Magazine 01 maart 2014

'Houd gegevens binnen de EU'

Onafhankelijkheidsvoorschriften, geheimhoudingsplicht en privacyvoorschriften hoeven de belofte van big data niet in de kiem te smoren, maar nopen wel tot nadenken. Zeker nu hogere boetes dreigen en claims van gedupeerden nooit ver weg zijn, zegt advocaat Monique van Dijken-Eeuwijk.

Dit artikel is verschenen in Accountant nr. 3, 2014

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Juridische aspecten big data

Monique van Dijken-Eeuwijk is advocaat bij NautaDutilh en gespecialiseerd in (toezicht)wet- en regelgeving voor onder meer financiële instellingen, accountantsorganisaties en accountants. Ze is een expert op het gebied van privacy en databescherming in de breedste zin.

Tegen welke regels loop je als accountantskantoor het eerst aan als je zelf aan de slag gaat met big data of jouw klanten erover adviseert?

"De toezichtwetgeving. Volgens de Wet toezicht accountants moet een accountantsorganisatie een beheerste en integere uitoefening van haar bedrijf waarborgen en de onafhankelijkheid tegenover de cliënt en de geheimhouding van gegevens veilig stellen."

Hoe stel je dat veilig?

"Je mag gegevens uit het controledossier niet zomaar delen met een andere discipline binnen de organisatie. Tenzij de cliënt de accountant ontheft van zijn geheimhoudingsplicht door toestemming te geven. Maar daarbij moet de accountant ook nog belangen van andere stakeholders meewegen. Door de onafhankelijkheidsvoorschriften kun je niet zo maar producten aanbieden aan een wettelijke-controlecliënt. En een kantoor kan zich ook niet afhankelijk maken van een big data provider als het daar de wettelijke controle doet."

Met big data kunnen accountants niet alleen vaststellen of de jaarstukken een getrouw beeld geven, maar ook bedreigingen, risico's en kansen signaleren. Kun je die toegevoegde waarde dan wel leveren?

"Als je het integreert in de controle is het waarschijnlijk in overeenstemming met de onafhankelijkheidsvoorschriften. Nu zie je dat big data binnen de organisatie nog vaak eenstand alone-functie is."

Cloud

"Bij big data zitten gegevens vaak in de cloud. En in een cloud kunnen gegevens zich het ene moment bevinden in Singapore, het andere in de Verenigde Staten en daarna weer in Zuid-Afrika. De state of the art technologie vind je bij providers als Google, IBM en Amazon, Amerikaanse ondernemingen, die zijn gevestigd in de Verenigde Staten."

Wat voor juridische gevolgen heeft dat?

"Voor de beheerste bedrijfsvoering moeten gegevens goed beschermd zijn en moet je weten waar die zich bevinden. In de VS worden privacy en data vaak minder goed beschermd. Toezichthouders en partijen in een juridische procedure kunnen daar gemakkelijker toegang tot jouw gegevens krijgen dan in de EU. Daarom kun je persoonsgegevens daar niet zonder meer heen brengen."

Wat moet je dan?

"Je zou eigenlijk het maximale moeten doen om de gegevens binnen de EU te houden. Maar door gebrek aan state of the art technologie en infrastructuur in Europa is dat lastig. Zo lang er geen Europese alternatieven zijn voor Google, IBM en Amazon moet je proberen in het contract met de provider te bedingen dat de gegevens binnen de EU blijven en de cloud provider transparant is over de verwerking van de gegevens."

Privacy

Als ik voor een klant een big data-toepassing ontwikkel om het workflow management te verbeteren, waar moet ik dan opletten?

"Dat je niet alleen de gegevens beschermt, maar ook het intellectuele eigendom goed regelt. Je kunt de klant bijvoorbeeld een licentie geven."

Mag ik of die klant personeelsgegevens gebruiken om het workflow management te verbeteren?

"Het doel van de data-analyse moet 'verenigbaar' zijn met het doel waarvoor de gegevens in eerste instantie zijn verkregen. Workflow management verbeteren, kun je wel zien als als 'verenigbaar gebruik', denk ik."

Kun je klantgegevens gebruiken om de dienstverlening te verbeteren?

"Als we ervan uitgaan dat het gebruik verenigbaar is, zul je daarvoor nog toestemming nodig hebben van de klant."

Zijn er gegevens die je helemaal niet mag verwerken?

"Ja, je mag normaal gesproken geen gegevens verwerken over iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid of seksuele leven."

Maar openbare data mag je wel altijd verwerken?

"Als het om persoonsgegevens gaat, moet je je daarbij houden aan de privacyregels."

Moet ik worden geïnformeerd als mijn persoonsgegevens worden verwerkt?

"Ja, je moet voldoende worden geïnformeerd over de verwerking. In de media heb je kunnen lezen dat Google, Facebook, LinkedIn hierin herhaaldelijk te kort zijn geschoten. In het licht van big data is het ook nog van belang dat een data-analyse niet mag leiden tot geautomatiseerde beslissingen over individuen. Denkbaar is dat een klant van het accountantskantoor big data gebruikt om met klanten uit een kennelijk risicogebied voortaan geen zaken meer te doen of alleen tegen ongunstiger condities. Dat mag dus niet zo maar."

Boetes

Wat zijn de risico's als je je niet aan de regels houdt?

"Je riskeert klachten van klanten, werknemers en belanghebbenden. Betrokkenen kunnen claims indienen en toezichthouders kunnen boetes opleggen. De Autoriteit Financiële Markten bijt zo nu en dan al door. Straks kunnen privacytoezichthouders dat ook."

Straks?

"Er is een EU-verordening in de maak die privacytoezichthouders de bevoegdheid geeft voor elke overtreding een boete op te leggen ter grootte van vijf procent van de wereldwijde omzet. Als de Europese Commissie haar zin krijgt, wordt dit twee procent lager. De verordening wordt naar verwachting op 1 januari 2015 ingevoerd."

Hoe groot is de kans dat je wordt betrapt?

"Ook de pakkans gaat omhoog. Het kantoor moet als verantwoordelijke voor de verwerking van persoonsgegevens kunnen aantonen dat de privacybescherming echt onderdeel uitmaakt van de bedrijfsprocessen en procedures. Verder moeten publieke organisaties en bedrijven met meer dan 250 werknemers moeten daarvoor een privacyfunctionaris aanstellen."

Die boetes worden dus echt uitgedeeld?

"Ja, ik verwacht dat de toezichthouders de boetebevoegdheid snel zullen gaan gebruiken als pressiemiddel om de nieuwe regels op de kaart te krijgen."

Bananenschillen

• Onafhankelijkheidsvoorschriften
• Geheimhoudingsplicht
• Privacyregels
• Intellectuele eigendom

Risico's niet-naleving:

• Boetes van toezichthouders
• Claims van gedupeerden
• Reputatieverlies kantoor
• Verlies van data