Een van de grootste risico’s voor accountantskantoren en hun MKB-klanten is het gebrek aan informatiebeveiliging, zeker nu de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 van kracht wordt. ‘Iedereen is ermee bezig, niemand is klaar’, zegt Tony van Oorschot, privacy officer van SRA. Tijd voor actie! Want Van Oorschot maakt zich wel zorgen om de snelheid waarmee kantoren werken.
De dossierkast zat vroeger op slot, maar tegenwoordig lijkt iedereen op het netwerk overal bij te mogen. En dat terwijl we nu te maken krijgen met de strengere AVG die de huidige Wet bescherming persoonsgegevens vervangt. Beschikken vertrekkende werknemers nog steeds over wachtwoorden van uw kantoor? Heeft u nog nooit een veiligheidsincident gehad of is er nooit een datalek aan u gerapporteerd? Weet u bijvoorbeeld waar en wanneer medewerkers hun vertrouwelijke bedrijfsdocumenten openen? In bijna de helft van de datalekmeldingen bij de Autoriteit Persoonsgegevens (AP) was slordigheid van de medewerkers een bron. Dus zorg dat u ‘in control’ komt.
Weet u welke acties nodig zijn?
Controle op data is niet zozeer de verantwoordelijkheid van de IT-afdeling, maar van het hele accountantskantoor. Omdat uw kantoor data verzamelt en verwerkt, bent u verplicht om klanten te informeren over wat er met hun gegevens gebeurt en eveneens om datalekken te melden. Wordt er een onderzoek ingesteld door de AP dan moet u bewijzen dat u er alles aan hebt gedaan om het lek te voorkomen. De AP dreigt met boetes en de imagoschade van een organisatie is groot. Dus zorg dat u per 25 mei volgend jaar AVG-compliant bent. Dat geldt voor uw kantoor en voor uw afspraken met klanten en leveranciers. Weet u welke acties nodig zijn?
Een tweede Fort Knox
Het begint allemaal bij bewustwording van medewerkers en een vast aanspreekpunt binnen je kantoor. Dan kan het proces om compliant te worden in gang worden gezet. Dat is de eerste en belangrijkste stap. Want je kunt van je organisatie technisch wel een tweede Fort Knox maken, maar als je vervolgens de voordeur open laat staan, heb je daar niets aan. De hele organisatie moet op de hoogte zijn, want de medewerkers zijn – vaak onbedoeld – je grootste risico’s’, aldus Van Oorschot. Zie het voorbeeld van medewerkers die niet via de afgesproken beveiligde kantoorapplicatie – waar men niet tevreden over is – gegevens via privémailadressen of gratis applicaties, zoals dropbox, versturen aan klanten.
Wie mag bij welke gegevens?
Medewerkers moeten dus worden geïnformeerd over de nieuwe AVG en wat dat voor de organisatie met zich meebrengt. Daarnaast dienen kantoren te documenteren welke persoonsgegevens u verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. ‘Het voorgaande moet worden bijgehouden in een register. Belangrijk hierbij zijn de rollen en rechten. Wie mag bij welke gegevens? En alleen gegevens van klanten die toestemming hebben gegeven, mogen worden verwerkt’, aldus Van Oorschot. De AVG stelt strengere eisen aan die toestemming.
Risico’s in kaart brengen
Volgende stap is risico’s in kaart brengen en zorgen voor technische beveiligings- en organisatorische maatregelen. U kunt verplicht zijn een zogeheten data protection impact assessment uit te voeren, hoewel dit volgens Van Oorschot voor veel accountantskantoren niet zal gelden. Daarnaast moeten standaard in uw bedrijfsvoering en ICT ‘privacy by design en default’ ingevoerd zijn. Van Oorschot: ‘Privacy by design houdt in dat persoonsgegevens al bij het ontwerpen van producten en diensten goed worden beschermd waarbij u ervoor zorgt dat de juiste technische en organisatorische maatregelen worden getroffen. En, dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Als een klant zich bijvoorbeeld op uw nieuwsbrief wil abonneren, mag u niet meer gegevens opvragen dan nodig.’ Privacy bij default betekent dat standaardinstellingen altijd zo privacyvriendelijk mogelijk zijn.
Meldplicht datalekken grotendeels hetzelfde
Hebben uw werknemers nog nooit privacygevoelige gegevens, zoals salarisstroken, naar de verkeerde ontvanger gestuurd of een phishing-mail geopend? Misschien nog wel belangrijker is de vraag of uw medewerkers weten wanneer sprake is van een veiligheidsincident en welke actie ze vervolgens moeten nemen. Onder de AVG blijft de meldplicht datalekken grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van datalekken die zich in uw eigen organisatie hebben voorgedaan. U moet alle datalekken documenteren, inclusief de afwegingen die u heeft gemaakt om het incident niet te melden ‘Gelet op het belang voor de organisatie en de bestuurlijke aansprakelijkheid dient periodiek door de privacy officer dan wel het vaste aanspreekpunt aan de directie of het bestuur te worden gerapporteerd.
Contracten met klanten en leveranciers
Laatste en vijfde stap is dat accountantskantoren moeten nagaan of de huidige contracten met klanten en leveranciers voldoen aan de vereisten van de AVG. ‘Zeker als gegevensverwerking aan u is uitbesteed of dat u juist gegevensverwerking heeft uitbesteed, bijvoorbeeld aan een online softwareleverancier. Maakt een dataverwerker vervolgens een fout dan bent u aansprakelijk. De belangrijkste vraag bij het uitbesteden van IT is of deze dienstverlener er alles aan doet om een datalek te voorkomen. Controleer goed aan wie u de data toevertrouwt’, aldus Van Oorschot.
Is het u al meer duidelijk?
Is het u al meer duidelijk? Wees op tijd klaar voor de AVG! Zet de ervaring die u hebt opgedaan weer in om uw klanten te helpen. Want de meeste MKB-klanten zijn onvoldoende op de hoogte van de strengere privacyregels. Ook voor hen dringt dus de tijd!
Wees op tijd klaar voor de strengere privacyregels en ga naar het SRA-dossier ‘Informatiebeveiliging en privacy’ (ook deels beschikbaar voor niet-leden), met onder meer actuele informatie, modellen privacyvoorwaarden en verwerkersovereenkomsten, opleidingen, zoals e-learning Privacy en datalekken in het accountantskantoor, inkoopafspraken, meest gestelde vragen, een signalering ‘In 5 stappen AVG-compliant’ en een privacy officer op afstand.
Geef een antwoord