medische gegevens, die geviseerd worden. 


Omdat de verwerking van dergelijke gevoelige informatie ernstige risico’s voor de persoonlijke levenssfeer van de betrokkene kan meebrengen zijn ondernemingen onderworpen aan bijkomende strenge beveiligingsvereisten.


Geldt de GDPR ook voor accountants?


Ja, in principe zullen ook accountants onder het toepassingsgebied van de GDPR vallen. Ook zij zullen namelijk in de meeste gevallen in aanraking komen met de verwerking van persoonsgegevens. Of je als accountant zelfstandige bent of niet speelt hierbij geen rol. 


Zo verzamelen accountants en boekhouders in het kader van hun activiteiten regelmatig persoonlijke gegevens zoals contactgegevens, gegevens over de gezinssituatie van betrokken personen en financiële informatie. Merk op dat het hierbij vaak ook om gevoelige informatie zal gaan, zoals betalingsgegevens.


Belangrijkste verplichtingen voor accountants


De GDPR legt een aantal belangrijke verplichtingen op aan ondernemingen die onder het toepassingsgebied van de GDPR vallen, waaronder dus ook accountants. Hieronder worden de drie belangrijkste GDPR-verplichtingen op een rijtje gezet.


1. Rechtsgrond voor verwerking


Elke onderneming die persoonlijke gegevens verwerkt, mag dat niet zomaar doen. Er moet namelijk een wettelijke rechtsgrond voorhanden zijn, ook wel ‘verwerkingsgrond’ genoemd. 


Deze verwerkingsgrond bepaalt als het ware het doel waarvoor de verwerking van de persoonsgegevens geoorloofd is. De GDPR bepaalt zes verschillende wettelijke verwerkingsgronden. Deze lijst is limitatief, wat betekent dat je als accountant niet zomaar bijkomende verwerkingsgronden kunt inroepen.


Verschillende rechtsgronden voor verwerking door accountants

De belangrijkste is ongetwijfeld de toestemming van de betrokkene zelf. Verder kan bijvoorbeeld ook een gerechtvaardigd belang of een overeenkomst een geldige verwerkingsgrond uitmaken. 


Bij directe marketing moet je als accountant (of ander soort onderneming) bovendien ook niet steeds de toestemming van de betrokkene bekomen omdat je je hierbij kunt beroepen op legitieme belangen.


Verwerking op basis van legitieme belangen

Vooral deze laatste rechtsgrond zal bij accountants of boekhouders een grote rol spelen. De gegevensverwerking gebeurt hier namelijk meestal in het kader van de dienstverlening. Dat is het geval wanneer er een contract werd gesloten met de klant. Je zult als accountant dus niet steeds opnieuw de toestemming van de klant moeten vragen bij de gegevensverwerking.


Verwerking op basis van wettelijke verplichting

Ook de verwerkingsgrond ‘wettelijke verplichting’ is van belang bij accountants. In sommige gevallen zul je immers sowieso gegevens moeten verzamelen of verwerken, op grond van een wettelijke bepaling. Denk hierbij bijvoorbeeld aan de antiwitwaswetgeving.


2. Transparantieverplichting


De GDPR bepaalt vervolgens dat ondernemingen die persoonsgegevens verwerken verplicht zijn om de betrokkenen op een transparante en begrijpelijke manier op de hoogte te brengen van de verwerking, opdat zij voldoende geïnformeerd zijn. 


De eenvoudigste manier om aan deze GDPR-informatieverplichting tegemoet te komen, is door te werken met een privacybeleid dat werd opgesteld op maat van jouw onderneming door een juridisch expert zoals Mr. Franklin.


Dat privacybeleid kan vervolgens worden geraadpleegd door al jouw klanten op de website van je onderneming. Hierdoor bestaat er onmiddellijk ook schriftelijk bewijs voor eventuele latere discussies of conflicten.


Aan te raden is om je privacy policy samen met een cookie policy op je website te zetten. Op die manier informeer je je klanten op een grondige wijze.


Er gelden over de GDPR ook nog een aantal andere informatieverplichtingen. Zo moet je de betrokkenen bijvoorbeeld informeren over het recht om vergeten te worden en het recht tot inzage.


3. Verwerkingsregister opstellen


Ondernemingen zijn onder de GDPR verplicht tot het opstellen van een register van de verwerkingsactiviteiten, ook wel het verwerkingsregister genoemd. Slechts in uitzonderlijke gevallen moeten ondernemingen geen dergelijk register bijhouden. 


In het verwerkingsregister wordt alle interne documentatie bijgehouden over de verwerking van persoonsgegevens die gebeurt in een onderneming. Aan de hand van dit register zal de bevoegde autoriteit kunnen beoordelen of je al dan niet conform de GDPR handelde, mocht dat ooit nodig zijn. 


Inhoud van het verwerkingsregister

De inhoud van het verwerkingsregister wordt nauwkeurig bepaald door de GDPR. Zo moet er bijvoorbeeld worden bepaald wie de gegevens verwerkt, voor welke doeleinden deze verwerking gebeurd, hoelang de gegevens worden bijgehouden en op welke wijze de veiligheid van de gegevens gegarandeerd wordt. 


Deel je de persoonlijke gegevens - denk bij accountants bijvoorbeeld aan een sociaal secretariaat - dan moet je de contactgegevens van deze externe verwerker ook opnemen in het verwerkingsregister.


Ook de contactgegevens van het privacy-aanspreekpunt moeten worden vermeld in het register. In sommige gevallen moet er verplicht een Data Protection Officer (DPO) worden aangesteld binnen je onderneming. De gegevens van deze DPO moeten vervolgens ook worden vermeld in het verwerkingsregister. 


Nog belangrijke informatie die het verwerkingsregister moet bevatten, zijn de technische en organisatorische maatregelen die je neemt om de bescherming van de persoonsgegevens te waarborgen.


Wat kan Mr. Franklin voor jou betekenen?


Onze gespecialiseerde advocaten hebben reeds ervaring in diverse sectoren, waaronder ook accountants en boekhouders. Wij kunnen je bijstaan bij het opstellen van een GDPR-beleid op maat van jouw onderneming. 


Ook bij zelfstandige accountants kijken wij hoe je op de best mogelijk manier GDPR-proof omgaat met de gegevens die je verzamelt in het kader van je professionele activiteit.


Onze advocaten kunnen bovendien optreden als externe en onafhankelijke DPO’s binnen jouw onderneming. Ook als het aanstellen van een DPO niet verplicht is, raden wij aan om er toch een aan te stellen. 


Ervaring leert ons dat zoiets ondernemingen op lange termijn geld, tijd en moeite bespaart. Een DPO handelt bovendien met kennis van zaken, waardoor je geen enkele GDPR-verplichting over het hoofd ziet. Lees meer over onze DPO as a service op deze pagina.


CONTACTEER ONS


Voor meer informatie omtrent onze dienstverlening rond de GDPR kan je ons steeds vrijblijvend contacteren. Wij staan voor een innovatieve, maar telkens kwalitatieve service. Wij hechten veel belang aan de continue verbetering van onze expertise. 


Onze experts staan je graag met raad en daad bij. 


Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be

bottom of page