Inleiding
Dit artikel bevat het privacybeleid van ons kantoor. Binnen de accountancy en daarmee binnen ons accountantskantoor wordt veel gewerkt met persoonsgegevens van cliënten (en hun medewerkers), (keten)partners en eigen medewerkers.
De Algemene verordening gegevensbescherming (AVG) is de privacywet die geldt in de hele Europese Unie (EU) en eisen oplegt aan organisaties als het gaat om de bescherming van persoonsgegevens, zo ook aan ons als accountantskantoor. Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels.
De AVG houdt geen rekening met de omvang van organisaties. Bepalend is of een organisatie persoonsgegevens verwerkt. De wijze waarop een kantoor invulling geeft aan de wettelijke verplichtingen, kan wel per kantoor verschillen.
In algemene zin kan worden gesteld, dat hoe meer een kantoor zelf invulling geeft aan IT en beveiliging, hoe meer wordt gevraagd van de organisatie zelf. Het gebruik maken van de diensten van (gespecialiseerde) derde partijen kan de belasting voor een kantoor verlichten, wat wel betekent dat afspraken moeten worden vastgelegd in overeenkomsten en de naleving moet worden gemonitord en vastgesteld. Het is uiteindelijk aan de verantwoordelijke(n) voor de organisatie welk keuzes worden gemaakt. Als kantoor hebben wij een zorgvuldige afwegingen gemaakt van hetgeen wij op IT en beveiligingsvlak zelf in huis willen hebben en hetgeen wij afnemen in de vorm van diensten van derden om invulling te geven aan de wettelijke verplichtingen. Door middel van monitoring blijven wij alert op veranderingen waardoor ons beleid mogelijk moet worden aangepast.
Ons privacybeleid, informatiebeveiligingsbeleid en de maatregelen die uit dit beleid voortvloeien in ons stelsel van kwaliteitsbeheersing, hebben tot doel om invulling te geven aan de AVG bij de verwerking van persoonsgegevens. Dit geldt niet alleen voor verwerkingen van persoonsgegevens die binnen ons kantoor plaatsvinden, maar ook voor verwerkingen door of bij derden (in opdracht van ons kantoor). Denk bijvoorbeeld aan het uitbesteden van werkzaamheden en het opslaan van persoonsgegevens in cloud oplossingen.
Om deze reden besteden wij verwerkingen alleen uit aan een (sub)verwerker die afdoende garanties biedt dat passende technische en organisatorische maatregelen zijn getroffen, zodat de verwerking voldoet aan de eisen van de AVG en de rechten van betrokkene zijn gewaarborgd en die dit ook kan aantonen.
Persoonsgegevens worden binnen ons kantoor voornamelijk verzameld voor het uitvoeren van een overeenkomst dan wel het voldoen aan een wettelijke verplichting.
De betrokkenen waarvan persoonsgegevens door ons kantoor dan wel onder eindverantwoordelijkheid van ons kantoor door derden worden verwerkt moeten erop kunnen vertrouwen dat er zorgvuldig en veilig met de persoonsgegevens wordt omgegaan. In deze tijd gaat ook ons kantoor mee met nieuwe ontwikkelingen. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en steeds verdere digitalisering (van de communicatie met cliënten) en de vastlegging van (persoons)gegevens, stellen andere eisen aan de
bescherming van gegevens en privacy. Ons kantoor is zich hiervan bewust en zorgt dat de
privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.
Ons kantoor geeft middels dit privacybeleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van ons kantoor. Dit privacybeleid is in lijn met de specifieke accountancyregelgeving evenals andere wet- en regelgeving zoals de AVG.
Wettelijke kaders voor de omgang met gegevens
De vennoten van ons kantoor zijn verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid.
Hiervoor gelden onder andere de volgende wettelijke kaders:
- Algemene Verordening Gegevensbescherming (AVG);
- Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
Uitgangspunten
Ons kantoor gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen waarbij wij ons houden aan de volgende uitgangspunten:
Rechtmatigheid, behoorlijkheid, transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze
verwerkt.
Grondslag en doelbinding
Ons kantoor zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen op basis van een rechtmatige grondslag verwerkt.
Dataminimalisatie
Ons kantoor verwerkt alleen de persoonsgegevens die noodzakelijk zijn voor het vooraf bepaalde doel. Wij streven hierbij naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om onze taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven met betrekking tot bijvoorbeeld een bewaarplicht die wettelijk is bepaald.
Integriteit en vertrouwelijkheid
Wij gaan zorgvuldig om met persoonsgegevens en behandelen deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt ons kantoor voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid.
Delen met derden
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maken wij afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. Tijdens de jaarlijkse evaluatie worden de gemaakte afspraken geëvalueerd.
Doorgifte
Wij verwerken de persoonsgegevens van cliënten binnen de EU en delen de persoonsgegevens niet met derden, die de verwerking buiten de EU laten plaatsvinden.
Subsidiariteit
Het doel, waarvoor de persoonsgegevens worden verwerkt mag in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kunnen worden verwezenlijkt.
Proportionaliteit
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.
Rechten van betrokkenen
Ons kantoor honoreert alle rechten van betrokkenen tenzij dit door beperkingen vanuit wet- en regelgeving niet mogelijk is.
Vastlegging en toegang persoonsgegevens
Ons kantoor zal, in geval wij persoonsgegevens verwerken van cliënten (en hun medewerkers) en (keten)partners, bij elke verwerking beoordelen of wij verwerkingsverantwoordelijke of verwerker zijn en wat het doel en de grondslag is van de verwerking. Dit is nader uitgewerkt en wordt voortdurend bijgewerkt in onze registers van verwerkingsactiviteiten. Wij zullen ons conformeren aan de daarbij horende beginselen en verplichtingen uit de relevante wet- en regelgeving.
Ons kantoor verwerkt als verwerkingsverantwoordelijke persoonsgegevens van eigen medewerkers. Wij leggen alleen die gegevens vast die nodig zijn voor de uitvoering van de arbeidsovereenkomst.
Meer in detail betekent bovenstaande dat de volgende categorieën binnen ons kantoor worden onderscheiden waarvan wij persoonsgegevens vastleggen:
- Cliënten;
- Sollicitanten;
- Personeelsadministratie;
- Salarisadministratie;
- Transitievergoeding;
- Pensioen en vervroegde uittreding.
Per categorie wordt tevens vastgelegd ten aanzien van welke doeleinden de verwerking geschiedt.
1. Cliënten
- De verwerking geschiedt slechts voor de volgende doeleinden:
- de identificatie;
- het opstellen van een risicoprofiel in het kader van de Wwft;
- het onderhouden van contacten met cliënten;
- het uitvoeren van werkzaamheden zoals overeengekomen met cliënten;
- de uitvoering of toepassing van een andere wet.
- Geen andere gegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- kopie identificatiebewijs;
- andere dan de onder a tot en met b bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
2. Sollicitanten
- De verwerking geschiedt slechts voor de volgende doeleinden:
- de beoordeling van de geschiktheid van betrokkene voor een functie die vacant is of kan komen;
- de afhandeling van de door de sollicitant gemaakte onkosten;
- de interne controle en de bedrijfsbeveiliging;
- de uitvoering of toepassing van een andere wet.
- Geen andere gegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- nationaliteit en geboorteplaats;
- gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige sollicitanten;
- gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
- gegevens betreffende de functie waarnaar gesolliciteerd is;
- gegevens betreffende de aard en inhoud van de huidige dienstbetrekking, alsmede betreffende de beëindiging ervan;
- gegevens betreffende de aard en inhoud van de vorige dienstbetrekkingen, alsmede betreffende de beëindiging ervan;
- gegevens met betrekking tot de motivatie voor de functie en de organisatie;
- andere gegevens met het oog op het vervullen van de functie, die door de betrokkene zijn verstrekt of die hem bekend zijn;
- andere dan de onder a tot en met i bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
3. Personeelsadministratie
- De verwerking geschiedt slechts voor de volgende doeleinden:
- het geven van leiding aan de werkzaamheden van betrokkene;
- de behandeling van personeelszaken;
- het vaststellen en doen uitbetalen van salarisaanspraken;
- het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
- de opleiding en training van betrokkene;
- de bedrijfsmedische zorg voor betrokkene;
- het bedrijfsmaatschappelijk werk;
- de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan;
- de interne controle en de bedrijfsbeveiliging;
- de uitvoering van een voor de betrokkene geldende arbeidsvoorwaarde;
- het verrichten van mediation;
- het verlenen van ontslag;
- het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
- het behandelen van klachten, meldingen en geschillen;
- de uitvoering of toepassing van een andere wet;
- Geen andere persoonsgegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- nationaliteit en geboorteplaats;
- gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
- gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
- gegevens betreffende de functie of de voormalige functie, alsmede betreffende de aard, de inhoud en de beëindiging van het dienstverband;
- gegevens met het oog op de administratie van de aanwezigheid van de betrokkenen op de plaats waar de arbeid wordt verricht en hun afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;
- gegevens die in het belang van de betrokkenen worden opgenomen met het oog op hun arbeidsomstandigheden;
- gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
- gegevens met oog op het organiseren van de personeelsbeoordeling en de loopbaanbegeleiding, voor zover die gegevens bij de betrokkenen bekend zijn;
- andere dan de onder a tot en met j bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
4. Salarisadministratie (zowel met betrekking tot onze medewerkers als voor cliënten)
- De verwerking geschiedt slechts voor de volgende doeleinden:
- het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van betrokkene;
- het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
- een voor de betrokkene geldende arbeidsvoorwaarde;
- de personeelsadministratie;
- het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
- het verlenen van ontslag;
- het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
- het behandelen van klachten, geschillen;
- de uitvoering of toepassing van een andere wet.
- Geen andere persoonsgegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- nationaliteit en geboorteplaats;
- gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
- gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van de in het eerste lid bedoelde personen;
- gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
- gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
- andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
5. Transitievergoeding
- De verwerking geschiedt slechts voor de volgende doeleinden:
- de berekening, de vastlegging en de betaling van de in het eerste lid bedoelde uitkeringen aan of ten behoeve van de betrokkenen;
- de berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen;
- een voor de betrokkene geldende arbeidsvoorwaarde;
- de personeelsadministratie;
- de salarisadministratie;
- het verrichten van outplacement;
- het verlenen van ontslag;
- het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
- het behandelen van klachten, geschillen;
- de uitvoering of toepassing van een andere wet.
- Geen andere persoonsgegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- nationaliteit en geboorteplaats;
- gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige personeelsleden en oud-personeelsleden;
- gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, met het oog op de vaststelling van de hoogte van de aanspraak aan of ten behoeve van de in het eerste lid bedoelde personen;
- gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van de in het eerste lid bedoelde personen;
- gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
- andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
6. Pensioen en vervroegde uittreding
- De verwerking geschiedt slechts voor de volgende doeleinden:
- de vaststelling van de hoogte van de aanspraak van de betrokkene;
- het berekenen, vastleggen en innen van premies;
- de berekening, de vastlegging en de betaling van de in het eerste lid bedoelde uitkering aan of ten behoeve van de betrokkenen;
- de berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen;
- de berekening, de vastlegging en met maken van een actuarieel (kwantitatief en kwalitatief) vergelijk;
- het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
- het behandelen van geschillen;
- de uitvoering of toepassing van een andere wet.
- Geen andere persoonsgegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a, het tijdstip waarop gegevens over de betrokkene in de administratie zijn opgenomen, een verwijzing naar de werkgever door wiens tussenkomst de in het eerste lid bedoelde aanspraak tot stand is gekomen en een verwijzing naar de betrokken bedrijfstak;
- nationaliteit en geboorteplaats;
- gegevens, waaronder begrepen gegevens betreffende andere begunstigden dan de betrokkene, met het oog op de vaststelling van de hoogte van de aanspraak van de betrokkene;
- gegevens met het oog op het berekenen, vastleggen en innen van premies;
- gegevens met het oog op het berekenen, het vastleggen en het betalen van de in het eerste lid bedoelde uitkering aan of ten behoeve van de betrokkene;
- andere dan de onder a tot en met f bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
Overzicht toegang
Hieronder is een overzicht opgenomen van diegenen die toegang hebben tot de locaties waar persoonsgegevens zijn opgeslagen:
- Cliëntdossiers: de (bij de cliënt betrokken) medewerkers van ons kantoor en de vennoten;
- Opdrachtendossiers: de (bij de opdracht betrokken) medewerkers van ons kantoor en de vennoten;
- Salarissysteem: de salarisadministrateurs van ons kantoor en de vennoten;
- Personeelsdossiers: de salarisadministrateurs van ons kantoor en de vennoten;
- Verzuimdossiers: de salarisadministrateurs van ons kantoor en de vennoten.
Voor degene die toegang hebben tot persoonsgegevens geldt de verplichting tot geheimhouding met betrekking tot verstrekte gegevens.
Uitwerking in ons stelsel van kwaliteitsbeheersing
In ons stelsel van kwaliteitsbeheersing dat onderdeel uitmaakt van ons Novak Kwaliteitssysteem, wordt het privacybeleid nader geconcretiseerd, door middel van diverse instructies. Bijbehorende modellen zoals registers, overeenkomsten, etc. zijn opgenomen in de modellenbibliotheek.
Verantwoordelijke voor toezicht op en de naleving van de AVG
De vennoten spelen een cruciale rol bij het waarborgen van privacy. Zij zijn de eindverantwoordelijken binnen ons kantoor op dit gebied. Daarnaast geldt in het algemeen dat organisaties niet verplicht zijn om een Functionaris Gegevensbescherming aan te stellen tenzij sprake is van een overheidsorganisatie of de verwerking van bijzondere persoonsgegevens. De aard van de verwerkingen, bijvoorbeeld van bijzondere persoonsgegevens, kan voor ons als accountantskantoor een reden zijn om een Functionaris Gegevensbescherming aan te stellen. Een andere belangrijke reden kan zijn dat door de aanstelling van een Functionaris Gegevensbescherming wij als kantoor kunnen aantonen dat wij beschikken over de nodige expertise op het terrein van de privacywet en -bescherming. Dit betekent dan wel dat de functie van Functionaris Gegevensbescherming op adequate wijze moet zijn ingevuld. Op basis van een analyse met betrekking tot de organisatie, onze dienstverlening en opzet van onze IT, hebben wij ervoor gekozen om geen aparte Functionaris Gegevensbescherming aan te stellen. Echter brengt de AVG een aantal werkzaamheden met zich mee die moeten worden geborgd en gemonitord. Dit vraagt om toezicht op de naleving van de AVG. Binnen ons kantoor hebben wij ervoor gekozen om deze taak opgedragen aan de kwaliteitsmanager.
Inwerkingtreding
Dit informatiebeveiligingsbeleid treedt in werking na vaststelling door de vennoten. Het beleid wordt jaarlijks geëvalueerd en indien nodig herzien.