Wijzigingen 30%-regeling

Met ingang van 2024 en 2025 gelden de volgende wijzigingen in de 30%-regeling:

1. In 2024 mag nog maar over een salaris tot maximaal € 233.000 de 30%-regeling worden toegepast.
2. Vanaf 2024 geldt dat de eerste 20 maanden 30% van het salaris onbelast onder de 30%-regeling mag worden uitbetaald, de daaropvolgende 20 maanden is dat 20% en de laatste 20 maanden nog maar 10%.
3. Vanaf 2025 vervalt de partiële buitenlandse belastingplicht. Dit betekent dat de werknemer voor wie de 30%-regeling wordt toegepast vanaf 2025 ook in box 2 en box 3 belasting moeten betalen over buitenlands kapitaalinkomen.

Overgangsrecht

Voor bestaande 30%-regelingen geldt gelukkig overgangsrecht. Daarbij geldt een onderscheid tussen werknemers voor wie in het laatste loontijdvak van 2022 al de 30%-regeling werd toegepast en werknemers voor wie dat in het laatste loontijdvak van 2023 gebeurde.

30%-regeling in laatste loontijdvak van 2022

Werknemers voor wie in het laatste loontijdvak van 2022 de 30%-regeling al werd toegepast, krijgen niet te maken met de wijzigingen onder punt 1 en 2. Zij krijgen vanaf 2027, indien de 30%-regeling dan nog loopt, wel te maken met de wijzigingen onder punt 3.

30%-regeling niet in het laatste loontijdvak van 2022, maar wel in 2023

Werknemers voor wie in het laatste loontijdvak van 2022 nog niet de 30%-regeling werd toegepast, maar in het laatste loontijd van 2023 wel, krijgen niet te maken met de wijzigingen onder punt 2. Zij krijgen echter wel te maken met de wijzigingen onder punt 1. Ze krijgen vanaf 2027, indien de 30%-regeling dan nog loopt, ook te maken met de wijzigingen onder punt 3.

30%-regeling vanaf 2024

Werknemers voor wie in het laatste loontijdvak van 2023 de 30%-regeling nog niet werd toegepast, krijgen volledig te maken met alle wijzigingen; voor punt 1 en 2 vanaf 2024 en voor punt 3 vanaf 2025.

Wisseling werkgever

Aan de Belastingdienst is de vraag gesteld of het overgangsrecht, zoals hiervoor beschreven, van toepassing blijft als de werknemer overstapt naar een andere werkgever. De Belastingdienst heeft geantwoord dat het overgangsrecht onder voorwaarden van toepassing blijft.

De voorwaarden zijn dat de 30%-regeling van toepassing blijft. Hiervoor moeten de nieuwe werkgever en de werknemer gezamenlijk tijdig – dat wil zeggen binnen vier maanden na indiensttreding – een verzoek doen. Daarnaast mag de periode tussen het einde van de tewerkstelling bij de oude werkgever en de totstandkoming van de arbeidsovereenkomst bij de nieuwe werkgever niet langer zijn dan drie maanden.

Garden leave

De Belastingdienst geeft aan dat voor een werknemer die vrijgesteld is van werkzaamheden, zoals bijvoorbeeld bij garden leave, de 30%-regeling niet kan worden toegepast in die periode. De werknemer blijft in die periode echter wel een ingekomen werknemer.  De Belastingdienst concludeert hieruit dat het voor het antwoord op de vraag inzake het overgangsrecht bij wisseling van werkgever niet uitmaakt dat de werknemer bij de oude werkgever enige tijd is vrijgesteld van werkzaamheden.

Rekensom is niet eenvoudig

Het is niet eenvoudig om te beoordelen wat voordeliger is: een auto op de zaak of in privé rijden. De beoordeling is namelijk afhankelijk van een groot aantal factoren, zoals de hoogte van de afschrijvingen, de onderhoudskosten, de verzekeringskosten, de motorrijtuigenbelasting, eventuele financieringskosten, de CO2-uitstoot van de auto, het aantal in een jaar te rijden privé- en zakelijke kilometers en de btw-gevolgen. Als u deze gegevens helder voor ogen zou hebben, kunt u berekenen wat het voordeligst is. Over het algemeen zijn deze gegevens echter niet volledig bekend en zal van schattingen moeten worden uitgegaan. De werkelijkheid kan dan afwijken van de berekeningen. Vervolgens moet u ook nog rekening houden met belastingtarieven en inkomensafhankelijke heffingskortingen, die ook nog eens regelmatig wijzigen.

Let op! Bent u ondernemer in de inkomstenbelasting, dan mag u doorgaans kiezen of u de auto tot uw ondernemingsvermogen rekent of tot uw privévermogen. Die keuze heeft u echter niet als u maar maximaal 500 kilometer per jaar privé met de auto rijdt. U moet de auto dan verplicht tot het ondernemingsvermogen rekenen. Rijdt u minder dan 10% van het aantal kilometers zakelijk, dan moet u de auto verplicht tot het privévermogen rekenen.

De rechtbank in Groningen heeft in 2019 beslist dat u een auto waarmee meer dan 500 km zakelijk wordt gereden, toch als ondernemingsvermogen aan kunt merken. De rechtbank achtte niet van belang dat minder dan 10% zakelijk werd gereden. In hoger beroep heeft het gerechtshof Leeuwarden begin 2021 echter beslist dat toch vereist is dat minstens 10% van het aantal gereden kilometers zakelijk moet zijn om de auto als ondernemingsvermogen aan te kunnen merken. De Hoge Raad heeft geoordeeld dat deze visie van het Hof juist is.

Auto van de zaak

De auto van de zaak heeft een aantal voordelen:

• Als u de auto tot het ondernemingsvermogen rekent, worden de aanschaf- en alle overige (auto)kosten betaald door uw onderneming.
• U kunt de overige autokosten (denk aan bijvoorbeeld onderhoud, brandstof, verzekering, motorrijtuigenbelasting, maar ook financiering-, parkeer- en waskosten) aftrekken van de winst van uw onderneming en bovendien jaarlijks de afschrijving op de auto ten laste van de winst brengen.
• Voor auto’s zonder CO2-uitstoot op waterstof of zonnecellen heeft u recht op milieu-investeringsaftrek (zie hierna). Dat geldt niet voor de eventuele laadpaal.

Tip! Schaft uw onderneming in 2024 een auto met een CO2-uitstoot van 0 gr/km aan, dan geldt alleen in 2024 nog een bpm-vrijstelling. Voor auto’s met een CO2-uitstoot van 0 gr/km geldt bovendien in 2024 een vrijstelling motorrijtuigenbelasting. Ook deze vrijstelling blijft alleen nog in 2024 in stand. Bedraagt de CO2-uitstoot van uw plug-inhybride maximaal 50 gr/km, dan betaalt u in 2024 de helft van het tarief dat voor een gewone personenauto geldt. Ook dit voordeel blijft tot en met 2024 in stand.

Schaft u in 2024 een milieuvriendelijke auto aan en rekent u deze tot het ondernemingsvermogen, dan komt u mogelijk in aanmerking voor de milieu-investeringsaftrek (MIA). De MIA geldt in 2024 alleen nog voor een waterstofpersonenauto en voor een personenauto op zonnecellen met een CO2-uitstoot van 0 gr/km. Er gelden verschillende aftrekpercentages en er zijn maxima gesteld aan de in aanmerking te nemen investeringsbedragen.

De auto van de zaak brengt ook een aantal nadelen met zich mee:

• Bij verkoop van de auto realiseert uw onderneming mogelijk een belaste winst. Het kan echter ook dat u een aftrekbaar verlies realiseert.
• Als u de auto van de zaak ook privé gebruikt, krijgt u in de meeste gevallen te maken met een bijtelling privégebruik auto.
• Uw onderneming moet btw betalen over de waarde van het privégebruik auto. Kunt u dit privégebruik niet bepalen, dan geldt in de regel dat de te betalen btw 2,7% van de catalogusprijs (inclusief btw en bpm) bedraagt. Na het vierde jaar van aanschaf of ingeval bij de aanschaf geen recht op aftrek van btw bestond, is dit 1,5%.

Let op! Verricht uw onderneming ook btw-vrijgestelde prestaties, dan kan sowieso een deel van de btw niet in aftrek worden gebracht. Verricht u bijvoorbeeld voor 40% vrijgestelde prestaties, dan kan ook 40% van de btw niet in aftrek worden gebracht. Ook de niet-aftrekbare btw vanwege het privégebruik wordt dan naar rato verminderd. Bij 40% vrijgestelde prestaties is de correctie dan niet 2,7%, maar 60% (100% -/- 40%) x 2,7%. U kunt immers ook maar 60% van alle btw aftrekken.

Bijtelling privégebruik auto

De fiscale spelregels voor de bijtelling privégebruik auto zijn afhankelijk van uw ondernemingsvorm: bent u directeur-grootaandeelhouder (dga) en opereert u vanuit een bv, dan wordt u voor het privégebruik van de auto belast in de loonbelasting. Bent u echter een ondernemer die opereert vanuit een eenmanszaak, vof, cv of maatschap, dan wordt u voor het privégebruik van de auto belast in de inkomstenbelasting. Voor de laatste categorie kan de bijtelling nooit méér bedragen dan de werkelijke kosten van de auto in dat jaar (inclusief afschrijving).

Voor de meeste auto’s die vanaf 2017 op kenteken zijn gezet geldt een standaardbijtelling van 22% van de cataloguswaarde (inclusief btw en bpm). Alleen voor auto’s zonder CO2-uitstoot geldt nog een lagere bijtelling. De lage bijtelling is voor auto’s die sinds 2019 op kenteken zijn gezet, beperkt tot een deel van de cataloguswaarde (met uitzondering van auto’s op waterstof en op zonnecellen). Over het meerdere geldt de normale bijtelling van 22%.

Voor een nieuwe auto gelden in 2024 de volgende bijtellingspercentages en CO2-grenzen:

U wordt in beginsel niet elk jaar met een nieuw bijtellingspercentage geconfronteerd. Een vastgesteld percentage blijft voor alle auto’s gedurende 60 maanden geldig. Pas na deze periode wordt de bijtelling vastgesteld aan de hand van de dan geldende percentages.

Let op! Een auto met datum eerste toelating tot de weg van uiterlijk 31 december 2016 krijgt na 60 maanden geen bijtelling van 22%, maar van 25%. Dit is alleen anders als het een elektrische auto betreft met een CO2-uitstoot van nul. Hiervoor wordt de bijtelling in 2024 19% tot een cataloguswaarde van € 30.000 en 25% over het meerdere.

Een bijtelling kan achterwege blijven indien u kunt bewijzen dat u op jaarbasis niet meer dan 500 kilometer privé met de auto hebt gereden. Woon-werkkilometers worden voor de inkomstenbelasting gezien als zakelijk, ook als u thuis gaat lunchen. Voor de btw gelden die kilometers echter als privé.

Let op! Is uw auto ouder dan 15 jaar? Dan bedraagt de standaardbijtelling geen 22% van de cataloguswaarde, maar 35% van de waarde van de auto in het economisch verkeer.

Privéauto

De auto die u in privé aanschaft, heeft een aantal voordelen:

• De auto blijft uw privé-eigendom.
• Bij verkoop van de auto realiseert u in privé mogelijk een onbelaste winst. Het is echter ook mogelijk dat u een niet-aftrekbaar verlies lijdt.
• U krijgt niet te maken met een bijtelling privégebruik auto.
• Uw onderneming hoeft ook geen btw te betalen over de waarde van het privégebruik van de auto. De ondernemer in de inkomstenbelasting kan de auto voor de omzetbelasting tot het ondernemingsvermogen rekenen, ook als de auto voor de winstberekening tot het privévermogen is gerekend. Andersom kan dit ook. De keuze voor de omzetbelasting staat dus los van de keuze voor de inkomstenbelasting.
• U kunt een belastingvrije onkostenvergoeding ontvangen van € 0,23 per zakelijke kilometer (of ten laste van uw winst brengen als u ondernemer in de inkomstenbelasting bent).
• Bent u dga, dan kunt u mogelijk ten laste van uw vrije ruimte nog een hogere onkostenvergoeding belastingvrij ontvangen. Deze mogelijkheid is afhankelijk van de hoogte van uw vrije ruimte en uw andere vergoedingen en verstrekkingen die zijn toegewezen aan de vrije ruimte.
• Particulieren die een elektrische auto aanschaffen krijgen alleen dit jaar nog subsidie. Voor nieuwe elektrische auto’s bedraagt deze in 2024 € 2.950, voor gebruikte € 2.000. De subsidie geldt alleen voor elektrische auto’s met een oorspronkelijke cataloguswaarde tussen € 12.000 en € 45.000 en een actieradius van minstens 120 kilometer. De auto mag niet tot het ondernemingsvermogen worden gerekend. Het budget voor nieuwe elektrische auto’s is in 2024 nog grotendeels beschikbaar, voor gebruikte elektrische auto’s naar verwachting rond juli van dit jaar verbruikt zijn. U kunt het nog beschikbare budget hier controleren. 
• U kunt een deel van de btw op gebruik en onderhoud van de auto in aftrek brengen. Dit kan alleen als uw onderneming btw-belaste prestaties verricht. Verricht uw onderneming ook btw-vrijgestelde prestaties, dan zal geen aftrek van btw mogelijk zijn voor de verhouding vrijgestelde prestaties-totale prestaties.

De auto in privé brengt ook een aantal nadelen met zich mee:

• U moet zelf in privé de aanschafkosten en alle overige autokosten betalen.
• U kunt de gemaakte autokosten niet aftrekken van de winst van uw onderneming (met uitzondering van de onkostenvergoeding van €0,23/km die uw onderneming ten laste van de winst mag brengen voor uw zakelijke kilometers) en u kunt ook de afschrijving op de auto niet ten laste van de winst van uw onderneming brengen. 
• De btw die u betaalt bij aanschaf van de auto kunt u niet in aftrek brengen, tenzij u de auto voor de btw als zakelijk aanmerkt. U kunt hiervoor kiezen, ook als u de auto voor de inkomstenbelasting als privé aanmerkt.

Let op! Als uw onderneming nagenoeg alle kosten van uw privéauto aan u vergoedt, kan uw privéauto door de Belastingdienst alsnog als auto van de zaak worden aangemerkt.

De keuze: zakelijk of privé?

Het antwoord op de vraag wat voordeliger is, de auto zakelijk of privé, is afhankelijk van allerlei, vaak niet precies bekende omstandigheden en factoren. Dit maakt het lastig om exact te berekenen wat voordeliger is. Toch is er wel een aantal grove vuistregels te geven. Zo is bij lage afschrijvingskosten of bij veel zakelijke kilometers een privéauto over het algemeen voordeliger. Maak echter geen ondoordachte keuze. Wij kunnen aan de hand van alle gegevens een berekening van de voordeligste variant voor u maken.

Overbrengen naar privé?

Staat een auto eenmaal op de zaak, dan kunt u als ondernemer in de inkomstenbelasting deze in beginsel niet overbrengen naar privé. Overbrengen naar privé kan wel als er fiscaal sprake is van een zogenaamde bijzondere omstandigheid. Daarvan is niet vaak sprake. Een bijzondere omstandigheid is bijvoorbeeld een wetswijziging of rechterlijke uitspraak waardoor u een andere keuze gemaakt zou hebben als u dit zou hebben geweten voordat u besliste de auto op de zaak te zetten. Of als u de auto helemaal niet meer zakelijk zou gebruiken (bijvoorbeeld omdat u een nieuwe auto koopt). Dan bent u zelfs verplicht de auto voortaan tot het privévermogen te rekenen. Deze overgang moet plaatsvinden voor de werkelijke waarde, waardoor u – afhankelijk van de fiscale boekwaarde – een boekwinst of -verlies realiseert. Ook voor de btw kan dit gevolgen hebben.

Ondernemers met een bv?

Een auto op naam van uw bv is in beginsel altijd zakelijk. Bij een bv is overbrengen naar privé wel mogelijk, zelfs als er geen bijzondere omstandigheden zijn. U kunt namelijk de auto altijd van uw bv aan uzelf als dga verkopen. Vervolgens kunt u zakelijke ritten voor de bv maken tegen een vergoeding van € 0,23/km.

Let op! Gezien de relatief lage onbelaste vergoeding van € 0,23 per kilometer en de hoge brandstofkosten zal de vergelijking tussen een auto zakelijk of privé in 2024 mogelijk anders uitvallen dan in andere jaren het geval was.

Disclaimer
Hoewel bij de samenstelling van deze Advieswijzer de uiterste zorg is nagestreefd, wordt geen aansprakelijkheid aanvaard voor onvolledigheden of onjuistheden. Vanwege het brede en algemene karakter van de Advieswijzer, is deze niet bedoeld om alle informatie te verschaffen die noodzakelijk is voor het nemen van financiële beslissingen.

Verklaring omtrent gedrag

Werkgevers vragen soms om een Verklaring omtrent gedrag (VOG). Via een VOG wordt duidelijk of een werknemer strafbare feiten heeft gepleegd die in de weg staan bij het uitoefenen van een functie. Of een strafbaar feit bij een functie in de weg staat, is afhankelijk van het strafbare feit en van de functie. Een VOG is soms wettelijk verplicht, zoals bij de politie, in de kinderopvang en voor taxichauffeurs.

Digitaal naast papier

De digitale ontvangst van een VOG komt beschikbaar naast de papieren variant. De inhoud is grotendeels hetzelfde en ook de kosten van aanvraag zijn gelijk, namelijk € 33,85. Een digitale ontvangst is echter alleen mogelijk bij een digitale aanvraag. Het voordeel van een digitale aanvraag en ontvangst is dat het  snelheidswinst oplevert en veiliger kan worden verwerkt.

Controle op echtheid

De werkgever moet de VOG controleren op juistheid en echtheid. De digitaal ontvangen VOG kan online  worden gecontroleerd op echtheid  via de site www.validatie.nl. 

Planning in fases

Het digitaliseren van de VOG-ontvangst wordt uitgevoerd in fases. Afhankelijk van het KVK-nummer komt dit voor alle werkgevers de komende maanden beschikbaar. Uiterlijk op 28 mei 2024 is digitaal ontvangen voor alle werkgevers mogelijk.

Reiskostenvergoeding

In 2024 is voor zakelijke ritten een onbelaste reiskostenvergoeding mogelijk van € 0,23/km. Die vergoeding geldt ook voor het woon-werkverkeer. De Belastingdienst heeft voor een tweetal situaties aangegeven wanneer ritten vanaf de camping naar het werk als woon-werkverkeer classificeert.

Alleen het weekend

In de eerste situatie gaat het om een werknemer waarvan het gezin op de camping staat. De werknemer verblijft thuis, maar besluit de weekends bij het gezin op de camping door te brengen. De Belastingdienst geeft aan dat de rit op vrijdagmiddag vanaf het werk naar de camping en op maandagmorgen vanaf de camping naar het werk, niet aangemerkt kunnen worden als woon-werkverkeer. Een belastingvrije reiskostenvergoeding voor die ritten is dus niet mogelijk.

Enkele maanden op camping

Ook wordt ingegaan op de situatie dat een werknemer enkele maanden op de camping staat en gedurende die periode dagelijks vanaf de camping op en neer naar het werk rijdt. De Belastingdienst geeft aan van mening te zijn dat de camping dan gezien kan worden als verblijfplaats. Dit betekent dat de ritten tussen werk en camping in beginsel aangemerkt kunnen worden als woon-werkverkeer en een belastingvrije reiskostenvergoeding mogelijk is.

Let op! De Belastingdienst spreekt van ‘enkele maanden’. Waar de grens precies ligt, is niet duidelijk.

Redelijkheid

De Belastingdienst geeft ook aan dat altijd de redelijkheid in acht moet worden genomen. Men name als een werknemer om privéredenen een woon- of verblijfplaats betrekt die veel verder van het werk is gelegen, is het discutabel of die situatie nog redelijk is om een belastingvrije vergoeding voor woon-werkverkeer te verstrekken. De inspecteur mag beoordelen of dit het geval is en of een onbelaste reiskostenvergoeding mogelijk is.

Uitzonderingen

Aangegeven wordt ook dat altijd uitzonderingen mogelijk zijn. Zo kan een rit van de camping naar het werk ook als zakelijk worden aangemerkt als de rit bijvoorbeeld plaatsvindt naar aanleiding van een verzoek van de werkgever. 

Zelfstandige ondernemer

De Belastingdienst gaat niet in op de positie van de zelfstandige ondernemer die op een camping verblijft. Het is echter aannemelijk dat dan dezelfde uitgangspunten gelden. Dat wil zeggen dat in gevallen waarin een onbelaste vergoeding mogelijk is, een zelfstandige ondernemer € 0,23/km ten laste van zijn winst kan brengen.

Tip! Neem bij twijfel contact op met uw adviseur om naheffingen te voorkomen. Bij verschil van mening kunt u altijd nog naar de rechter stappen.

Per 25 mei 2018 treedt de AVG, de nieuwe Europese privacywet, in werking. Ook u krijgt vrijwel zeker met deze wetgeving te maken. De aankomende tijd zullen wij u over dit onderwerp informeren zodat u zich goed kunt voorbereiden. Uiteraard zijn wij u hierbij graag van dienst.

Hieronder treft u vijf actuele en praktische artikelen aan die u bij de uitvoering van de AVG ondersteunen.

1. Voldoe in 5 stappen aan AVG
2. Hoe lang mag u persoonsgegevens bewaren?
3. Hoe maak ik een register van verwerkingen? (incl. voorbeeldregister)
4. Toestemming gebruik foto werknemer
5. Sportclubs nog niet klaar voor nieuwe privacywet AVG

1. Voldoe in 5 stappen aan AVG

Het kan u niet ontgaan zijn. Op 25 mei 2018 wordt definitief de Algemene Verordening Gegevensbescherming van toepassing. De AVG brengt nieuwe verplichtingen en verantwoordelijkheden met zich mee. Alle bedrijven en organisaties die werken met persoonsgegevens moeten zich voorbereiden op deze AVG, dus ook kleine mkb’ers en zzp’ers. In vijf stappen bent u AVG-proof.

Stap 1: Creëer intern bewustwording, zorg voor een vast aanspreekpunt
Informeer uw medewerkers over de wetgeving, de impact van de AVG op uw huidige processen en bij wie zij terecht kunnen bij vragen. Onder de AVG krijgen uw klanten meer privacyrechten.

Stap 2: Maak een register met persoonsgegevens die u verwerkt
Documenteer welke persoonsgegevens u verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. Belangrijk is de wijze waarop u de toestemming van uw klanten vraagt, krijgt en registreert.

Stap 3: Breng risico’s in kaart en zorg voor beveiligingsmaatregelen
Standaard moeten in uw bedrijfsvoering en ICT ingevoerd zijn:

1. ‘Privacy by design’ voor de bescherming van persoonsgegevens: dit houdt in dat u al tijdens de ontwikkeling van nieuwe producten en diensten aandacht besteedt aan privacyverhogende maatregelen.
2. ‘Dataminimalisatie’ waarmee u zorgt dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het doel. Hiermee bespaart u zich ook nog eens een hoop werk.

Stap 4: Zorg voor documentatie van datalekken
Bij een datalek vallen persoonsgegevens in handen van derden die geen toegang tot die gegevens zouden mogen hebben. De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde, alleen de eisen voor de registratie zijn strenger.

Stap 5: Breng verwerkingen door derden in kaart, sluit verwerkersovereenkomsten
Check de contracten en gemaakte afspraken goed voor alle pakketten die u heeft uitbesteed aan derden, denk aan een administratiekantoor of een arbodienst, en zorg ervoor dat alles goed is vastgelegd (de zogenaamde verwerkersovereenkomsten).

Tip: Meer informatie is te vinden op de site van de Autoriteit Persoonsgegevens.

2. Hoe lang mag u persoonsgegevens bewaren?

Hoe lang mag u bij een vacature bijvoorbeeld de sollicitatiegegevens van kandidaten bewaren, of camerabeelden? Wat zijn de regels rond het bewaren van camerabeelden en de gegevens over het internetgebruik van uw medewerkers? Hoe lang bent u verplicht bepaalde gegevens, zoals facturen en dergelijke, minimaal op te slaan? Wat zegt de strengere AVG erover die per 25 mei 2018 ingaat en ook voor uw bedrijf gaat gelden?
Volgens de AVG, dat is ook al zo onder de Wet bescherming persoonsgegevens (WBP), mag u persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de persoonsgegevens ook daadwerkelijk vernietigen.

Wat zijn persoonsgegevens?
Het gaat in het kader van de AVG altijd over persoonsgegevens. Persoonsgegevens zijn gegevens die, alleen of in combinatie met andere gegevens, terug te herleiden zijn naar een natuurlijk persoon. Voorbeelden van persoonsgegevens zijn onder andere naam, adres, woonplaats, kentekennummer, personeelsnummer, mailadres en videobeelden.

Concrete termijnen 
In de AVG zijn echter geen concrete termijnen opgenomen voor het bewaren van persoonsgegevens. In sommige gevallen schiet andere wetgeving u te hulp waarin specifieke bewaartermijnen zijn opgenomen. Dit kunnen maximale bewaartermijnen zijn, daarna dient u de gegevens te vernietigen, of minimale bewaartermijnen, waarbij u zelf een passende termijn moet bepalen voor het eventueel langer bewaren. Is er geen wetgeving dan dient u zelf beargumenteerd bewaartermijnen te bepalen.

Vereisten bewaren persoonsgegevens

U dient voor het bewaren van persoonsgegevens aan de volgende vereisten voldoen:

1. U dient vooraf vast te stellen hoelang bepaalde documenten met persoonsgegevens bewaard gaan worden.
2. De bewaartermijnen moeten openomen worden in een zogenaamd verwerkingsregister.
3. De personen van wie u gegevens verwerkt dienen geïnformeerd te worden over deze bewaartermijnen.
4. De bepaalde bewaar- en vernietigingstermijn dienen zo mogelijk te worden vertaald naar passende technische en organisatorische maatregelen.
5. Na verstrijken van de bewaartermijn dienen de persoonsgegevens daadwerkelijk vernietigd te worden of geanonimiseerd.

Salaris, factuur en verzuim

Er zijn binnen uw organisatie diverse processen en activiteiten waarin verschillende categorieën van persoonsgegevens nodig zijn de verwerkingsdoelen per proces verschillen en waarvoor ook andere bewaartermijnen kunnen gelden. Denk aan salarisafspraken, facturen en verzuimbeheer. Hieronder hebben we enkele processen in een tabel gezet die meestal voorkomen in organisaties, met daarbij opgenomen wat de bewaartermijnen zijn en op welke wetgeving dit gebaseerd is. De bewaartermijn gaat lopen na bijvoorbeeld het einde van een dienstverband, het einde van een boekjaar of het doen van een registratie. Overigens kan het soms zo zijn dat de genoemde termijn wordt overruled door een andere wettelijke bewaarplicht (meestal is dit dan fiscale wetgeving).

Tip: Bepaal als organisatie zelf beargumenteerd bewaartermijnen voor de processen waarin dit niet wettelijk is bepaald.

 Vernietiging persoonsgegevens

Is de bewaartermijn van persoonsgegevens verstreken of zijn de gegevens niet meer noodzakelijk voor het doel? Dan moeten de gegevens vernietigd worden. Denk bijvoorbeeld aan gegevens over loonbeslag als het loonbeslag is opgeheven. Vernietiging moet gebeuren onder controle van uw bedrijf. Vernietigen houdt in dat de gegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm. De AVG stelt geen extra vereisten aan het vernietigen van persoonsgegevens.

Tip: Verwerkt uw accountants- en advieskantoor gegevens voor u, bijvoorbeeld de salarisadministratie? Dan is het van belang dat uw accountant en u goede afspraken maken over de bewaartermijnen van persoonsgegevens.

3. Hoe maak ik een register van verwerkingen? 

De belangrijkste nieuwe eis in de strengere privacywet AVG, die per 25 mei ingaat, is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen. Dit geldt onder andere voor het opstellen van een zogenaamd verwerkingsregister. Met het verwerkingsregister verkrijgt u inzicht in welke persoonsgegevens u verwerkt binnen uw organisatie.

Wat is een verwerkingsregister?

Het verwerkingsregister is een registratie van de persoonsgegevens die binnen uw organisatie worden verwerkt. Afhankelijk of u verwerker of verwerkingsverantwoordelijke bent dient u minimaal bepaalde informatie vast te leggen. 

Voor bijna elk mkb-bedrijf verplicht

Heeft uw bedrijf met meer dan 250 werknemers? Dan bent u verplicht een register van verwerkingen bij te houden. Heeft een bedrijf minder dan 250 werknemers in dienst, dan moet het ook over een verwerkingsregister beschikken, wanneer:

• de verwerking niet incidenteel is;
• het waarschijnlijk is dat de verwerking die het bedrijf verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
• de verwerking bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten bevatten.

Let op! Aangezien veruit de meeste verwerkingen niet incidenteel zijn, denk aan het verwerken van persoonsgegevens van medewerkers of klanten, zullen de meeste mkb-bedrijven vrijwel altijd een verwerkingsregister op moet stellen.

 Vereisten verwerkingsregister

Het register van de verwerkingsverantwoordelijke moet de volgende gegevens bevatten:

• de verwerkingsdoelen en de grondslagen voor verwerking
• een beschrijving van de categorieën van betrokkenen
• een beschrijving van de categorieën van persoonsgegevens
• de verwerkers die diensten voor u verlenen en beschikking over uw persoonsgegevens
• de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
• indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
• indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
• indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
• in voorkomend geval de naam van de functionaris voor gegevensbescherming

Het register van de verwerker moet de volgende gegevens bevatten:

• de naam en de contactgegevens van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt
• de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd
• indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
• indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
• in voorkomend geval de naam van de functionaris voor gegevensbescherming

Verwerkingsverantwoordelijke: een organisatie die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerker: een organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

In het geval een verantwoordelijke persoonsgegevens laat verwerken door een verwerker (denk bijvoorbeeld aan de uitbestede salarisadministratie van uw organisatie) dan dienen de verwerkingsregisters van verantwoordelijke en verwerker op elkaar aan te sluiten. In het geval de verwerker op zijn beurt ook weer bepaalde verwerkingen uitbesteed, denk aan een SAAS-dienstverlener of een hostingpartij, dan dient de subverwerker ook een verwerkingsregister te hebben. Zie onderstaande afbeelding van een verwerkingsketen.

Voorbeeld register van verwerkingen

In onderstaande afbeelding ziet u op welke wijze u dit register op kunt zetten in en eenvoudige tabel of spreadsheet. Bovenaan de kolommen staan de categorieën van gegevens vermeld die u per proces dient te registeren.  Ook maakt u hiermee inzichtelijk welke partijen (verwerkers) beschikken over uw persoonsgegevens en welke maatregelen u heeft getroffen om deze te beschermen.

Welke acties moet u in gang zetten?

Het verwerkingsregister geeft u inzicht in wat u heeft geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kunt u bepalen in welke proces of activiteit u zaken nog niet heeft ingeregeld, welke risico’s u mogelijk loopt en of de maatregelen die u heeft getroffen afdoende zijn. U kunt dit ook periodiek evalueren.

Mogelijke acties op basis van het verwerkingsregister:

• controleren van de gemaakte afspraken met verwerkers en mogelijk aanvullen van de verwerkersovereenkomsten
• vaststellen (privacy)beleid op specifieke onderwerpen
• aanvullen van verwerkingsdoelen en grondslagen van de gegevensverwerking
• vaststellen bewaartermijnen en inregelen vernietiging persoonsgegevens na het verstrijken van de bewaartermijnen
• controleren of de technische en organisatorische maatregelen zowel in uw eigen organisatie als bij uw verwerkers afdoende zijn
• gebruiken van de informatie uit het verwerkingsregister om de betrokkene(n) te informeren

 Tip: Wij kunnen u helpen om AVG-proof te worden als het gaat om de verwerkersovereenkomst die u met ons dient af te sluiten. Wij hebben een modelovereenkomst voor u klaarliggen. Belt u ons erover!

4. Toestemming gebruik foto werknemer

Gebruikt u foto’s van werknemers voor bijvoorbeeld uw website of een smoelenboek? Dat mag op grond van de privacywetgeving alleen wanneer uw werknemer hier uitdrukkelijk toestemming voor gegeven heeft en de werknemer weet waarvoor hij deze toestemming precies geeft.

Zorg dus dat u schriftelijk toestemming vraagt, en daarbij duidelijk uitlegt voor welke specifieke doeleinden u deze informatie wilt hebben. Zorg vervolgens dat de foto’s goed beveiligd worden tegen misbruik. Deze regels gelden al onder de huidige wet maar worden wel strenger uitgelegd bij de invoer van de nieuwe privacyregels per 25 mei 2018 als de AVG (Algemene Verordening Gegevensbescherming) in werking treedt. Nieuw is bijvoorbeeld de boete bij niet naleving van  maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet wanneer dat meer is.

Let op! Geeft de werknemer de toestemming niet, gebruik de foto dan ook niet.

5. Sportclubs nog niet klaar voor nieuwe privacywet AVG

Duizenden sportverenigingen zijn nog niet klaar voor de nieuwe privacywet AVG die per 25 mei van kracht wordt. Daarbij komt dat bestuursleden hoofdelijk aansprakelijk zijn als binnen de club een en ander niet op orde is, zo meldde eerder het Algemeen Dagblad.

Boetes
De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), bevat strengere regels voor het opslaan en verwerken van gegevens. Wie niet aan de nieuwe regels voldoet, kan een boete gepresenteerd krijgen. Er kan echter in eerste instantie ook een waarschuwing worden uitgedeeld bij overtreding van de regels.

Let op! De wet geldt voor bedrijven, overheden, organisaties en verenigingen, dus ook voor sportclubs.

Sportclubs

Bij sportclubs betekenen de nieuwe regels veel extra administratie voor de vele vrijwillige bestuursleden waarop dergelijke clubs veelal draaien. Zo moet onder meer vastgelegd worden wie toegang heeft tot privacygevoelige informatie en wat daarmee gedaan mag worden.

Toestemming

Bij foto’s van jeugdleden betekent de nieuwe wet bijvoorbeeld ook dat eerst toestemming van alle ouders nodig is bij publicatie op bijvoorbeeld de website. De Autoriteit Persoonsgegevens moet toezicht houden op de naleving van de wet.

Gebruik BCC

Ook datalekken moeten worden bijgehouden. Hiervan is al snel sprake. Een email met meerdere ontvangers mag bijvoorbeeld niet CC gestuurd worden, maar BCC, zodat de ontvangers anoniem blijven.

KNVB

De grootste sportbond van Nederland KNVB heeft de leden regelmatig geïnformeerd over de nieuwe wet en biedt hen hulp aan. Uit cijfers blijkt echter dat nog lang niet alle verenigingen voldoende op de nieuwe regels zijn voorbereid.