PRIVACYVERKLARING (ENGLISH below)

Bougainville Tax B.V.

Versie 2026 – laatst bijgewerkt op 12 mei 2026

Lange Kleiweg 40, 2288 GK Rijswijk

KvK: 98985884 | RSIN: 868733878 | Beconnummer: 789987

office@bougainvilletax.nl | +31 (0)70 221 2429 | https://bougainvilletax.nl

1. Inleiding

Bougainville Tax B.V. ("Bougainville", "wij", "ons") verwerkt persoonsgegevens in het kader van onze fiscale advies-, compliance- en administratieve dienstverlening. Wij hechten grote waarde aan de bescherming van uw privacy en verwerken persoonsgegevens uitsluitend conform de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG en overige toepasselijke wetgeving.

Deze privacyverklaring legt uit welke persoonsgegevens wij verwerken, voor welke doeleinden, op welke rechtsgrondslag, met wie wij deze delen, hoe lang wij deze bewaren en welke rechten u heeft. Wij raden u aan deze verklaring zorgvuldig door te lezen.

2. Verwerkingsverantwoordelijke en contactgegevens

Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG is:

Bougainville Tax B.V., Lange Kleiweg 40, 2288 GK Rijswijk, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 98985884. Voor vragen over deze privacyverklaring of over de verwerking van uw persoonsgegevens kunt u contact opnemen via office@bougainvilletax.nl of +31 (0)70 221 2429.

Bougainville heeft geen Functionaris voor Gegevensbescherming (FG) aangesteld. Bougainville is daartoe ook niet wettelijk verplicht, omdat onze kernactiviteiten geen grootschalige systematische monitoring van betrokkenen of grootschalige verwerking van bijzondere categorieën van persoonsgegevens omvatten (artikel 37 AVG). Bij vragen of klachten kunt u zich rechtstreeks tot bovengenoemd contactadres wenden.

3. Welke persoonsgegevens verwerken wij?

Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor onze dienstverlening of waartoe wij wettelijk verplicht zijn:

• Identificatie- en contactgegevens: naam, adres, woonplaats, e-mailadres, telefoonnummer, geboortedatum, geboorteplaats, nationaliteit, kopie identiteitsbewijs en burgerservicenummer (BSN) voor zover wettelijk vereist (artikel 47b AWR / Wwft).

• Fiscale en financiële gegevens: inkomens-, vermogens-, box 1/2/3-gegevens, aangiftegegevens, jaarrekeningen, loonstroken, bankafschriften, vastgoed- en beleggingsinformatie, gegevens over internationale structuren en correspondentie met de Belastingdienst.

• Ondernemingsgegevens: KvK-gegevens, gegevens van bestuurders, aandeelhouders en uiteindelijk belanghebbenden (UBO's).

• Overige gegevens: notities uit gesprekken, door u verstrekte documenten, en de door Bougainville opgestelde analyses, rapporten en adviezen.

Wij verwerken geen bijzondere categorieën persoonsgegevens (artikel 9 AVG), tenzij dit strikt noodzakelijk en wettelijk toegestaan is, bijvoorbeeld voor een Wwft-verificatie of voor de behandeling van een specifieke fiscale kwestie.

4. Doeleinden van de verwerking

Wij verwerken persoonsgegevens voor de volgende doeleinden:

• Uitvoering van de overeenkomst van opdracht: fiscaal advies, het opstellen en indienen van belastingaangiften, fiscale structurering, emigratie- en immigratieadvies, DGA-advies, internationale structuren en administratieve dienstverlening.

• Voldoen aan wettelijke verplichtingen: Wwft (cliëntenonderzoek, UBO-verificatie, risicobeoordeling, monitoring, meldplicht ongebruikelijke transacties bij FIU-Nederland), fiscale bewaarplicht (artikel 52 AWR), administratieve bewaarplicht en meldplichten op grond van DAC6/MDR.

• Bedrijfsvoering: facturatie, debiteurenbeheer, interne administratie, dossierbeheer, kwaliteitsbewaking, IT-beveiliging en optimalisatie van onze dienstverlening.

• Beperkte communicatie: het toezenden van inhoudelijke updates, vakinformatie of nieuwsbrieven aan cliënten, voor zover zij zich hiervoor hebben aangemeld en steeds met de mogelijkheid zich uit te schrijven.

Wij gebruiken uw persoonsgegevens niet voor geautomatiseerde besluitvorming of profilering in de zin van artikel 22 AVG.

5. Rechtsgrondslagen

Wij verwerken persoonsgegevens uitsluitend op één of meer van de volgende rechtsgrondslagen (artikel 6 AVG):

• uitvoering van de overeenkomst van opdracht (artikel 6 lid 1 onder b AVG);

• voldoen aan een wettelijke verplichting (artikel 6 lid 1 onder c AVG), waaronder de Wwft, de Algemene wet inzake rijksbelastingen en specifieke fiscale wet- en regelgeving;

• gerechtvaardigd belang (artikel 6 lid 1 onder f AVG), bijvoorbeeld voor debiteurenbeheer, fraudepreventie, IT-beveiliging en kwaliteitsbewaking, na afweging van uw belang;

• uitdrukkelijke toestemming (artikel 6 lid 1 onder a AVG), die u steeds kunt intrekken, bijvoorbeeld voor het toezenden van nieuwsbrieven.

6. Verplichting tot het verstrekken van gegevens

Het verstrekken van uw persoonsgegevens is in een aantal gevallen vereist op grond van de wet (in het bijzonder de Wwft, de AWR en de Wet op het Notarisambt) of contractueel noodzakelijk voor het kunnen uitvoeren van de opdracht. Indien u de gevraagde gegevens niet of niet volledig verstrekt, kunnen wij de overeenkomst niet aangaan, niet uitvoeren of moeten wij deze beëindigen.

7. Delen van persoonsgegevens

Wij delen persoonsgegevens uitsluitend indien dat noodzakelijk is voor de uitvoering van onze dienstverlening of voor het voldoen aan een wettelijke verplichting:

• Met verwerkers, waaronder onze leveranciers van fiscale en administratiesoftware (bijvoorbeeld Exact Online, Nextens of vergelijkbaar), cloud- en e-mailproviders (Microsoft 365), bank- en betalingsdienstverleners en aanbieders van IT-beveiligings- en hostingdiensten. Met elke verwerker sluiten wij een verwerkersovereenkomst conform artikel 28 AVG.

• Met door ons ingeschakelde derden in opdracht van u, zoals notarissen, advocaten, accountants of buitenlandse fiscaal adviseurs. Dit gebeurt alleen indien dit noodzakelijk is voor de opdracht en, waar wettelijk vereist, na uw toestemming.

• Met overheidsinstanties en toezichthouders op basis van een wettelijke verplichting, waaronder de Belastingdienst, FIU-Nederland, het Bureau Financieel Toezicht en de Autoriteit Persoonsgegevens.

Wij verkopen of verhuren uw persoonsgegevens nooit en gebruiken deze niet voor commerciële profilering.

8. Doorgifte buiten de Europese Economische Ruimte

Wij streven ernaar uw persoonsgegevens binnen de EER te verwerken. In een beperkt aantal gevallen kan doorgifte naar landen buiten de EER plaatsvinden, met name omdat sommige leveranciers (bijvoorbeeld Microsoft) hun ondersteunings- of beveiligingsprocessen deels in derde landen uitvoeren of omdat uw fiscale dossier een buitenlandse dimensie heeft.

Bij doorgifte buiten de EER waarborgen wij een passend beschermingsniveau door zich te baseren op één of meer van de volgende instrumenten:

• een adequaatheidsbesluit van de Europese Commissie (artikel 45 AVG);

• de modelcontractbepalingen van de Europese Commissie (Standard Contractual Clauses, artikel 46 lid 2 AVG);

• het EU-US Data Privacy Framework voor zover de Amerikaanse ontvanger gecertificeerd is;

• aanvullende technische en organisatorische maatregelen waar een transfer impact assessment dat noodzakelijk maakt.

Op verzoek verstrekken wij u een kopie van de toegepaste waarborgen.

9. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld of dan wettelijk is voorgeschreven:

• Fiscaal-relevante onderdelen van het cliëntdossier (aangiften, jaarstukken, advieskorrespondentie met fiscale gevolgen): 7 jaar na afloop van het belastingjaar waarop zij betrekking hebben (artikel 52 AWR).

• Wwft-cliëntenonderzoek, identificatiebewijzen en risicobeoordelingen: 5 jaar na beëindiging van de zakelijke relatie of na uitvoering van de incidentele transactie (artikel 33 Wwft).

• Algemene cliëntcorrespondentie zonder zelfstandige fiscale of Wwft-relevantie: maximaal 5 jaar na einde van het dossier.

• Facturatie- en debiteurengegevens: 7 jaar (artikel 52 AWR).

• Sollicitatiegegevens: maximaal 4 weken na einde van de procedure, of 1 jaar met uw toestemming.

• Gegevens van prospects en cookie-/websitegegevens: maximaal 12 maanden, tenzij u eerder bezwaar maakt.

Na afloop van de toepasselijke bewaartermijn worden persoonsgegevens veilig vernietigd of onomkeerbaar geanonimiseerd.

10. Beveiliging

Bougainville neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, ongeoorloofde toegang of onrechtmatige verwerking, waaronder:

• versleuteling van opslag en transport (TLS, end-to-end waar mogelijk);

• multi-factor authenticatie op alle gevoelige systemen;

• toegang op basis van het "need-to-know"-beginsel met rolgebaseerde rechten;

• regelmatige software-updates, patchmanagement en endpoint protection;

• back-up- en herstelprocedures en periodieke restore-tests;

• logging, monitoring en periodieke beveiligingsbeoordeling.

In geval van een datalek handelen wij conform artikel 33 en 34 AVG. Wij melden datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens en informeren u indien de inbreuk waarschijnlijk een hoog risico voor uw rechten en vrijheden meebrengt.

11. Uw rechten

U heeft op grond van de AVG de volgende rechten:

• inzage in uw persoonsgegevens (artikel 15 AVG);

• rectificatie of aanvulling van onjuiste of onvolledige gegevens (artikel 16 AVG);

• verwijdering van gegevens, voor zover wettelijke bewaarplichten dit niet beletten (artikel 17 AVG);

• beperking van de verwerking (artikel 18 AVG);

• overdraagbaarheid van gegevens (artikel 20 AVG);

• bezwaar tegen verwerking op basis van gerechtvaardigd belang (artikel 21 AVG);

• intrekking van eerder gegeven toestemming, met werking voor de toekomst.

Verzoeken kunt u richten aan office@bougainvilletax.nl. Wij reageren binnen één maand na ontvangst van uw verzoek; deze termijn kan met twee maanden worden verlengd in complexe gevallen, waarvan u binnen één maand op de hoogte wordt gesteld. Wij kunnen u vragen om aanvullende verificatie van uw identiteit. Verzoeken kunnen geheel of gedeeltelijk worden geweigerd indien wettelijke verplichtingen, zoals de fiscale bewaarplicht of de Wwft, ons daartoe verplichten.

12. Klachten bij de Autoriteit Persoonsgegevens

Indien u meent dat wij niet correct met uw persoonsgegevens omgaan, verzoeken wij u eerst contact met ons op te nemen, zodat wij gezamenlijk tot een oplossing kunnen komen. Onverminderd uw overige rechten heeft u altijd het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (Postbus 93374, 2509 AJ Den Haag, www.autoriteitpersoonsgegevens.nl).

13. Cookies en website

Indien op onze website https://bougainvilletax.nl cookies worden gebruikt, wordt dit afzonderlijk toegelicht in een cookieverklaring. Bougainville gebruikt op dit moment geen trackingcookies voor profilering of advertentiedoeleinden.

14. Wijzigingen van deze verklaring

Bougainville kan deze privacyverklaring van tijd tot tijd aanpassen aan gewijzigde wet- of regelgeving of aan veranderingen in onze dienstverlening. De meest recente versie is altijd beschikbaar via https://bougainvilletax.nl. Wij raden u aan deze verklaring periodiek te raadplegen. De huidige versie is gedateerd 1 januari 2026.

PRIVACY POLICY

Bougainville Tax B.V.

Version 2026 – last updated on May 12, 2026

Lange Kleiweg 40, 2288 GK Rijswijk, The Netherlands

Chamber of Commerce: 98985884 | RSIN: 868733878 | Beconnumber: 789987

office@bougainvilletax.nl | +31 (0)70 221 2429 | https://bougainvilletax.nl

1. Introduction

Bougainville Tax B.V. ("Bougainville", "we", "us") processes personal data in the context of providing tax advisory, compliance, and related services. We take privacy seriously and process all personal data in accordance with the General Data Protection Regulation (GDPR), the Dutch GDPR Implementation Act and other applicable legislation.

This Privacy Policy explains what personal data we process, for what purposes, on what legal basis, with whom we share it, how long we retain it, and what rights you have.

2. Data controller and contact details

The data controller within the meaning of Article 4(7) GDPR is Bougainville Tax B.V., Lange Kleiweg 40, 2288 GK Rijswijk, The Netherlands, registered with the Dutch Chamber of Commerce under number 98985884. For questions about this policy or about the processing of your personal data, please contact us at office@bougainvilletax.nl or +31 (0)70 221 2429.

Bougainville has not appointed a Data Protection Officer (DPO) and is not legally required to do so, as our core activities do not involve large-scale systematic monitoring of data subjects or large-scale processing of special categories of personal data (Article 37 GDPR). You may direct questions or complaints to the contact details above.

3. Personal data we process

We process only the personal data that is necessary for our services or that we are legally required to collect:

• Identification and contact details: name, address, place of residence, e-mail address, telephone number, date and place of birth, nationality, copy of identity document and Dutch Citizen Service Number (BSN) where legally required.

• Financial and tax data: income, assets, Box 1/2/3 information, tax returns, annual accounts, payroll data, bank statements, real estate and investment information, data on international structures, and correspondence with the tax authorities.

• Corporate information: Chamber of Commerce data, information about directors, shareholders, and ultimate beneficial owners (UBOs).

• Other information: notes from meetings, documents you provide, and reports, analyses and advisory documents prepared by Bougainville.

We do not process special categories of personal data (Article 9 GDPR) unless strictly necessary and legally permitted, for example for AML/Wwft verification or for handling a specific tax matter.

4. Purposes of processing

We process personal data for the following purposes:

• Performance of the engagement: tax advisory services, preparation and filing of tax returns, tax structuring, expatriation/immigration advice, owner-managed business (DGA) planning, international structuring and administrative services.

• Compliance with legal obligations: Dutch Anti-Money Laundering and Anti-Terrorist Financing Act (Wwft), tax retention obligations under the General Tax Act (AWR), mandatory disclosure obligations under DAC6/MDR, and reporting obligations to FIU-Netherlands.

• Business operations: invoicing, accounts receivable management, internal administration, file management, quality assurance, IT security and service improvement.

• Limited client communication: technical updates and newsletters, provided you have opted in and with the ability to unsubscribe at any time.

We do not use your personal data for automated decision-making or profiling within the meaning of Article 22 GDPR.

5. Legal bases

We process personal data on one or more of the following legal bases (Article 6 GDPR):

• performance of the engagement contract (Article 6(1)(b) GDPR);

• compliance with a legal obligation (Article 6(1)(c) GDPR), including the Wwft, the General Tax Act and other tax legislation;

• legitimate interests (Article 6(1)(f) GDPR), such as accounts receivable management, fraud prevention, IT security and quality assurance, after balancing your interests;

• explicit consent (Article 6(1)(a) GDPR), which you may withdraw at any time, for instance for newsletter subscriptions.

6. Obligation to provide personal data

Providing your personal data is in a number of cases required by law (in particular the Wwft and tax legislation) or contractually necessary for performance of the engagement. If you do not provide the requested data or do not provide it in full, we may be unable to enter into, perform or continue the engagement.

7. Sharing of personal data

We share personal data only when necessary for the performance of our services or for compliance with a legal obligation:

• With processors, including providers of tax and administration software (such as Exact Online or comparable), cloud and email services (Microsoft 365), banks and payment service providers, and IT security and hosting providers. We conclude a data processing agreement with each processor in accordance with Article 28 GDPR.

• With third parties engaged on your behalf, such as notaries, attorneys, accountants or foreign tax advisers, only to the extent necessary for the engagement and, where legally required, with your consent.

• With public authorities and regulators on the basis of a legal obligation, including the Dutch Tax Authorities, FIU-Netherlands, the Financial Supervision Office (BFT) and the Dutch Data Protection Authority.

We never sell or rent your personal data and do not use it for commercial profiling.

8. Transfers outside the European Economic Area

We seek to process your personal data within the EEA. In a limited number of cases, transfers outside the EEA may occur, in particular because some of our service providers (for example Microsoft) carry out part of their support or security operations in third countries, or because your tax file has a cross-border dimension.

Where personal data is transferred outside the EEA, we rely on one or more of the following safeguards to ensure an adequate level of protection:

• an adequacy decision of the European Commission (Article 45 GDPR);

• the Standard Contractual Clauses adopted by the European Commission (Article 46(2) GDPR);

• the EU-US Data Privacy Framework to the extent the US recipient is certified;

• additional technical and organisational measures where a transfer impact assessment requires this.

Upon request, we will provide you with a copy of the applicable safeguards.

9. Retention periods

We retain personal data no longer than necessary for the purposes for which it was collected, or as required by law:

• Tax-relevant parts of the client file (returns, annual accounts, advisory correspondence with tax implications): 7 years from the end of the tax year to which they relate (Article 52 AWR).

• Wwft client due diligence records, identity documents and risk assessments: 5 years after termination of the business relationship or after the incidental transaction (Article 33 Wwft).

• General client correspondence without independent tax or AML relevance: up to 5 years after closure of the file.

• Billing and accounts receivable records: 7 years (Article 52 AWR).

• Job application data: up to 4 weeks after the end of the procedure, or 1 year with your consent.

• Prospect and website/cookie data: up to 12 months, unless you object earlier.

After expiry of the applicable retention period, personal data is securely destroyed or irreversibly anonymised.

10. Security

Bougainville implements appropriate technical and organisational measures to protect personal data against loss, unauthorised access or unlawful processing, including:

• encryption of storage and communications (TLS, end-to-end where possible);

• multi-factor authentication for all sensitive systems;

• access on a strict need-to-know basis with role-based permissions;

• regular software updates, patch management and endpoint protection;

• backup and recovery procedures, with periodic restore testing;

• logging, monitoring and periodic security assessments.

In the event of a personal data breach, we act in accordance with Articles 33 and 34 GDPR. We notify the Dutch Data Protection Authority within 72 hours and inform you where the breach is likely to result in a high risk to your rights and freedoms.

11. Your rights

Under the GDPR you have the following rights:

• right of access to your personal data (Article 15 GDPR);

• right to rectification or completion of inaccurate or incomplete data (Article 16 GDPR);

• right to erasure, to the extent statutory retention obligations do not preclude this (Article 17 GDPR);

• right to restriction of processing (Article 18 GDPR);

• right to data portability (Article 20 GDPR);

• right to object to processing based on legitimate interests (Article 21 GDPR);

• right to withdraw any previously given consent, with effect for the future.

Requests may be submitted to office@bougainvilletax.nl. We respond within one month of receipt; this period may be extended by two months in complex cases, of which we will inform you within one month. We may ask you for additional identity verification. Requests may be refused in whole or in part if statutory obligations, such as the tax retention obligation or the Wwft, require us to do so.

12. Complaints to the Dutch Data Protection Authority

If you believe we do not handle your personal data correctly, please contact us first so that we may seek a solution together. Without prejudice to your other rights, you always have the right to lodge a complaint with the Dutch Data Protection Authority (P.O. Box 93374, 2509 AJ The Hague, www.autoriteitpersoonsgegevens.nl).

13. Cookies and website

If cookies are used on our website https://bougainvilletax.nl, this is explained separately in a cookie statement. Bougainville does not currently use tracking cookies for profiling or advertising purposes.

14. Amendments to this policy

Bougainville may amend this Privacy Policy from time to time to reflect changes in legislation or in our services. The most recent version is always available at https://bougainvilletax.nl. We recommend that you review this policy periodically. The current version is dated January 1, 2026.