Modellen bewerkersovereenkomst

Op de verwerking van persoonsgegevens is (onder meer) de Wet bescherming persoonsgegevens van toepassing. Deze wet bepaalt wat een persoonsgegeven is, wanneer u persoonsgegevens wel of niet mag verwerken, wat de rechten zijn van de personen wiens persoonsgegevens worden verwerkt en wat u moet doen als u een datalek constateert.

Voor een goed begrip over persoonsgegevens, de verplichtingen die op verwerkers van persoonsgegevens rusten en een uitgebreide beschouwing over de  meldplicht datalekken verwijzen we u naar:

Zoals u kunt lezen in de stukken van de Autoriteit Persoonsgegevens is het van belang om te bepalen of u als accountant in een bepaalde opdracht verantwoordelijke of bewerker bent.

Wanneer is de accountant verantwoordelijke en wanneer bewerker?

Wanneer bent u als accountant, volgens de beroepsorganisatie, bij het aannemen van een opdracht aan te merken als bewerker en wanneer als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (“Wbp”).

Dit onderscheid is van belang om te bepalen welke rechten en verplichtingen op u rusten. Voor de beroepsreglementering is met name van belang het gegeven dat u als verantwoordelijke zelf bepaalt wat u met persoonsgegevens moet of mag doen en hoe u dat doet (uiteraard binnen de kaders van de wet).

Volgens de Wbp is de verantwoordelijke degene die bepaalt wat met de persoonsgegevens moet of mag worden gedaan en hoe en is de bewerker degene die dienaangaande instructies van de verantwoordelijke dient op te volgen. Dit laatste brengt met zich mee dat indien u een bewerker bent, u niet vrijelijk kunt bepalen (dat wil zeggen niet zonder voorafgaande toestemming) hoe u bepaalde persoonsgegevens gebruikt. Voor de accountant kan dit bij het uitvoeren van een opdracht bezwaarlijk zijn, met name met het oog op de onafhankelijke uitoefening van het beroep.

Accountant in beginsel ‘verantwoordelijke’ indien de Standaarden 100-3850 van toepassing zijn

De NBA is van mening dat u als accountant in beginsel als verantwoordelijke in de zin van de Wbp bent aan te merken als u persoonsgegevens verwerkt in het kader van een opdracht waarop de Standaarden 100-3850 van toepassing zijn. Daarbij is het niet van belang om welke standaard het gaat. Alleen als u geen beslissingen neemt over het gebruik van de gegevens, de verstrekking daarvan aan derden, de duur van de opslag etc. én dat de gedrags- en beroepsregels dit ook niet van u vragen, dan bent u een bewerker. Bij een assurance opdracht zal (vrijwel) nooit sprake kunnen zijn van bewerkerschap van een accountant. Wel dient u zich altijd af te vragen of bijzondere omstandigheden maken dat u in een specifiek geval wel bewerker bent.

Standaard 4410: meestal verantwoordelijke

Als standaard 4410 van toepassing is bent u meestal verantwoordelijke. Bijvoorbeeld als u een jaarrekening samenstelt. In sommige gevallen bent u niet de verantwoordelijke: bijvoorbeeld als u een verklaring verzekerd belang opstelt waarin persoonsgegevens zijn verwerkt. 

Wanneer bent u wel bewerker?

U bent een bewerker als u – bijvoorbeeld – een salarisadministratie verzorgt voor een klant. U heeft er geen belang bij om doel en middelen te bepalen van de gegevensverwerking, noch vragen de gedrags- en beroepsregels dat van u. In het algemeen zal voor de meeste overige opdrachten (niet zijnde opdrachten waarop de Standaarden 100 – 3850 van toepassing zijn) waarbij u gedetailleerde instructies van uw cliënt aanvaardt gelden dat de accountant bewerker is. Maar let op: dat hoeft niet zo te zijn. Het is zaak om goed in de gaten te houden of u zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert. Indien u zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert is het aangaan van een bewerkersovereenkomst of bewerkersafspraken met de klant niet aan de orde. Ook bent u in het normaal-typische geval bewerker als u een 4400-opdracht uitvoert. Maar let op: ook hier moet u zich afvragen of er bijzondere omstandigheden zijn die maken dat u toch bent aan te merken als verantwoordelijke.

 Type opdracht Klant Accountant
     
Standaard 100 - 999
van toepassing

Verantwoordelijke

Verantwoordelijke



Standaard 2000 - 2699
van toepassing
Verantwoordelijke
Verantwoordelijke



Standaard 3000 – 3850
van toepassing

Verantwoordelijke

Verantwoordelijke



Standaard 4400 Verantwoordelijke Bewerker



Standaard 4410 (H)

Verantwoordelijke

Verantwoordelijke / bewerker



Opdrachten waarop geen Standaard van toepassing
is zoals salarisadministraties

Verantwoordelijke  Bewerker

Bovenstaande geldt voor de normaal-typische gevallen. U dient zich voor iedere opdracht af te vragen of bijzondere omstandigheden maken dat u voor dat specifieke geval anders moet concluderen.

Model bewerkersovereenkomst

De NBA stelt een model bewerkersovereenkomst ter beschikking aan haar leden. Dit model kan gebruikt worden als u als accountant bewerker bent en in het kader van artikel 14 Wet bescherming persoonsgegevens afspraken wilt maken met uw klanten. Het sluiten van een dergelijke overeenkomst is in een bewerker/verantwoordelijke relatie verplicht.

Een van de onderwerpen die in de bewerkersovereenkomst wordt geregeld is de meldplicht datalekken. Voor twee artikelen over dit onderwerp verwijzen wij u naar:

Op korte termijn zal de NBA ook andere modelafspraken ter beschikking stellen.

Beschikbare modelovereenkomsten

       
  Bewerkersovereenkomst binnen EER
(klant verantwoordelijke – accountant  bewerker)

 

Download model bewerkersovereenkomst binnen EER (pdf)
 


  Sub-bewerkersovereenkomst binnen EER
(accountant bewerker – derde
sub-bewerker)

Op korte termijn beschikbaar
 


  Bewerkersovereenkomst binnen EER
(accountant verantwoordelijke – derde bewerker)

 

Op korte termijn beschikbaar



Print
Tweet dit Deel dit op LinkedIn

Stuur deze pagina door

Naar:

Van:

Modellen bewerkersovereenkomst

Annuleren