Nieuws 13 december 2017

'Accountants onderschatten risico van nieuwe privacywet'

In mei 2018 treedt een nieuwe privacywet in werking, de AVG. Sommige regels lijken tegenstrijdig aan de huidige accountantspraktijk. Daarom heeft denktank NEMACC de gevolgen voor accountants in kaart gebracht. De bevindingen worden dinsdag in Bussum gepresenteerd, voorafgaand aan de ledenvergadering van de NBA.

Henk Vlaming

“Ik ben bang dat we de gevolgen van de AVG onderschatten” zegt Carel Verdiesen, zelfstandig accountant en dagvoorzitter van het symposium over de Algemene verordening gegevensbescherming (AVG) dat op 19 december wordt georganiseerd. “Als accountant veronderstel je dat geheimhouding wordt afgedekt door de ethische code en procedures die in onze handboeken beschreven staan. Maar de vraag is of die voldoende zijn. Zo heb je als accountant nog altijd kopieën van paspoorten van je klanten in hun dossiers. Is dat wel verantwoord onder deze nieuwe wet, of kun je volstaan met een aantekening en een paspoortnummer?”

Zo zijn er meer vragen, aldus Verdiesen. “Kun je alle informatie nog per mail sturen, of moet je een platform gebruiken waar de klant zelf de informatie ophaalt? Ben je in dat geval niet langer verantwoordelijk voor wat er gebeurt met de informatie? En tenslotte is er nog onduidelijkheid over de rol van de accountant in de samenstelpraktijk: ben ik verwerkingsverantwoordelijke of alleen de verwerker?”

Digitale kanalen

De AVG is de vervanger van de Wet Bescherming Persoonsgegevens uit 2001. In de nieuwe wet wordt nadrukkelijk ook bescherming geëist van persoonsgegevens die via digitale kanalen worden uitgewisseld. “Het gaat met name om informatie die je heel gemakkelijk uitwisselt, via e-mail of internettoepassingen als WeTransfer, zonder dat je precies weet bij wie het terecht komt”, vervolgt Verdiesen. “Misschien kijkt er een secretaresse mee, een ICT-beheerder of de partner van je klant. Voor je het weet heb je een datalek en dat moet je melden. Als je je al bewust bent van dat lek.”

Volgens Verdiesen lijkt de wet soms tegenstrijdig aan hoe accountants hun vak uitoefenen. “Zo moeten we proactief adviseren op basis van klantdata, terwijl het de vraag is of we al die data wel mogen vastleggen onder de nieuwe privacywetgeving.”

Over dit soort onduidelijkheden gaat het symposium. Ook de Autoriteit Persoonsgegevens laat daarbij van zich horen. Doel is helderheid geven over de rol van de accountant. Geen dag te vroeg, stelt Verdiesen, want accountants hebben nog minder dan een half jaar om de bescherming van persoonsgegevens te regelen. De AVG werd reeds in 2016 ingevoerd, maar organisaties kregen twee jaar de tijd om zich voor te bereiden.

Nieuwe regelgeving

“Ik kan me voorstellen dat niet elke accountant hier scherp op was. Er is zoveel nieuwe regelgeving gekomen, zoals voor pensioenen, over het arbeidsrecht, de herziene Standaard 4410, nieuwe kwaliteitsregels en dan zit ook de nieuwe Wwft er nog aan te komen. Accountants bestaan weliswaar bij de gratie van regelgeving, maar toch zijn al die veranderingen heel veel. Als accountant stel je prioriteiten.”

Hoe groot is de kans dat de AVG uiteindelijk niet meer is dan een papieren tijger? Verdiesen waarschuwt om daar niet van uit te gaan. Bij overtredingen kunnen boetes oplopen tot liefst twintig miljoen euro. “Wil jij voor de rechter het gevecht aangaan met de Autoriteit Persoonsgegevens? Het niet serieus nemen van deze wetgeving vind ik een groot risico.”