GDPR vs boekhouding - wat zijn de regels
GDPR boekhouding: geldt GDPR ook voor boekhouders en accountants? De GDPR-experts van Mr. Franklin geven advies op maat van jouw onderneming.
Als boekhouder of accountant kom je regelmatig met de persoonsgegevens van jouw klanten in aanraking. Mr. Franklin helpt jouw firma de nodige maatregelen treffen, zodat je boekhouding GDPR-proof is.
Algemene Verordening Gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG, in het Engels General Data Protection Regulation of GDPR genoemd) is een relatief nieuwe wetgeving die een wettelijk kader rond privacy binnen de Europese Unie schept. GDPR geldt voor alle ondernemingen, overheidsinstanties en verenigingen die persoonsgegevens verwerken of verzamelen.
GDPR is niet enkel van toepassing op ondernemingen die binnen de Europese Unie gevestigd zijn. Ook entiteiten die vanuit derde landen, zoals bijvoorbeeld de VS, persoonsgegevens van de Europese burgers verwerken, vallen onder het toepassingsgebied van GDPR.
Persoonsgegevens verwerken: doen boekhouders het ook?
Zoals hierboven vermeld, is ieder bedrijf dat persoonsgegevens verwerkt verplicht om GDPR-normeisen na te leven. Maar wanneer is er nu eigenlijk sprake van gegevensverwerking door een onderneming? En wat zijn persoonsgegevens? We leggen het hieronder graag voor je uit.
Wat zijn persoonsgegevens?
Met persoonsgegevens verwijst de wetgever naar de gegevens over een levende, natuurlijke persoon waarmee deze natuurlijke persoon direct of indirect kan worden geïdentificeerd.
Denk bijvoorbeeld aan een IP-adres, een telefoonnummer, of een geboortedatum. Ook combinaties van indirecte factoren zijn persoonsgegevens indien deze combinaties kunnen leiden tot de identificatie van natuurlijke personen.
Er bestaan ook de zogenaamde bijzondere categorieën persoonsgegevens. Voor dit soort persoonsgegevens heeft de GDPR extra regels voorzien. Zo zijn er bijvoorbeeld gevoelige persoonsgegevens die - de naam zegt het zelf - informatie bevatten over gevoelige kwesties. Denk bijvoorbeeld aan gegevens rond strafrechtelijke veroordelingen of medische gegevens.
Ondernemingen of overheidsinstanties die gevoelige gegevens verwerken, zijn onderworpen aan bijkomende strenge beveiligingsvereisten. Dit komt doordat de verwerking van bijzondere persoonsgegevens ernstige risico’s voor de persoonlijke levenssfeer van de betrokkene met zich meebrengt.
Wanneer is er sprake van verwerking?
De term ‘verwerkingsactiviteiten’ krijgt een ruime invulling in het kader van GDPR. Persoonsgegevens bijhouden, persoonsgegevens verzamelen, vastleggen, structureren en wijzigen - dat valt allemaal onder de term ‘verwerking’. Door deze ruime opvatting zal een onderneming in vele gevallen wél aan verwerkingsactiviteiten doen.
Ook in het kader van boekhouding kan er dus sprake zijn van gegevensverwerking: als boekhouder of accountant kom je met de regelmaat van de klok met (dikwijls gevoelige) persoonsgegevens van jouw klanten in aanraking.
3 belangrijkste verplichtingen onder GDPR voor boekhouding
Doel & rechtsgrond van de verwerking
Iedere entiteit die persoonsgegevens verwerkt, moet haar verwerkingsactiviteiten kunnen verantwoorden. Onder meer moet je nadenken over de doeleinden waarvoor je als ondernemer gegevens verwerkt en via welke van de zes wettelijke grondslagen je iedere verwerking zal/kan verantwoorden.
Vaak gaat men er onterecht van uit dat je voor iedere verwerking de toestemming van de betrokken persoon moet vragen. Dat klopt echter niet: als boekhouder of accountant kan je de verwerkingsactiviteiten ook op andere door de wet bepaalde rechtsgronden baseren.
Rechtsgrond relevant voor boekhouders
De gegevensverwerking van boekhouders vindt plaats in het kader van de dienstverlening. Zo heb je bijvoorbeeld het officieel adres van de ondernemer-natuurlijke persoon nodig om zijn of haar boekhouding te kunnen doen.
Je moet dus als boekhouder niet telkens de toestemming van je klanten te vragen. De eventuele verwerkingen van persoonsgegevens kan je rechtvaardigen via de noodzaak voor de uitvoering van de overeenkomst met jouw klant.
Bepaalde gegevens moet je trouwens sowieso verzamelen of verwerken in het kader van vele wettelijke verplichtingen die op jou als boekhouder rusten. Een wettelijke verplichting wordt door de wetgever als één van de mogelijke rechtsgronden vooropgesteld. Dat zorgt ervoor dat je voor de verwerkingen in het kader van bijvoorbeeld de antiwitwaswetgeving geen toestemming moet vragen.
Ook wanneer je als boekhouder persoonsgegevens van jouw klanten voor directe marketing verwerkt kan je je beroepen op legitieme belangen. In dit geval heb je alweer geen toestemming van de klanten nodig.
2. Privacybeleid en informatieplicht
GDPR introduceerde onder andere de informatieplicht. Hierdoor moeten de verwerkende entiteiten ervoor zorgen dat de betrokken natuurlijke personen voldoende geïnformeerd zijn over de verwerking van hun persoonsgegevens. De eenvoudigste manier om aan deze verplichting te voldoen is het opstellen van het privacybeleid dat door jouw klanten geraadpleegd kan worden.
Als verwerkende entiteit heb je ook de verplichting om de betrokkenen te informeren over een aantal rechten die de GDPR-wetgeving aan ze toekent. Zo hebben de natuurlijke personen wiens gegevens je verzamelt of verwerkt recht op inzage, het recht om vergeten te worden, recht van overdraagbaarheid enzovoort.
Stel dat je bijvoorbeeld een nieuwe klant hebt die van boekhouder is veranderd, dan kan enkel de klant zelf via zijn recht van overdraagbaarheid eisen dat zijn voormalige boekhouder zijn persoonsgegevens aan u overdraagt.
Als je als boekhouder een website over jouw dienstverlening hebt, is het aangeraden om je privacybeleid samen met een cookie policy online te zetten.
3. Register van verwerkingsactiviteiten
Een van de belangrijkste verplichtingen is dat je als verwerkingsverantwoordelijke een register van verwerkingsactiviteiten moet bijhouden. Dit register is een cruciaal document: indien er zich bijvoorbeeld een datalek voordoet. Dan zal de toezichthoudende autoriteit (GBA in België) namelijk aan de hand van dat register kunnen beoordelen of jouw firma al dan niet voldoende conform de GDPR was georganiseerd.
Wij overlopen met jou de nodige technische details die in het register moeten staan.
Contactgegevens
Onder meer moeten de contactgegevens van het privacyaanspreekpunt binnen jouw firma in het register worden opgenomen. Ondernemingen die hoofdzakelijk gevoelige gegevens (zoals bijvoorbeeld politieke opvattingen) verwerken, of wiens core business het verwerken van persoonsgegevens is (zoals sommige digital marketeers), moeten hiervoor verplicht een functionaris voor gegevensbescherming of ‘Data Protection Officer’ (DPO) aanstellen. Voor accountants en boekhouders geldt deze verplichting niet.
Details met betrekking tot de gegevensverwerking
Verder moet je in het register ook vermelden welke persoonsgegevens jouw bedrijf verwerkt, evenals voor welke doeleinden deze verwerkingen gebeuren. Deel je de verzamelde persoonsgegevens met externe verwerkers (denk bijvoorbeeld aan een sociaal secretariaat), dan moet je ook de contactgegevens van de externe verwerkers in het register ter beschikking stellen. Ook de bewaartermijn van de verzamelde gegevens moet vermeld worden.
Technische en organisatorische maatregelen
Tot slot moet je in het register verantwoorden welke technische en organisatorische maatregelen jouw onderneming neemt ter bescherming van de persoonsgegevens. Ook de interne procedure die jouw kantoor hanteert indien een datalek zich voordoet, moet in het register beschreven worden.
Maak jouw boekhouding GDPR-proof met Mr. Franklin
Mr. Franklin is een advocatenkantoor met een bijzondere expertise in het aanbieden van allerhande GDPR-diensten. We nemen graag de juridische zorgen met betrekking tot privacy van jou over. Transparantie over de kosten (en over het dossier uiteraard) is onze prioriteit: daarom werken we waar mogelijk met vaste tarieven en all-in-one formules waarbij we geen bijkomende kosten aanrekenen.
Ook telt ons kantoor drie gecertificeerde Data Protection Officers. Alle drie hebben ze ruime ervaring bij allerlei bedrijven en overheden.
Bij Mr. Franklin streven we naar een duidelijke en pragmatische aanpak op maat waarbij een persoonlijke aanpak een topprioriteit is. De focus van onze dienstverlening ligt vooral op jouw onderneming, jouw verwachtingen en jouw persoonlijke wensen. Wij zorgen er graag voor dat jouw firma innovatieve projecten juridisch correct kan realiseren.
Daarnaast heeft ons team ruime ervaring mogen opbouwen in het kader van allerlei procedures met betrekking tot het intellectueel eigendom. Ook het domein van cybersecurity en ISO 27001 kent geen geheimen meer voor ons. Reeds meer dan 250 ondernemingen zijn tevreden over onze service; sinds de opening van ons kantoor hebben we dan ook geen enkele geprotesteerde factuur gehad.
Contacteer ons
Benieuwd naar meer info over onze services? Neem gerust vrijblijvend contact met ons op: we bekijken samen wat Mr. Franklin voor jouw bedrijf kan betekenen.
Olivier Sustronck
+32 486 27 53 05