Privacybeleid MKB Administratie Adviseurs
PRIVACYBELEID
Datum: januari 2019
INHOUDSOPGAVE
1 Inleiding
1.1 Privacy officer
2 Algemene Verordening Gegevensbescherming (AVG)
2.1 Persoonsgegevens
2.1.1 Algemene persoonsgegevens
2.1.2 Gevoelige persoonsgegevens
2.1.3 Bijzondere persoonsgegevens
2.2 Beginselen inzake verwerking van persoonsgegevens
3 Doeleinden en voorwaarden voor gegevensverwerking
3.1 Doeleinden
3.2 Voorwaarden
3.3 Verwerkingen door MKB Administratie Adviseurs
4 Gegevensverstrekking aan derde partijen en verwerkers
4.1 Externe partijen
4.1.1 Verwerkers
4.2 Wettelijke verplichting
5 Rechten van betrokkenen
5.1 Informatieplicht
5.2 Recht van inzage
5.3 Recht op rectificatie
5.4 Recht op gegevensverwijdering
5.5 Recht op beperking
5.6 Recht op overdraagbaarheid van gegevens
5.7 Recht van bezwaar
6 Aanvullende documenten
6.1 Informatiebeveiliging en datalekken
6.2 Klachtenregeling
Bijlage 1 Definities
1 INLEIDING
Om haar taken als boekhoudkantoor goed uit te voeren, is het vastleggen van gegevens door MKB Administratie Adviseurs onvermijdelijk. Hieronder vallen ook persoonsgegevens. Het is van groot belang
juist met deze gegevens om te gaan, zeker gezien de huidige digitale mogelijkheden. Voor Boekhouding
en Administratie zijn bescherming van en juiste omgang met persoonsgegevens van essentieel
belang. We verwerken persoonlijke gegevens zorgvuldig en beveiligen deze op een passende manier.
In dit beleid is uitgewerkt hoe wij met persoonsgegevens omgaan en onze medewerkers behandelen
de gegevens zoals hierin staat omschreven. Het privacybeleid is niet alleen van toepassing op
persoonsgegevens van klanten, maar ook op die van medewerkers, en partners.
Dit beleid is gebaseerd op de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018
van toepassing is.
De begrippen die worden gebruikt in dit beleid komen veelal uit de AVG en worden verduidelijkt in Bijlage
1: Definities.
1.1 Privacy officer
De verantwoordelijkheid voor privacy ligt bij de privacy officer. De privacy officer houdt zich onder andere
bezig met privacyregelingen en –documentatie, beveiliging van persoonsgegevens, het waarborgen
van rechten van betrokkenen en het volgen van ontwikkelingen op het gebied van privacy. Binnen
MKB Administratie Adviseurs wordt deze rol vervuld door de dhr.Amin Ahktari – (directeur).
De privacy officer is tevens verantwoordelijk voor het privacy meldpunt van MKB Administratie Adviseurs. Dit meldpunt is bedoeld voor externe partijen en medewerkers met privacy gerelateerde
vragen en te bereiken via info@boekhouding-arnhem.nl
2 ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)
Zoals benoemd in de inleiding, is de Algemene Verordening Gegevensbescherming vanaf 28 mei 2018 van
toepassing. De AVG vervangt dan de Wet Bescherming Persoonsgegevens (Wbp), die sinds 2001 bestaat.
In dit hoofdstuk worden de belangrijkste beginselen, verplichtingen en voorwaarden uit deze verordening
besproken.
2.1 Persoonsgegevens
Persoonsgegevens zijn volgens de AVG “alle informatie over een geïdentificeerde of identificeerbare
natuurlijke persoon”. Dit houdt in dat iemand direct of indirect geïdentificeerd kan worden door middel van
de gegevens. Hierbij valt te denken aan bijvoorbeeld een naam, identificatienummer of locatiegegevens of
andere elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische,
culturele of sociale identiteit van een persoon.1
Persoonsgegevens zijn te onderscheiden in de volgende
categorieën:
2.1.1 Algemene persoonsgegevens
Deze gegevens horen bij het alledaagse gebruik. Dit zijn bijvoorbeeld namen, telefoonnummers,
e-mailadressen en geboortedata.
2.1.2 Gevoelige persoonsgegevens
Dit zijn gegevens met een grote impact op de privacy van de betrokkene, maar dit zijn geen bijzondere
persoonsgegevens. Denk hierbij aan informatie over de financiële situatie van een persoon.
2.1.3 Bijzondere persoonsgegevens
De AVG benoemt expliciet bijzondere categorieën van persoonsgegevens. Het gaat daarbij om
persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke
overtuigingen, of het lidmaatschap van een vakbond blijken. Tevens worden hiermee bedoeld genetische
gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens
over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Ook
strafrechtelijke gegevens en het burgerservicenummer (BSN) vallen hieronder. De verwerking van deze
gegevens is in principe verboden. Alleen wanneer aan strenge voorwaarden voldaan is, mag er verwerking
van deze bijzondere persoonsgegevens plaatsvinden.
2.2 Beginselen inzake verwerking van persoonsgegevens
MKB Administratie Adviseurs ontkomt er bij de dagelijkse uitoefening van haar werkzaamheden
niet om persoonsgegevens te verwerken. MKB Administratie Adviseurs streeft er uiteraard
naar om dit zo zorgvuldig mogelijk te laten plaatsvinden. Onderstaande beginselen met betrekking tot de
verwerking en bescherming van persoonsgegevens worden actief nagestreefd
Doelbinding
Persoonsgegevens mogen slechts verzameld worden voor duidelijke en gerechtvaardigde doeleinden.
Deze doeleinden dienen uitdrukkelijk omschreven te worden. De gegevens worden niet verwerkt op een
manier die niet verenigbaar is met die doeleinden.
1 Artikel 4 onder 1 AVG.
2 Artikel 9 en 10 AVG.
3 Artikel 5 AVG.
4/12 Privacybeleid MKB Administratie Adviseurs
Rechtmatigheid
Er dient een rechtmatige grondslag voor een verwerking aanwezig te zijn. Het gaat volgens de AVG om
ten minste één van de volgende grondslagen: toestemming van de betrokkene, de uitvoering van een
overeenkomst, een wettelijke verplichting, vitale belangen van betrokkene of een ander, het vervullen van
een taak van algemeen belang en de behartiging van gerechtvaardigde belangen.
Minimale gegevensverwerking en –opslag
Er vindt niet meer gegevensverwerking plaats dan noodzakelijk is voor het doeleinde van de verwerking.
Tevens worden persoonsgegevens niet langer opgeslagen dan de periode die nodig is voor de
doeleinden van de verwerking. Wettelijke bewaar- en vernietigingstermijnen voor verschillende soorten
persoonsgegevens zijn te vinden in Bijlage 2: Maximale bewaartermijnen en vernietigingstermijnen.
Transparantie en juistheid
De gegevens worden op een transparante wijze verwerkt. De verwerking en doeleinden zijn te overzien
door de betrokkene en die wordt hierover geïnformeerd. Hiernaast wordt gezorgd dat de verwerkte
persoonsgegevens juist zijn en zo nodig geactualiseerd worden. Onjuiste persoonsgegevens worden
gewist of gerectificeerd.
Integriteit en vertrouwelijkheid
Persoonsgegevens worden passend beveiligd en beschermd door de nodige technische en organisatorische
maatregelen. Dit houdt ook in dat voor de persoonsgegevens binnen MKB Administratie Adviseurs een geheimhoudingsplicht geldt en intern alleen toegang tot de gegevens mogelijk is, indien dit
noodzakelijk is voor de uitoefening van de taken van medewerkers.
3 DOELEINDEN EN VOORWAARDEN VOOR GEGEVENSVERWERKING
3.1 Doeleinden
MKB Administratie Adviseurs verwerkt persoonsgegevens voor in ieder geval de hieronder
genoemde doeleinden:
– Voeren en verwerken van Boekhouding: verwerken van aangeleverde boekhoudkundige
stukken door klant, t.w. bankafschriften, inkoopfactuur, omzetfacturen en prive stukken ten
behoeve van aangifte inkomstenbelasting
– Debiteuren en crediteuren: verwerkingen van persoonsgegevens van debiteuren en crediteuren
van klant (het gaat hierbij om financiële administraties als boekhoudingen en soortgelijke).
– HRM: verwerkingen van persoonsgegevens van personeelsleden van klant voor de personeels- of
salarisadministratie of verwerking van gegevens van (oud-)personeelsleden
– De uitvoering of toepassing van wet- en regelgeving;
– Archief bestemming: verwerkingen van persoonsgegevens voor het archiefbeheer.
– Documenten beheer: verwerkingen van inkomende en uitgaande documenten. Je kunt hierbij
denken aan bijvoorbeeld postregistratie en e-mailarchivering;
3.2 Voorwaarden
De verwerking van persoonsgegevens is alleen rechtmatig en vindt dus ook alleen plaats indien aan één of
meer van onderstaande voorwaarden, genoemd in de AVG4
, is voldaan:
– De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene
partij is of wenst te worden;
– De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;
– De verwerking is noodzakelijk voor de bescherming van vitale belangen;
– De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van
MKB Administratie Adviseurs of een derde, tenzij die belangen niet opwegen tegen
belangen en rechten van de betrokkene;
Indien niet aan één van bovenstaande voorwaarden voldaan is, kan gegevensverwerking plaatsvinden
met toestemming van de betrokkene
. De toestemming moet vrijelijk worden gegeven en het moet de
betrokkene duidelijk zijn waar de toestemming voor wordt gegeven. De toestemming is schriftelijk en kan
te allen tijde ingetrokken worden.
3.3 Verwerkingen door MKB Administratie Adviseurs
In paragraaf 3.1 is een aantal doeleinden genoemd waarvoor MKB Administratie Adviseurs
persoonsgegevens verwerkt. Hieruit wordt al grotendeels duidelijk wat voor verwerkingen in de organisatie
plaatsvinden .
4 Artikel 6 AVG.
5 Artikel 7 AVG
6/12 Privacybeleid MKB Administratie Adviseurs
4 GEGEVENSVERSTREKKING AAN DERDE PARTIJEN EN VERWERKERS
Het delen van persoonsgegevens met andere partijen doet MKB Administratie Adviseurs nooit
zomaar. Er wordt altijd eerst vastgesteld of er voldaan wordt aan de regels in dit beleid. Bij twijfel dient de
privacy officer geraadpleegd te worden. Het verzenden van gevoelige, bijzondere of grote hoeveelheden
normale persoonsgegevens via onbeveiligde email is niet toegestaan.
4.1 Externe partijen
Persoonsgegevens van klanten worden enkel verstrekt aan partijen die door MKB Administratie Adviseurs zijn ingeschakeld voor bijvoorbeeld het nakomen van een boekencontrole – belastingdienst.
In alle gevallen zijn er organisatorische en contractuele maatregelen genomen om zeker te stellen dat de
persoonsgegevens slechts voor bovenstaande doelen worden gebruikt.
4.1.1 Verwerkers
In sommige gevallen worden persoonsgegevens ten behoeve van klant verwerkt door andere partijen.
Deze partijen heten ‘verwerkers’. Het gaat hierbij onder andere om de salarisadministratie S.G.B. Salaris
– te Maasland Met elk van deze verwerkers heeft MKB Administratie Adviseurs een
zogenoemde verwerkers overeenkomst afgesloten. Hierin staan afspraken over de manier waarop de
verwerkers om dienen te gaan met onze persoonsgegevens. Het afsluiten van deze overeenkomsten is
een wettelijke verplichting. MKB Administratie Adviseurs blijft verantwoordelijk voor de
gegevensverwerking, maar de verwerkers overeenkomsten maken het mogelijk om eventuele boetes en
schade veroorzaakt door de verwerker te verhalen op die verwerker.
4.2 Wettelijke verplichting
In sommige gevallen dienen persoonsgegevens aan derden verstrekt te worden op basis van een wettelijke
verplichting. Hieronder valt bijvoorbeeld het verstrekken van gegevens aan de Belastingdienst. Een ander
voorbeeld is het verstrekken van gegevens aan de politie in verband met een strafrechtelijk onderzoek.
In het laatste geval dient de politie hier uitdrukkelijk om te vragen en aan te geven op grond van welke
wettelijke regeling de gegevens verstrekt dienen te worden.
5 RECHTEN VAN BETROKKENEN
MKB Administratie Adviseurs dient betrokkenen te informeren over de verwerking
van hun persoonsgegevens en de rechten die zij met betrekking tot deze verwerking hebben.
Medewerkers of klanten met vragen, opmerkingen of klachten kunnen dit laten weten via
info@boekhouding-arnhem.nl
Betrokkenen hebben recht op inzage, correctie en verwijdering van eigen persoonsgegevens en kunnen
zich tevens verzetten tegen bepaalde verwerkingen van de gegevens. Verzoeken met betrekking tot
rechten die betrokkenen hebben, dienen schriftelijk ingediend te worden, waaronder ook begrepen per
e-mail. De privacy officer beslist binnen vier weken na ontvangst van het verzoek en brengt de betrokkene
hiervan op de hoogte. Een afwijzing van het verzoek wordt gemotiveerd. In geval van toekenning van een
verzoek worden ook partijen aan wie de gegevens van betrokkene zijn verstrekt, geïnformeerd over de
uitoefening van het recht, tenzij dit onmogelijk is of onevenredig veel inspanning vergt.
5.1 Informatieplicht
Bij de verkrijging van persoonsgegevens van een betrokkene wordt de volgende informatie aan betrokkene
verschaft:
– De verwerkingsdoeleinden en rechtsgrond voor de verwerking;
– Ontvangers of categorieën van ontvangers van de persoonsgegevens;
– De periode gedurende welke de persoonsgegevens worden opgeslagen;
– De rechten die betrokkenen heeft.
In bepaalde gevallen kunnen uitzonderingen op deze informatieplicht van toepassing zijn, bijvoorbeeld
wanneer de betrokkene reeds over de informatie beschikt of wanneer het verstrekken van de informatie
onmogelijk is of onredelijk veel inspanning vergt.
5.2 Recht van inzage
Een betrokkene waarvan door BMKB Administratie Adviseurs persoonsgegevens verwerkt
worden, heeft het recht deze persoonsgegevens in te zien en aanvullende informatie te ontvangen,
zoals de doeleinden van de verwerking of welke andere ontvangers van de gegevens er zijn. Tevens
heeft betrokkene het recht op een kopie van de persoonsgegevens die worden verwerkt. Indien de
stukken waarin betrokkene inzage wenst ook gegevens van een derde bevatten, worden deze gegevens
afgeschermd, tenzij de derde expliciete toestemming voor inzage heeft verleend.
5.3 Recht op rectificatie
Een betrokkene heeft recht op correctie en aanvulling van hem of haar betreffende persoonsgegevens. Dit
is alleen mogelijk indien de gegevens onjuist of onvolledig zijn.
5.4 Recht op gegevensverwijdering
De betrokkene heeft het recht op verwijdering van persoonsgegevens zonder onredelijke vertraging en
MKB Administratie Adviseurs is hiertoe tevens verplicht indien één van de onderstaande
gevallen van toepassing is:
– De gegevens zijn niet langer nodig voor de doeleinden waarvoor ze zijn verzameld;
– De persoonsgegevens zijn onrechtmatig verwerkt;
– Toestemming was de (enige) rechtsgrond voor de verwerking en de betrokkene trekt deze
toestemming in.
5.5 Recht op beperking
Wanneer één van onderstaande elementen van toepassing is, heeft de betrokkene recht op beperking van
de verwerking:
– De juistheid van de persoonsgegevens wordt betwist door de betrokkene;
– De verwerking is onrechtmatig en betrokkene verzet zich tegen het wissen van de gegevens en
verzoekt in plaats daarvan om beperking van het gebruik ervan;
– MKB Administratie Adviseurs heeft de persoonsgegevens niet langer nodig voor
de verwerkingsdoeleinden, maar de betrokkene heeft de gegevens nodig voor de instelling,
uitoefening of onderbouwing van een rechtsvordering.
5.6 Recht op overdraagbaarheid van gegevens
Betrokkene heeft het recht de hem of haar betreffende persoonsgegevens in een gestructureerde,
gangbare en machineleesbare vorm van MKB Administratie Adviseurs te verkrijgen. Tevens
heeft betrokkene het recht deze gegevens aan een andere verwerkings verantwoordelijke over te dragen,
zonder daarbij door MKB Administratie Adviseurs te worden gehinderd. Het hiervoor
genoemde geldt indien de verwerking berust op toestemming of de uitvoering van een overeenkomst
of wanneer de verwerking via geautomatiseerde procedures verloopt. Indien technisch mogelijk, heeft
betrokkene het recht dat de persoonsgegevens door MKB Administratie Adviseurs aan een
andere verwerkings verantwoordelijke doorgestuurd worden.
5.7 Recht van bezwaar
Een betrokkene heeft het recht bezwaar te maken tegen verwerking van zijn of haar persoonsgegevens of
verstrekking van deze gegevens aan een bepaalde ontvanger. Hierbij moet de betrokkene zwaarwegende
omstandigheden of belangen aanvoeren. MKB Administratie Adviseurs weegt bij de
beoordeling van het verzoek haar eigen belangen en de belangen van de betrokkene tegen elkaar af.
6 AANVULLENDE DOCUMENTEN
6.1 Informatiebeveiliging en datalekken
Zoals in dit beleid aangegeven, gaat MKB Administratie Adviseurs zorgvuldig om met de
verwerking van persoonsgegevens. De beveiliging van de gegevens maakt hier een wezenlijk onderdeel
vanuit. Hoe gevoeliger de gegevens zijn, hoe hoger de beveiliging is. Technische en organisatorische
maatregelen zijn getroffen om opgeslagen gegevens te beschermen. Medewerkers met toegang tot de
gegevens zijn tot geheimhouding verplicht.
6.2 Klachtenregeling
Klachten over dit beleid en de toepassing ervan en de toepassing van relevante wet- en regelgeving dienen
schriftelijk en gemotiveerd voorgelegd te worden aan de privacy officer. Indien nodig krijgt betrokkene
binnen twee weken na ontvangst een uitnodiging om de klacht toe te lichten. Binnen vier weken na
ontvangst van de klacht of binnen twee weken na toelichting ontvangt betrokkene een beslissing op de
klacht.
BIJLAGE 1 DEFINITIES
Betrokkene: degene op wie de persoonsgegevens betrekking hebben.
Verwerking: een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het
verzamelen, vastleggen, opslaan, bewerken, gebruiken, wissen, enzovoorts.
Verwerkings verantwoordelijke:
Degene die het doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt.
Verwerker:
Degene die ten behoeve van de verwerkings verantwoordelijke persoonsgegevens verwerkt.
Ontvanger:
degene waaraan persoonsgegevens worden verstrekt.
Derde:
een natuurlijke persoon, rechtspersoon, een overheidsinstantie, een dienst of ander orgaan, niet
zijnde de betrokkene, de verwerkings verantwoordelijke, de verwerker of personen die onder rechtstreeks
gezag van de verwerkings verantwoordelijke of verwerker gemachtigd zijn de persoonsgegevens te
verwerken.
Toestemming van betrokkene:
een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting
waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem
betreffende verwerking van persoonsgegevens aanvaardt.
Convenant:
Een overeenkomst tussen ten minste één overheidspartij en één of meer andere partijen.
Gegevensuitwisseling:
Het bekendmaken of ter beschikking stellen van persoonsgegevens.
Bel Direct!