Audittrail over de ketenaansprakelijkheidsregeling

Geplaatst door CorporatieMedia op
 

Een woningcorporatie wordt als aannemer aangemerkt ten aanzien van de ketenaansprakelijkheidsregeling. Deze regeling is opgesteld om mogelijk misbruik door aannemers en onderaannemers bij de afdracht van loonheffingen tegen te gaan. Voor het verwerken van persoonsgegevens ten behoeve van deze regeling, is het van belang dat de corporatie nadenkt over de bescherming van de persoonsgegevens van de betrokken werknemers. In dit artikel lichten we toe welke gegevens de corporatie op mag slaan en hoe dat zich verhoudt tot de Wet bescherming persoonsgegevens (Wbp).

De Belastingdienst stelt dat woningcorporaties kunnen worden aangemerkt als aannemer in de keten, omdat ze zelf bouwprojecten ontwikkelt voor verkoop of verhuur (=eigenbouwer). Als de woningcorporatie het werk geheel of deels door een ander laat uitvoeren, is die ander ‘onderaannemer’. In dat geval zijn woningcorporaties verplicht zich te houden aan de ketenaansprakelijkheidsregeling. Door het zelf bijhouden van een goede administratie, kan de woningcorporatie haar aansprakelijkheid in de keten verkleinen.

Bij te houden gegevens in de administratie
Het ontbreken van een juiste administratie van de onderaannemer kan voor de belastingdienst  aanleiding zijn om de loonheffingen vast te stellen met het hoogste tarief voor de loonheffingen (=anoniementarief). 

Het anoniementarief wordt gehanteerd wanneer de onderaannemer onder andere:

  • de gegevens van de werknemers niet volledig in de loonadministratie heeft opgenomen;
  • de identiteit van de werknemers niet goed heeft vastgesteld;
  • geen stukken heeft opgesteld waaruit blijkt dat de werknemers in Nederland mogen werken.

De woningcorporatie kan haar aansprakelijkheid verkleinen door bijvoorbeeld de identiteit van de door de onderaannemer ingezette werknemer aan te tonen aan de Belastingdienst. Dit kan zij doen door de volgende gegevens van die werknemer in de eigen administratie op te nemen:

  • naam-, adres- en woonplaatsgegevens;
  • geboortedatum;
  • Burgerservicenummer (BSN);
  • specificatie van de gewerkte uren;
  • nationaliteit;
  • soort identiteitsbewijs, nummer en geldigheidsduur;
  • als dat van toepassing is, de aanwezigheid van een A1-verklaring, verblijfsvergunning, tewerkstellingsvergunning, notificatie of VAR-verklaring inclusief nummer en geldigheidsduur;
  • naam, adres en woonplaats van de onderaannemer.

Privacy waarborgen van de werknemers
Voor het juist aanleveren van gegevens aan de Belastingdienst moet de corporatie werken met veel privacygevoelige gegevens van de door onderaannemer ingezette werknemers. De Belastingdienst vindt het voldoende als de corporatie de meest relevante gegevens uit de originele identiteitsbewijzen overneemt. De corporatie hoeft en mag dus geen kopie maken van het identiteitsbewijs. Een rijbewijs kan niet gebruikt worden om de identiteit vast te stellen, omdat de nationaliteit van de werknemer daar niet op staat.

De corporatie dient voor de administratie wel alle gegevens (alle 8 bovenstaande punten) vast te leggen. Dat doet de corporatie wanneer de werknemers de aanneemovereenkomst gaan uitvoeren. De gegevens moeten weer verwijderd worden wanneer het doel en de noodzaak voor de vastlegging is komen te vervallen.

Verificatie identiteit & beveiliging persoonsgegevens
Aan het vastleggen van persoonsgegevens gaat een belangrijke stap vooraf die door de onderaannemer uitgevoerd dient te worden. Dit betreft de identificatie van de persoon en de verificatie van het identiteitsdocument. Dit kan door het originele identiteitsbewijs te controleren op geldigheid en echtheid. Onder andere de Richtsnoeren identificatie en verificatie van de Autoriteit Persoonsgegevens geeft handvatten voor deze controle. Na deze controle legt de onderaannemer de persoonsgegevens juist en nauwkeurig vast om misverstanden en misbruik, zoals identiteitsfraude, te voorkomen. Ook moeten de gegevens adequaat worden beveiligd om te voorkomen dat ze toegankelijk zijn voor onbevoegden. Zodra de woningcorporatie de persoonsgegevens van de werknemers ontvangt van de onderaannemer, dient zij zich ook te houden aan de verplichtingen uit de Wet bescherming persoonsgegevens (Wbp). Op dat moment wordt de corporatie gezien als ‘verantwoordelijke’ voor haar eigen verwerkingen. Gezien de bijzonderheid en gevoeligheid van de persoonsgegevens dienen de beveiligingsmaatregelen hoog te zijn.

Wilt u zich nog meer inlezen over de ketenaansprakelijkheidsregeling? Dat kan hier.

Vragen naar aanleiding van dit artikel? Neem dan contact met ons op.

Bron: Audittrail

Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2016 te bekijken