AVG

AVG blijkt vooral commercieel interessant

Begin dit jaar regende het vragen van accountants over de Algemene Verordening Gegevensbescherming (AVG). Inmiddels halen veel accountantskantoren hun schouders op over de privacywet. De regels zijn meer van hetzelfde en de handhaving lijkt een wassen neus. Interessanter zijn klanten die nog wel met de handen in het haar zitten over de AVG.

Henk Vlaming

"De eenzijdige aandacht voor privacy vind ik niet terecht", zegt Lucas Vousten, partner van accountantskantoor Joankecht. "De AVG is veel breder dan alleen bescherming van persoonsgegevens. Waar het over gaat is informatiebeveiliging, de bescherming van de informatie waarover we beschikken."

Vousten, zowel RE als RA, vindt de regelgeving over bescherming van persoonsgegevens allesbehalve nieuw. "Het thema informatiebeveiliging heeft al jaren onze aandacht, omdat het steeds belangrijker wordt voor organisaties. We hebben een information security officer aangesteld, die intern verantwoordelijk is voor dit onderwerp."

'Informatiebeveiliging heeft al jaren onze aandacht, omdat het steeds belangrijker wordt voor organisaties.'

Net als Joanknecht hebben veel andere accountantskantoren maatregelen getroffen in aanloop naar de inwerkingtreding van de AVG. Op 25 mei werden nieuwe regels van kracht voor het vastleggen, beheren en delen van persoonsgegevens. Accountantskantoren hebben zich voorbereid op uiteenlopende manieren. Die variëren van het ingrijpen op processen tot het beïnvloeden van de veiligheidscultuur op kantoor. "Het is de mens die het knelpunt is", meent Vousten. "Daarom moet je het bewustzijn voor het beveiligen van informatie neerleggen bij de mensen." 

Clean desk-beleid

Ter voorbereiding op de verplichte informatiebescherming is Joanknecht begonnen met een risicoanalyse. "Er  kwamen risico's aan het licht die we nog niet scherp hadden. Bijvoorbeeld informatie die per abuis wordt meegestuurd via onze mails. Op basis van de risico’s hebben wij een clean desk-beleid ingevoerd. Geen usb-sticks onbeveiligd achterlaten. Pas op met mensen in de cc te zetten in je mail. Twijfel je over informatie die je hebt gedeeld, meld het. Komt niet dagelijks voor, maar wel maandelijks. Geen grootschalige zaken, soms een enkele mail die volgens de regels niet gedeeld had mogen worden. Mensen moeten leren hier open over te zijn, ze moeten dit serieus nemen. Daar blijven we op hameren."

'Fotootjes op de kopieën van ID-bewijzen hebben we deels zwart gemaakt.'

Ook Patrick Kappenberg van Kappenberg Accountancy wijst op de mens als veiligheidsfactor. "Het is een stukje bewustwording over het omgaan met informatie van onze klanten. We gebruiken geen WeTransfer meer, omdat er anders klantgegevens op een Amerikaanse server komen. Alle usb-sticks hebben we vervangen door beveiligde exemplaren."

Ook heeft Kappenberg persoonsinformatie van klanten aangepast. "Fotootjes op de kopieën van ID-bewijzen hebben we deels zwart gemaakt. Ziektekosten van een klant hebben we nu opgenomen als algemene vermelding. Dus dat boek ik niet meer als specifieke post voor bijvoorbeeld incontinentiemateriaal, zodat deze informatie niet meer te herleiden is naar een specifieke ziekte."

Ondanks die maatregelen vindt Kappenberg de AVG geen spannende wet. "Die is eigenlijk hetzelfde als de oude wetgeving. De meeste wetsbepalingen vind je bovendien terug in onze algemene voorwaarden en in de beroepsregels van accountants. De meeste tijd ging zitten in het doorlezen van de wet en de bepalingen, het doorgronden ervan. Dat kostte een paar weken."

Geen grote kluif

Een rondje langs kleine en middelgrote kantoren leert dat veel kantoren niet zo'n grote kluif hadden aan de AVG. Het beschermen van klantinformatie en persoonsgegevens maakt toch al onderdeel uit van de accountantspraktijk, stellen ze. "Persoonlijk vind ik het niet zo'n issue, die AVG. We moesten allang voldoen aan de regels", zegt John Jongerius van DRV Accountants. "Maar voor de bewustwording rondom digitale veiligheid is de wet toch wel goed."

Vorig jaar is iedereen bij DRV nog eens getraind in informatiebescherming. "De training was gebaseerd op de voorganger van de AVG, de Wet Bescherming Persoonsgegevens, in combinatie met de meldplicht datalekken. We trainden wat je moet doen als je een usb-stick verliest, als je laptop wordt gehackt of als je per ongeluk een mail verstuurt met informatie die je niet had mogen delen. Onder de AVG zijn deze regels niet heel veel veranderd."

Informatievoorziening laat op gang

Een jaar geleden reageerden accountants nog minder ontspannen. "Ik ben bang dat we de gevolgen van de AVG onderschatten" zei Carel Verdiesen eind 2017, zelfstandig accountant en dagvoorzitter van een symposium over de AVG. De NBA ontwikkelde een privacy-toolkit voor mkb-kantoren.

"Het was niet bevorderlijk dat de informatievoorziening zo laat op gang kwam", zegt Anita Janssen van het Limburgse BPV accountants en belastingadviseurs, die het AVG-traject samen met haar collega Bianca Jennissen heeft geleid.

'Het was niet bevorderlijk dat de informatievoorziening zo laat op gang kwam.'

"Pas in maart waren er informatiebijeenkomsten waarin actuele zaken en de standpunten van de Autoriteit Persoonsgegevens gedeeld werden. Ik vraag me af of deze bijeenkomsten hebben bijgedragen aan de bewustwording. Met het delen van informatie moet je voorzichtig zijn, dat weet iedereen die werkt met informatie van anderen." 

Voor veel accountants heeft het AVG-proof worden trekjes van het opruimen van de spreekwoordelijke zolder: overal nog eens goed doorheen gaan. "Best veel werk, want we moesten ons hele klantinformatiesysteem onder de loep nemen", vertelt Jennissen. "Maar toch zinvol, want we hebben nu ons volledige klantregistratiesysteem zodanig ingericht dat de verwerkingen per klant inzichtelijk zijn en getoetst kunnen worden aan de AVG."

Het hanteren van een stappenplan heeft ons enorm geholpen, stelt Janssen. "Om prioriteiten te stellen en het overzicht te bewaren. We konden niet in één keer alle benodigde stappen zetten. De interne maatregelen in het kader van de privacy zijn later ingevoerd. We wisten uiteraard al hoe hiermee om te gaan; overigens geen medewerker die er naar vraagt."

Weinig te vrezen

Inmiddels zijn de meeste accountants er van overtuigd dat ze weinig te vrezen hebben van de  AVG. De Autoriteit Persoonsgegevens jaagt nu vooral op grote, foute partijen. "Pas als je herhaaldelijk de boekhouding van je klant aan de straat zet, moet je oppassen", zegt Patrick Kappenberg. "Niemand gaat je beboeten als je aantoont dat je zorgvuldig met persoonsgegevens bent omgegaan. Laat ze anders eerst maar eens naar de Belastingdienst kijken, die heeft zijn zaken duidelijk niet op orde. Maar dat is wel de instantie waar ik persoonsgegevens naartoe moet sturen."

Ook Bianca Jennissen van BPV verwacht dat het wel meevalt met de boetedreiging. "Mark Zuckerberg van Facebook hoefde in Brussel alleen maar sorry te zeggen voor alle datalekken. Wat wij moeten doen is zorgen dat we helder hebben welke informatie we krijgen en hoe we die verwerken. Dan loopt het met die handhaving niet zo'n vaart."

Zorg van klanten

Wat wel vaart krijgt, is de zorg van de klanten over de AVG. Tal van organisaties weten zich geen raad met de regels. De accountant is een van de eersten waarmee ze hun zorgen delen. "Sommigen hebben het al goed voor elkaar, maar ik zie ook organisaties worstelen, zoals verenigingen en coöperaties", zegt Kappenberg. "Ze hebben soms geen idee hoe ze moeten omgaan met al die informatie over hun leden. Willen ze de wetgeving grondig nakomen, dan moeten ze naar een specialist. Maar als financieel expert en ervaringsdeskundige kan ik ze wel de ogen openen over de AVG."

Sommige kantoren gaan een flinke stap verder. DRV Accountants heeft drie mensen die fulltime adviseren over informatiebescherming. "Zonder dat we daar reclame voor maken", zegt John Jongerius. "De AVG is een mooi aanknopingspunt om deze dienstverlening in de markt te zetten. We zien ons als een ketenregisseur die helpt bij risicodenken, wat we al jaren inbrengen bij de controle van de jaarrekening. Dan gaat het over de risico's van de AVG, privacy en cyber security."

'De vraag is niet of je wordt gehackt, maar wanneer.'

De big four doen dat al jaren voor het grootbedrijf, aldus Jongerius. "Wij doen dit voor familiebedrijven, daar ontstaat steeds meer vraag naar de veiligheid rond IT. Veel bedrijven beschikken over concurrentiegevoelige informatie, waar hackers uit de hele wereld op jagen. Het vertrouwen in de digitale economie is klein."

NEMACC-rapport over aanpak AVG

Goede informatiebeveiliging is nodig om te kunnen voldoen aan de eisen van de AVG, die op 25 mei 2018 in werking is getreden. Om mkb-accountants in staat te stellen de benodigde maatregelen te treffen, publiceerde NEMACC eind 2017 een rapport in twee delen over informatiebeveiliging en privacybescherming. Daarnaast organiseerde de NBA een reeks bijeenkomsten en kwam de beroepsorganisatie met een toolkit voor leden en een informatiebrochure. Recent bracht de NBA ook een podcast uit over de gevolgen van de AVG.

Ook Joankecht heeft adviesdiensten ontwikkeld over de beveiliging van informatie. "We brengen in kaart welke informatie een klant verzamelt, hoe zij die opslaat, met wie ze die uitwisselt, wie er toegang toe heeft", zegt Lucas Vousten. "Pas als dat helder is, kun je er een risicoanalyse op loslaten. En die geeft weer uitzicht op aanvullende maatregelen om je informatie te beveiligen. Klaar ben je nooit, ook al is dat wel hoe het nu wordt voorgesteld in alle berichtgeving over de AVG. De vraag is niet of je wordt gehackt, maar wanneer. Dan moet je een plan B hebben en daar helpen wij bij."

Henk Vlaming is journalist.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.