In het kader van onze dienstverlening verwerken wij persoonsgegevens van medewerkers van klanten en andere personen die aan klanten zijn verbonden, zoals van contactpersonen werkzaam bij een klant, bestuurders, aandeelhouders en commissarissen en personen die anderszins aan een klant zijn verbonden.

In dit privacystatement staat beschreven hoe KPMG omgaat met deze persoonsgegevens voor aanvang van de dienstverlening, bij de uitvoering van de dienstverlening en in overige situaties die verband houden met onze dienstverlening. Dit privacystatement moet worden gelezen in samenhang met ons algemene KPMG Online Privacy Statement, waarin aanvullende informatie staat over onze verwerking van persoonsgegevens, zoals met betrekking tot uw rechten en het delen van persoonsgegevens met derden.

Welke (typen) persoonsgegevens verwerken wij?
In het kader van onze dienstverlening kunnen wij verschillende persoonsgegevens verwerken, zoals:

• naam;
• geboortedatum;
• adres;
• geslacht;
• (zakelijk) e-mailadres en telefoonnummer;
• functiegerelateerde informatie zoals bedrijfsnaam, functietitel en afdeling en arbeidsverleden;
• informatie die beschikbaar is in openbare bronnen, zoals de Kamer van Koophandel;
• informatie over aandeelhoudersposities/-structuur.

Indien u als natuurlijk persoon klant van KPMG bent of in het kader van bepaalde dienstverlening kunnen aanvullend ook financiële gegevens worden verwerkt.

In sommige gevallen, en alleen waar dit wettelijk is toegestaan, kunnen de persoonsgegevens die we verzamelen bijzondere categorieën van persoonsgegevens betreffen (zoals informatie over ras of etnische afkomst, politieke opvattingen, religieuze en andere overtuigingen, vakbondslidmaatschap, informatie over seksuele geaardheid of gezondheidsgegevens) en gegevens over vermeende of bewezen strafbare feiten. Daarnaast kan het soms verplicht zijn om het nationaal identificatienummer (in Nederland BSN) of een (deels afgeschermde) kopie van een legitimatiebewijs op te vragen en te bewaren.

Op basis van welke grondslagen verwerken wij persoonsgegevens?
Wij zullen alleen persoonsgegevens gebruiken als daarvoor een wettelijke grondslag bestaat. De grondslag op basis waarvan wij uw persoonsgegevens verwerken hangt af van het doel van de verwerking. De volgende grondslagen kunnen van toepassing zijn:

• Uitvoering van een overeenkomst: indien wij uw persoonsgegevens moeten verwerken ten behoeve van een overeenkomst die wij met u hebben, of om deze overeenkomst tot stand te laten komen, bijvoorbeeld indien u als natuurlijk persoon klant van KPMG bent. 
• Wettelijke verplichting: wanneer wij uw persoonsgegevens moeten verwerken om te voldoen aan een wettelijke verplichting, zoals:
  • het uitvoeren van een cliëntenonderzoek of het voldoen aan andere vereisten uit hoofde van de Wwft;
  • het uitvoeren van een onafhankelijkheidsonderzoek;
  • het bijhouden van een administratie voor belastingdoeleinden;
  • vastlegging van onze werkzaamheden in een dossier;
  • het verstrekken van informatie aan een overheids- of wetshandhavingsinstantie (daaronder begrepen toezichthouders).
• Gerechtvaardigd belang: wij verwerken uw persoonsgegevens indien dit in ons gerechtvaardigd belang is voor de bedrijfsvoering en de optimalisatie daarvan, of in het gerechtvaardigd belang van een derde zoals onze klant, zolang uw belangen niet zwaarder wegen. Onze klanten hebben een gerechtvaardigd belang bij het ontvangen van onze diensten. KPMG heeft bijvoorbeeld een gerechtvaardigd belang bij: 
  • het communiceren met (potentiële) klanten over haar diensten; 
  • het uitvoeren van haar diensten; 
  • het voeren van (financiële) administratie;
  • het uitvoeren van klanttevredenheidsonderzoeken; 
  • het beschermen en onderhouden van IT-systemen;
  • het ontwikkelen en verbeteren van haar dienstverlening.
• Uw toestemming: in sommige gevallen vragen we u om specifieke toestemming om bepaalde persoonsgegevens te verwerken. Wij verwerken uw persoonsgegevens alleen op deze manier als u daarmee akkoord gaat. U kunt uw toestemming te allen tijde intrekken op de wijze zoals vermeld bij het geven van uw toestemming of door contact op te nemen met KPMG via privacy@kpmg.nl. 

Hoe verwerken wij persoonsgegevens voor aanvang van de dienstverlening?
In de fase voorafgaand aan de dienstverlening door KPMG kunnen er om verschillende redenen persoonsgegevens verwerkt worden, zoals:

• tijdens de propositiefase waarin we (potentiële) klanten informeren over onze diensten, voorstellen doen, met klanten communiceren en een overeenkomst sluiten;
• om te onderzoeken of een bepaalde dienst aan een (potentiële) klant kan worden verleend. Dit doen wij onder meer door het onderzoeken of er (potentiële) onafhankelijkheidsconflicten zijn en door een cliëntenonderzoek uit te voeren.

In het kader van het cliëntenonderzoek, dat KPMG op grond van onder meer de Wet ter voorkoming van witwassen en financieren van terrorisme en intern beleid uitvoert, dient onderzoek te worden gedaan naar de klant, de ‘uiteindelijk belanghebbende’ van de klant, aan de klant verbonden zogenaamde ‘politiek prominente personen’, de vertegenwoordiger van een klant en naar de herkomst van vermogen. In het kader van deze onderzoeken kan het onder meer nodig zijn om een kopie van het legitimatiebewijs op te vragen en te bewaren, en om een onderzoek in verschillende (openbare) bronnen uit te voeren waarbij persoonsgegevens en bijzondere categorieën persoonsgegevens kunnen worden verwerkt.

Hoe verwerken wij persoonsgegevens bij uitvoering van de dienstverlening?
Bij de uitvoering van de dienstverlening kan het nodig zijn om persoonsgegevens te verwerken van personen die aan een klant zijn verbonden, zoals van personen die werkzaam zijn bij een klant of die in het klantenbestand van een klant voorkomen. Bijvoorbeeld ten behoeve van:

• het uitvoeren van controlewerkzaamheden voor bijvoorbeeld zorginstellingen, verzekeringsmaatschappijen of pensioenfondsen;
• het uitvoeren van andere accountancy gerelateerde werkzaamheden;
• het uitvoeren van een forensisch onderzoek in opdracht van een klant;
• het leveren van salarisadministratiediensten;
• het leveren van diverse adviesdiensten, zoals omtrent de verbetering van processen bij een klant;
• het leveren van toegang tot software en technische ondersteuning en advies daaromtrent.

Meer informatie over welke diensten KPMG verleent kunt u hier vinden.

De persoonsgegevens die wij bij de uitvoering van onze diensten verwerken ontvangen wij meestal van de klant, of verzamelen wij zelf bij de uitvoering van de werkzaamheden, bijvoorbeeld indien we zelf (markt)onderzoeken uitvoeren of interviews afnemen.

Indien wij bij de uitvoering van onze diensten persoonsgegevens moeten verwerken, spreken wij meestal met onze klant af dat de klant de betrokken personen informeert over de verwerking van hun persoonsgegevens door KPMG.

Welke persoonsgegevens wij bij de uitvoering van onze diensten verwerken hangt af van de specifieke context van de dienstverlening. Er wordt altijd naar gestreefd zo min mogelijk persoonsgegevens te verwerken.

Overige verwerking van persoonsgegevens
Naast de beschreven verwerking van persoonsgegevens voor aanvang of bij de uitvoering van de dienstverlening kan het om andere redenen noodzakelijk zijn voor KPMG om persoonsgegevens van medewerkers van klanten en andere personen die aan klanten zijn verbonden te verwerken, zoals ten behoeve van:

• het voorkomen van fraude of criminele activiteiten en beschermen en onderhouden van onze IT-systemen;
• het voldoen aan onze bedrijfsverplichtingen; 
• het uitvoeren van kwaliteitscontroles ten behoeve van de bewaking van de kwaliteit van onze dienstverlening;
• het anonimiseren van persoonsgegevens ten behoeve van het verdere gebruik voor andere doeleinden zoals kennisdeling;
• het monitoren, analyseren of benchmarken van onze dienstverlening;
• het kunnen voldoen aan onze verplichtingen op grond van wet- en (beroeps)regelgeving;
• het instellen, onderbouwen of verdedigen tegen een rechtsvordering of een andere juridische procedure.

Hoe lang bewaren wij persoonsgegevens?
De periode dat persoonsgegevens bewaard worden hangt af van de aard van de gegevens en de omstandigheden waarin de informatie is verzameld. Persoonsgegevens worden bewaard zolang dat nodig is voor het doel waarvoor de gegevens zijn verzameld. Persoonsgegevens die worden verwerkt in het kader van de uitvoering van de dienstverlening en onderdeel uitmaken van het dossier worden in principe voor een periode van 7 of 10 jaar bewaard, afhankelijk van het type dienstverlening. Het kan echter nodig zijn om persoonsgegevens langer te bewaren om te voldoen aan wettelijke, regelgevende, interne bedrijfs- of beleidsverplichtingen of indien dat nodig is in het kader van (het voorbereiden van) juridische procedures of geschillen.