Model verwerkersovereenkomst

Op de verwerking van persoonsgegevens is nu nog (onder meer) de Wet bescherming persoonsgegevens van toepassing. Vanaf 25 mei 2018 is dat de Algemene Verordening Gegevensbescherming (AVG) en de nog door de Nederlandse wetgever aan te nemen uitvoeringswet daarbij. De AVG wordt beleidsneutraal geïmplementeerd in Nederland. Dat wil zeggen dat de kennis die we opgedaan hebben over de uitleg van de Wbp nog steeds relevant is/kan zijn onder de AVG en de uitvoeringswet AVG. 

De NBA heeft een toolkit op het besloten deel van de site geplaatst. Deze toolkit is u mogelijk behulpzaam bij het nemen van maatregelen in het kader van de AVG en bevat praktische hulpmiddelen en tips.

De AVG bepaalt, net als de Wbp dat deed - wat een persoonsgegeven is, wanneer u persoonsgegevens wel of niet mag verwerken, wat de rechten zijn van de personen wiens persoonsgegevens worden verwerkt en wat u moet doen als u een datalek constateert.

Voor een goed begrip over persoonsgegevens, de verplichtingen die op verwerkers van persoonsgegevens rusten en een uitgebreide beschouwing over de meldplicht datalekken verwijzen we u naar:

Zoals u kunt lezen in de stukken van de Autoriteit Persoonsgegevens is het van belang om te bepalen of u als accountant in een bepaalde opdracht verwerkingsverantwoordelijke of verwerker bent. Voor uw begrip: onder de AVG hebben we het over verwerker (Wbp: bewerker) en verwerkingsverantwoordelijke (Wbp: verantwoordelijke). 

Stelt u daarom allereerst vast of daadwerkelijk sprake is van het verwerken van persoonsgegevens bij de uitvoering van een opdracht door u of een door u ingeschakelde derde. Alleen als sprake is van de verwerking van persoonsgegevens, legt u afspraken hierover vast in een overeenkomst.

“Verwerking van persoonsgegevens” omvat alle denkbare handelingen met persoonsgegevens. Maar let op: ook meer passieve handelingen zoals de enkele aanwezigheid van de gegevens op uw servers valt onder het begrip “verwerken”. Bij “persoonsgegevens” denkt u ongetwijfeld aan gegevens als NAW, BSN en herkenbare afbeeldingen zoals pasfoto’s. Maar ook gegevens die in eerste instantie misschien geen persoonsgegevens lijken, kunnen dat zijn: bijvoorbeeld IP-adressen en binnen een bepaalde context ook (mobiele) telefoonnummers en nummerborden. Op de website van de Autoriteit Persoonsgegevens kunt u hierover meer lezen.

Wanneer is de accountant verantwoordelijke en wanneer verwerker?

Wanneer bent u als accountant bij het aannemen van een opdracht aan te merken als verwerker en wanneer als verwerkingsverantwoordelijke? (Wbp)?

De verwerkingsverantwoordelijke is degene die bepaalt wat met de persoonsgegevens moet of mag worden gedaan en op welke wijze (het bepalen van “doel” en “middelen”). De verwerker is degene die de instructies van de verwerkingsverantwoordelijke over de verwerking dient op te volgen. Dit laatste brengt met zich mee dat als u een verwerker bent, u niet vrijelijk kunt bepalen (dat wil zeggen niet zonder voorafgaande toestemming) hoe u bepaalde persoonsgegevens gebruikt. Met andere woorden: het laatste woord hierover is aan de verwerkingsverantwoordelijke. Voor de accountant kan dit bij het uitvoeren van een opdracht bezwaarlijk zijn, met name met het oog op de onafhankelijke uitoefening van het beroep.

Accountant in beginsel ‘verantwoordelijke’ bij assurance

Als accountant bent u in beginsel verwerkingsverantwoordelijke als u persoonsgegevens verwerkt in het kader van een opdracht waarop de Standaarden 100-3850 van toepassing zijn. Daarbij is het niet van belang om welke standaard het gaat. Alleen als u geen beslissingen neemt over het gebruik van de gegevens, de verstrekking daarvan aan derden, de duur van de opslag etc. én dat de gedrags- en beroepsregels dit ook niet van u vragen, dan bent u een verwerker. Bij een assurance opdracht is (vrijwel) nooit sprake van verwerkerschap van een accountant. Wel dient u zich altijd af te vragen of bijzondere omstandigheden maken dat u in een specifiek geval wel verwerker bent.

Standaard 4410: accountant verwerkingsverantwoordelijke

De NBA heeft overleg gehad met de Autoriteit Persoonsgegevens over de hoedanigheid van de accountant bij samenstellingsopdrachten. De Autoriteit Persoonsgegevens komt tot de conclusie dat de accountant aan te merken is als verwerkingsverantwoordelijke.

Al bij het voorbereiden voor de samenstellingsopdracht, (de saldibalans op orde maken) is al snel sprake van verwerken. Bijvoorbeeld bij het aansluiten van de verzamelloonstaat en het opnemen van de Loonheffingsschuld.

Wanneer bent u wel verwerker?

U bent een verwerker als u – bijvoorbeeld – een salarisadministratie verzorgt voor een klant. U heeft er geen belang bij om doel en middelen te bepalen van de gegevensverwerking, noch vragen de gedrags- en beroepsregels dat van u. In het algemeen zal voor de meeste overige opdrachten (niet zijnde opdrachten waarop de Standaarden 100 – 3850 van toepassing zijn) waarbij u gedetailleerde instructies van uw cliënt aanvaardt gelden dat de accountant verwerker is. Maar let op: dat hoeft niet zo te zijn. Het is zaak om goed in de gaten te houden of u zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert. Indien u zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert is het aangaan van een verwerkersovereenkomst of verwerkersafspraken met de klant niet aan de orde, u bent dan verwerkingsverantwoordelijke. Ook zult u meestal verwerker zijn als u een 4400-opdracht uitvoert. Ook hier moet u zich afvragen of er bijzondere omstandigheden zijn die maken dat u toch bent aan te merken als verwerkingsverantwoordelijke.

Type opdracht Klant Accountant
Standaard 100 - 999 van toepassing Verwerkingsverantwoordelijke Verwerkingsverantwoordelijke
Standaard 2000 - 2699 van toepassing Verwerkingsverantwoordelijke Verwerkingsverantwoordelijke
Standaard 3000 – 3850 van toepassing Verwerkingsverantwoordelijke Verwerkingsverantwoordelijke
Standaard 4400 Verwerkingsverantwoordelijke Verwerker
Standaard 4410 Verwerkingsverantwoordelijke Verwerkingsverantwoordelijke
Opdrachten waarop geen Standaard van toepassing is zoals salarisadministraties Verwerkingsverantwoordelijke Verwerker

Bovenstaande geldt voor de normaal-typische gevallen. U dient zich voor iedere opdracht af te vragen of bijzondere omstandigheden maken dat u voor dat specifieke geval anders moet concluderen.

Contextuele verantwoordelijkheid

Voor de accountant geldt dat de inhoud van zijn verplichtingen als verwerkingsverantwoordelijke moet worden gezien in de context van de uitvoering van zijn opdracht. Naar mening van de NBA betekent dat dat betrokkenen die toevalligerwijs in (bijvoorbeeld) een steekproef van een accountantscontrole terecht komen niet onverkort dezelfde rechten ten opzichte van de accountant kunnen uitoefenen als dat zij dat kunnen ten opzichte van de klant van de accountant (met wie de betrokkene vermoedelijke een rechtstreekste relatie zal hebben).

Model verwerkersovereenkomst

De NBA stelt een model verwerkersovereenkomst ter beschikking aan haar leden. Dit model kan gebruikt worden als u als accountant verwerker bent en afspraken wilt maken met uw klanten.

Een van de onderwerpen die in de verwerkersovereenkomst wordt geregeld is de meldplicht datalekken. Voor twee artikelen over dit onderwerp verwijzen wij u naar:

Beschikbare modelovereenkomsten

Verwerkersovereenkomst (klant verantwoordelijke – accountant verwerker) Model verwerkersovereenkomst AVG (EER en buiten EER)
Verwerkersovereenkomst (accountant verwerker, derde subverwerker) Model verwerkersovereenkomst subverwerker AVG (EER en buiten EER)
Verwerkersovereenkomst (accountant verantwoordelijke – derde verwerker) Model verwerkersovereenkomst AVG (EER en buiten EER) accountant verantwoordelijke

Meer informatie

Mr. N.J. (Nicole) Makkes Senior Juridisch Adviseur - CIPP/E | CDPO

020 301 02 66
Complexere vragen ten aanzien van het onderwerp privacy kunt u stellen via de helpdesk. Houdt u er rekening mee dat de Autoriteit Persoonsgegevens de toezichthoudende instantie is op het gebied van privacy, niet de NBA. Wij kunnen uw vragen mogelijk alleen in zeer algemene zin beantwoorden.