Luik 2: facturen verwerken voor derden

 

Inleiding

In deel 1 van dit tweeluik over facturatie en de General Data Protection Regulation (GDPR) hebben we gesproken over de uitgaande facturen en de wijze waarop je dit proces onder controle kunt houden door gebruik te maken van veilige e-facturatie via het open netwerk Simplerinvoicing. In deel 2 hebben we het over het verwerken van facturen voor derden.

Aandachtsgebieden

Ben je accountant en verwerk je de financiële administratie van je klanten? Of ben je softwareleverancier en lever je bijvoorbeeld softwarediensten op HRM-gebied? Lees dan snel verder! Hieronder behandelen we 4 aandachtsgebieden uit de GDPR waarmee je als verwerker rekening moet houden:

1. Verwerkersovereenkomst

Allereerst: de verwerkersovereenkomst. Deze overeenkomst was al verplicht ten tijde van de Wbp (en werd toen nog aangeduid als bewerkersovereenkomst), en de waarde en de impact van dit document nemen nog meer toewanneer de GDPR op 25 mei 2018 in werking treedt. Er moeten dan meer en duidelijkere afspraken worden gemaakt tussen de verwerkingsverantwoordelijke en de verwerker, waardoor in iedere situatie duidelijk is wie, waarvoor verantwoordelijk is.

2. Grondslag en rechten

Het is onder de vernieuwde regelgeving essentieel dat er een rechtmatige grondslag bestaat voor gegevensverwerking. Ofwel: je moet kunnen aantonen dat je van je klant uitdrukkelijke toestemming hebt ontvangen om zijn persoonsgegevens te verwerken. Het doel van de gegevensverwerking moet duidelijk worden omschreven. Wanneer je met je klant een dienstenovereenkomst hebt gesloten, blijkt daar vaak uit dat je de persoonsgegevens mag verwerken en waarom je dat mag. Naast de verplichting om toestemming te hebben van je klant, krijgt deze ook een stuk meer rechten op basis van de GDPR. De klant mag je vragen om zijn data in te zien, te verplaatsen, aan te passen en hij krijgt zelfs het recht om volledig te worden verwijderd uit je systemen en archief. Dit laatste zal waarschijnlijk nogal wat praktische problemen gaan opleveren, er kan wel degelijk een beroep op worden gedaan.

3. Verplichte documentatie

In de vorige blog spraken we al kort even over de verplichting om een privacy- en gegevensbeveiligingsbeleid voorhanden te hebben, waarin de maatregelen zijn opgenomen waarmee je kunt aantonen dat je verwerkingsproces onder controle is. Een belangrijk onderdeel van dit beleid is de risicoanalyse met beheersingsmaatregelen. De afwezigheid van zo’n privacybeleid is al reden om niet-compliant te zijn met de GDPR! Een ander belangrijk document dat voortvloeit uit de GDPR is het verwerkingsregister. Hierin leg je vast welke persoonsgegevens je voor wie verwerkt en waarom deze verwerking nodig is voor de betreffende dienstverlening. Naast bovengenoemde documenten is het verplicht om alle datalekken die hebben plaatsgevonden intern vast te leggen en deze informatie aantoonbaar te gebruiken voor de verbetering van je interne organisatie.

4. Boetes

Als laatste aandachtsgebied willen we kort stilstaan bij de boetes die kunnen worden opgelegd bij niet-naleving van de GDPR. De hoogte van deze boetes kan flink oplopen en wordt in veel blogs en artikelen gebruikt als voornaamste reden om de nieuwe privacywetgeving na te leven. Wij adviseren te focussen op het positieve: wanneer je controle hebt over je gegevensverwerkingsproces (al dan niet uitbesteed), ben je simpelweg een betrouwbaar bedrijf en een goede keuze voor iedere potentiële klant!

eVerbinding voor accountants

Wanneer je als accountant of andere intermediair werkt met eVerbinding, heb je door het gebruik van onze unieke machtigingsmodule altijd de controle over je klantrelaties. Een overzicht hiervan is gemakkelijk te maken en dit helpt je verder om je verwerkingsregister (zie aandachtsgebied 3) compleet te maken. We kunnen je inhoudelijk advies geven over het sluiten van de verplichte verwerkersovereenkomsten.

Ten slotte

Laatst kregen we de vraag of de GDPR überhaupt van toepassing is op het verwerken van de facturen die worden gestuurd tussen bedrijven (B2B). De redenering was dat het enkel zou gaan om bedrijfsgegevens en niet om persoonsgegevens. We legden uit dat de GDPR zeker van toepassing is, vanwege het feit dat er wel degelijk gegevens op sommige facturen staan die herleidbaar zijn naar een persoon, denk bijvoorbeeld aan de gegevens op een factuur die door of naar een ZZP’er wordt gestuurd. Lees er hier meer over.

Verwerk je bijzondere persoonsgegevens? Er zijn dan meer regels van toepassing.

Informatie accountancy aanvragen

Download hier het 10-stappenplan van de Autoriteit Persoonsgegevens.

Dit was deel 2 van het tweeluik over het facturatieproces en de GDPR. 

 

 

Wil je meer weten? Neem contact op met Chris de Rooij van eVerbinding.
Hij kan je tips geven over de GDPR en helpt je bij de implementatie van e-facturatie in je organisatie.