Nieuwsbrief mei 2018
1. Terugblik: bijzondere avond 18 april 2018
Afgelopen woensdag 18 april 2018 was Vanhier medeorganisator van een unieke bijeenkomst. Deze bijeenkomst stond in het teken van duurzaamheid, klimaatverandering en de overgang naar een circulaire economie; wat zijn de uitdagingen waar ondernemingen de komende jaren mee te maken krijgen.
Een groep belangstellende ondernemers luisterde tijdens dit evenement bij de businessclub van Mixed Hockeyclub Castricum aandachtig naar de bijdragen van Marc Valkering (GP Groot) en Edwin ter Velde (Clean 2 Antarctica). Het was bijzonder inspirerend te horen hoe een regionaal familiebedrijf als GP Groot succesvol onderneemt met het recyclen van afval en het produceren van hernieuwbare energie. Het aansluitende verhaal van Edwin ter Velde over zijn voorgenomen expeditie naar de geografische zuidpool op Antarctica was even indrukwekkend als bijzonder. Belangrijke pijlers in beide verhalen zijn inspiratie en toewijding aan duurzaamheid alsmede het gebruik van nieuwe technologieën en -economische modellen.
We kijken terug op een geslaagd netwerk-event met voldoende eyeopeners voor ondernemers en Vanhier als hun adviseur. Het op de voet blijven volgen van én het aan de slag gaan met innovatieve ontwikkelingen zijn voorwaarden voor een duurzaam succesvolle toekomst.
2. De AVG komt eraan
Vanhier is een accountantskantoor dat met name ondernemers ondersteunt bij vraagstukken op financieel en fiscaal gebied. Wij zijn derhalve geen specialisten op het gebied van de AVG (Algemene Verordening Gegevensbescherming), die vraagt om maatregelen op zowel organisatorisch als technisch gebied. Wij kunnen u daarom veelal alleen van algemene informatie voorzien. Voor de implementatie van de AVG binnen ons kantoor worden wij dan ook zelf door een externe partij, die tevens goed op de hoogte is van onze branche, ondersteund.
Vanaf 25 mei 2018 wordt de AVG van kracht. Vanaf dat moment heeft een organisatie die persoonsgegevens verwerkt meer verplichtingen. De belangrijkste doelstelling is het beschermen van de privacy van ‘het individu’: hier heeft iedereen dus baat bij. De AVG legt meer nadruk op de verantwoordelijkheid van de organisatie die persoonsgegevens verwerkt om aan te tonen dat zij voldoet aan de privacyregels, dit heet de verantwoordingsplicht. De verantwoordingsplicht houdt onder andere in dat de organisatie door middel van procesbeschrijvingen en een verwerkingsregister moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.
De voornaamste uitdaging om te voldoen aan de verplichtingen van de AVG is dat zowel organisatorische als technische maatregelen genomen moeten worden en dat niet expliciet wordt aangegeven hoe het totaalpakket aan maatregelen er precies uit moet zien. De verplichte maatregelen die de AVG wel concreet noemt zijn:
- het bijhouden van een register van verwerkingsactiviteiten;
- het uitvoeren van een data protection impact assessment (DPIA, een middel op privacyrisico’s van een gegevensverwerking in kaart te brengen) voor gegevensverwerkingen met een hoog privacyrisico;
- het bijhouden van een register van datalekken die zijn opgetreden;
- het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor een verwerking toestemming nodig heeft;
- wanneer onduidelijk is of de organisatie verplicht is om een Functionaris voor gegevensbescherming (FG) aan te stellen, moet zij goed kunnen onderbouwen waarom ervoor gekozen is om al dan niet een FG aan te stellen.
Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen om te voldoen aan de AVG zoals bijvoorbeeld het behalen van een bepaald certificaat en/of het hanteren van een ICT-beveiligingsbeleid.
De organisatie dient passende maatregelen te nemen om datalekken van persoonsgegevens te voorkomen (en daarmee ook boetes en imagoschade). Wat passend is, zal echter per organisatie verschillen.
Op de site van de Autoriteit Persoonsgegevens kunt u terecht voor aanvullende informatie. Daar vindt u algemene informatie, antwoorden op veel gestelde vragen en enkele hulpmiddelen/tools (zoals het 10 stappenplan en de AVG regelhulp)
Verder zou wellicht uw branchevereniging behulpzaam kunnen zijn in het kader van de implementatie van de AVG.
3. AVG: hoe maak ik een register van verwerkingen?
De belangrijkste nieuwe eis in de strengere privacywet AVG, die per 25 mei ingaat, is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen. Dit geldt onder andere voor het opstellen van een zogenaamd verwerkingsregister. Met het verwerkingsregister verkrijgt u inzicht in welke persoonsgegevens u verwerkt binnen uw organisatie.
Wat is een verwerkingsregister?
Het verwerkingsregister is een registratie van de persoonsgegevens die binnen uw organisatie worden verwerkt. Afhankelijk of u verwerker of verwerkingsverantwoordelijke bent dient u minimaal bepaalde informatie vast te leggen.
Voor bijna elk mkb-bedrijf verplicht
Heeft uw bedrijf met meer dan 250 werknemers? Dan bent u verplicht een register van verwerkingen bij te houden. Heeft een bedrijf minder dan 250 werknemers in dienst, dan moet het ook over een verwerkingsregister beschikken, wanneer:
- de verwerking niet incidenteel is
- het waarschijnlijk is dat de verwerking die het bedrijf verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen
- de verwerking bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten bevatten
Let op!
Aangezien veruit de meeste verwerkingen niet incidenteel zijn, denk aan het verwerken van persoonsgegevens van medewerkers of klanten, zullen de meeste mkb-bedrijven vrijwel altijd een verwerkingsregister op moet stellen.
Vereisten verwerkingsregister
Het register van de verwerkingsverantwoordelijke moet de volgende gegevens bevatten:
- de verwerkingsdoelen en de grondslagen voor verwerking
- een beschrijving van de categorieën van betrokkenen
- een beschrijving van de categorieën van persoonsgegevens
- de verwerkers die diensten voor u verlenen en beschikking over uw persoonsgegevens
- de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
- indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
- indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
- in voorkomend geval de naam van de functionaris voor gegevensbescherming
Het register van de verwerker moet de volgende gegevens bevatten:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt
- de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd
- indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
- in voorkomend geval de naam van de functionaris voor gegevensbescherming
Verwerkingsverantwoordelijke: een organisatie die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker: een organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
In het geval een verantwoordelijke persoonsgegevens laat verwerken door een verwerker (denk bijvoorbeeld aan de uitbestede salarisadministratie van uw organisatie) dan dienen de verwerkingsregisters van verantwoordelijke en verwerker op elkaar aan te sluiten. In het geval de verwerker op zijn beurt ook weer bepaalde verwerkingen uitbesteed, denk aan een SAAS-dienstverlener of een hostingpartij, dan dient de subverwerker ook een verwerkingsregister te hebben.
Zie onderstaande afbeelding van een verwerkingsketen.
Voorbeeld register van verwerkingen
In onderstaande afbeelding ziet u op welke wijze u dit register op kunt zetten in en eenvoudige tabel of spreadsheet. Bovenaan de kolommen staan de categorieën van gegevens vermeld die u per proces dient te registeren. Ook maakt u hiermee inzichtelijk welke partijen (verwerkers) beschikken over uw persoonsgegevens en welke maatregelen u heeft getroffen om deze te beschermen.
Welke acties moet u in gang zetten?
Het verwerkingsregister geeft u inzicht in wat u heeft geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kunt u bepalen in welke proces of activiteit u zaken nog niet heeft ingeregeld, welke risico’s u mogelijk loopt en of de maatregelen die u heeft getroffen afdoende zijn. U kunt dit ook periodiek evalueren.
Mogelijke acties op basis van het verwerkingsregister:
- controleren van de gemaakte afspraken met verwerkers en mogelijk aanvullen van de verwerkersovereenkomsten
- vaststellen (privacy)beleid op specifieke onderwerpen
- aanvullen van verwerkingsdoelen en grondslagen van de gegevensverwerking
- vaststellen bewaartermijnen en inregelen vernietiging persoonsgegevens na het verstrijken van de bewaartermijnen
- controleren of de technische en organisatorische maatregelen zowel in uw eigen organisatie als bij uw verwerkers afdoende zijn
- gebruiken van de informatie uit het verwerkingsregister om de betrokkene(n) te informeren
Tip:
Wij kunnen u helpen om AVG-proof te worden als het gaat om de verwerkersovereenkomst die u met ons dient af te sluiten. Wij hebben een modelovereenkomst voor u klaarliggen. Belt u ons erover!
4. AVG: hoe lang mag u persoonsgegevens bewaren?
Hoe lang mag u bij een vacature bijvoorbeeld de sollicitatiegegevens van kandidaten bewaren? Wat zijn de regels rond het bewaren van camerabeelden en de gegevens over het internetgebruik van uw medewerkers?
Hoe lang bent u verplicht bepaalde gegevens, zoals facturen en dergelijke, minimaal op te slaan? Wat zegt de strengere AVG erover die per 25 mei 2018 ingaat en ook voor uw bedrijf gaat gelden?
Volgens de AVG, dat is ook al zo onder de Wet bescherming persoonsgegevens (WBP), mag u persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de persoonsgegevens ook daadwerkelijk vernietigen.
Wat zijn persoonsgegevens?
Het gaat in het kader van de AVG altijd over persoonsgegevens. Persoonsgegevens zijn gegevens die, alleen of in combinatie met andere gegevens, terug te herleiden zijn naar een natuurlijk persoon. Voorbeelden van persoonsgegevens zijn onder andere naam, adres, woonplaats, kentekennummer, personeelsnummer, mailadres en videobeelden.
Concrete termijnen
In de AVG zijn echter geen concrete termijnen opgenomen voor het bewaren van persoonsgegevens. In sommige gevallen schiet andere wetgeving u te hulp waarin specifieke bewaartermijnen zijn opgenomen. Dit kunnen maximale bewaartermijnen zijn, daarna dient u de gegevens te vernietigen, of minimale bewaartermijnen, waarbij u zelf een passende termijn moet bepalen voor het eventueel langer bewaren. Is er geen wetgeving dan dient u zelf beargumenteerd bewaartermijnen te bepalen.
Vereisten bewaren persoonsgegevens
U dient voor het bewaren van persoonsgegevens aan de volgende vereisten voldoen:
- U dient vooraf vast te stellen hoelang bepaalde documenten met persoonsgegevens bewaard gaan worden.
- De bewaartermijnen moeten openomen worden in een zogenaamd verwerkingsregister.
- De personen van wie u gegevens verwerkt dienen geïnformeerd te worden over deze bewaartermijnen.
- De bepaalde bewaar- en vernietigingstermijn dienen zo mogelijk te worden vertaald naar passende technische en organisatorische maatregelen.
- Na verstrijken van de bewaartermijn dienen de persoonsgegevens daadwerkelijk vernietigd te worden of geanonimiseerd.
Salaris, factuur en verzuim
Er zijn binnen uw organisatie diverse processen en activiteiten waarin verschillende categorieën van persoonsgegevens nodig zijn de verwerkingsdoelen per proces verschillen en waarvoor ook andere bewaartermijnen kunnen gelden. Denk aan salarisafspraken, facturen en verzuimbeheer. Hieronder hebben we enkele processen in een tabel gezet die meestal voorkomen in organisaties, met daarbij opgenomen wat de bewaartermijnen zijn en op welke wetgeving dit gebaseerd is. De bewaartermijn gaat lopen na bijvoorbeeld het einde van een dienstverband, het einde van een boekjaar of het doen van een registratie. Overigens kan het soms zo zijn dat de genoemde termijn wordt overruled door een andere wettelijke bewaarplicht (meestal is dit dan fiscale wetgeving).
Tip:
Bepaal als organisatie zelf beargumenteerd bewaartermijnen voor de processen waarin dit niet wettelijk is bepaald.
Vernietiging persoonsgegevensIs de bewaartermijn van persoonsgegevens verstreken of zijn de gegevens niet meer noodzakelijk voor het doel? Dan moeten de gegevens vernietigd worden. Denk bijvoorbeeld aan gegevens over loonbeslag als het loonbeslag is opgeheven. Vernietiging moet gebeuren onder controle van uw bedrijf. Vernietigen houdt in dat de gegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm. De AVG stelt geen extra vereisten aan het vernietigen van persoonsgegevens.
Tip:
Verwerkt uw accountants- en advieskantoor gegevens voor u, bijvoorbeeld de salarisadministratie? Dan is het van belang dat uw accountant en u goede afspraken maken over de bewaartermijnen van persoonsgegevens.
5. Onkostenvergoeding zakelijke reis van uw werknemer
Als ambtenaren op dienstreis gaan, gelden er vaste bedragen als onkostenvergoeding. Deze bedragen zijn vastgesteld volgens het Reisbesluit. Deze bedragen mag u ook toepassen voor zakelijke reiskosten van werknemers binnen uw bedrijf.
Dienstreizen binnenland
Voor binnenlandse dienstreizen kunt u maximaal de volgende bedragen voor verblijfkosten onbelast vergoeden aan uw werknemer:
- kleine uitgaven overdag: € 4,41
- kleine uitgaven ‘s avonds: € 8,83
- ontbijt: € 9,94
- lunch: € 8,93
- avondmaaltijd: € 22,41
- logies: € 100,68
Vergoeding bovenmatig
Vergoedt u meer dan genoemde bedragen, dan kunt u het meerdere als belast loon aanmerken of onderbrengen in de werkkostenregeling. De vergoeding is dan onbelast bij de werknemer.
Let op! Komt u echter met alle vergoedingen en verstrekkingen betreft de werkkostenregeling in het jaar boven de grens van 1,2% van de loonsom van uw bedrijf uit, dan betaalt u als werkgever 80% eindheffing over het meerdere.
Dienstreizen buitenland
Ook voor dienstreizen naar het buitenland kunt u het Reisbesluit Buitenland volgen voor wat betreft onbelaste vergoedingen. Ook deze vergoedingen zijn gerichte vrijstellingen en dus onbelast. De vergoedingen verschillen per land, streek en stad. Meer informatie vindt u op deze site van de Overheid.
Niet aannemelijk? Dan belast!
Als u de kosten van een overnachting niet aannemelijk kunt maken, mag u volgens het Reisbesluit Buitenland een vergoeding van € 11,34 geven. Deze vergoeding is dan echter wel belast. Dit geldt overigens voor alle bedragen die u niet aannemelijk kunt maken, aangezien het aftrekbare kosten betreft en de bewijslast bij u ligt.
Meer of minder kosten?
U bent niet verplicht de vergoedingen volgens de Reisbesluiten te volgen. U kunt dus ook alle werkelijke kosten vergoeden op basis van facturen. U zult wel altijd de zakelijkheid aannemelijk moeten kunnen maken.
6. Zakendoen binnen de EU? Pas het btw-nultarief zorgvuldig toe
Doet u zaken met buitenlandse afnemers binnen de EU? Dan bent u in principe verplicht btw in rekening te brengen en deze af te dragen. Onder voorwaarden kunt u het nultarief toepassen. Voldoet u niet aan deze voorwaarden, dan loopt u het risico van naheffing btw bij controle door de Belastingdienst.
Btw is verplicht tenzij…
Iedere ondernemer is in beginsel bij levering van goederen in/vanuit Nederland verplicht btw in rekening te brengen en deze af te dragen aan de Belastingdienst. De hoofdregel geldt ook voor levering van goederen aan een buitenlandse afnemer. Op de factuur dient dus in beginsel Nederlandse btw te worden vermeld. Onder voorwaarden is het echter mogelijk een levering te verrichten waarbij voor de btw het zogenoemde nultarief kan worden toegepast.
Toepassing nultarief
Een levering aan een afnemer binnen een andere EU-lidstaat kan gebeuren tegen het nultarief als in ieder geval aan onderstaande voorwaarden wordt voldaan:
- De goederen moeten vanwege de verkoop naar een andere EU-lidstaat worden vervoerd; en
- De afnemer moet over een buitenlandse (EU) btw-nummer beschikken en dit nummer verstrekken aan de leverancier, die dit nummer op de factuur vermeldt.
Incidentele afnemer
Bij vervoer door en/of voor rekening van een incidentele afnemer loopt u het risico dat u later over onvoldoende bewijs beschikt dat de goederen ook daadwerkelijk zijn vervoerd naar een ander EU-land. U kent de afnemer immers niet of niet goed. Daarom verdient het in rekening brengen van Nederlandse btw in deze situatie de voorkeur.
Tip:
Pas het btw-nultarief niet toe bij incidentele afnemers uit een EU-lidstaat.
Vaste afnemer
Als het vervoer echter plaats heeft door en/of voor rekening van een vaste afnemer, dan kent Nederland daarvoor een specifieke regeling. Bij dergelijke transacties mag u het nultarief toepassen als u per transactie een zogenoemde vervoers- of afhaalverklaring opstelt. Dit laat onverlet dat elk ander aanvullend bewijs dat de goederen Nederland hebben verlaten uiteraard een betere bewijspositie opleveren.
Extra risico bij afhaaltransactie vanwege recente rechtspraak!
Een zeer recente rechtspraak van het Hof van Justitie EU zet de toepassing van het nultarief bij afhaaltransacties verder onder druk! Er blijkt namelijk een extra risico bij toepassing van het btw-nultarief als uw afnemer zorg draagt voor het vervoer van de goederen.
Een Duitse leverancier had goederen verkocht aan een Oostenrijkse afnemer met de afspraak dat de Oostenrijkse afnemer de goederen vanuit Duitsland naar Oostenrijk zou vervoeren. De Oostenrijkse afnemer had de goederen inmiddels, voorafgaande aan het vervoer, al doorverkocht aan een volgende Oostenrijkse afnemer. Tevens was afgesproken dat deze laatste afnemer zou zorgen voor vervoer vanuit Duitsland naar Oostenrijk en dus niet de eerste afnemer zelf.
Kortom, de goederen werden uiteindelijk afgehaald in Duitsland en naar Oostenrijk vervoerd door de laatste (de 2de) afnemer. De Duitse leverancier paste op haar factuur aan de 1ste Oostenrijkse afnemer het Duitse nultarief toe aangezien zij meende aan de voorwaarden te voldoen. Uit de rechtspraak blijkt nu dat het nultarief niet kan worden toegepast als niet de 1ste afnemer maar een volgende afnemer in de schakel de goederen ophaalt of laat ophalen bij de 1ste leverancier!
Let op!
Worden de goederen door een andere partij opgehaald dan uw afnemer, kunt u het nultarief niet toepassen.
Waarschuwing bij grensoverschrijdende afhaaltransacties
De hiervoor beschreven situatie kan zich voor u in de praktijk voordoen zonder dat u dat merkt. U weet immers vaak niet of uw afnemer de goederen inmiddels heeft doorverkocht. In dat verband geldt feitelijk dat toepassing van het btw-nultarief bij afhaaltransacties door buitenlandse afnemers sterk moet worden afgeraden.
Als u toch het nultarief wilt toepassen, is het advies om als aanvullende voorwaarde te stellen én te controleren dat uw afnemer zelf het transport regelt en dit niet laat verzorgen door een volgende afnemer in de schakel. Doet u dit niet, dan loopt u het risico van een naheffing btw bij controle!
Tip:
Wilt u het nultarief toch toepassen? Stel als aanvullende voorwaarde dat uw afnemer zelf het transport regelt. Én zorg voor een zorgvuldige controle hierop.
7. Spoedreparatiemaatregel fiscale eenheid voor mkb uitgesteld
Met terugwerkende kracht tot 25 oktober 2017, wordt de fiscale-eenheidsregeling in de vennootschapsbelasting gewijzigd. De wijzigingsvoorstellen zijn nog niet concreet, maar in ieder geval zullen bepaalde rente-aftrekbeperkingen van toepassing zijn. Met name het mkb kan onnodig hard worden getroffen door deze maatregel.
Om het mkb tegemoet te komen, komt staatssecretaris Snel nu met een overgangsmaatregel. Het betreft leningen die verband houden met bijvoorbeeld een winstuitdeling of een teruggaaf van kapitaal, de zogenoemde 10a-leningen. Als de totale rente op dergelijke leningen binnen de fiscale eenheid niet meer bedraagt dan € 100.000,-, hoeft tot en met
31 december 2018 nog geen rekening te worden gehouden met een eventuele renteaftrekbeperking. Daarbij geldt wel een aantal voorwaarden. Zo moet het gaan om een op 25 oktober 2017, 11.00 uur, bestaande groepsschuld die verband houdt met bijvoorbeeld een winstuitdeling of een kapitaalstorting en die destijds om zakelijke redenen tussen de bv’s van de fiscale eenheid is aangegaan. Als de totale rentekosten meer bedragen dan € 100.000,-, geldt de (eventuele) aftrekbeperking voor alle rente, dus ook voor de eerste € 100.000,-.
Met de tijdelijke overgangsperiode krijgen mkb-fiscale eenheden de gelegenheid om de gevolgen van de spoedreparatie voor de renteaftrekbeperking alsnog te voorkomen als deze van toepassing blijkt te zijn.
8. Belastingdienst start controles en sancties Wet DBA
Over enkele weken start de Belastingdienst weer met controles en sancties inzake de Wet DBA. Deze waren opgeschort tot
1 juli 2018 om de markt aan de nieuwe wetgeving te laten wennen.
Met behulp van een Modelovereenkomst kan op dit moment vooraf zekerheid worden verkregen over het al dan niet bestaan van een arbeidsrelatie. Er zijn inmiddels tal van Modelovereenkomsten beschikbaar via de site van de Belastingdienst die gebruikt kunnen worden. Opdrachtgever en -nemer kunnen daarnaast ook zelf een Modelovereenkomst opstellen en die laten toetsen door de Belastingdienst.
De Belastingdienst heeft toegezegd dat tot 1 juli 2018 geen naheffingen en boetes zullen worden opgelegd als er sprake is van een arbeidsrelatie en er desondanks geen loonheffing is ingehouden. Dit geldt echter niet als er sprake is van frauduleus handelen. Daarvan is sprake als u met opzet een situatie van duidelijke schijnzelfstandigheid laat ontstaan. Bovendien is van belang dat u weet dat er in feite sprake is van een dienstbetrekking en u op deze manier probeert een financieel voordeel binnen te halen.
Reacties (0)
Plaats een reactie