Als accountant verleent u verschillende soorten diensten waarvoor een grote hoeveelheid en diversiteit aan bedrijfs- en persoonsgegevens wordt gebruikt. Dat maakt u kwetsbaar voor verlies of misbruik van data en voor het niet-compliant zijn met de privacywetgeving. Maar wie is er volgens u verantwoordelijk voor de naleving van de AVG binnen uw organisatie? Is dat iets dat de ICT-afdeling of een speciale functionaris moet organiseren of is dat iets van alle medewerkers?
Accountability
De Algemene verordening gegevensbescherming (AVG) dwingt organisaties met de verantwoordingsplicht (accountability) dat zij kunnen aantonen dat zij met betrekking tot de verwerking van persoonsgegevens aan de AVG-regels voldoen. Organisaties moeten onder andere kunnen laten zien dat een verwerking van een persoonsgegeven aan de belangrijkste beginselen van verwerking voldoet, zoals:
- Rechtmatigheid;
Verwerking van persoonsgegevens moeten in overeenstemming zijn met de wet. - Transparantie;
Duidelijk moet zijn dat persoonsgegevens verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt worden. Ook moet duidelijk zijn waarom dit gebeurt en wie dit doet. - Doelbinding;
Gegevens mogen alleen voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Ze mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. - Juistheid.
Gegevens moeten juist zijn en zo nodig worden geactualiseerd.
Ook moeten bedrijven kunnen aantonen dat zij de juiste technische en organisatorische maatregelen hebben genomen om de persoonsgegevens te beschermen*.
Doel, oorsprong en register
Iedere organisatie die persoonsgegevens verwerkt of nodig heeft, moet dus over het volgende nadenken:
- Waarom hebben we de persoonsgegevens eigenlijk nodig (doel)? Zijn ze echt vereist om ons werk te doen?
- Waar komen die persoonsgegevens vandaan (oorsprong) en met wie delen we deze gegevens?
- Moeten wij een register van verwerkingsactiviteiten opstellen waarin de persoonsgegevens, het doel, de oorsprong en met wie ze gedeeld worden zijn opgenomen? Wie heeft welke rol en rechten qua toegang tot die gegevens?
Register van verwerkingsactiviteiten
Afhankelijk van de omvang van de organisatie en het type gegevens dat wordt verwerkt, is het opstellen van een register van verwerkingsactiviteiten onder de AVG al dan niet een verplichte maatregel.
- Organisaties met meer dan 250 medewerkers
Organisaties meer dan 250 medewerkers zijn verplicht om een register van verwerkingsactiviteiten bij te houden.
- Organisaties met minder dan 250 medewerkers
Een register van verwerkingen is niet verplicht voor organisaties met minder dan 250 medewerkers, tenzij het waarschijnlijk is dat:
- die verwerking een risico inhoudt voor de rechten van betrokkenen;
- de verwerking niet incidenteel is;
- het de verwerking van bijzondere persoonsgegevens betreft (bijvoorbeeld grootschalige verwerking van salarissen waarbij ook bijzondere persoonsgegevens worden gebruikt, zoals loonbeslag).
Als u over het doel, de oorsprong en het register hebt nagedacht en hieruit voortvloeiende passende maatregelen hebt genomen, kunt u aantonen dat u er alles aan hebt gedaan om zorgvuldig met persoonsgegevens om te gaan.
Zwakste schakel is de mens
Net als voor u zijn privacy en effectieve databescherming voor Unit4 van cruciaal belang. Iedereen wil compliant zijn met de AVG van de EU en de aanvullende nationale regelgeving die ook nog steeds geldig is. Veel organisaties zullen ongetwijfeld een informatiefunctionaris als verantwoordelijke aanwijzen voor de implementatie en de naleving van deze nieuwe wetgeving. Of je als organisatie daadwerkelijk AVG-compliant bent – en blijft – hangt vooral af van de ‘mindset’ van alle medewerkers. In de benodigde (toegangs-)beveiliging en softwarematige maatregelen heb ik alle vertrouwen. De zwakste schakel is en blijft helaas de mens, ofwel de gebruiker, die zonder er verder bij na te denken zijn inlognaam en wachtwoord op een Post-It op zijn beeldscherm hangt….
Een organisatie kan iemand aanwijzen die het een en ander implementeert en monitort, maar als de AVG eenmaal goed is geïntegreerd in de dagelijkse werkzaamheden, producten, procedures en processen is en blijft een organisatie afhankelijk van de mensen die het moeten toepassen en uitvoeren. Het is van het allergrootste belang dat iedereen binnen de organisatie snapt waarom de invoering van deze wet- en regelgeving belangrijk is en welke consequenties het niet naleven ervan met zich mee kan brengen.
Integriteit en vertrouwen
Onze klanten hebben dagelijks te maken met persoonsgegevens of beursgevoelige informatie. Vanwege hun professie mogen zij daar nu al geen misbruik van maken. Iets in die trant geldt natuurlijk ook als vanzelfsprekend voor persoonsgegevens. Als je als accountant of softwareleverancier niet betrouwbaar en integer bent, raak je je klanten in rap tempo kwijt. Alles staat of valt met integriteit en vertrouwen. Het verschil zit hem in het feit dat er voortaan gehandhaafd en beboet gaat worden.
Aansprakelijkheid
Je kunt je afvragen of wij ons (voldoende) bewust zijn wie er echt verantwoordelijk is en de mogelijke pijn van de consequenties voelt. Hoe zit het met de aansprakelijkheid? Moeten wij ons hiervoor straks allemaal, zowel organisaties als hun medewerkers, gaan verzekeren? Kun je je eigenlijk wel verzekeren voor dergelijke (imago)schade? Welke eisen zal een verzekeringsmaatschappij gaan stellen?
Het middel moet niet belangrijker worden dan het beoogde doel. Je zet een fiets van 25 euro ook niet op slot met een fietsslot van 200 euro, toch? Uit de nog op te bouwen jurisprudentie moet straks gaan blijken hoe heet de soep uiteindelijk zal worden opgediend.
Wie is er nu verantwoordelijk?
Unit4 erkent het belang van de naleving van de AVG en heeft zich ook altijd aan de eerdere privacyregelgeving gehouden. Wij respecteren de privacy van iedereen en geloven dat door de ‘gebruiker’ centraal te stellen, alle AVG-maatregelen op hun plaats zullen vallen. Bij Unit4 is het naleven van de AVG een verantwoordelijkheid van alle medewerkers, waarbij we iedere dag bewust zijn van de gevoeligheden omtrent persoonsgegevens, want zeg nu eerlijk: Wat gij niet wilt dat u geschiedt, doe dat ook een ander niet.
* Bron: Autoriteit Persoonsgegevens
Roos Timmermans is productmanager bij UNIT4. In die hoedanigheid is zij betrokken bij de ontwikkeling van accountancysoftware waar op basis van wet- en regelgeving diverse persoonsgegevens verwerkt worden.
Mick zegt
Goed artikel en terechte punten.
Om te beperken tot onze expertise:
In de benodigde (toegangs-)beveiliging en softwarematige maatregelen heb ik alle vertrouwen. De zwakste schakel is en blijft helaas de mens, ofwel de gebruiker, die zonder er verder bij na te denken zijn inlognaam en wachtwoord op een Post-It op zijn beeldscherm hangt….
Bovenstaande voorbeeld is natuurlijk een heel duidelijk voorbeeld waarvan men bewust is dat deze situatie voor gevaren zorgt. Gevaarlijker zijn wellicht de situaties waarvan men niet bewust is van de risico’s.
Onlangs hebben we de SecureLogin risicoscan gehouden onder 100+ kantoren. Hierin geeft ruim 80% van de respondenten aan wachtwoorden op te slaan in de browser, te delen via e-mail of opslaat in Excelbestanden. Vanuit gebruikersgemak goed te begrijpelijk, maar zeker niet veilig.
Wees bewust van de gevaren en laat je goed informeren.