Nieuws 21 december 2017

Accountant onderschat nieuwe privacyregels

Accountants moeten razendsnel aan de slag met de nieuwe privacywetgeving die vanaf mei volgend jaar geldt. Op een seminar van NEMACC en de Commissie MKB van de NBA bleek dinsdag dat de reikwijdte van de nieuwe regels behoorlijk wordt onderschat. "Schiet niet in de stress, maar u moet nu wel héél snel beginnen."

Geert Dekker

Medewerker raakt laptop kwijt. Heel vervelend. Staan er klantgegevens op? Dat was niet de bedoeling. Maar de medewerker weet eigenlijk niet meer heel zeker of ie toch niet een keer... In een ietwat verontrustende presentatie geeft Jan Pasmooij, consultant IT Auditing, op het NEMACC-seminar van afgelopen dinsdag dit alledaagse voorbeeld.

Voorheen bleef het wat consequenties betreft bij 'heel vervelend'. Maar vanaf 25 mei volgend jaar kan zo'n incident zelfs tot een boete leiden van de Autoriteit Persoonsgegevens (AP). Plus reputatieschade. Want vanaf die datum geldt de Algemene Verordening Gegevensbescherming (AVG) en die schrijft onder meer voor dat datalekken rond persoonsgegevens binnen 72 uur moeten worden gemeld bij de AP. Inclusief alle denkbare gegevens omtrent het lek. Pasmooij: "Wat stond er precies op die laptop? Wie gaat binnen uw kantoor die melding verzorgen? En beschikt u wel over alle gegevens die de AP wil hebben?"

De meldingsplicht is maar een enkel onderdeel van de AVG. Grote lijn: strengere regels met betrekking tot de persoonsgegevens die organisaties mogen vragen, verzamelen, bewaren en gebruiken. Voor elk gegeven en elk gebruik moet een 'grondslag' zijn. In veel gevallen zal dat toestemming van de betrokkenen zijn, in andere gevallen absolute noodzaak, maar ook andere grondslagen zijn denkbaar. In alle gevallen geldt: de grondslag moet worden geregistreerd. Zoals vrijwel alles wat de organisatie met persoonsgegevens doet, moet worden geregistreerd. 

Wetransfer 

Want wat ook verandert: de organisatie is verantwoordelijk voor wat er met de gegevens gebeurt. Diefstal, verlies, hacking? Jammer dan, de organisatie is verantwoordelijk en kan aansprakelijk worden gesteld voor de gevolgen. En dat geldt natuurlijk ook voor het gebruik door derden van de gegevens. Dus zomaar een adressenbestand aan een collega verstrekken, dat mag ook niet (zonder grondslag). Op het seminar werd volop gediscussieerd over het gebruik van software van derden, over wetransfer.com, over clouddiensten en überhaupt het gebruik van e-mail en andere, mogelijk onveilige communicatiediensten. Pasmooij: "Allerlei gegevens heen en weer mailen: ik zou zeggen: stop ermee." 

Geheimhouding

Een en ander heeft dus nogal wat gevolgen voor het gemiddelde accountantskantoor, zo bleek ook uit de andere presentaties op het drukbezochte seminar. Dat een accountant om te beginnen zijn cliënt al garandeert vertrouwelijk om te gaan met zijn gegevens doet daar niets aan af, zo maakte Koosje Verhaar, hoofd Communicatie van de AP, duidelijk. De nieuwe wet schrijft voor dat een organisatie voor elke vorm van gegevensverwerking een grondslag moet hebben (en die moet registreren) en dat de organisatie verantwoordelijk is als er iets misgaat rond die gegevens. "Het is vooral de accountability die nu centraal staat: net zo goed als alle andere organisaties die omgaan met persoonsgegevens moet u kunnen laten zien dat u voldoet aan de nieuwe wetgeving. Niet achteraf, maar vooraf", zo hield Verhaar haar gehoor voor. Met andere woorden: het is mooi dat een accountant met zijn cliënt geheimhouding afspreekt, maar in het kader van de AVG betekent het feitelijk niets.

Bewustwording

Wat te doen? Praktisch is compliance aan de AVG (internationaal aangeduid als de GDPR, General Data Protection Regulation) een behoorlijke klus, zo maakte Patrick Kappenberg, mkb-accountant en lid van de Commissie MKB duidelijk in zijn verhaal. Hij is met zijn eigen kantoor (zeven medewerkers) al voor de zomer begonnen met het project, maar tevreden over het tempo is hij niet. "Dat heeft te maken met de veelomvattendheid. Telkens stuit je weer op nieuwe invalshoeken", aldus Kappenberg. "De eerste stap, bewustwording, hebben we nu wel achter de rug. Maar met het besef van de urgentie van een probleem heb je jammer genoeg dat probleem nog niet opgelost."

 Accountants kunnen in het kader van de AVG een dubbelrol vervullen: het gaat er niet alleen om welke gegevens zij voor hun eigen bedrijfsvoering verzamelen en bewerken, maar ook welke gegevens zij in opdracht van hun klanten verwerken. Als het om zogeheten 'bijzondere persoonsgegevens' gaat (zoals medische gegevens, godsdienst, seksuele geaardheid, ras) gelden nog extra strenge regels. Kappenberg: "Ik heb een apotheker in mijn klantenbestand. Zojuist bedacht ik mij dat ik hem toch maar eens een bezoekje moet brengen om dit aan de orde te stellen." 

Stappenplan

Met andere woorden: elke accountant moet aan de slag met de AVG. En wel onmiddellijk. Kappenberg kreeg de lachers op zijn hand: "Schiet niet in de stress, maar u moet nu wel héél snel beginnen." Het wiel opnieuw uitvinden hoeft daarbij niet. In samenwerking met de Autoriteit Persoonsgegevens heeft NEMACC een tweedelig rapport uitgebracht met een helder stappenplan waarmee de mkb-accountant kan voldoen aan alle eisen wat betreft informatiebeveiliging en privacybescherming. Het rapport (en de begeleidende brochure) kan worden gedownload van de website van de NBA.