Algemene Verordening Gegevensbescherming

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG is de opvolger van de Wet bescherming persoonsgegevens (Wbp) en is van toepassing op iedereen die met persoonsgegevens werkt. Voor veel ondernemingen geldt dat daarbij onderscheid gemaakt kan worden in twee soorten personen van wie gegevens worden gebruikt. Het betreft personeel van de onderneming en de klanten. Welke gegevens van klanten worden vastgelegd is afhankelijk van de aard van het bedrijf. Naarmate meer en ook bijzondere gegevens vastgelegd worden, gelden strengere voorschriften.

Persoonsgegevens
Alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon gelden als persoonsgegevens. Binnen de persoonsgegevens gelden gradaties. Aan bijzondere persoonsgegevens, zoals medische gegevens, etnische gegevens, seksuele of politieke voorkeuren worden strengere eisen gesteld bij de verwerking dan aan bijvoorbeeld NAW-gegevens.

Verwerking van persoonsgegevens
Verwerking is iedere vorm van verzamelen, vastleggen of gebruiken van persoonsgegeven in een bestand. Verwerking van persoonsgegevens moet rechtmatig zijn. Dat kan op basis van toestemming van de betrokkene of op basis van een wettelijke verplichting. Persoonsgegevens mogen alleen worden gebruikt voor het doel waarvoor zij verzameld zijn c.q. waarvoor de betrokkene toestemming heeft gegeven. Er mogen niet meer gegevens gevraagd of bewaard worden dan nodig is voor het doel. Toestemming moet expliciet worden gegeven, bijvoorbeeld voor het toesturen van nieuwsbrieven of aanbiedingen. Voor het vastleggen van gegevens van personeel gelden wettelijke verplichtingen, zoals het bewaren van een kopie van een identiteitsbewijs.

Bewaren persoonsgegevens
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Is het doel waarvoor gegevens zijn verzameld bereikt dan moeten zij vernietigd of teruggegeven worden.

Verwerkersovereenkomst
De AVG schrijft het bestaan van een verwerkersovereenkomst voor tussen de verantwoordelijke voor de verwerking van persoonsgegevens en de derde aan wie de verantwoordelijke de verwerking heeft uitbesteed. Als deze derde zelf het doel en de middelen van de verwerking vaststelt, is hij geen verwerker maar verwerkingsverantwoordelijke.
Verwerkers die persoonsgegevens verwerken voor een groot aantal verwerkersverantwoordelijken doen er goed aan te werken met één (model)verwerkersovereenkomst. Waar een verwerker gebruik maakt van de diensten van andere verwerkers is sprake van sub-verwerking. Sub-verwerking is alleen toegestaan met instemming van de verwerkingsverantwoordelijke. Ook tussen verwerker en sub-verwerker moet een verwerkersovereenkomst worden gesloten. De voorwaarden in de sub-verwerkersovereenkomst moeten aansluiten bij de verwerkersovereenkomst die de verwerker met de verwerkingsverantwoordelijke heeft gesloten.

Aandachtspunten bij invoering AVG

1. Bewustwording
Zorg ervoor dat de mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. Maak een inschatting van de gevolgen van de AVG zijn voor uw bedrijfsvoering en van de aanpassingen die nodig zijn om aan de AVG te voldoen.

2. Rechten van betrokkenen
Onder de AVG hebben mensen van wie u persoonsgegevens verwerkt meer rechten. Zorg ervoor dat zij deze rechten goed kunnen uitoefenen.

3. Inventariseer verwerkingen
Inventariseer welke gegevensverwerkingen u verricht. Leg vast welke persoonsgegevens u verwerkt met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. Beoordeel of u zich daarbij beperkt tot het minimum dat nodig is voor het doel. Wie heeft binnen uw organisatie toegang tot persoonsgegevens en hoe is de toegang daartoe beveiligd? Hoe gaat u om met gegevens die niet meer nodig zijn? Worden die vernietigd en is daar beleid voor (Hoe lang worden gegevens bewaard, wanneer worden gegevens vernietigd en wie is daarvoor verantwoordelijk)? Leg dit alles vast in een register. Onder de AVG heeft u een verantwoordingsplicht. U moet kunnen aantonen dat u in overeenstemming met de AVG handelt.

4. Uitgangspunten AVG voor verwerkingsbeleid en -processen
De AVG gaat uit van privacy by design en privacy by default. Dat houdt in dat al bij het ontwerpen van producten en diensten rekening met de bescherming van persoonsgegevens moet worden gehouden. Privacy by default houdt in dat u de nodige maatregelen neemt om ervoor te zorgen dat u als standaard alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel.

5. Functionaris gegevensbescherming
Sommige organisaties zijn verplicht om een functionaris voor gegevensbescherming (FG) aan te stellen. Wellicht geldt dat voor uw organisatie. Uw organisatie mag vrijwillig een FG aanstellen.

6. Denk aan de meldplicht voor datalekken
De meldplicht datalekken bestond al onder de Wbp. Daar verandert onder de AVG niet veel in. De AVG stelt wel strengere eisen aan de registratie van datalekken. U moet alle datalekken documenteren, zodat de Autoriteit Persoonsgegevens kan controleren of u aan de meldplicht heeft voldaan.

7. Toestemming
De AVG stelt strenge eisen aan toestemming voor verwerking. Evalueer de manier waarop u toestemming vraagt, krijgt en registreert en pas deze zo nodig aan. U moet kunnen aantonen dat u geldige toestemming heeft om persoonsgegevens te verwerken. Het intrekken van toestemming mag niet moeilijker zijn dat het geven daarvan.

Financiën publiceert voorstel wijziging kleineondernemersregeling

Het ministerie van Financiën heeft een voorstel tot wijziging van de kleineondernemersregeling in de omzetbelasting ter consultatie gelegd. De huidige regeling geldt voor natuurlijke personen die op jaarbasis minder dan € 1.883 aan btw verschuldigd zijn.

De voorgestelde regeling wordt ruimer, omdat deze ook gaat gelden voor andere ondernemers dan natuurlijke personen, zoals bv’s, stichtingen en verenigingen. Daarnaast wordt de jaaromzet van de ondernemer het uitgangspunt voor de regeling in plaats van de per saldo verschuldigde btw. Ondernemers die de nieuwe regeling toepassen brengen geen omzetbelasting in rekening aan hun afnemers en zijn ontheven van het doen van btw-aangifte en van de bijhorende administratieve verplichtingen. De nieuwe regeling is gebaseerd op de in de btw-richtlijn 2006 opgenomen vrijstellingsregeling. Het is de bedoeling dat de nieuwe regeling op 1 januari 2020 in werking treedt.

Belangstellenden kunnen tot 1 mei 2018 reageren op het voorstel op www.overheid.nl.

Kabinetsreactie evaluatie werkkostenregeling

De werkkostenregeling (WKR) is het systeem voor de behandeling van vergoedingen en verstrekkingen in de loonbelasting. Het systeem bestaat uit een aantal gerichte vrijstellingen en nihilwaarderingen en een vrije ruimte. Vergoedingen en verstrekkingen, waarop een gerichte vrijstelling van toepassing is, blijven onbelast zolang zij het vrijgestelde bedrag niet overschrijden. Voor bepaalde vormen van loon in natura, zoals werkplekvoorzieningen en werkkleding, geldt een nihilwaardering. De werkgever kan vergoedingen en verstrekkingen, waarvoor geen gerichte vrijstelling of nihilwaardering geldt, onder de vrije ruimte van 1,2% van de fiscale loonsom brengen. Zolang de vrije ruimte niet wordt overschreden zijn deze vergoedingen en verstrekkingen onbelast. Komen deze vergoedingen en verstrekkingen uit boven de vrije ruimte, dan valt het meerdere onder een eindheffing van 80%. De eindheffing is voor rekening van de werkgever. De werkkostenregeling is in 2011 ingevoerd en is sinds 2015 verplicht.

Er heeft een evaluatie van de werkkostenregeling plaatsgevonden. De staatssecretaris heeft de kabinetsreactie op de evaluatie naar de Tweede Kamer gestuurd. Uit de evaluatie blijkt dat werkgevers de beoogde administratieve lastenverlichting niet ervaren. Voor een deel komt dat doordat werkgevers zich sinds de invoering van de WKR meer bewust zijn van de manier waarop vergoedingen en verstrekkingen moeten worden geadministreerd. De WKR is in de praktijk te complex geworden. Opvallende uitkomst van de evaluatie is dat noch de Belastingdienst noch de advieswereld voorstander is van herinvoering van het oude stelsel van vergoedingen en verstrekkingen. Wel zou omwille van de eenvoud het aantal gerichte vrijstellingen verminderd kunnen worden in ruil voor een grotere vrije ruimte. Overschrijdingen van de vrije ruimte worden met name door personeelsfeesten en bedrijfsjubilea veroorzaakt.

Kabinetsreactie
Benutting vrije ruimte
Werkgevers proberen zo veel mogelijk de gerichte vrijstellingen en nihilwaarderingen te benutten voordat zij een vergoeding of verstrekking onder de vrije ruimte brengen. Dat kan bijdragen aan de ervaren complexiteit van de regeling.

Administratieve lasten
Het kabinet ziet mogelijkheden om de WKR op enkele punten te vereenvoudigen.

Vrije ruimte
Aangezien het merendeel van de werkgevers geen eindheffing binnen de WKR betaalt, ziet het kabinet geen aanleiding om de regeling budgettair te verruimen. Dat betekent dat een toename van de gerichte vrijstellingen zal worden gecompenseerd door een verkleining van de vrije ruimte.

Noodzakelijkheidscriterium
Het noodzakelijkheidscriterium werkt naar behoren. De evaluatie geeft geen aanleiding voor uitbreiding van de toepassing.

Knelpunten
Het als onlogisch ervaren onderscheid tussen verstrekkingen op en buiten de werkplek kan opgelost worden door deze ook buiten de werkplek gericht vrij te stellen. Dat onderscheid geldt voor parkeerplaatsen en personeelsfeesten. Vanwege de budgettaire neutraliteit zou dit tot een beperking van de vrije ruimte leiden. Het kabinet is daar geen voorstander van.