Nieuwsbrief juni 2018

1. MSI Global Alliance

Wist u dat Vanhier geassocieerd is met MSI (MSI Global Alliance)? Een accountancy, fiscaal en juridisch
samenwerkingsverband van professionele dienstverleners wereldwijd, dat het mogelijk maakt uw (internationale) organisatie een volledig en vakkundig dienstenpakket aan te bieden, waar ook ter wereld.

Vanhier is sedert vele jaren lid van MSI en regelmatig brengen wij Nederlandse klanten die grensoverschrijdend zaken doen in contact met collega’s in het buitenland. Dat kan zowel een accountant, advocaat als een belastingadviseur zijn. Ook zijn wij door ons lidmaatschap buitenlandse ondernemers die in Nederland zaken doen van dienst.

In het kader van deze samenwerking worden internationale conferenties bezocht waar wij spreken met collega’s uit Europa en de rest van de wereld. Zo ook in mei tijdens de EMEA* MSI conferentie in Milaan. De conferentie had als titel “Adding value and achieving profitability”, waarbij 138 professionals zich hadden aangemeld; afkomstig uit 25 landen van 58 kantoren.
*Europe, Middle East & Africa

Voor relaties stellen wij de brochure ‘Doing Business in the Netherlands’ beschikbaar op onze website. Het doel van deze gedetailleerde handleiding is om buitenlandse ondernemers wegwijs te maken met de zakelijke wet- en regelgeving in Nederland. De brochure biedt praktische informatie over Nederland en hoe een onderneming kan worden opgezet, de juiste rechtsvorm kan worden bepaald, subsidieschema’s, belastingsysteem, wetgeving en veel meer.

Wilt u meer weten over zaken doen in het buitenland? Bespreek dit dan met uw relatiebeheerder of neem
contact op met Paul Backes AA via pbackes@vanhier.nl.


2. Werkgever neemt verkeersboete voor zijn rekening

Een boete van een werknemer voor zijn rekening nemen, kan een werkgever duur komen te staan.

Onbelaste vergoeding verboden
Het is de werkgever niet toegestaan bepaalde geldboetes onbelast aan een werknemer te vergoeden. Wat het verkeer betreft gaat het hier onder meer om de verkeersboete, een naheffingsaanslag parkeerbelasting, kosten voor het verwijderen van een wielklem en van het rijden onder invloed van alcohol.

Verkeersboete voor werknemer met eigen auto
In vervolg op het voornoemde, is een vergoeding voor een verkeersboete aan een werknemer die met de eigen auto reed, belast. Afdracht van premies werknemersverzekeringen is niet vereist. Het voorgaande geldt ook als de werkgever het betalen van de geldboete voor zijn rekening neemt. Als de werkgever de boete netto aan de werknemer wil vergoeden, moet hij het boetebedrag bruteren. Het aldus ontstane bruto bedrag kan de werkgever vervolgens aan de werknemer uitkeren.

Naheffing
Stel dat de boete in eerste instantie door de werkgever is betaald – bijvoorbeeld omdat het kenteken van de auto op naam van de zaak staat – dan moet hij die boete verhalen op de betreffende werknemer.

Doet de werkgever dat niet, dan kan de boete worden aangemerkt als een nettoloonbetaling. Dat kan de werkgever een forse naheffingsaanslag kosten over de – gebruteerde – boete, inclusief verhoging en belastingrente. Hetzelfde geldt ook voor schade aan de auto die het gevolg is van onzorgvuldig gebruik van de auto door de werknemer.

Uitspraken Hoge Raad
De Hoge Raad heeft beslist dat een werkgever de verkeersboetes van een werknemer wegens te hard rijden altijd moet verhalen op het nettoloon van de werknemer. Ook bij snelheidsovertredingen van niet meer dan 10 kilometer!

De Hoge Raad heeft bepaald dat de verantwoordelijkheid voor de verkeersboete bij de werknemer ligt. De werkgever mag dus de verkeersboete op hem verhalen. Laat de werkgever dit na, dan moet hij de boete op het netto loon van de werknemer inhouden.

De Hoge Raad maakt in zake verkeersboetes in feite geen onderscheid tussen werknemers met en zonder een auto van de zaak. Zij doet dit omdat er anders rechtsongelijkheid zou ontstaan, werknemers met een eigen auto moeten immers ook de boete zelf betalen.

Uitzondering
Als de werkgever het begaan van een overtreding heeft bevorderd, bijvoorbeeld omdat de werknemer anders te laat bij een klant zou zijn of de post niet meer bezorgd zou kunnen worden, mag de werkgever de verkeersboete voor zijn rekening nemen. De belastingdienst zal hier evenwel scherp naar kijken.

Wet Mulder boete
Een verkeersboete wordt in principe opgelegd aan de bestuurder van de auto. Een ‘Wet Mulder boete’ wordt opgelegd als er sprake is van een lichte verkeersovertreding. Lichte verkeersovertredingen worden via de ‘Wet Administratieve Handhaving Verkeersvoorschriften’ (WAHV) afgehandeld. Alleen wanneer de bestuurder niet direct geïdentificeerd kan worden, wordt de boete op grond van artikel 5 WAHV opgelegd aan de kentekenhouder.

Naheffingsaanslag parkeerbelasting
Een naheffingsaanslag parkeerbelasting bestaat uit parkeerbelasting en kosten. De kosten van een naheffingsaanslag parkeerbelasting mag de werkgever niet onbelast vergoeden. Als de werknemer in een eigen auto rijdt, kan de werkgever de parkeerbelasting alleen onbelast vergoeden als hij niet meer vergoedt dan € 0,19 per kilometer. Als de werknemer in een auto van de zaak rijdt, kan de werkgever de parkeerbelasting onbelast vergoeden.

Verkeersboete soms toch belastingvrij
Onder de werkkostenregeling (WKR) zijn belastingvrije geldboetes niet mogelijk. Wettelijk is namelijk bepaald dat geldboetes niet ten laste van uw vrije ruimte mogen komen, maar individueel bij uw werknemers moeten worden belast. Dat geldt dan voor vergoedingen van boetes die een werknemer heeft gekregen. Het gaat dus om boeten door de werknemer opgelopen in diens eigen auto.

Voor verkeersboetes door de werkgever zelf opgelopen omdat het een diens auto betreft, is hierop door de Belastingdienst in het Handboek loonheffingen een uitzondering opgenomen. Het voordeel dat de werknemer heeft indien de werkgever een dergelijke boete niet zou verhalen, een voordeel dat normaliter tot het belaste loon van de werknemer zou behoren, kan door de werkgever als eindheffingsloon worden aangewezen en in de WKR worden ondergebracht. Een en ander mits daarmee voldaan wordt aan de gebruikelijkheidstoets zoals die voor die regeling geldt. Omdat er een gebruikelijkheidsmarge van € 2.400,- per werknemer geldt, zal indien de overigens aangewezen eindheffingsloonbestanddelen en de niet-verhaalde boetes deze grens niet overschrijden, doorgaans voldaan zijn aan deze toets. Zie over een en ander verder het Handboek Loonheffingen 2018, paragraaf 4.2.


3. Hoe beveilig ik mijn persoonsgegevens?

U moet volgens de AVG uw persoonsgegevens op een juiste en doeltreffende manier beveiligen. Op welke wijze geeft u daar invulling aan?

Zijn er zaken die minimaal geregeld moeten worden? Hoe ga ik met deze verplichting om richting mijn leveranciers en serviceproviders? Want uw onderneming is volgens de AVG verantwoordelijk voor het nemen van passende technische én organisatorische maatregelen om een adequaat beveiligingsniveau te waarborgen voor de verwerking van persoonsgegevens.

Persoonsgegevens goed beveiligen
Hoe moet ik volgens de AVG die persoonsgegevens dan goed beveiligen? Hiervoor moet u met de volgende zaken rekening houden:

  • de stand van de techniek – de huidige technische stand van de techniek is voor wat betreft technische maatregelen bepalend voor wat er minimaal van u verwacht wordt;
  • de aard, de omvang en doeleinden van de verwerkingen – de categorieën van persoonsgegevens in samenhang met de hoeveelheid persoonsgegevens en de verwerkingsdoelen zijn medebepalend voor de te nemen maatregelen;
  • de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de personen – feitelijk dient u een risico-inschatting te maken van uw verwerkingen en op basis hiervan uw maatregelen te treffen;
  • verwerkers – u kunt alleen een beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van technische en organisatorische maatregelen bieden; deze maatregelen moeten worden opgenomen in een verwerkersovereenkomst; u bent bovendien gerechtigd te (laten) controleren bij uw verwerker(s) of de maatregelen adequaat zijn;
  • de uitvoeringskosten – de AVG biedt tevens ruimte om een kostenafweging te maken. Indien de risico’s beperkt zijn, wordt niet van u verwacht dat u grote investeringen doet om een hoog beschermingsniveau te bereiken;
  • beleid – als u van mening bent dat u, gezien voorgaande zaken, hoge risico’s loopt bij de verwerking van persoonsgegevens, dan dient u een passend zogeheten gegevensbeschermingsbeleid uit te voeren. Dat houdt in dat u op basis van een risico-inschatting de beschermingsmaatregelen bepaalt. Voor de meeste mkb-ondernemingen zal een gegevensbeschermingsbeleid niet nodig zijn.

Maatregelen beveiligen
Vervolgens geeft de AVG enkele voorbeelden van mogelijke maatregelen, namelijk:

  • pseudonimiseren en versleuteling van persoonsgegevens;
  • op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten garanderen;
  • het tijdig herstellen van toegang en beschikbaarheid bij een incident, zoals een datalek;
  • een evaluatieprocedure om doeltreffendheid van de maatregelen te testen en beoordelen.

Pseudonimiseren van persoonsgegevens
Persoonsgegevens kunnen in het geval van pseudonimiseren niet meer aan een specifieke betrokkene worden gekoppeld zonder dat er aanvullende gegevens nodig zijn (een zogenaamde sleutel om informatie te decoderen). Omdat het via het gebruik van een sleutel nog steeds mogelijk is om de betreffende persoon (indirect) te identificeren, kwalificeren pseudoniemen nog steeds als persoonsgegevens. Dit in tegenstelling tot het anonimiseren van persoonsgegevens.

Andere maatregelen
Andere maatregelen die u sowieso moet treffen, zijn:

  • wachtwoordbeleid en rechten- en autorisatiestructuur inrichten;
  • logging en controle (monitoring) van toegang tot de informatiesystemen;
  • implementatie van actuele beveiligingsupdates;
  • viruscontrole en firewall inregelen;
  • monitoring kwetsbaarheden op het interne en externe netwerk;
  • adequate fysieke beschermingsmaatregelen treffen;
  • procedures voor opslag, onderhoud en vernietiging van data opstellen;
  • procedures voor het behandelen van informatiebeveiligingsincidenten en datalekken opstellen;
  • back-upbeleid opzetten en uitvoeren adequate back-ups.

Gedragscode of certificering
Door als onderneming aan te sluiten bij een gedragscode voor de verwerking van persoonsgegevens (bijvoorbeeld binnen uw branche) of een specifieke certificering, kunt u aantonen dat u aan de vereisten voor technische en organisatorische maatregelen die de AVG stelt, voldoet. Een voorbeeld van een algemeen geaccepteerde standaard voor informatiebeveiliging is ISO27001.

Tip:
Indien u gebruik wilt maken van bepaalde certificeringen om wat betreft technische en organisatorische maatregelen te voldoen aan de verplichtingen uit de AVG, maak dan keuzes. Want het kan zijn dat uw onderneming niet alle onderdelen van die certificeringen nodig heeft!


4. Toch een datalek! Wat nu?

De AVG schrijft voor dat uw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens, zogenaamde datalekken, moet melden bij de Autoriteit Persoonsgegevens (AP). Wat betekent dit voor uw bedrijf? Waaraan moet u precies voldoen?

In sommige situaties dient u ook de betrokkene(n) bij het datalek te informeren. Deze verplichting is niet nieuw in de AVG en was ook al voorgeschreven in de Wet Bescherming Persoonsgegevens (WBP).

Wat is een datalek?
Een datalek wordt in de AVG (artikel 4) omschreven als ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.

Er is alleen sprake van een datalek als zich een beveiligingsincident heeft voorgedaan én indien persoonsgegevens verloren zijn gegaan dan wel onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uit te sluiten is.

Datalek snel melden
Indien een datalek heeft plaatsgevonden, meldt u deze zonder onredelijke vertraging, maar wel uiterlijk 72 uur nadat u er kennis van heeft genomen. Indien de melding aan de AP niet binnen 72 uur plaatsvindt, moet u motiveren waardoor de vertraging is opgetreden. Een (sub)verwerker, zoals een leverancier, moet u, omdat u verantwoordelijke bent, onverwijld te informeren zodra hij kennis heeft genomen van een datalek, zodat u nog de gelegenheid heeft tijdig de AP te informeren. Normaal gesproken maakt u hierover afspraken met uw verwerkers in een zogenaamde verwerkersovereenkomst. Het is dan ook raadzaam om met uw verwerker af te spreken dat deze uiterlijk binnen 24 uur aan u meldt, zodat u nog voldoende tijd heeft om te melden bij de AP.

Niet melden
Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In andere bewoordingen houdt dit in dat het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens of de kans hierop.

Persoonsgegevens van gevoelige aard en factoren met kans op ernstige nadelige gevolgen
Persoonsgegevens van gevoelige aard zijn:

  • bijzondere persoonsgegevens zoals religieuze of levensbeschouwelijke overtuiging, ras, politieke opvattingen en gegevens over gezondheid;
  • BSN-nummer;
  • gegevens die kunnen leiden tot stigmatisering of uitsluiting;
  • gegevens die onderworpen zijn aan geheimhouding/beroepsgeheim.

Factoren met (kans op) ernstige nadelige gevolgen:

  • omvangrijke verwerkingen of een keten van gegevensverwerking;
  • ingrijpende beslissingen die worden genomen met de gegevens;
  • kwetsbare groepen zoals kinderen en gehandicapten.

Hoe meld je een datalek?
Organisaties die een datalek moeten melden, doen dit bij de AP via het digitale meldingsformulier op de website van de AP. U kunt met dit formulier ook een voorlopige melding doen en deze later aanvullen of intrekken.

Welke informatie moet u verstrekken?
De volgende informatie moet u verstrekken:

  • de aard van het datalek, waar mogelijk onder vermelding van de categorieën van betrokkenen en het aantal betrokkenen;
  • de naam van de persoon met wie contact kan worden opgenomen voor meer informatie;
  • de (waarschijnlijke) gevolgen van het datalek;
  • de maatregelen die u heeft voorgesteld en/of genomen om het datalek aan te pakken.

Documentatieplicht
Voor alle datalekken (ongeacht of u deze heeft gemeld) geldt dat u deze moet vastleggen in bijvoorbeeld een incidentenregister, waarbij u bovenstaande gegevens vastlegt. Daarbij is het raadzaam vast te leggen wat het meldingsnummer van het datalek is dan wel de reden waarom is besloten af te zien van melding.

Melding aan betrokkene
Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (ofwel ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene), dient u de betrokkene(n) onverwijld te informeren. De mededeling aan de betrokkene bevat een toelichting – in duidelijke en eenvoudige taal – op wat er is gebeurd, op de acties en maatregelen die zijn ondernomen, wat het betekent voor de betrokkene en het advies dat u geeft over wat betrokkene het beste kan doen.

Let op!
In de volgende situaties dient altijd gemeld te worden aan betrokkene(n): het betreft lekken van persoonsgegevens van gevoelige aard, bijvoorbeeld BSN-nummers of financiële gegevens, de persoonsgegevens zijn blootgesteld aan vernietiging of aantasting of de versleuteling van de persoonsgegevens is niet adequaat of niet volledig.

Niet melden aan betrokkene
De mededeling aan de betrokkene(n) is niet vereist wanneer een van de volgende voorwaarden is vervuld:

  • u heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling van gegevens;
  • u heeft achteraf maatregelen genomen om ervoor te zorgen dat het bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
  • de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

5. Water of ijs op kosten van de zaak?

De mussen ‘vallen’ met deze hitte van het dak, maar als goed werkgever wilt u dat uw personeel zo weinig mogelijk last heeft van de hoge temperaturen. De airco staat natuurlijk aan, maar zijn er ook andere slimme tips of mogelijkheden binnen de werkkostenregeling?

Extra pauzes en tropenrooster
Een eenvoudige maatregel is het invoeren van extra pauzes. Of als het lukt met de werkzaamheden van uw organisatie: de introductie van een zogenaamd tropenrooster. Uiteraard doet u dit laatste in overleg met uw werknemers. Niet iedereen kan zijn werktijden immers zomaar aanpassen, bijvoorbeeld als je afhankelijk bent van het openbaar vervoer.

Voorkom uitdrogen
Een gevaar bij extreme warmte is de kans op uitdroging. Zorg voor voldoende water en/of deel frisdrank en thee uit. Op de werkplek kan dit onbelast. De ‘werkplek’ is iedere plek waar u als werkgever verantwoordelijk voor bent, dus bijvoorbeeld ook uw magazijn of vergaderruimte. U mag drankjes niet zomaar onbelast vergoeden, dus zorg dat u die zelf voor uw rekening neemt.

Werkkostenregeling
Is dit organisatorisch nogal lastig, dan kunt u drankjes ook vergoeden en de vergoeding onderbrengen in de werkkostenregeling. De vergoeding blijft dan voor de werknemer onbelast. Voor u als werkgever ook, mits u dit jaar aan vergoedingen en verstrekkingen niet meer uitgeeft dan 1,2% van de loonsom.

Let op!
Schiet u in de werkkostenregeling over de 1,2% van de loonsom, dan betaalt u als werkgever 80% eindheffing over het meerdere.

IJsje van de zaak
Ook een ijsje of andere koude versnapering zal zeker op prijs worden gesteld en komt de arbeidssfeer met deze warmte zeker ten goede. Ook dit blijft op de werkplek onbelast als uw bedrijf de rekening zelf betaalt. Een vergoeding is ook nu belast, dus liever niet.


6. Zo gaat de fiscus om met uw cryptovaluta

Sinds de spectaculaire waardestijging van de bitcoin, kunnen cryptovaluta rekenen op een toenemende belangstelling. Onlangs heeft ook de staatssecretaris van Financiën zich uitgelaten over de fiscale aspecten ervan.

Box 3
Duidelijk is in ieder geval dat het bezit van cryptovaluta moet worden opgegeven in box 3. De waarde op 1 januari van het betreffende jaar is beslissend. Cryptovaluta kunnen enorm fluctueren in waarde, wat betekent dat er enorme risico’s aan verbonden zijn. Belastingplichtigen moeten er dan ook rekening mee houden dat een bezit aan cryptovaluta op 1 januari van een jaar ‘zomaar’ grotendeels verloren kan zijn op het moment dat er belasting over betaald moet worden.

Let op!
In voorkomende gevallen is het te overwegen alvast via een aanpassing van de voorlopige aanslag in te spelen op de waardestijging of -daling van de valuta.

‘Minen’ als inkomensbron?
Het verdienen van cryptovaluta via het zelf beschikbaar stellen van rekenkracht op een of meer computers, heet minen. Het is nog maar de vraag of minen door particulieren als inkomensbron moet worden aangemerkt en of het dus belast is. De staatssecretaris laat een duidelijk antwoord in het midden, maar geeft aan dat dit met name afhankelijk is van de vraag of voordeel redelijkerwijs te verwachten is. Gezien de onduidelijkheid rond de te verwachten voordelen, zal dit waarschijnlijk niet snel het geval zijn. Dit betekent echter ook dat verliezen niet aftrekbaar zijn.

Let op!
Voor bv’s is minen een bedrijfsactiviteit en zijn de inkomsten dus altijd belast. Verliezen zijn dus ook aftrekbaar.

Ondernemers met cryptovaluta
Cryptovaluta worden nog slechts in uitzonderingsgevallen als betaalmiddel geaccepteerd. Cryptovaluta zijn voor ondernemers in het algemeen dan ook aan te merken als belegging. Verder zijn duurzaam overtollige liquide middelen voor ondernemers als privévermogen aan te merken. Dit betekent dat een speculatieverlies met cryptovaluta in de regel niet aftrekbaar is als verlies uit onderneming.


7. Te veel belasting over uw vermogen? Maak nu bezwaar!

Bent u het oneens met de berekening van de inkomstenbelasting over het rendement op vermogen (box 3-heffing) voor het belastingjaar 2017, dan moet u vanaf dit jaar altijd individueel en tijdig bezwaar maken tegen die aanslag. Tijdig wil zeggen binnen 6 weken na dagtekening aanslag. Voor aanslagen welke reeds opgelegd zijn voor eind mei, dagtekening brief inzake wijziging, geldt een verlenging termijn zodat het bezwaar vóór 15 juli binnen moet zijn. Dit heeft de Rijksoverheid laten weten. De heffing over ons vermogen in box 3 wordt gebaseerd op een forfaitair rendement. Of u dat rendement in werkelijkheid ook behaalt, is niet van belang.

Eerder is beslist dat bezwaren tegen de heffing op spaarsaldi in box 3 worden aangemerkt als ‘massaal bezwaar’ voor de periode 2013 tot en met 2016. Dit betekent dat bezwaren tegen de heffing in box 3 over deze jaren niet nodig zijn, voor zover het de heffing op spaarsaldi betreft. Worden belastingplichtigen in deze zaken in het gelijk gesteld, dan geldt de uitspraak dus voor iedereen in soortgelijke omstandigheden.

Wilt u de heffing over deze jaren op ander vermogen of op andere gronden aanvechten, dan is bezwaar voor de jaren 2013 t/m 2016 dus wel nodig.


8. Publicatieplicht jaarcijfers ANBI vóór 1 juli

Een ANBI is een Algemeen Nut Beogende Instelling die een aantal fiscale voordelen geniet. Daar zitten wel voorwaarden aan vast. Een ANBI is verplicht de balans en de staat van baten en lasten van een jaar binnen zes maanden te publiceren. Voor 2017 betekent dit dat de cijfers vóór 1 juli 2018 gepubliceerd moeten zijn. Ook moet een toelichting hierop worden gepubliceerd. Let op: de gegevens moeten gepubliceerd worden op een internetsite.

Naast de jaarlijkse cijfers moeten ook de volgende gegevens standaard op de site vermeld worden: naam en contactgegevens van de ANBI, RSIN/fiscaal nummer, omschrijving doelstellingen, een beleidsplan, bestuurders plus hun functie, beloningsbeleid bestuur, directie en personeel en een verslag van de uitgeoefende activiteiten.

Reacties (0)

Plaats een reactie