Adrie Boxmeer

De Algemene verordening gegevensbescherming (AVG) trad op 25 mei 2016 in werking. Vanaf dat moment had iedereen die met privacygevoelige informatie werkt nog exact twee jaar de tijd om de bedrijfsvoering aan de nieuwe regelgeving aan te passen. De AVG is dus per 25 mei 2018 daadwerkelijk van toepassing.

Jan Pasmooij en Ruud Snoeker (Erasmus School of Accounting & Assurance ESAA) vielen op het NEMACC-symposium met de deur in huis. “Bent u op de hoogte van de nieuwe regelgeving?”, wilden ze weten van de aanwezigen. Dat bleek 88 procent niet te zijn. Werk aan de winkel dus. Pasmooij: “Want over elf maanden moet u toch echt voldoen aan de nieuwe regels, wilt u niet het risico lopen op een hoge boete.”

Volgende stap

Met de toenemende digitalisering zijn ook de risico’s toegenomen.

De nieuwe regelgeving vervangt de Wet Bescherming Persoonsgegevens uit 2001. Pasmooij: “In 2001 bestonden internet en e-mail nog nauwelijks. Het gevaar dat persoonsgebonden gegevens in verkeerde handen kwamen, was niet groot. Maar met de toenemende digitalisering zijn ook de risico’s toegenomen. Denk bijvoorbeeld aan steeds meer informatie die in de cloud wordt opgeslagen. Is dat wel omgeven met voldoende veiligheidsmaatregelen? De wetgever anticipeerde hierop door vanaf 2016 een meldplicht voor datalekken in te stellen. De AVG is een volgende stap.”

De nieuwe wet geldt voor persoongegevens, dat zijn alle gegevens die betreking hebben op natuurlijke personen zoals adressen en telefoonnummers. Daarnaast kent de wet bijzondere persoonsgegevens: informatie over iemands ras, politieke en andere voorkeuren, medische dossiers.

Snoeker: “U moet heel voorzichtig zijn met deze gegevens. Een voorbeeld: een klant van u ligt in scheiding, wat financiele consequenties kan hebben die voor u als accountant van belang zijn. Als u hierover een mail van zijn advocaat krijgt, moet u daar vertrouwelijk mee omgaan. Stuurt u die mail door naar een collega die ook aan dit dossier werkt en er gaat iets mis, dan heeft dat ook consequenties voor u.”

Verantwoordelijkheden

De wet gaat uit van diverse partijen met verschillende verantwoordelijkheden. Zo is degene wiens persoonlijke gegevens het betreft de betrokkene. Daarnaast zijn er ontvangers zoals de Belastingdienst of de bank voor het aanvragen van een krediet. Ook zijn er derde partijen aan wie informatie kan worden verstrekt. Daartussen zitten degenen die de informatie verwerken, zoals accountants.

De AVG maakt een onderscheid tussen verwerkingsverantwoordelijken, verwerkers en subverwerkers. Pasmooij: “Het is duidelijk dat voor allen strenge eisen gelden voor het veilig verwerken van persoongegegevens. Maar de consequenties als het misgaat zijn verschillend. Uiteraard zijn de gevolgen voor de verwerkingsverantwoordelijke het grootst. Dat kunt ook u zijn als mkb-accountant.”

De AVG eist dat naleving van de wet moet kunnen worden aangetoond. Verder moeten organisaties met meer dan 250 medewerkers alle verwerkingen van persoonsgegevens registreren. Ook moeten zij iemand aanwijzen die toezicht houdt op de bescherming van de gegevens. Pasmooij: “Dat heeft grote gevolgen voor accountantskantoren, ook voor die in het mkb en zeker voor de grotere onder hen. Verder kent de AVG het recht op vergetelheid: de verwerkingsverantwoordelijke moet de persoonsgegevens wissen als die niet langer nodig zijn.”

Datalekken

Strengere regels met het omgaan van persoongegevens in een IT-omgeving die steeds gecompliceerder wordt: dat vraagt om maatregelen. Snoeker: “Waar vroeger iedereen werkte op de computer op zijn kantoor, kunnen we nu ook thuis werken op een pc of laptop. Of onderweg op een smartphone.”

Het zoekraken van een usb-stick met privacygevoelige gegevens kan al voldoende zijn.

Nog een ontwikkeling die gevaar kan veroorzaken, is Bring Your Own Device: medewerkers die thuis maar ook op kantoor hun eigen laptop gebruiken. Een ongeluk zit in een klein hoekje, hielden Pasmooij en Snoeker de aanwezigen voor. “Denk bij overtreding van de nieuwe regels niet aan grote datalekken. Het zoekraken van een usb-stick met privacygevoelige gegevens kan al voldoende zijn.”

Van de aanwezige mkb-accountants bleek 29 procent de laatste zes maanden weleens een beveiligingsincident te hebben gehad, zoals het zoekraken van een usb-stick maar ook het klikken op een dubieuze e-mail.

Afschrikkende werking

De boetes op het onzorgvuldig gebruik van persoongegevens zijn fors. De wetgever wil hiermee een afschrikkende werking bereiken. Om te voorkomen dat het zover komt, somden Pasmooij en Snoeker enkele actiepunten op die accountants maar ook hun klanten zo snel mogelijk moeten realiseren. “Maak uw medewerkers bewust van cyberdreigingen, maak duidelijke afspraken over wat wel of niet mag, weet met wie je zaken doet bij het verstrekken van data, breng uw IT-landschap in kaart, gebruik alleen beveiligde verbindingen ook als u mobiele appraten gebruikt, zorg voor goede beveiliging zoals firewalls en patches. En tot besluit: maak iemand op bestuursniveau verantwoordelijk voor de hele gang rond verwerking van persoonsgegevens.”