9 juridische tips voor internetgebruik
Online werken is heel gemakkelijk, maar aan dat gemak kleven ook risico's. Jurist Arnoud Engelfriet adviseert voor het bedrijf ICTRecht bedrijven over de gevaren van internet. Speciaal voor accountants geeft hij de 9 do's en don'ts voor internetgebruik.
Dit artikel is verschenen in Accountant nr. 7/8, 2014
Bekijk alle artikelen uit dit nummer
1 Vink niet zomaar iets aan. Voordat je weet zit je vast aan een contract of verplichting.
Veel mensen denken dat een onlinecontract pas bindend is als het elektronisch is ondertekend. Echter, de elektronische handtekening is vaak slechts ondersteunend bij het aangaan van een verplichting. Als je aanvinkt dat je akkoord gaat met de voorwaarden zit je er dikwijls al aan vast. Zeker als je vervolgens betaalt voor een product of dienst.
2 Spreek af wie online verplichtingen mag aangaan.
Omdat je sneller aan een verplichting vastzit dan je denkt, is het belangrijk dat binnen een kantoor duidelijk wordt afgesproken wie accounts mogen aanmaken. Kleinere kantoren doen dit vaak beter dan grotere omdat de lijnen er korter zijn.
3 Bewaak de privacy van je klanten.
Bij gebruik van een CRM-systeem is de kans groot dat dit via de VS loopt. Iedereen is tegenwoordig beducht voor de Amerikaanse geheime dienst NSA die naar hartenlust meekijkt. Maar als je klanten zaken doen in de VS kunnen hun gegevens ook interessant zijn voor de IRS, de Amerikaanse belastingdienst. Weet je zeker dat die geen toegang heeft tot je CRM-systeem?
Ook bekijkt de beheerder van een cloudapplicatie vaak voor analysedoeleinden opgeslagen informatie. Maar stellen de klanten van een accountant dit wel op prijs? Probeer zoveel mogelijk hun privacy te beschermen. Leg dit juridisch vast. Dit gaat gemakkelijker met een in Nederland gevestigde cloudbeheerder dan met een in de VS.
4 Blijf de baas over eigen data.
Online-softwarepakketten slaan informatie op een bepaalde manier op. Dat kan tot problemen leiden bij overstappen naar een ander pakket. Kun je dan wel alle gegevens uit het oude pakket meenemen naar het nieuwe? Onzin? Wel eens geprobeerd om adresgegevens van Outlook naar Gmail te verplaatsen? Dat is niet gemakkelijk. Eis in het contract met de softwareleverancier een garantie voor een overstapmogelijkheid, nu en in de toekomst.
5 Maak contractuele afspraken met de beheerder over wanneer er onderhoud plaatsvindt.
Iedereen op een accountantskantoor weet dat het niet handig is om computeronderhoud te plegen op 31 maart. Maar beseft de beheerder dat ook? Maak daar contractuele afspraken over. Eis ook dat je beheerder op piekmomenten de toevloed aan data aankan. Overdreven? De Belastingdienst moest dit jaar de IB-aangifte twee dagen verlengen omdat op de avond van 31 maart het systeem het grote aantal belastingplichtigen niet kon bolwerken.
6 Neem maatregelen voor als je softwareleverancier failliet gaat.
Goede software is van levensbelang voor een kantoor. Daarom is het belangrijk dat je altijd beschikt over de laatste versies en back-ups. Maar wat als de softwareleverancier failliet gaat? Dan kan de continuïteit van je kantoor in gevaar komen.
Voordat de cloud in zwang raakte, was het sluiten van een escrow-overeenkomst met de leverancier voldoende. De broncode van de software en de laatste updates werden opgeslagen bij een derde partij. Bij een situatie waarin de leverancier niet meer aan zijn verplichtingen kon voldoen, een zogeheten triggering event, kon je via de derde partij alsnog aan de broncode en updates komen.
In de cloud voldoet dit echter niet meer omdat een escrow-overeenkomst alleen gold voor software en niet voor data. Maak daarom met de cloud-dienstverlener afspraken over continuïteit van de dienstverlening. Deze dienstverlener is echter bij faillissement afhankelijk van anderen (de curator) of je cloud-dienst blijft doordraaien. Daarom moet er een derde instantie in het leven worden geroepen, een Stichting Continuïteit. Deze sluit een overeenkomst met de cloud-dienstverlener over hoe de continuïteit bij een faillissement wordt geregeld. Je kunt tot deze overeenkomst toetreden door een derdenbeding dat je het recht geeft om van je gegevens in de cloud gebruik te blijven maken.
7 Denk goed na over uitbesteding van bepaalde diensten.
Wat wil je als kantoor zelf doen en wat wil je uitbesteden? Zelf de e-mail beheren? Dan moet je wellicht een ICT'er inhuren. Vaak is een abonnement op bijvoorbeeld Google goedkoper. Maar ja, wil je dat de NSA meekijkt? Maak een kosten/batenanalyse. Laat je niet verblinden door de risico's, maar loop ook niet lichtvoetig de cloud in. Beter is het om te zorgen voor waterdichte contracten.
8 Neem maatregelen tegen calamiteiten.
Een calamiteit is geen juridisch probleem, maar wel erg vervelend. Een juridische ‘oplossing’ kan zijn het verzekeren van de schade. Let op dat die verzekering ook het verlies van data dekt. Aan een uitkering die net de harde schijf vergoedt, heb je natuurlijk weinig. Voorkom in ieder geval dat je door calamiteiten niet bij je gegevens kunt. Bewaar ze op verschillende plaatsen, bijvoorbeeld bij twee cloud-dienstverleners of fysiek bij een beheerder, terwijl je elke dag ook zelf een kopie maakt en die op een veilige manier bewaart.
9 Maak afspraken over gebruik eigen apparatuur door medewerkers.
Bring your own device is tegenwoordig op veel kantoren het beleid. Medewerkers werken het liefst met hun eigen laptop of tablet. Maar hoe goed beveiligd is zo'n apparaat? Hoe secuur gaan de medewerkers met hun laptop of tablet om als ze bijvoorbeeld na het werk direct doorgaan naar de sporthal? Gaat het apparaat dan in een kluisje of blijft het in de sporttas?
Je kunt natuurlijk het gebruik van eigen apparatuur verbieden. Maar vaak verpest dat de werksfeer. Beter is het om er afspraken over te maken die aan twee voorwaarden voldoen. Ten eerste moet er voldoende draagvlak voor bestaan. Is dat het geval dan zal de tweede voorwaarde, zorgen voor een goede handhaving, geen probleem zijn.