JB Advies & Belastingadviseurs
Onze privacyverklaring
Privacyverklaring JB Advies & Belastingadviseurs B.V.
Inleiding
Dit artikel bevat het privacybeleid van ons kantoor. Binnen ons administratiekantoor wordt veel gewerkt metpersoonsgegevens van cliënten (en hun medewerkers), (keten)partners en eigen medewerkers.
De Algemene verordening gegevensbescherming (AVG) is de privacywet die geldt in de hele Europese Unie (EU)en eisen oplegt aan organisaties als het gaat om de bescherming van persoonsgegevens, zo ook aan ons alsadministratiekantoor. Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU opdezelfde manier geregeld en gelden in elke lidstaat dezelfde regels. De AVG is de Nederlandse variant van deEuropese General Data Protection Regulation (GDPR).
De AVG houdt geen rekening met de omvang van organisaties. Bepalend is of een organisatie persoonsgegevensverwerkt. De wijze waarop een kantoor invulling geeft aan de wettelijke verplichtingen, kan wel per kantoorverschillen.
In algemene zin kan worden gesteld, dat hoe meer een kantoor zelf invulling geeft aan IT en beveiliging, hoe meerwordt gevraagd van de organisatie zelf. Het gebruik maken van de diensten van (gespecialiseerde) derde partijenkan de belasting voor een kantoor verlichten, wat wel betekent dat afspraken moeten worden vastgelegd inovereenkomsten en de naleving moet worden gemonitord en vastgesteld. Het is uiteindelijk aan deverantwoordelijke(n) voor de organisatie welke keuzes worden gemaakt. Als kantoor hebben wij een zorgvuldigeafweging gemaakt van hetgeen wij op IT en beveiligingsvlak zelf in huis willen hebben en hetgeen wij afnemen in devorm van diensten van derden om invulling te geven aan de wettelijke verplichtingen. Door middel van monitoringblijven wij alert op veranderingen waardoor ons beleid mogelijk moet worden aangepast.
Ons privacybeleid, informatiebeveiligingsbeleid zoals hier opgenomen en de maatregelen die uit dit beleidvoortvloeien in ons stelsel van kwaliteitsbeheersing, hebben tot doel om invulling te geven aan de AVG bij deverwerking van persoonsgegevens. Dit geldt niet alleen voor verwerkingen van persoonsgegevens die binnen onskantoor plaatsvinden, maar ook voor verwerkingen door of bij derden (in opdracht van ons kantoor). Denkbijvoorbeeld aan het uitbesteden van werkzaamheden en het opslaan van persoonsgegevens in cloud oplossingen.
Om deze reden besteden wij verwerkingen alleen uit aan een (sub)verwerker die afdoende garanties biedt metbetrekking tot het toepassen van passende technische en organisatorische maatregelen, zodat de verwerkingvoldoet aan de eisen van de AVG en de rechten van betrokkene zijn gewaarborgd en die dit ook kan aantonen.
Persoonsgegevens worden binnen ons kantoor voornamelijk verzameld voor het uitvoeren van eenovereenkomst dan wel het voldoen aan een wettelijke verplichting.
De betrokkenen waarvan persoonsgegevens door ons kantoor dan wel onder eindverantwoordelijkheid van onskantoor door derden worden verwerkt moeten erop kunnen vertrouwen dat er zorgvuldig en veilig met depersoonsgegevens wordt omgegaan. In deze tijd gaat ook ons kantoor mee met nieuwe ontwikkelingen. Nieuwetechnologische ontwikkelingen, innovatieve voorzieningen, globalisering en steeds verdere digitalisering (van decommunicatie met cliënten) en de vastlegging van (persoons)gegevens, stellen andere eisen aan de bescherming van gegevens en privacy. Ons kantoor is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging,dataminimalisatie, transparantie en gebruikerscontrole.
Ons kantoor geeft middels dit privacybeleid een duidelijke richting aan privacy en laat zien dat zij de privacywaarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen,onderdelen, objecten en gegevensverzamelingen van ons kantoor. Dit privacybeleid is in lijn met de AVG.
Wettelijke kaders voor de omgang met gegevens
De eigenaar van ons kantoor is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:
- Algemene Verordening Gegevensbescherming (AVG);
- Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
Uitgangspunten
Ons kantoor gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenenwaarbij wij ons houden aan de volgende uitgangspunten:
Rechtmatigheid, behoorlijkheid, transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
Grondslag en doelbinding
Ons kantoor zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven engerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen op basis vaneen rechtmatige grondslag verwerkt.
Dataminimalisatie
Ons kantoor verwerkt alleen de persoonsgegevens die noodzakelijk zijn voor het vooraf bepaalde doel. Wij strevenhierbij naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijnom onze taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven met betrekking totbijvoorbeeld een bewaarplicht die wettelijk is bepaald.
Integriteit en vertrouwelijkheid
Wij gaan zorgvuldig om met persoonsgegevens en behandelen deze vertrouwelijk. Zo worden persoonsgegevensalleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijnverzameld. Daarbij zorgt ons kantoor voor passende beveiliging van persoonsgegevens. Deze beveiliging isvastgelegd in het informatiebeveiligingsbeleid.
Delen met derden
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking vanpersoonsgegevens, maken wij afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Dezeafspraken voldoen aan de wet. Tijdens de jaarlijkse evaluatie worden de gemaakte afspraken geëvalueerd.
Doorgifte
Wij verwerken de persoonsgegevens van cliënten binnen de EU. Wel maken wij gebruik van een verwerker, diebuiten de EU gevestigd is. Deze verwerker wordt door ons ingeschakeld voor:
- Het verwerken van administraties;
- Vastleggen van gegevens die van belang zijn om de administratie te kunnen voeren;
- Het controleren en samenstellen van tussentijdse cijfers;
- Het opstellen van de btw-aangiften;
- Het opstellen van jaarrekeningen.
Met deze verwerker is een door de Europese Commissie goedgekeurde modelcontract voor doorgifte afgesloten.
Subsidiariteit
Het doel, waarvoor de persoonsgegevens worden verwerkt mag in redelijkheid niet op een andere, voor de bij deverwerking van persoonsgegevens betrokkene minder nadelige wijze kunnen worden verwezenlijkt.
Proportionaliteit
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking tedienen doel.
Rechten van betrokkenen
Ons kantoor honoreert alle rechten van betrokkenen tenzij dit door beperkingen vanuit wet- en regelgeving nietmogelijk is.
Vastlegging en toegang persoonsgegevens
Ons kantoor zal, in geval wij persoonsgegevens verwerken van cliënten (en hun medewerkers) en (keten)partners,bij elke verwerking beoordelen of wij verwerkingsverantwoordelijke of verwerker zijn en wat het doel en degrondslag is van de verwerking. Dit is nader uitgewerkt en wordt voortdurend bijgewerkt in onze registers vanverwerkingsactiviteiten. Wij zullen ons conformeren aan de daarbij horende beginselen en verplichtingen uit derelevante wet- en regelgeving.
Ons kantoor verwerkt als verwerkingsverantwoordelijke persoonsgegevens van eigen medewerkers. Wij leggenalleen die gegevens vast die nodig zijn voor de uitvoering van de arbeidsovereenkomst.
Meer in detail betekent bovenstaande dat de volgende categorieën binnen ons kantoor worden onderscheidenwaarvan wij persoonsgegevens vastleggen:
- Cliënten;
- Sollicitanten;
- Personeelsadministratie;
- Salarisadministratie.
Per categorie wordt tevens vastgelegd ten aanzien van welke doeleinden de verwerking geschiedt.
- Cliënten
- De verwerking geschiedt slechts voor de volgende doeleinden:
- de identificatie;
- het opstellen van een risicoprofiel in het kader van de Wwft;
- het onderhouden van contacten met cliënten;
- het uitvoeren van werkzaamheden zoals overeengekomen met cliënten;
- de uitvoering of toepassing van een andere wet.
- Geen andere gegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats,telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmedebankrekeningnummer en BSN van de betrokkene;
- kopie identificatiebewijs;
- andere dan de onder a tot en met b bedoelde gegevens waarvan de verwerking wordt vereistingevolge of noodzakelijk is met het oog op de toepassing van de wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het eerste lidbedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
- De verwerking geschiedt slechts voor de volgende doeleinden:
- Sollicitanten
- De verwerking geschiedt slechts voor de volgende doeleinden:
- de beoordeling van de geschiktheid van betrokkene voor een functie die vacant is of kan komen;
- de afhandeling van de door de sollicitant gemaakte onkosten;
- de interne controle en de bedrijfsbeveiliging;
- de uitvoering of toepassing van een andere wet.
- Geen andere gegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats,telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmedebankrekeningnummer en BSN van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- nationaliteit en geboorteplaats;
- gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige sollicitanten;
- gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
- gegevens betreffende de functie waarnaar gesolliciteerd is;
- gegevens betreffende de aard en inhoud van de huidige dienstbetrekking, alsmede betreffende debeëindiging ervan;
- gegevens betreffende de aard en inhoud van de vorige dienstbetrekkingen, alsmede betreffende debeëindiging ervan;
- gegevens met betrekking tot de motivatie voor de functie en de organisatie;
- andere gegevens met het oog op het vervullen van de functie, die door de betrokkene zijn verstrekt ofdie hem bekend zijn;
- andere dan de onder a tot en met i bedoelde gegevens waarvan de verwerking wordt vereist ingevolgeof noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het eerste lidbedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
- De verwerking geschiedt slechts voor de volgende doeleinden:
- Personeelsadministratie
- De verwerking geschiedt slechts voor de volgende doeleinden:
- het geven van leiding aan de werkzaamheden van betrokkene;
- de behandeling van personeelszaken;
- het vaststellen en doen uitbetalen van salarisaanspraken;
- het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
- de opleiding en training van betrokkene;
- de bedrijfsmedische zorg voor betrokkene;
- het bedrijfsmaatschappelijk werk;
- de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan;
- de interne controle en de bedrijfsbeveiliging;
- de uitvoering van een voor de betrokkene geldende arbeidsvoorwaarde;
- het verrichten van mediation;
- het verlenen van ontslag;
- het innen van vorderingen, waaronder begrepen het in handen van derden stellen van dievorderingen;
- het behandelen van klachten, meldingen en geschillen;
- de uitvoering of toepassing van een andere wet;
- Geen andere persoonsgegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats,telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmedebankrekeningnummer en BSN van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- nationaliteit en geboorteplaats;
- gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
- gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
- gegevens betreffende de functie of de voormalige functie, alsmede betreffende de aard, de inhoud ende beëindiging van het dienstverband;
- gegevens met het oog op de administratie van de aanwezigheid van de betrokkenen op de plaatswaar de arbeid wordt verricht en hun afwezigheid in verband met verlof, arbeidsduurverkorting,bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;
- gegevens die in het belang van de betrokkenen worden opgenomen met het oog op hunarbeidsomstandigheden;
- gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van debetrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
- gegevens met oog op het organiseren van de personeelsbeoordeling en de loopbaanbegeleiding, voorzover die gegevens bij de betrokkenen bekend zijn;
- andere dan de onder a tot en met j bedoelde gegevens waarvan de verwerking wordt vereist ingevolgeof noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het eerste lidbedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
- De verwerking geschiedt slechts voor de volgende doeleinden:
- Salarisadministratie (zowel met betrekking tot onze medewerkers als voor cliënten)
- De verwerking geschiedt slechts voor de volgende doeleinden:
- het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen enbeloningen in natura aan of ten behoeve van betrokkene;
- het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
- een voor de betrokkene geldende arbeidsvoorwaarde;
- de personeelsadministratie;
- het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
- het verlenen van ontslag;
- het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
- het behandelen van klachten en geschillen;
- de uitvoering of toepassing van een andere wet.
- Geen andere persoonsgegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats,telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmedebankrekeningnummer en BSN van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- nationaliteit en geboorteplaats;
- gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
- gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen enandere geldsommen en beloningen in natura aan of ten behoeve van de in het eerste lid bedoeldepersonen;
- gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies tenbehoeve van betrokkene;
- gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van debetrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
- andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereistingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het eerste lidbedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, in de gevallen dat er sprake is van een rechtmatige grondslag op basis van de AVG.
- De verwerking geschiedt slechts voor de volgende doeleinden:
Overzicht toegang
Hieronder is een overzicht opgenomen van diegenen die toegang hebben tot de locaties waar persoonsgegevenszijn opgeslagen:
- Permanente dossiers / cliëntdossiers: de medewerkers van ons kantoor en de eigenaar;
- Opdrachtendossiers: de medewerkers van ons kantoor en de eigenaar;
- Salarissysteem: de salarisadministrateur(s) van ons kantoor en de eigenaar;
- Personeelsdossiers: de eigenaar van ons kantoor en eventuele salarisadministrateur(s);
- Verzuimdossiers: de eigenaar van ons kantoor.
Voor degene die toegang hebben tot persoonsgegevens geldt de verplichting tot geheimhouding met betrekking totverstrekte gegevens.
Uitwerking in ons stelsel van kwaliteitsbeheersing
In het BANVO Kwaliteitssysteem zijn instructies en modellen opgenomen waarmee aan het privacybeleid verderconcreet invulling wordt gegeven.
Verantwoordelijke voor toezicht op en de naleving van de AVG
De eigenaar speelt een cruciale rol bij het waarborgen van privacy en is de eindverantwoordelijke binnen onskantoor op dit gebied. Daarnaast geldt in het algemeen dat organisaties niet verplicht zijn om een FunctionarisGegevensbescherming aan te stellen tenzij sprake is van een overheidsorganisatie of van het op grote schaalverwerken van bijzondere persoonsgegevens. Het verwerken van persoonsgegevens, die door hun aard gevoeligzijn, bijvoorbeeld in geval van bijzondere persoonsgegevens, kan voor ons als administratiekantoor een reden zijnom een Functionaris Gegevensbescherming aan te stellen. Een andere belangrijke reden kan zijn dat door deaanstelling van een Functionaris Gegevensbescherming wij als kantoor kunnen aantonen dat wij beschikken overde nodige expertise op het terrein van de privacywet en -bescherming. Dit betekent dan wel dat de functie vanFunctionaris Gegevensbescherming op adequate wijze moet zijn ingevuld. Op basis van een analyse metbetrekking tot de organisatie, onze dienstverlening en opzet van onze IT, hebben wij ervoor gekozen om geenaparte Functionaris Gegevensbescherming aan te stellen. Echter brengt de AVG een aantal werkzaamheden metzich mee die moeten worden geborgd en gemonitord. Dit vraagt om toezicht op de naleving van de AVG. Binnenons kantoor hebben wij ervoor gekozen om deze taak opgedragen aan de eigenaar.