1. AVG: hoe maak ik een register van verwerkingen?

De belangrijkste nieuwe eis in de strengere privacywet AVG, die per 25 mei ingaat, is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen. Dit geldt onder andere voor het opstellen van een zogenaamd verwerkingsregister. Met het verwerkingsregister verkrijgt u inzicht in welke persoonsgegevens u verwerkt binnen uw organisatie.

Wat is een verwerkingsregister?
Het verwerkingsregister is een registratie van de persoonsgegevens die binnen uw organisatie worden verwerkt. Afhankelijk of u verwerker of verwerkingsverantwoordelijke bent dient u minimaal bepaalde informatie vast te leggen.

Voor bijna elk mkb-bedrijf verplicht
Heeft uw bedrijf met meer dan 250 werknemers? Dan bent u verplicht een register van verwerkingen bij te houden. Heeft een bedrijf minder dan 250 werknemers in dienst, dan moet het ook over een verwerkingsregister beschikken, wanneer:

  • de verwerking niet incidenteel is
  • het waarschijnlijk is dat de verwerking die het bedrijf verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen
  • de verwerking bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten bevatten

Let op!
Aangezien veruit de meeste verwerkingen niet incidenteel zijn, denk aan het verwerken van persoonsgegevens van medewerkers of klanten, zullen de meeste mkb-bedrijven vrijwel altijd een verwerkingsregister op moet stellen.

Vereisten verwerkingsregister
Het register van de verwerkingsverantwoordelijke moet de volgende gegevens bevatten:

  • de verwerkingsdoelen en de grondslagen voor verwerking
  • een beschrijving van de categorieën van betrokkenen
  • een beschrijving van de categorieën van persoonsgegevens
  • de verwerkers die diensten voor u verlenen en beschikking over uw persoonsgegevens
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
  • indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
  • in voorkomend geval de naam van de functionaris voor gegevensbescherming

Het register van de verwerker moet de volgende gegevens bevatten:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt
  • de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd
  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
  • in voorkomend geval de naam van de functionaris voor gegevensbescherming

Verwerkingsverantwoordelijke: een organisatie die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker: een organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

In het geval een verantwoordelijke persoonsgegevens laat verwerken door een verwerker (denk bijvoorbeeld aan de uitbestede salarisadministratie van uw organisatie) dan dienen de verwerkingsregisters van verantwoordelijke en verwerker op elkaar aan te sluiten. In het geval de verwerker op zijn beurt ook weer bepaalde verwerkingen uitbesteed, denk aan een SAAS-dienstverlener of een hostingpartij, dan dient de subverwerker ook een verwerkingsregister te hebben.

Zie onderstaande afbeelding van een verwerkingsketen.

Voorbeeld register van verwerkingen
In onderstaande afbeelding ziet u op welke wijze u dit register op kunt zetten in en eenvoudige tabel of spreadsheet. Bovenaan de kolommen staan de categorieën van gegevens vermeld die u per proces dient te registeren. Ook maakt u hiermee inzichtelijk welke partijen (verwerkers) beschikken over uw persoonsgegevens en welke maatregelen u heeft getroffen om deze te beschermen.

Welke acties moet u in gang zetten?
Het verwerkingsregister geeft u inzicht in wat u heeft geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kunt u bepalen in welke proces of activiteit u zaken nog niet heeft ingeregeld, welke risico’s u mogelijk loopt en of de maatregelen die u heeft getroffen afdoende zijn. U kunt dit ook periodiek evalueren.

Mogelijke acties op basis van het verwerkingsregister:

  • controleren van de gemaakte afspraken met verwerkers en mogelijk aanvullen van de verwerkersovereenkomsten
  • vaststellen (privacy)beleid op specifieke onderwerpen
  • aanvullen van verwerkingsdoelen en grondslagen van de gegevensverwerking
  • vaststellen bewaartermijnen en inregelen vernietiging persoonsgegevens na het verstrijken van de bewaartermijnen
  • controleren of de technische en organisatorische maatregelen zowel in uw eigen organisatie als bij uw verwerkers afdoende zijn
  • gebruiken van de informatie uit het verwerkingsregister om de betrokkene(n) te informeren

Tip:
Wij kunnen u helpen om AVG-proof te worden als het gaat om de verwerkersovereenkomst die u met ons dient af te sluiten. Wij hebben een modelovereenkomst voor u klaarliggen. Belt u ons erover!


2. AVG: hoe lang mag u persoonsgegevens bewaren?

Hoe lang mag u bij een vacature bijvoorbeeld de sollicitatiegegevens van kandidaten bewaren? Wat zijn de regels rond het bewaren van camerabeelden en de gegevens over het internetgebruik van uw medewerkers?

Hoe lang bent u verplicht bepaalde gegevens, zoals facturen en dergelijke, minimaal op te slaan? Wat zegt de strengere AVG erover die per 25 mei 2018 ingaat en ook voor uw bedrijf gaat gelden?

Volgens de AVG, dat is ook al zo onder de Wet bescherming persoonsgegevens (WBP), mag u persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de persoonsgegevens ook daadwerkelijk vernietigen.

Wat zijn persoonsgegevens?
Het gaat in het kader van de AVG altijd over persoonsgegevens. Persoonsgegevens zijn gegevens die, alleen of in combinatie met andere gegevens, terug te herleiden zijn naar een natuurlijk persoon. Voorbeelden van persoonsgegevens zijn onder andere naam, adres, woonplaats, kentekennummer, personeelsnummer, mailadres en videobeelden.

Concrete termijnen
In de AVG zijn echter geen concrete termijnen opgenomen voor het bewaren van persoonsgegevens. In sommige gevallen schiet andere wetgeving u te hulp waarin specifieke bewaartermijnen zijn opgenomen. Dit kunnen maximale bewaartermijnen zijn, daarna dient u de gegevens te vernietigen, of minimale bewaartermijnen, waarbij u zelf een passende termijn moet bepalen voor het eventueel langer bewaren. Is er geen wetgeving dan dient u zelf beargumenteerd bewaartermijnen te bepalen.

Vereisten bewaren persoonsgegevens
U dient voor het bewaren van persoonsgegevens aan de volgende vereisten voldoen:

  • U dient vooraf vast te stellen hoelang bepaalde documenten met persoonsgegevens bewaard gaan worden.
  • De bewaartermijnen moeten openomen worden in een zogenaamd verwerkingsregister.
  • De personen van wie u gegevens verwerkt dienen geïnformeerd te worden over deze bewaartermijnen.
  • De bepaalde bewaar- en vernietigingstermijn dienen zo mogelijk te worden vertaald naar passende technische en organisatorische maatregelen.
  • Na verstrijken van de bewaartermijn dienen de persoonsgegevens daadwerkelijk vernietigd te worden of geanonimiseerd.

Salaris, factuur en verzuim
Er zijn binnen uw organisatie diverse processen en activiteiten waarin verschillende categorieën van persoonsgegevens nodig zijn de verwerkingsdoelen per proces verschillen en waarvoor ook andere bewaartermijnen kunnen gelden. Denk aan salarisafspraken, facturen en verzuimbeheer. Hieronder hebben we enkele processen in een tabel gezet die meestal voorkomen in organisaties, met daarbij opgenomen wat de bewaartermijnen zijn en op welke wetgeving dit gebaseerd is. De bewaartermijn gaat lopen na bijvoorbeeld het einde van een dienstverband, het einde van een boekjaar of het doen van een registratie. Overigens kan het soms zo zijn dat de genoemde termijn wordt overruled door een andere wettelijke bewaarplicht (meestal is dit dan fiscale wetgeving).

Tip:
Bepaal als organisatie zelf beargumenteerd bewaartermijnen voor de processen waarin dit niet wettelijk is bepaald.

Vernietiging persoonsgegevens
Is de bewaartermijn van persoonsgegevens verstreken of zijn de gegevens niet meer noodzakelijk voor het doel? Dan moeten de gegevens vernietigd worden. Denk bijvoorbeeld aan gegevens over loonbeslag als het loonbeslag is opgeheven. Vernietiging moet gebeuren onder controle van uw bedrijf. Vernietigen houdt in dat de gegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm. De AVG stelt geen extra vereisten aan het vernietigen van persoonsgegevens.

Tip:
Verwerkt uw accountants- en advieskantoor gegevens voor u, bijvoorbeeld de salarisadministratie? Dan is het van belang dat uw accountant en u goede afspraken maken over de bewaartermijnen van persoonsgegevens.


3. Onkostenvergoeding zakelijke reis van uw werknemer

Als ambtenaren op dienstreis gaan, gelden er vaste bedragen als onkostenvergoeding. Deze bedragen zijn vastgesteld volgens het Reisbesluit. Deze bedragen mag u ook toepassen voor zakelijke reiskosten van werknemers binnen uw bedrijf.

Dienstreizen binnenland
Voor binnenlandse dienstreizen kunt u maximaal de volgende bedragen voor verblijfkosten onbelast vergoeden aan uw werknemer:

  • kleine uitgaven overdag: €4,41
  • kleine uitgaven ‘s avonds: €8,83
  • ontbijt: €9,94
  • lunch: €8,93
  • avondmaaltijd: €22,41
  • logies: €100,68

Vergoeding bovenmatig
Vergoedt u meer dan genoemde bedragen, dan kunt u het meerdere als belast loon aanmerken of onderbrengen in de werkkostenregeling. De vergoeding is dan onbelast bij de werknemer.

Let op!
Komt u echter met alle vergoedingen en verstrekkingen betreft de werkkostenregeling in het jaar boven de grens van 1,2% van de loonsom van uw bedrijf uit, dan betaalt u als werkgever 80% eindheffing over het meerdere.

Dienstreizen buitenland
Ook voor dienstreizen naar het buitenland kunt u het Reisbesluit Buitenland volgen voor wat betreft onbelaste vergoedingen. Ook deze vergoedingen zijn gerichte vrijstellingen en dus onbelast. De vergoedingen verschillen per land, streek en stad. Meer informatie vindt u op deze site van de Overheid.

Niet aannemelijk? Dan belast!
Als u de kosten van een overnachting niet aannemelijk kunt maken, mag u volgens het Reisbesluit Buitenland een vergoeding van €11,34 geven. Deze vergoeding is dan echter wel belast. Dit geldt overigens voor alle bedragen die u niet aannemelijk kunt maken, aangezien het aftrekbare kosten betreft en de bewijslast bij u ligt.

Meer of minder kosten?
U bent niet verplicht de vergoedingen volgens de Reisbesluiten te volgen. U kunt dus ook alle werkelijke kosten vergoeden op basis van facturen. U zult wel altijd de zakelijkheid aannemelijk moeten kunnen maken.


4. Zakendoen binnen de EU? Pas het btw-nultarief zorgvuldig toe

Doet u zaken met buitenlandse afnemers binnen de EU? Dan bent u in principe verplicht btw in rekening te brengen en deze af te dragen. Onder voorwaarden kunt u het nultarief toepassen. Voldoet u niet aan deze voorwaarden, dan loopt u het risico van naheffing btw bij controle door de Belastingdienst.

Btw is verplicht tenzij…
Iedere ondernemer is in beginsel bij levering van goederen in/vanuit Nederland verplicht btw in rekening te brengen en deze af te dragen aan de Belastingdienst. De hoofdregel geldt ook voor levering van goederen aan een buitenlandse afnemer. Op de factuur dient dus in beginsel Nederlandse btw te worden vermeld. Onder voorwaarden is het echter mogelijk een levering te verrichten waarbij voor de btw het zogenoemde nultarief kan worden toegepast.

Toepassing nultarief
Een levering aan een afnemer binnen een andere EU-lidstaat kan gebeuren tegen het nultarief als in ieder geval aan onderstaande voorwaarden wordt voldaan:

  • De goederen moeten vanwege de verkoop naar een andere EU-lidstaat worden vervoerd; en
  • De afnemer moet over een buitenlandse (EU) btw-nummer beschikken en dit nummer verstrekken aan de leverancier, die dit nummer op de factuur vermeldt.

Incidentele afnemer
Bij vervoer door en/of voor rekening van een incidentele afnemer loopt u het risico dat u later over onvoldoende bewijs beschikt dat de goederen ook daadwerkelijk zijn vervoerd naar een ander EU-land. U kent de afnemer immers niet of niet goed. Daarom verdient het in rekening brengen van Nederlandse btw in deze situatie de voorkeur.

Tip:
Pas het btw-nultarief niet toe bij incidentele afnemers uit een EU-lidstaat.

Vaste afnemer
Als het vervoer echter plaats heeft door en/of voor rekening van een vaste afnemer, dan kent Nederland daarvoor een specifieke regeling. Bij dergelijke transacties mag u het nultarief toepassen als u per transactie een zogenoemde vervoers- of afhaalverklaring opstelt. Dit laat onverlet dat elk ander aanvullend bewijs dat de goederen Nederland hebben verlaten uiteraard een betere bewijspositie opleveren.

Extra risico bij afhaaltransactie vanwege recente rechtspraak!
Een zeer recente rechtspraak van het Hof van Justitie EU zet de toepassing van het nultarief bij afhaaltransacties verder onder druk! Er blijkt namelijk een extra risico bij toepassing van het btw-nultarief als uw afnemer zorg draagt voor het vervoer van de goederen.

Een Duitse leverancier had goederen verkocht aan een Oostenrijkse afnemer met de afspraak dat de Oostenrijkse afnemer de goederen vanuit Duitsland naar Oostenrijk zou vervoeren. De Oostenrijkse afnemer had de goederen inmiddels, voorafgaande aan het vervoer, al doorverkocht aan een volgende Oostenrijkse afnemer. Tevens was afgesproken dat deze laatste afnemer zou zorgen voor vervoer vanuit Duitsland naar Oostenrijk en dus niet de eerste afnemer zelf.

Kortom, de goederen werden uiteindelijk afgehaald in Duitsland en naar Oostenrijk vervoerd door de laatste (de 2de) afnemer. De Duitse leverancier paste op haar factuur aan de 1ste Oostenrijkse afnemer het Duitse nultarief toe aangezien zij meende aan de voorwaarden te voldoen. Uit de rechtspraak blijkt nu dat het nultarief niet kan worden toegepast als niet de 1ste afnemer maar een volgende afnemer in de schakel de goederen ophaalt of laat ophalen bij de 1ste leverancier!

Let op!
Worden de goederen door een andere partij opgehaald dan uw afnemer, kunt u het nultarief niet toepassen.

Waarschuwing bij grensoverschrijdende afhaaltransacties
De hiervoor beschreven situatie kan zich voor u in de praktijk voordoen zonder dat u dat merkt. U weet immers vaak niet of uw afnemer de goederen inmiddels heeft doorverkocht. In dat verband geldt feitelijk dat toepassing van het btw-nultarief bij afhaaltransacties door buitenlandse afnemers sterk moet worden afgeraden.

Als u toch het nultarief wilt toepassen, is het advies om als aanvullende voorwaarde te stellen én te controleren dat uw afnemer zelf het transport regelt en dit niet laat verzorgen door een volgende afnemer in de schakel. Doet u dit niet, dan loopt u het risico van een naheffing btw bij controle!

Tip:
Wilt u het nultarief toch toepassen? Stel als aanvullende voorwaarde dat uw afnemer zelf het transport regelt. Én zorg voor een zorgvuldige controle hierop.


5. Spoedreparatiemaatregel fiscale eenheid voor mkb uitgesteld

Met terugwerkende kracht tot 25 oktober 2017, wordt de fiscale-eenheidsregeling in de vennootschapsbelasting gewijzigd. De wijzigingsvoorstellen zijn nog niet concreet, maar in ieder geval zullen bepaalde rente-aftrekbeperkingen van toepassing zijn. Met name het mkb kan onnodig hard worden getroffen door deze maatregel.

Om het mkb tegemoet te komen, komt staatssecretaris Snel nu met een overgangsmaatregel. Het betreft leningen die verband houden met bijvoorbeeld een winstuitdeling of een teruggaaf van kapitaal, de zogenoemde 10a-leningen. Als de totale rente op dergelijke leningen binnen de fiscale eenheid niet meer bedraagt dan € 100.000, hoeft tot en met 31 december 2018 nog geen rekening te worden gehouden met een eventuele renteaftrekbeperking. Daarbij geldt wel een aantal voorwaarden. Zo moet het gaan om een op 25 oktober 2017, 11.00 uur, bestaande groepsschuld die verband houdt met bijvoorbeeld een winstuitdeling of een kapitaalstorting en die destijds om zakelijke redenen tussen de bv’s van de fiscale eenheid is aangegaan. Als de totale rentekosten meer bedragen dan € 100.000, geldt de (eventuele) aftrekbeperking voor alle rente, dus ook voor de eerste € 100.000.

Met de tijdelijke overgangsperiode krijgen mkb-fiscale eenheden de gelegenheid om de gevolgen van de spoedreparatie voor de renteaftrekbeperking alsnog te voorkomen als deze van toepassing blijkt te zijn.


6. Belastingdienst start controles en sancties Wet DBA

Over enkele weken start de Belastingdienst weer met controles en sancties inzake de Wet DBA. Deze waren opgeschort tot 1 juli 2018 om de markt aan de nieuwe wetgeving te laten wennen.

Met behulp van een Modelovereenkomst kan op dit moment vooraf zekerheid worden verkregen over het al dan niet bestaan van een arbeidsrelatie. Er zijn inmiddels tal van Modelovereenkomsten beschikbaar via de site van de Belastingdienst die gebruikt kunnen worden. Opdrachtgever en -nemer kunnen daarnaast ook zelf een Modelovereenkomst opstellen en die laten toetsen door de Belastingdienst.

De Belastingdienst heeft toegezegd dat tot 1 juli 2018 geen naheffingen en boetes zullen worden opgelegd als er sprake is van een arbeidsrelatie en er desondanks geen loonheffing is ingehouden. Dit geldt echter niet als er sprake is van frauduleus handelen. Daarvan is sprake als u met opzet een situatie van duidelijke schijnzelfstandigheid laat ontstaan. Bovendien is van belang dat u weet dat er in feite sprake is van een dienstbetrekking en u op deze manier probeert een financieel voordeel binnen te halen.


7. Heeft u algemene voorwaarden?

U werkt met algemene voorwaarden? Dan kan het van belang zijn na te gaan of deze “up to date” zijn en of de algemene voorwaarden daadwerkelijk uw doel dienen. Daarnaast kunnen algemene voorwaarden u alleen van nut zijn als u ze correct gebruikt. Indien de algemene voorwaarden niet op de juiste wijze gebruikt worden, dan komt u in geval van een geschil namelijk niet eens aan de inhoud toe.

Maakt u nog geen gebruik van algemene voorwaarden? Dan heeft u er vast al over nagedacht, maar nog geen tijd vrijgemaakt om dit juridische vangnet daadwerkelijk binnen uw onderneming te integreren. Helaas brengt werken zonder algemene voorwaarden tegenwoordig meer risico’s met zich mee dan voorheen. Risico’s die te ondervangen zijn. Veel tijd hoeft dit u echt niet te kosten.

Kortom: wenst u helder advies over uw algemene voorwaarden of wenst u de opmaak van algemene voorwaarden met een praktische bijbehorende handleiding, dan kunt u via ons algemene contact opnemen met onze juriste mr. Ellen Kupers, bereikbaar via ons algemene telefoonnummer 0495 – 45 44 44.

CONTACT

Laat hier een bericht achter. We nemen zo spoedig mogelijk contact met u op!

Not readable? Change text. captcha txt