De AVG is in aantocht, vanaf 25 mei 2018 is de nieuwe privacywetgeving officieel van toepassing. Of je er nou middenin zit of net bent begonnen: voorbereiding op de AVG kan nog best ingewikkeld zijn. We geven we je daarom graag concrete tips, tricks en handvatten. En hoe kan dat nou beter dan door het verhaal van een collega te vertellen?

HZW Accountants & Belastingadviseurs in Veenendaal is één van de kantoren die de afgelopen periode keihard heeft gewerkt om AVG-proof te worden. Thomas Schoeman, audit manager bij HZW, vertelde aan PinkWeb hoe zijn organisatie dit heeft aangepakt, waar je rekening mee moet houden en wat valkuilen zijn.

IT-organisatie onder de loep

De AVG is een lang en complex document, maar de basis is volgens Schoeman vrij simpel. Je verwerkt privacygevoelige informatie en die moet je zo goed mogelijk beveiligen. ‘Er komt nog wel iets meer bij kijken, maar je maakt een goed begin als je je IT-organisatie onder de loep neemt.’ Zo heeft HZW een aantal maatregelen doorgevoerd:

Overal multifactor-authenticatie aan, dit vindt Schoeman qua wachtwoordbeleid een must;

Beleid voor IP-adressen. Welke laat je wel en niet toe op je server? HZW heeft hier een duidelijke whitelist van adressen voor gemaakt;

Een externe automatiseerder laten monitoren welk digitaal verkeer er eigenlijk plaatsvindt;

Zorgen dat alle certificaten die je nodig hebt, bijvoorbeeld voor je webserver, up-to-date zijn.

Schoeman merkt dat klanten steeds alerter worden als het gaat om bescherming van persoonsgegevens. ‘We hebben een klant in de telecom die op een zeker moment ons systeem is gaan testen. In de basis hadden wij de juiste beveiligingsmaatregelen getroffen, maar toch kom je tot de ontdekking dat sommige dingen niet geheel werken zoals je zou willen.’ Vervelend? ‘Absoluut niet’, vindt Schoeman. ‘We vinden het juist fijn dat klanten ook die aandacht hebben voor informatiebeveiliging, dat ze daarin mee willen gaan en kritisch zijn. Je hebt een gezamenlijk belang.’

Toch is het soms nog lastig. Schoeman mist de nuance een beetje in de nieuwe wetgeving. ‘Zeker bij de bijzondere persoonsgegevens. Er wordt gesteld dat je de beveiligingsmaatregelen moet treffen die redelijkerwijs van je kunnen worden verwacht, naar de laatste stand der techniek. Maar dat is allebei heel grijs. Wat kan er van mij worden verwacht en wat is de laatste stand der techniek? Ontwikkelingen volgen elkaar in rap tempo op. Die vraag krijg je dus niet concreet beantwoord. Het enige wat je kunt doen is je eigen lat hoog leggen.’

Eén digitale voordeur

De keuze voor het klantenportaal Client Online van PinkWeb was voor HZW een belangrijke stap naar veilig digitaal werken. ‘De drijfveer was niet eens zozeer de nieuwe wet- en regelgeving, maar de verantwoordelijkheid die je als kantoor hebt. HZW verzorgt jaarrekening en administraties, maar we doen ook salarisadministratie voor veel klanten. Daar heb je gewoon te maken met veel gevoelige informatie’, aldus Schoeman. ‘Met de overstap naar een portaal weten we zeker dat data richting klanten op een veilige manier wordt overgebracht.’

En er waren nog meer voordelen. Schoeman: ‘Naast het deel security heeft de klant nu één digitale voordeur. Hij hoeft dankzij Single SignOn koppelingen maar op één plek in te loggen en kan vanuit de online omgeving zijn digitale archief raadplegen. Daarnaast is het mogelijk om direct vanuit het portaal door te gaan naar de salarisadministratie, financiële administratie of tussentijdse rapportages die wij zoveel mogelijk geautomatiseerd verzorgen.’

De juiste leveranciers

Goede softwarepartijen zijn voor HZW onmisbaar in aanloop naar de AVG. ‘We hebben leveranciers om ons heen verzameld bij wie aandacht is voor informatiebeveiliging en die ook kunnen aantonen wat ze hieraan doen’, legt Schoeman uit. Tegelijkertijd ligt hier ook een uitdaging en zelfs een valkuil. Schoeman: ‘Je bent deels afhankelijk van partijen met wie je samenwerkt en dat betekent dat je kritisch moet zijn naar deze partijen. Zo hebben wij bij een ex-softwareleverancier gevraagd hoe zij toegang hadden geregeld binnen hun cloudapplicatie. De antwoorden die wij daarop kregen waren niet hoopgevend. Dat was voor ons een reden om op dat punt van leverancier te wisselen.’

Verder kun je er volgens Schoeman mee te maken krijgen dat klanten helderheid willen als ze iets tegenkomen in je systeem. ‘Bijvoorbeeld als iets verouderd is. Als een goed geïnformeerde klant hier informatie over vraagt, dan moet je deze informatie van je leverancier kunnen krijgen. Dat blijkt soms in de praktijk nog moeilijk. Ik zou collega’s dus adviseren om concrete afspraken te maken met softwareleveranciers. Wat kunnen zij je voor informatie geven als een klant hierom vraagt? En neem niet direct genoegen met generieke verklaringen of certificaten. Durf door te vragen.’

Bewustzijn vergroten

Je kunt zoveel maatregelen treffen als je wil, zonder bewustzijn ben je nergens. Dat beaamt Schoeman. ‘Je móet binnen je organisaties medewerkers mee krijgen met de aandacht voor informatiebeveiliging. Wij hebben verschillende middelen ingezet. Het meest effectieve was een cursus door bedrijfsadviseurs van DOCCO. Zij hebben hier een sessie gegeven over AVG, waarin werd uitgelegd wat er verandert, waar we aan moeten voldoen, welke consequenties er zijn et cetera’, vertelt Schoeman. ‘Die informatie kun je ook weer meenemen naar klanten toe. In het MKB weten vooral de kleinere organisaties nog niet goed wat ze moeten doen. Daar ligt een adviesrol of signaleringsfunctie voor ons als accountants.’ Het belangrijkst is dat je mensen snappen waarom informatiebeveiliging zo belangrijk is. Schoeman: ‘Maak ze ervan bewust dat de klant je ontzettend in vertrouwen neemt. Ze leggen immers heel veel informatie bij ons neer, soms ook persoonlijk. Daar moet je zorgvuldig mee omgaan.’