Nieuwe privacywetgeving gaat in op 25 mei 2018! Bent u GDPR compliant?

Wat is GDPR?
De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) biedt een antwoord op onze dagelijkse internetwereld. De verordening is al op 24 mei 2016 in werking getreden, maar bedrijven krijgen nog tot 25 mei 2018 de tijd om zich aan de nieuwe regels aan te passen. De regels gelden in de hele Europese Unie zonder dat nationale implementatiewetten vereist zijn (m.u.v. enkele bepalingen).
Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen. De bescherming die deze verordening biedt, betreft alleen natuurlijke personen -ongeacht hun nationaliteit of verblijfplaats- en de verwerking van hun persoonsgegevens.

Geldt de GDPR ook voor u als zelfstandige of KMO?
De verordening geldt voor iedereen die persoonsgegevens bijhoudt of verwerkt. Elke onderneming die een database heeft met klantengegevens, prospects, personeelsgegevens, gegevens van toeleveranciers, … is verplicht om zich in regel te stellen. De GDPR raakt verschillende sectoren; een bouwbedrijf houdt het e-mailverkeer en financiële gegevens bij van zijn leveranciers, een advocaat of een notaris archiveert (gevoelige) informatie van zijn cliënten, winkeliers verwerken informatie op basis van klantenkaarten, marketingbedrijven analyseren koopgedrag op allerhande manieren, ondernemingen in de zorgsector houden gevoelige informatie van klanten, enz.
Het komt er met andere woorden op neer dat praktisch élke onderneming zich in regel moet stellen tegen mei 2018. De verordening maakt globaal geen onderscheid tussen kleine en grote bedrijven, met een kleine nuance voor
ondernemingen die big data verwerken als ‘core business’ (direct marketing, profiling, …).

Rechten van burgers
De bescherming van (natuurlijke) personen bij de verwerking van persoonsgegevens is een grondrecht. Uit onderzoek van de Europese Commissie blijkt dat internetgebruikers vragen hebben bij de wijze waarop hun persoonsgegevens online worden gebruikt. De nieuwe verordening geeft burgers meer controle door:

Een eenvoudigere toegang tot de eigen persoonsgegevens.
Een recht op overdraagbaarheid van gegevens (data portability). Dit is een verbeterde vorm van toegang waarbij de betrokkene het recht heeft persoonsgegevens in een gestructureerde, gangbare én elektronische vorm te verkrijgen.
Een bevestiging van het recht op gegevenswissing of het recht op vergetelheid (right to be forgotten).
Het recht om verwittigd te worden als een database met uw gegevens wordt gehackt.

Plichten van bedrijven
Vanaf 25 mei 2018 moeten sommige verwerkingsverantwoordelijken en/of verwerkers (bv. banken en verzekeraars) verplicht een functionaris voor gegevensbescherming aanstellen, ook wel de Data Protection Officer (DPO) genoemd. Maar ook wie niet onder deze verplichting valt, heeft belang bij de aanstelling van zo’n functionaris die een belangrijke rol kan spelen in het databeschermingsbeleid van uw organisatie.

 

 

De AVG verplicht ook om een interne documentatie bij te houden van de verwerkingsactiviteiten (risicoanalyse). De Privacycommissie stelt alvast een Registermodel ter beschikking. Om rekening te houden met de specifieke situatie van kmo’s en micro-ondernemingen is er een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van die registers betreft.

Indien een onderneming minder dan 250 werknemers tewerkstelt, zal dit register ook moeten worden opgesteld indien de verwerking van persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen, niet incidenteel gebeurt of indien er gevoelige gegevens worden verwerkt.

Om zich voor te bereiden op de nieuwe regels heeft de Privacycommissie trouwens een stappenplan voor bedrijven uitgewerkt (www.privacycommission.be). Die dertien stappen gaan over:

1. Bewustwording: informeer medewerkers over de aankomende veranderingen.
2. Dataregister: breng in kaart welke persoonsgegevens worden bijgehouden, waar die vandaan komen en met wie deze worden gedeeld.
3. Communicatie: worden nu al persoonsgegevens verwerkt? Dan moet u aan de betrokkene bepaalde informatie verschaffen zoals de identiteit van de verwerker en de wijze waarop die de gegevens zal aanwenden. Doorgaans wordt die informatie verstrekt via een privacyverklaring. Die privacyverklaring moet worden aangevuld met nieuwe informatietypes.
4. Rechten van de betrokkene: … zijn dezelfde rechten als onder de huidige Belgische Privacywet met enkele verbeteringen. De AVG voorziet o.a. in informatie en toegang tot persoonsgegevens; correctie en uitwissing van de gegevens; bezwaar tegen direct marketingpraktijken; bezwaar tegen geautomatiseerde besluitvorming en profilering en overdraagbaarheid van de gegevens. Het recht op overdraagbaarheid van de gegevens is nieuw.
5. Verzoek tot toegang: in de meeste gevallen moet gratis en binnen de 30 dagen (i.t.t. de huidige termijn van 45 dagen) gevolg worden gegeven aan het verzoek tot toegang.
6. Wettelijke grondslag voor verwerking van persoonsgegevens: … is in de AVG quasi identiek aan deze in de huidige Privacywet. Kijk de gegevensverwerkingen na, bepaal de wettelijke basis en documenteer dit in het licht van de verantwoordelijkheidsvereiste.
7. Toestemming: de AVG vermeldt “toestemming” en “expliciete toestemming”. Het onderscheid is niet echt duidelijk. De toestemming kan wel niet worden afgeleid uit een stilzwijgen, een vooraf aangevinkt vakje of uit een niet-handelen.
8. Kinderen: verzamelt uw bedrijf gegevens van kinderen onder de 16 jaar, dan moet een ouder of voogd toestemming geven opdat de gegevensverwerking rechtmatig is.
9. Datalekken: datalekken waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden, bv. als gevolg van een identiteitsdiefstal of het schenden van een geheimhoudingsplicht, moeten worden gemeld aan de Privacycommissie in principe binnen de 72 uur. Ook de betrokkene moet dan worden ingelicht.
10. Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling (privacy by design en privacy impact assessment): de AVG maakt hiervan een duidelijke wettelijke vereiste. Een effectbeoordeling is enkel vereist in hoge risicosituaties, bv. wanneer een nieuwe technologie wordt geïmplementeerd.
11. Functionaris voor gegevensbescherming (Data Protection Officer): zie supra.
12. Internationaal: wie internationaal actief is, moet bepalen onder welke toezichthoudende autoriteit hij valt.
13. Contracten: beoordeel bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng zo nodig tijdig veranderingen aan.

Strengere controles
De niet-naleving van de huidige privacywetgeving blijft zo goed als ongestraft omdat de Privacycommissie geen boetes kan opleggen. Wie niet GDPR-compliant is, mag zich echter aan strenge controles verwachten. De Privacycommissie zal immers onderzoeks- en vervolgingsbevoegdheden krijgen. Inbreuken zijn onderworpen aan administratieve geldboeten tot 20.000.000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is!

Voor verdere info zie  http://gdpr.wolterskluwer.be

Informatie mbt de liquidatiereserve

Vanaf aanslagjaar 2015 kan uw KMO opteren om een deel van de winst na belasting (of alle winst) over te boeken naar een afzonderlijke passiefrekening “liquidatiereserve”. Uw vennootschap betaalt hierop een anticipatieve heffing van 10% vennootschapsbelasting.

Wanneer uw vennootschap deze liquidatiereserve binnen een termijn van 5 jaar uitkeert als dividend, betaalt u hierop 15% bijkomende roerende voorheffing. Indien u echter langer dan 5 jaar (vanaf datum afsluiting boekjaar) wacht met de uitkering als dividend, betaalt u 5% bijkomende roerende voorheffing.

Concreet daalt hiermee de belastingdruk op uw dividenden tot 13,64% (115 / 100) i.p.v. de huidige 15% of 25%. U moet echter wel 5 jaar geduld kunnen oefenen.

Wanneer uw vennootschap de liquidatiereserve uitkeert bij ontbinding, is deze zelfs vrij van roerende voorheffing en personenbelasting.

Het vergt derhalve reken- en denkwerk om uit te zoeken wat het meest interessant is:

  • niets doen
  • VVPR-bis toepassen: dit is het tarief van 15% roerende voorheffing voor aandelen uitgegeven na 01/07/2013 (onder voorwaarden)
  • de liquidatiereserve (VVPR-tris) toepassen met het oog op uitkering of liquidatie

Het resultaat van deze berekening is afhankelijk van:

  • de impact op de berekeningsbasis voor de notionele intrestaftrek omdat deze evenredig verkleint met de anticipatieve heffing van 10%;
  • het mogelijke rendementsverlies aangezien de betaalde belasting niet belegd of geïnvesteerd kan worden in de periode tussen het aanleggen van de liquidatiereserve en de uitkering als dividend;
  • het risico op toekomstig verlies daar bij latere verliezen de liquidatiereserve als het ware opgegeten wordt waarbij er in het slechtste geval niets van over blijft en uw vennootschap de 10% anticipatieve heffing te veel betaalde;
  • in voorkomend geval: de termijn van de beoogde liquidatie aangezien 10% anticipatieve heffing nu betalen niet steeds te verkiezen is tegenover 25% later omwille van het tijdsverschil in betaling;
  • sowieso is het niet interessant voor aandelen aangehouden door vennootschappen aangezien deze de roerende voorheffing verrekenen terwijl de 10% anticipatieve heffing een kost is (vennootschapsbelasting).

Bemerkingen van deze nieuwe regeling zijn:

  • dat de vennootschap 10% afzonderlijke vennootschapsbelasting jarenlang ‘voorfinanciert’ aan de staat, en ze deze gelden niet voor de bedrijfsactiviteit kan gebruiken.
  • Indien men de liquidatiereserve na 5 jaar uitkeert, heeft men in totaal 10% afzonderlijke vennootschapsbelasting en 5 % RV betaald, dus in totaal slechts 15% i.p.v. de normale 25%.
  • Winsten uit het verleden komen niet in aanmerking.
  • Eventuele boekhoudkundige overgedragen verliezen hoeft u niet in mindering te brengen van de winst die u naar de liquidatiereserve wilt boeken.
  • Liquidatiereserves kunnen aangetast worden door toekomstige verliezen.  In dat geval betaalde u 10% afzonderlijke vennootschapsbelasting op bedragen welke bij de liquidatie niet kunnen uitgekeerd worden!!
  • De aanslag van 10% wordt betaald ongeacht de latere evolutie van de vennootschap.  Het kan dus zijn dat u 10% betaald heeft op een reserve (aangelegde winst) die later niet meer bestaat om dat uw vennootschap in de jaren nadien enkel nog verliezen boekte.  In dit geval heeft u de 10% voor niets betaald.

Om voor uw vennootschap de juiste keuze te maken, kan u ons steeds contacteren.

Met vriendelijke groeten,

Het AKA FIDUCIA-team.