Accountants moeten weten hoe ze met vertrouwelijke klantgegevens om moeten gaan en hoe ze de privacy van hun klanten moeten waarborgen. Op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht, in het Nederlands de Algemene Verordening Gegevensbescherming (AVG). De boetes, wanneer niet wordt voldaan aan de wetgeving, zijn flink, om nog maar te zwijgen over de reputatieschade. In welke gevallen is de accountant of boekhouder verantwoordelijk en welke toegevoegde waarde kan hij zijn klanten bieden op het gebied van GDPR?Accountants werken met persoonsgegevens van hun klanten en dienen hier zorgvuldig mee om te gaan. Hierbij gaat het om alle gegevens die kunnen leiden naar de identiteit van een persoon. Deze gegevens zijn over het algemeen te vinden in de administratie van de klant, interne gegevens van het accountantskantoor en de gegevens van de medewerkers van de klant. Aangezien accountants met persoonsgegevens werken, worden ze door de wet aangemerkt als ‘bewerkers’ of ‘verwerkers’. Net als onder de Wbp (Wet bescherming persoonsgegevens) is het onder de GDPR voor bedrijven die een accountant inschakelen verplicht om een verwerkersovereenkomst met hen af te sluiten.
Nieuw is echter dat de GDPR een aantal verplichte onderdelen van deze overeenkomst noemt, waaronder het doel van de verwerking en het soort persoonsgegevens dat wordt verwerkt. Ook moet vermeld worden dat de verwerker meewerkt aan audits om te controleren of de verwerker zich aan alle verplichtingen houdt en dat na afloop van de verwerking persoonsgegevens aan de verantwoordelijke worden geretourneerd of vernietigd. Daarnaast mag de accountant niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de opdrachtgever. Als accountants hier niet aan voldoen kunnen ook zij beboet worden.
Wat moet de accountant weten?
Accountants kunnen voor hun klanten een voorbeeldfunctie vervullen én hun klanten adviseren over hoe zij compliant kunnen worden aan de nieuwe wetgeving. Want is het niet logisch dat als de accountant de salarisadministratie van de klant overneemt, hij zich ook ontfermt over het wel en wee van de data in die salarisadministratie? Wat moet de accountant in dat kader echt weten?
1. Overzicht van data
Accountants moeten een overzicht hebben van waar ze persoonlijke data van de klant bewaren. Welke persoonsgegevens verwerkt het accountantskantoor en waarom? Accountants moeten de juridische basis van de verwerking van gegevens van de klant kunnen bewijzen. En dit geldt niet alleen voor alle digitale bestanden, ook op papier is dit van toepassing (denk aan jaarrekeningen). Als er geen doel is om gegevens op te slaan, moet er een veilige manier van vernietiging of archivering zijn. Wanneer bedrijven een data analyse op de gegevens willen loslaten, dan moeten zij de data encrypten. Straks als de GDPR van toepassing is, moeten deze processen en procedures inzichtelijk zijn.
2. Recht om vergeten te worden
Individuen, en dus ook zakelijke individuen, hebben het recht om vergeten te worden. Een afnemer van een klant kan bijvoorbeeld aangeven dat hij uit een database wil. Hier moet de klant gehoor aan geven. Maar wat als deze persoon nog een factuur bij de klant open heeft staan? Als de klant en de accountant kunnen aantonen dat er nog een doel is om die persoon in de database te houden is alles in orde, echter, wanneer de factuur betaald is (wellicht maanden later) en de accountant of de klant vergeet die persoon uit de database te verwijderen dan is hij in overtreding. Om deze reden is het van groot belang duidelijke procedures op te stellen.
3. Recht op dataportabiliteit
Klanten switchen weleens van accountant. Door het recht op dataportabiliteit zijn accountants verplicht om de gehele klantadministratie aan de klant over te dragen zodat deze het met de nieuwe accountant kan delen. Dit betekent ook dat de applicaties die de accountant gebruikt, het moeten toelaten om persoonsgegevens te selecteren en te verwijderen of te transporteren. Dit kan wat voeten in de aarde hebben, maar dit is ook een extra functionaliteit die accountants kunnen aanbieden.
4. Privacy by design
Privacy dient in de gehele werkwijze van het accountantskantoor doorvlochten te zijn. Welke persoonsgegevens verzamelt het kantoor en met welk doel? Sommige accountants zetten de verjaardagen van al hun klanten in de database zodat zij hun klanten kunnen verrassen met een felicitatie. Maar misschien zijn er ook accountants die in de database willen zetten dat hun klant van Italiaans eten houdt. Waar ligt de grens? Zolang de informatie nodig is voor boekhoudkundige activiteiten is het toegestaan, voldoet het daar niet aan dan mogen die gegevens niet opgeslagen worden, zo omschrijft de GDPR. Het doen van een Privacy Impact Assessment (PIA) is hét middel om privacy by design te implementeren en de applicaties op het gebied van privacy te optimaliseren. Mijn advies is om bij elk nieuw project met betrekking tot wijziging van applicaties, de projectverantwoordelijke een ‘Pre PIA Screening’ te laten invullen. Dit kan een korte vragenlijst zijn waarin uit- of ingesloten wordt of persoonsgegevens geraakt worden. Is dat het geval, dan kan een volledige PIA worden uitgevoerd. Is dit niet het geval, dan is er meteen een audittrail voor de Autoriteit Persoonsgegevens. De PIA moet de juiste vragen stellen zodat de product designers de privacy by design principes kunnen toepassen. Hiermee voldoen accountants tegelijkertijd aan de documentatieplicht van de GDPR. Daarnaast kunnen ze hun klanten ook laten zien dat zij de beste, meest veilige applicaties gebruiken en/of op een veilige manier met hun data omgaan.
5. Verwerkersovereenkomsten
Accountantskantoren ontwikkelen over het algemeen zelf geen applicaties, maar hebben daar diverse leveranciers voor. Met alle softwareleveranciers die met klantdata te maken krijgen dient de accountant een verwerkersovereenkomst te sluiten. De accountant is hier verantwoordelijk voor, en moet hier dus proactief in zijn. De accountant moet kunnen laten zien aan de Autoriteit Persoonsgegevens dat hij in alles wat hij outsourcet verantwoordelijk met data omgaat. De verwerkersovereenkomst is een document dat duidelijkheid biedt over wat er daadwerkelijk gebeurt met de gegevens en de bescherming daarvan, maar ook wat er zou moeten gebeuren in het geval van escalaties. Het is beter om vooraf te regelen wat te doen in het geval van datalekken en wat betreft aansprakelijkheid. Mocht het werkelijkheid worden, dan moet de focus op de oplossing liggen en niet op het proces.
6. Datalekken melden
Datalekken moeten in bepaalde gevallen gemeld worden. Een datalek kan heel klein zijn, zoals een verkeerde bijlage naar een verkeerde persoon, bijvoorbeeld de salarisadministratie naar de verkeerde klant. Ook al escaleert het niet en weet de klant dit niet, het lek moet in sommige gevallen toch gemeld worden. Mail is de nummer 1 oorzaak van datalekken. Mensen sturen de hele dag mails met bijlagen heen en weer, dus het gebeurt iedereen weleens dat de verkeerde bijlage naar de verkeerde persoon gaat. De salarisadministratie en andere gevoelige persoonsgegevens kunnen dus beter niet via de mail verstuurd worden. De beveiligde mail exchange of het gebruik van two factor authentication bieden uitkomst.
7. Evidence trail toestemming
Het is zaak dat accountants en hun klanten verwerkingen zo min mogelijk op toestemmingen, zoals opt-ins, baseren. Het is dan namelijk zaak om een goede evidence trail te hebben van hoe de toestemming is verkregen. Dit mag geen vooraf aangevinkt vakje zijn.
Stappenplan
Een groot deel van de oplossing zit in de awareness van de medewerkers en dit is meteen de eerste stap in het stappenplan dat de Autoriteit Persoonsgegevens heeft opgesteld. Mensen hebben bijvoorbeeld van nature de neiging om documenten te bewaren voor ‘de zekerheid’. De kans dat accountants, als die gedachte heersend is binnen hun kantoor, compliant zijn is minimaal. Bewustwording van de nieuwe eisen bij alle medewerkers is dus essentieel. Het is belangrijk personeel op te leiden, zodat de medewerkers weten waar ze in hun werkzaamheden op moeten letten en wanneer ze te maken hebben met persoonsgegevens. Onderdeel van bewustwording is niet alleen training, maar ook het vastleggen van een data protection policy. Dit is een intern document waarin is vastgelegd hoe de organisatie omgaat met persoonsgegevens. Dit kan ook inzichtelijk gemaakt worden voor klanten.
Niet alles is meteen 100% dicht te timmeren. Toch is het zaak om nu aan de slag te gaan met GDPR en er voldoende tijd en capaciteit voor te reserveren, 25 mei komt al snel dichterbij.
Auteur: Nathanja de Kruijff is Compliance & Privacy manager Wolters Kluwer Tax & Accounting Europa. Vanuit deze rol coördineert zij de GDPR-maatregelen voor alle Europese Tax & Accounting activiteiten.
Geef een reactie