Marcel Kuvers

Ellen Timmer, advocaat bij Pellicaan Advocaten & Adviseurs, ging op de site van AccountancyVanmorgen nader in op de vraag: wie is de verwerkingsverantwoordelijke en wie is de verwerker? Na dit artikel verscheen enkele dagen later een reactie van de NBA. Daarin wordt gesteld dat de NBA, op basis van overleg met de Autoriteit Persoonsgegevens, een andere mening heeft over de rol van de accountant bezien vanuit de AVG. Die mening is dat de accountant in het geval van NVKS-opdrachten, met uitzondering van Standaard 4400 opdrachten (overeengekomen specifieke werkzaamheden), doorgaans 'verwerkingsverantwoordelijke' is.

Tot zover geen verschil in de zienswijze van Timmer. Echter, ten aanzien van onder andere de salarisadministratie, de administratieve dienstverlening en het indienen van een aangifte vennootschapsbelasting meent de NBA dat de accountant doorgaans moet worden aangemerkt als 'verwerker'. Dit betekent dat er een verwerkersovereenkomst moet zijn tussen de cliënt (als verwerkingsverantwoordelijke) en de accountant (als verwerker). Hierover verschillen Timmer en de NBA van mening.

Met de reactie van de NBA is de kous niet afgedaan, omdat het onderscheid tussen verwerker en verwerkingsverantwoordelijke een juridisch analyse vergt, aan de hand van de Europese juridische literatuur, zoals de richtlijnen van de Artikel 29-werkgroep. Die analyse is op de website van de NBA niet te vinden.

Verantwoordelijkheid

Eén van de kenmerken van de rol van verwerkingsverantwoordelijke, hierna ook 'verantwoordelijke', is dat deze primair wordt ingeschakeld vanwege diens expertise. Hierbij speelt de verwerking van persoonsgegevens een ondergeschikte rol. Tevens geldt hierbij dat hij een eigen verantwoordelijkheid heeft inzake de wijze waarop de werkzaamheden worden uitgevoerd.

Kijkend naar de terugkoppeling van de NBA is er geen discussie mogelijk of de accountant bij de uitvoering van de NVKS-opdrachten verwerkingsverantwoordelijke is. Dit omdat de accountant vanuit zijn onafhankelijke rol zijn werkzaamheden uitvoert, waarbij hij in belangrijke mate rekening heeft te houden met het correct toepassen van wet- en regelgeving.

Bij andere opdrachten, zoals administratieve dienstverlening, salarisadministratie en fiscale aangifte, zou de accountant inderdaad verwerker kunnen zijn wanneer hij uitsluitend de tools aanbiedt aan de cliënt, waarmee deze zelfstandig en zonder verdere begeleiding van de accountant de (salaris)administratie en de aangifte kan verzorgen. Dan is de accountant vergelijkbaar met een IT-leverancier.

Veel bekende, landelijk opererende aanbieders van diensten op het gebied van (salaris)administratie bieden zo’n model aan. Maar bij mkb-accountantskantoren komt deze situatie nauwelijks voor. Het gemiddelde mkb-accountantskantoor verzorgt doorgaans de (salaris)administratie, of zorgt voor het bijsturen daarvan wanneer de cliënt zelf de (salaris)administratie voert. In veel gevallen heeft de cliënt dan rechtstreeks met een softwareleverancier afspraken gemaakt over het gebruik van de software. In deze situatie is de accountant verantwoordelijk voor een juiste toepassing van wet- en regelgeving bij de verwerking. De accountant is daarbij geen 'marionet' van de cliënt, maar dient als 'onafhankelijke' expert de wet- en regelgeving te kennen en correct toe te passen. Cao-bepalingen moeten correct worden doorgevoerd, fiscale regels moeten worden toegepast etc. De eigen verantwoordelijkheid van de accountant komt ook tot uitdrukking in de verplichtingen die deze heeft op grond van de Wwft. In dit geval is de accountant ook aan te merken als 'verwerkingsverantwoordelijke'.

Europa

De discussie over het verschil tussen verwerker en verantwoordelijke is niet specifiek voor accountants en niet nieuw in Europa. De AVG geldt voor alle ondernemingen in Nederland en de rest van Europa. Wanneer we kijken naar de branches om de accountant heen, waarbij te denken valt aan advocaten, notarissen en de verzekeringsbranche, zien we dat al deze 'specialisten' om dezelfde reden worden aangemerkt als 'verwerkingsverantwoordelijke'. Zo heeft de organisatie van verzekeringstussenpersonen Adfiz een mededeling ten behoeve van assurantietussenpersonen uitgebracht, waaruit blijkt dat de laatsten ten opzichte van hun cliënten (maar ook ten opzichte van de verzekeraars) de rol van verantwoordelijke hebben.

Kijken we naar een aantal landen om ons heen, dan zien we dat daar dezelfde discussie is gevoerd, waarbij de conclusie is dat fiscalisten en accountants worden aangemerkt als 'verwerkingsverantwoordelijke'; met dien verstande dat de accountant expertise inbrengt en niet alleen een tool zoals software. Concrete voorbeelden van landen waarin dit zo is gesteld zijn België, Duitsland en Engeland.

De slotconclusie is dat mkb-accountantskantoren in de meeste gevallen kunnen worden aangemerkt als 'verwerkingsverantwoordelijke', zodat geen verwerkingsovereenkomst nodig is tussen de cliënt en het accountantskantoor. Wordt in incidentele gevallen aan de cliënt alleen een tool geleverd, dan is het kantoor aan te merken als 'verwerker'.

Deze bijdrage is eerder ook verschenen op de website van AccountancyVanmorgen.