Model bewerkers­overeenkomst

Op de verwerking van persoonsgegevens is (onder meer) de Wet bescherming persoonsgegevens van toepassing. Deze wet bepaalt wat een persoonsgegeven is, wanneer u persoonsgegevens wel of niet mag verwerken, wat de rechten zijn van de personen wiens persoonsgegevens worden verwerkt en wat u moet doen als u een datalek constateert.

Voor een goed begrip over persoonsgegevens, de verplichtingen die op verwerkers van persoonsgegevens rusten en een uitgebreide beschouwing over de meldplicht datalekken verwijzen we u naar:

Zoals u kunt lezen in de stukken van de Autoriteit Persoonsgegevens is het van belang om te bepalen of u als accountant in een bepaalde opdracht verantwoordelijke of bewerker bent. 

Stelt u daarom allereerst vast of daadwerkelijk sprake is van het verwerken van persoonsgegevens bij de uitvoering van een opdracht, door u of een door u ingeschakelde derde. Alleen als sprake is van de verwerking van persoonsgegevens, legt u afspraken hierover vast in een bewerkersovereenkomst.

“Verwerking van persoonsgegevens” omvat alle denkbare handelingen met persoonsgegevens. Maar let op: ook meer passieve handelingen zoals de enkele aanwezigheid van de gegevens op uw servers valt onder het begrip “verwerken”. Bij “persoonsgegevens” denkt u ongetwijfeld aan gegevens als NAW, BSN en herkenbare afbeeldingen zoals pasfoto’s. Maar ook gegevens die in eerste instantie misschien geen persoonsgegevens lijken, kunnen dat zijn: bijvoorbeeld IP-adressen en binnen een bepaalde context ook (mobiele) telefoonnummers en nummerborden. Op de website van de Autoriteit Persoonsgegevens kunt u hierover meer lezen.

Wanneer is de accountant verantwoordelijke en wanneer bewerker?

Wanneer bent u als accountant, volgens de NBA, bij het aannemen van een opdracht aan te merken als bewerker en wanneer als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp)?

Dit onderscheid is van belang om te bepalen welke rechten en verplichtingen op u rusten. Voor de beroepsreglementering is met name van belang het gegeven dat u als verantwoordelijke zelf bepaalt wat u met persoonsgegevens moet of mag doen en hoe u dat doet (uiteraard binnen de kaders van de wet).

Volgens de Wbp is de verantwoordelijke degene die bepaalt wat met de persoonsgegevens moet of mag worden gedaan en hoe en is de bewerker degene die dienaangaande instructies van de verantwoordelijke dient op te volgen. Dit laatste brengt met zich mee dat indien u een bewerker bent, u niet vrijelijk kunt bepalen (dat wil zeggen niet zonder voorafgaande toestemming) hoe u bepaalde persoonsgegevens gebruikt. Voor de accountant kan dit bij het uitvoeren van een opdracht bezwaarlijk zijn, met name met het oog op de onafhankelijke uitoefening van het beroep.

Accountant in beginsel ‘verantwoordelijke’ indien de Standaarden 100-3850 van toepassing zijn

De NBA is van mening dat u als accountant in beginsel als verantwoordelijke in de zin van de Wbp bent aan te merken als u persoonsgegevens verwerkt in het kader van een opdracht waarop de Standaarden 100-3850 van toepassing zijn. Daarbij is het niet van belang om welke standaard het gaat. Alleen als u geen beslissingen neemt over het gebruik van de gegevens, de verstrekking daarvan aan derden, de duur van de opslag etc. én dat de gedrags- en beroepsregels dit ook niet van u vragen, dan bent u een bewerker. Bij een assurance opdracht zal (vrijwel) nooit sprake kunnen zijn van bewerkerschap van een accountant. Wel dient u zich altijd af te vragen of bijzondere omstandigheden maken dat u in een specifiek geval wel bewerker bent.

Standaard 4410: meestal verantwoordelijke

Als standaard 4410 van toepassing is bent u meestal verantwoordelijke. Bijvoorbeeld als u een jaarrekening samenstelt. In sommige gevallen bent u niet de verantwoordelijke: bijvoorbeeld als u een verklaring verzekerd belang opstelt waarin persoonsgegevens zijn verwerkt.

Wanneer bent u wel bewerker?

U bent een bewerker als u – bijvoorbeeld – een salarisadministratie verzorgt voor een klant. U heeft er geen belang bij om doel en middelen te bepalen van de gegevensverwerking, noch vragen de gedrags- en beroepsregels dat van u. In het algemeen zal voor de meeste overige opdrachten (niet zijnde opdrachten waarop de Standaarden 100 – 3850 van toepassing zijn) waarbij u gedetailleerde instructies van uw cliënt aanvaardt gelden dat de accountant bewerker is. Maar let op: dat hoeft niet zo te zijn. Het is zaak om goed in de gaten te houden of u zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert. Indien u zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert is het aangaan van een bewerkersovereenkomst of bewerkersafspraken met de klant niet aan de orde, u bent dan verantwoordelijke. Ook zult u meestal bewerker zijn als u een 4400-opdracht uitvoert. Maar let op: ook hier moet u zich afvragen of er bijzondere omstandigheden zijn die maken dat u toch bent aan te merken als verantwoordelijke.

Type opdracht Klant Accountant
Standaard 100 - 999 van toepassing Verantwoordelijke Verantwoordelijke
Standaard 2000 - 2699 van toepassing Verantwoordelijke Verantwoordelijke
Standaard 3000 – 3850 van toepassing Verantwoordelijke Verantwoordelijke
Standaard 4400 Verantwoordelijke Bewerker
Standaard 4410 Verantwoordelijke Verantwoordelijke / bewerker
Opdrachten waarop geen Standaard van toepassing is zoals salarisadministraties Verantwoordelijke Bewerker

Bovenstaande geldt voor de normaal-typische gevallen. U dient zich voor iedere opdracht af te vragen of bijzondere omstandigheden maken dat u voor dat specifieke geval anders moet concluderen.

Model bewerkersovereenkomst

De NBA stelt een model bewerkersovereenkomst ter beschikking aan haar leden. Dit model kan gebruikt worden als u als accountant bewerker bent en in het kader van artikel 14 Wet bescherming persoonsgegevens afspraken wilt maken met uw klanten. Het sluiten van een dergelijke overeenkomst is in een bewerker/verantwoordelijke relatie verplicht.

Een van de onderwerpen die in de bewerkersovereenkomst wordt geregeld is de meldplicht datalekken. Voor twee artikelen over dit onderwerp verwijzen wij u naar:

Beschikbare modelovereenkomsten

Bewerkersovereenkomst binnen EER (klant verantwoordelijke – accountant bewerker) Download model bewerkersovereenkomst binnen EER
Sub-bewerkersovereenkomst binnen EER (accountant bewerker – derde sub-bewerker) Download Sub-bewerkersovereenkomst binnen EER
Bewerkersovereenkomst binnen EER (accountant verantwoordelijke – derde bewerker) Op termijn beschikbaar

Meer informatie

mr. N.J. (Nicole) Makkes Senior Juridisch Adviseur - CIPP/E 020 301 02 66