Digitaal
Welke digitale bronnen zijn voor accountants nuttig, handig of vermakelijk? Arnout van Kempen doet elk kwartaal een greep.
Dit artikel is verschenen in Accountant Q4, 2018
Bekijk alle artikelen uit dit nummer
De afgelopen maanden zijn steeds meer accountants zich bewust geworden van de gevolgen van de AVG. Een belangrijk element daarin is de verplichting datalekken te melden aan de Autoriteit Persoonsgegevens. Voor accountantskantoren is de communicatie over stukken met de klant een belangrijke potentiële bron van datalekken.
Maar wat is nu precies een datalek? Kort gezegd: iedere inbreuk, bewust of per vergissing, op vertrouwelijkheid of beschikbaarheid van gegevens die naar een persoon zijn te herleiden. Of een datalek moet worden gemeld bij de Autoriteit is afhankelijk van de ernst. Bij zeer ernstige lekken moet ook de persoon wiens gegevens zijn gelekt worden ingelicht, zodat deze maatregelen kan treffen.
Stel bijvoorbeeld dat een concept IB-aangifte voor klant X wordt gestuurd naar klant Y. Als kantoor moet je je dan afvragen of dat gegevens zijn die Y kan misbruiken om X te benadelen. Gaat het om financiële gegevens, een BSN-nummer et cetera, dan zal dat al snel het geval zijn. Melding aan X en aan de Autoriteit is dan geboden. Een belangrijke uitzondering is de situatie waarbij vaststaat dat Y de informatie niet heeft ingezien. Dat Y dat beweert is niet genoeg, maar als kan worden bewezen dat Y de informatie niet heeft ingezien, is geen sprake van een datalek.
Wat betekent dit nu voor de te treffen maatregelen voor een kantoor? Ten eerste zal je voor communicatiemiddelen willen kiezen waarbij stukken zoveel mogelijk correct worden geadresseerd. Dat lijkt voor de hand liggend, maar is dat niet zonder meer. Een programma als Outlook ondersteunt het makkelijk verkeerd adresseren sterk, door na het intypen van de eerste letters van een adres al met een voorstel te komen, dat niet juist hoeft te zijn. Een systeem waarbij je één keer een vast verband legt tussen de klant in je aangifte-programma en het mailadres van die klant werkt dan veel beter.
Je wilt ook technische maatregelen voor als het toch mis gaat. Zoals een communicatiemiddel waarbij je achteraf kunt vaststellen wie je verzonden document heeft geopend. Standaard mailprogramma’s kunnen dat niet, portal-oplossingen maar ook gecodeerde attachments kunnen dat vaak wel.
Het fundament onder databeveiliging, en dus onder het voorkomen van datalekken, is echter nooit techniek maar de mens. Je moet als kantoor dus investeren in bewustwording van je medewerkers. Bewustwording over het gemak waarmee gegevens verkeerd kunnen worden verzonden en over de noodzaak intern te melden als het toch verkeerd gaat. Dat betekent in de eerste plaats bewustwording over de mogelijkheden die kwaadwillenden hebben, als ze kunnen beschikken over de persoonsgegevens waarmee je als accountantskantoor werkt.
Tips? Stuur een linkje naar redactie@accountant.nl.
Gerelateerd
Corporate privacy?
De data van privépersonen wordt gretig verhandeld. Maar hoe zit dat met de data van bedrijven, vraagt Joris Joppe zich af.
Toegang UBO-register blijft beperkt
De toegang tot het UBO-register blijft beperkt tot instanties met een wettelijke taak bij het voorkomen en tegengaan van fraude, witwassen en terrorismefinanciering....
Europese waakhonden 'kijken kritisch' naar nieuwe regels Meta
De Autoriteit Persoonsgegevens en de andere Europese toezichthouders voor privacy gaan samen "kritisch kijken" naar de nieuwe gebruiksvoorwaarden van Facebook en...
Facebook en Instagram moeten stoppen met persoonlijke reclames
Facebook en Instagram mogen in Nederland en de andere Europese landen geen advertenties meer laten zien die zijn gebaseerd op het internetgedrag van gebruikers....
Megaclaim tegen Meta vanwege privacyschending
De Nederlandse Stichting Onderzoek Marktinformatie (SOMI) begint een claimzaak tegen Facebook-moederbedrijf Meta Platforms, vanwege privacyschendingen op het sociale...