Reactie NBA op berichtgeving Accountancy Vanmorgen inzake de AVG

Onlangs is op de website van Accountancy Vanmorgen een stuk verschenen van mevrouw Timmer. De NBA is het niet eens met de inhoud van het stuk, maar waardeert de moeite die mevrouw Timmer heeft genomen om na te denken over de toepassing van de AVG en de praktische consequenties daarvan voor de accountant.

Hieronder zullen we – ook in het kader van het faciliteren van het verdere nadenken over de AVG – uiteenzetten waarom de accountant voor een aantal verwerkingen als verwerkingsverantwoordelijke aan te merken is, en voor een aantal als verwerker.

Bekijk het artikel

Om misverstanden te voorkomen: over de meeste punten die mevrouw Timmer noemt is door de NBA ook uitgebreid overleg geweest  met de Autoriteit Persoonsgegevens (“AP”). Dat wil niet zeggen dat onderstaande kan worden gezien als een uiting van de AP, maar wel dat de nodige zorgvuldigheid ten grondslag heeft gelegen aan de uitingen van de NBA op haar website.

Verwerking onder de Wwft

Mevrouw Timmer haalt aan dat de accountant moet voldoen aan de Wwft. Dat is juist. En voor de verwerking die de accountant moet doen onder de Wwft (denk aan het identificeren van een klant, of - in sommige gevallen – het doen van een Wwft-melding) is de accountant inderdaad verwerkingsverantwoordelijke. Maar maken de verplichtingen onder de Wwft nu dat de accountant ook automatisch een verwerkingsverantwoordelijke wordt voor de opdracht die hij voor de klant uitvoert? Nee.

Voor het voldoen aan de Wwft is de accountant net zo “verantwoordelijk” als voor de debiteurenadministratie waarin de accountant zijn klant heeft opgenomen (wettelijke administratieplicht), of het beheren van het personeelsdossier van de medewerker die de opdracht uitvoert voor de betreffende klant. De in deze alinea genoemde verwerkingen zijn andere verwerkingen dan de uit te voeren opdracht. De opdracht moet als verwerking op zichzelf worden beoordeeld. Voor iedere verwerking moet worden bekeken wie doel en/of middelen bepaald. Meldplichten onder de Wwft, of die onder de Wta, zijn voor die beoordeling niet van belang.

Hoedanigheid accountant

Ook haalt mevrouw Timmer aan dat advocaten voor hun verwerkingen verwerkingsverantwoordelijke zijn voor de verwerkingen die zijn doen voor hun cliënten. Ook dat is de NBA niet ontgaan. In de Memorie van toelichting bij de Wbp wordt dit immers klip en klaar gezegd. Zie TK 1997/98, 25 892, 3 p. 62.  De werkzaamheden van de advocaat kunnen echter niet één op één gelijk worden gesteld aan de werkzaamheden van de accountant, aldus (ook) de AP.

Op de NBA-website is voor een aantal opdrachten aangegeven of de accountant verwerker of verantwoordelijke is. Uitleg is daarbij gegeven. Daarbij suggereren we overigens niet – zoals mevrouw Timmer aangeeft – dat er situaties kunnen voorkomen waarin de klant aan de accountant instructies zou kunnen geven over hoe de accountant zijn werkzaamheden moet uitvoeren. Er kunnen situaties zijn waarin de accountant instructies krijgt van de verwerkingsverantwoordelijke over de persoonsgegevens die hij verwerkt. Dat staat niet gelijk aan het geven van instructies over hoe de accountant zijn werk moet uitvoeren.

Voorts geeft mevrouw Timmer aan dat op de NBA-website staat vermeld dat de accountant wanneer hij ter voorbereiding van een samenstellingsopdracht de loonstaat aansluit, hij dit doet als verwerkingsverantwoordelijke. Dit is echter niet juist geïnterpreteerd. Op de website staat juist dat de accountant in dat geval al snel aan het “verwerken” is.

Tot slot wordt in het stuk van mevrouw Timmer gesuggereerd dat het leven eenvoudiger is als verwerkingsverantwoordelijke. De NBA zet hierbij haar vraagtekens. Op de verantwoordelijke rusten immers de zwaarste verplichtingen in het kader van de AVG. Uiteraard moeten we – zoals mevrouw Timmer terecht opmerkt -  ook aan de slag met cybersecurity, dataminimalisatie en het tijdig verwijderen van gegevens.