GDPR taloushallinnossa: henkilötiedot, oikeusperuste ja rekisteriseloste
Taloushallinto käsittelee väistämättä henkilötietoja: asiakkaiden nimiä, osoitteita ja pankkitilinumeroita. Käymme läpi, mitä pienyrityksen taloushallinnon on otettava huomioon GDPR:n kannalta.
De financiële administratie verwerkt onvermijdelijk persoonsgegevens: namen van klanten, adressen, bankrekeningnummers en salarisgegevens. De algemene verordening gegevensbescherming (GDPR) van de EU stelt duidelijke eisen aan de verwerking van deze gegevens. In dit artikel behandelen we waar kleine bedrijven rekening mee moeten houden in hun financiële administratie.
Persoonsgegevens in de financiële administratie – wat zijn ze?
Volgens de GDPR zijn persoonsgegevens alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. Typische persoonsgegevens in de financiële administratie zijn:
- Namen, adressen en bedrijfsnummers (voor eenmanszaken) van klanten en leveranciers
- Bankrekeningnummers
- E-mails en telefoonnummers van contactpersonen voor facturen
- Salarisgegevens en persoonlijke identificatienummers (salarisadministratie)
- Gegevens van reis- en onkostennota's
Rechtsgrondslag voor de verwerking van persoonsgegevens
De GDPR vereist een rechtsgrondslag voor elke verwerking van persoonsgegevens. In de financiële administratie worden meestal de volgende gebruikt:
- Uitvoering van een overeenkomst: het verzenden van facturen en het ontvangen van betalingen
- Wettelijke verplichting: bewaarplichten volgens de boekhoudwet, belastingaangifte
- Gerechtvaardigd belang: incassoprocedures, beoordeling van kredietrisico's
Voor een klein bedrijf betekent dit in de praktijk: u hebt het recht om de gegevens van uw klant te verwerken voor facturatie en boekhouding zonder afzonderlijke toestemming, aangezien de verwerking gebaseerd is op een overeenkomst en de wet.
Bewaartermijnen van financiële documenten
AVG vereist dat gegevens niet langer dan nodig worden bewaard. In de financiële administratie worden de bewaartermijnen voornamelijk bepaald door de boekhoudwet:
| Asiakirjatyyppi | Säilytysaika | Peruste |
|---|---|---|
| Kirjanpitokirjat (tase, tuloslaskelma, pääkirja) | 10 vuotta tilikauden päättymisestä | Kirjanpitolaki 2:10 |
| Tositteet (laskut, kuitit) | 6 vuotta tilikauden päättymisestä | Kirjanpitolaki 2:10 |
| Palkka-aineistot | 10 vuotta | Ennakkoperintälaki, eläkelait |
| ALV-aineisto | 6 vuotta | Arvonlisäverolaki |
Wanneer de wettelijke bewaartermijn afloopt, moeten persoonsgegevens worden verwijderd of geanonimiseerd.
Mini-checklist voor kleine bedrijven
- Stel een gegevensverwerkingsregister (privacyverklaring) op waarin u aangeeft welke persoonsgegevens u verwerkt en waarom
- Definieer bewaartermijnen per documenttype
- Zorg ervoor dat uw financiële administratie software (bijv. Eemel Accounting) voldoet aan de AVG
- Beperk de toegang tot persoonsgegevens tot alleen degenen die deze nodig hebben
- Sluit een gegevensverwerkingsovereenkomst af met het accountantskantoor en andere verwerkers
- Verwijder regelmatig verouderde gegevens
Praktisch voorbeeld: een eenmanszaak en het gegevensverwerkingsregister
Een eenmanszaak hield een klantenbestand bij in Excel en factureerde met PDF-facturen. Vanuit AVG-perspectief was de situatie problematisch: geen gegevensverwerkingsregister, geen gegevensbeveiliging, geen toezicht op bewaartermijnen.
De implementatie van Eemel Accounting loste de meeste problemen op:
- Klantgegevens bevinden zich in een beveiligd systeem, niet in een open Excel-bestand
- Toegang beperkt met gebruikersnaam en wachtwoord
- De financiële administratie software biedt een basis voor een gegevensverwerkingsregister
- Oude gegevens kunnen systematisch worden verwijderd
Probeer het in de praktijk
Eemel Accounting is ontworpen met inachtneming van de AVG-vereisten. Persoonsgegevens zijn veilig en de verwerking is onder controle.
Probeer 14 dagenVeelgestelde vragen
Heeft een klein bedrijf een gegevensverwerkingsregister nodig?
Ja, als u persoonsgegevens verwerkt (bijv. namen en adressen van klanten voor facturatie). Het gegevensverwerkingsregister moet beschikbaar zijn.
Kan boekhoudmateriaal op basis van de AVG worden verwijderd?
Niet voordat de wettelijke bewaartermijn is verstreken. De boekhoudwet gaat hierbij boven de AVG.
Is een gegevensverwerkingsovereenkomst met een accountantskantoor noodzakelijk?
Ja. Het accountantskantoor verwerkt namens u persoonsgegevens, dus de AVG vereist een schriftelijke overeenkomst.
Wat is de impact van de AVG op bankverbindingen?
Banktransacties die via een bankverbinding worden opgehaald, bevatten persoonsgegevens. De verwerking is gebaseerd op een overeenkomst en de wet. Lees meer in ons PSD2-artikel.
Moet toestemming van de klant worden gevraagd voor de verwerking van facturatiegegevens?
Gewoonlijk niet. De verwerking van facturatiegegevens is gebaseerd op de uitvoering van een overeenkomst, niet op toestemming.
Dit artikel is van algemene aard en vormt geen juridisch advies.