Wat betekent de privacywet voor accountants en hoe voldoe je aan de verplichtingen?
Accountants werken dagelijks met grote hoeveelheden persoonsgegevens. Denk aan identiteitsgegevens, financiële informatie, loonadministraties en fiscale dossiers. Juist omdat deze gegevens zo gevoelig zijn, geldt voor accountants de Algemene Verordening Gegevensbescherming (AVG). Deze Europese privacywet bepaalt hoe persoonsgegevens mogen worden verwerkt, opgeslagen en beveiligd.
De AVG is geen losstaand IT-onderwerp, maar raakt direct aan de dagelijkse praktijk van accountantskantoren. Het gaat om zorgvuldige dossiervorming, toegangsbeveiliging, bewaartermijnen en transparantie richting cliënten. In dit artikel lees je wat de het inhoudt, welke verplichtingen gelden voor accountants en hoe software helpt om AVG-compliant te werken.
Wat de AVG?
De Algemene Verordening Gegevensbescherming is een Europese privacywet die regels stelt voor de verwerking van persoonsgegevens. Het doel van de wet is om de privacy van natuurlijke personen te beschermen en organisaties verantwoordelijk te maken voor een zorgvuldige omgang met persoonsgegevens.
Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een persoon, zoals naam, adres, BSN, e-mailadres, identiteitsbewijzen en financiële gegevens. De verordening bepaalt onder andere dat persoonsgegevens alleen mogen worden verwerkt als daar een geldige grondslag voor is, dat gegevens goed moeten worden beveiligd en dat organisaties kunnen aantonen hoe zij met deze gegevens omgaan.
Voor accountants is de AVG extra relevant, omdat zij vaak werken met bijzondere en gevoelige persoonsgegevens.
Wanneer is de AVG van toepassing op accountants?
De AVG is van toepassing zodra een accountantskantoor persoonsgegevens verwerkt. Dit geldt voor vrijwel alle werkzaamheden, waaronder:
- samenstellen van jaarrekeningen;
- voeren van administraties;
- verzorgen van salarisadministraties;
- opstellen van belastingaangiften;
- uitvoeren van KYC– en WWFT-onderzoeken;
- opslaan en archiveren van dossiers.
Accountants treden daarbij meestal op als verwerker van persoonsgegevens namens hun cliënten. In sommige situaties zijn zij ook verwerkingsverantwoordelijke, bijvoorbeeld voor gegevens van eigen medewerkers of marketingactiviteiten.
Belangrijkste AVG-verplichtingen voor accountants
De AVG legt accountantskantoren een aantal kernverplichtingen op.
Rechtsgrond en doelbinding
Persoonsgegevens mogen alleen worden verwerkt als daar een geldige wettelijke grondslag voor is, zoals een wettelijke verplichting of uitvoering van een overeenkomst. Gegevens mogen niet voor andere doelen worden gebruikt dan waarvoor ze zijn verzameld.
Dataminimalisatie
Accountants mogen alleen persoonsgegevens verwerken die noodzakelijk zijn voor de uitvoering van hun werkzaamheden. Overmatige of irrelevante gegevens mogen niet worden opgeslagen.
Beveiliging van gegevens
Kantoren moeten passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies, onbevoegde toegang of datalekken.
Bewaartermijnen
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Voor accountants gelden vaak wettelijke bewaartermijnen, maar ook daarna moet worden beoordeeld of gegevens nog nodig zijn.
Transparantie en rechten van betrokkenen
Cliënten hebben recht op inzage, correctie en in sommige gevallen verwijdering van hun persoonsgegevens. Kantoren moeten deze verzoeken zorgvuldig afhandelen.
AVG en dossiervorming in de praktijk
In de dagelijkse praktijk betekent AVG-compliance dat accountants grip moeten hebben op hun dossiers. Dat begint bij een goed ingericht Document Management System (DMS), waarin duidelijk is:
- wie toegang heeft tot welke dossiers;
- welke documenten persoonsgegevens bevatten;
- hoe lang gegevens worden bewaard;
- wanneer gegevens worden gewijzigd of ingezien.
Ook audit trails spelen hierbij een belangrijke rol. Ze maken inzichtelijk wie persoonsgegevens heeft geraadpleegd of aangepast. Dit is essentieel bij interne controles, datalekonderzoeken en toezicht.
Daarnaast moeten accountants beschikken over verwerkersovereenkomsten met softwareleveranciers en duidelijke procedures hebben voor het melden van datalekken.
AVG binnen Blinqx Accountancy & Tax
Binnen Blinqx Accountancy & Tax is AVG-compliance geïntegreerd in de manier waarop dossiers, documenten en toegangsrechten worden beheerd. De onderliggende technologie voor documentbeheer, autorisaties en audit trails binnen compliance-, KYC- en WWFT-processen wordt geleverd door Hyarchis.
Persoonsgegevens worden centraal opgeslagen in het Document & Data Management-systeem, waarbij rollen en rechten bepalen welke medewerkers toegang hebben tot welke informatie. Alle raadplegingen en wijzigingen worden automatisch vastgelegd in een audit trail, zodat altijd inzichtelijk is wie persoonsgegevens heeft ingezien of aangepast.
Daarnaast ondersteunen signaleringen en bewaartermijnen binnen het systeem accountants bij het naleven van dataminimalisatie en bewaarplichten. Hierdoor ontstaat een gecontroleerde en transparante verwerking van persoonsgegevens, in lijn met de AVG.
Veelgestelde vragen over de AVG
Accountants verwerken grote hoeveelheden gevoelige persoonsgegevens. De AVG verplicht hen om deze gegevens zorgvuldig te behandelen en te beveiligen. Niet-naleving kan leiden tot hoge boetes, reputatieschade en verlies van vertrouwen bij cliënten. Daarnaast verwachten toezichthouders dat privacy structureel is ingebed in kantoorprocessen.
De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de gegevensverwerking. De verwerker verwerkt persoonsgegevens namens de verantwoordelijke. Accountants zijn meestal verwerker voor cliëntgegevens, maar verwerkingsverantwoordelijke voor eigen personeels- en marketinggegevens.
Ja. De AVG verplicht organisaties om een overzicht bij te houden van alle verwerkingen van persoonsgegevens. Dit register beschrijft welke gegevens worden verwerkt, voor welk doel, hoe lang ze worden bewaard en welke beveiligingsmaatregelen zijn genomen.
Software helpt bij het afdwingen van toegangsrechten, het vastleggen van audit trails, het beheren van bewaartermijnen en het beveiligen van dossiers. Hierdoor wordt AVG-compliance niet afhankelijk van handmatige controles, maar structureel ingebouwd in het werkproces.
Bij een datalek moet het kantoor beoordelen of er sprake is van een risico voor betrokkenen. In ernstige gevallen moet het lek binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens en soms ook bij de betrokkenen zelf. Goede logging en audit trails zijn hierbij essentieel.
De AVG en WWFT lijken soms te botsen, maar vullen elkaar aan. De WWFT verplicht tot het verzamelen en bewaren van bepaalde persoonsgegevens, terwijl de AVG voorschrijft hoe zorgvuldig dit moet gebeuren. Accountants moeten beide wetten in samenhang toepassen.
De bewaartermijn hangt af van wettelijke verplichtingen, zoals fiscale bewaarplichten. Na afloop van deze termijn moeten gegevens worden verwijderd of geanonimiseerd, tenzij er een andere wettelijke grondslag is om ze te bewaren.
Ja. De AVG maakt geen onderscheid naar omvang. Ook kleine kantoren moeten voldoen aan dezelfde privacyregels. Juist voor kleinere kantoren helpt goede software om AVG-verplichtingen overzichtelijk en beheersbaar te houden.
Disclaimer
De informatie in dit artikel is uitsluitend bedoeld ter algemene voorlichting voor accountants, fiscalisten en administratiekantoren. Het mag niet worden beschouwd als bindend fiscaal, juridisch of technisch advies. Voor advies op maat raden wij aan contact op te nemen met de Belastingdienst of een bevoegde adviseur.
