Jouw software moet vanaf 25 mei 2018 voldoen aan de strenge privacyregels van de Algemene Verordening Gegevensbescherming (AVG). Maar hoe ga je daarvoor zorgen? Er zijn tal van risico’s, maar er zijn ook kansen. Die kun je met beide handen aangrijpen om de privacy van jouw klanten tijdig voldoende te kunnen waarborgen.
Wat zijn de bedreigingen?
Er zijn tal van risico’s te benoemen waardoor het (tijdig) voldoen aan de privacyregels van de AVG een behoorlijke opgave wordt. Denk bijvoorbeeld aan onvoldoende beveiliging, onvoldoende back-up of een incorrecte of onbedoelde werking van software, waardoor gegevens naar buiten lekken. Toch gaat het hier in de praktijk om een relatief klein percentage aan mogelijke oorzaken van datalekken (< 20%). Uit de brochure van de NBA ‘Nieuwe privacywetgeving in 2018 – Wat te doen als mkb-accountant?’ blijkt dat de belangrijkste oorzaken hiervoor mensgerelateerd zijn. Denk hierbij aan het naar een onjuiste ontvanger sturen van persoonsgegevens per mail of post (46%), het kwijtraken van een gegevensdrager, bijvoorbeeld een laptop of USB-stick (14%) of het kwijtraken van post dan wel het geopend terugontvangen van post (10%).
Breng risico’s in kaart
Als het gaat om de bescherming van persoonsgegevens, zal je alle (groot en klein) mogelijke risico’s in kaart moeten brengen. Als je kijkt naar de rechten van jouw klanten, dan zijn die op dit moment – vaak – onvoldoende gewaarborgd. Of ze zijn met heel veel moeite organiseerbaar. Moet je bijvoorbeeld op verzoek van jouw klant zijn klantdossier wissen, dan moet je op heel veel plekken aan de slag. Denk bijvoorbeeld aan opgeslagen gegevens op locaties van andere verwerkers, boekhoudsoftware, loonverwerkingsoftware of dashboardsoftware, inclusief daaraan verbonden dossierstructuren. Voor de interne bedrijfsvoering gaat het om netwerkschijven, externe schijven, back-ups, fysieke mappen, een practice managementapplicatie met CRM, de boekhouding, de fiscale applicatie en – last but not least – e-mailmappen van zo mogelijk meerdere medewerkers die betrokken zijn of waren bij het bedienen van deze klant. Tegemoetkomen aan het verzoek van jouw klant is vrijwel onbegonnen werk. Dezelfde zoektocht zal je moeten ondernemen bij een simpele vraag van een klant die wil weten welke gegevens zijn geregistreerd en waarom, aan wie deze gegevens verder zijn verstrekt en hoe ze zijn verwerkt. Ook in dit geval zijn deze gegevens en bestanden immers op meerdere plekken vastgelegd. Dit is overigens onder de huidige regelgeving ook al niet gewenst.
Risicoanalyse-matrix en de impact op software
Als je kijkt naar de risicoanalyse-matrix die de NBA hanteert voor het kunnen voldoen aan de AVG vallen een aantal zaken op het gebied van software op. Hoe meer applicaties we hebben hoe groter de risico’s. Outsourcing en het gebruik van standaardpakketten in plaats van maatwerk verkleinen de risico’s. De risico’s nemen toe naarmate we meer communicatiekanalen gebruiken (e-mail, post, WhatsApp, een portal) en meer uitgebreid toegang geven tot data. Uit de matrix volgt dat het gebruik van een single portaal wordt gezien als risico-verlagend. De matrix is goed te gebruiken als vertrekpunt voor een risicoanalyse van jouw software.
Zodra je alle risico’s in kaart hebt, kun je aan de slag om maatregelen te treffen om die risico’s af te dekken. Focus je je daarbij op de mensgerelateerde oorzaken, dan ligt er een mooie kans om jouw software veiliger en gebruikersvriendelijker te maken.
Wat zijn de kansen?
Stel, je neemt de integratie van software en het bieden van één communicatiekanaal als uitgangspunt. Persoonsgegevens vinden dan hun weg via koppelingen naar de eindbestemmingen in de vorm van softwarepakketten die de gegevens bewerken of opslaan. De koppelingen garanderen een hoge standaard en duidelijke documentatie van de feitelijke verwerking en (eind)bestemming van data. Gegevens worden vastgelegd op één plek op de locatie waar ze nodig zijn om bewerkt te worden. Het communicatiekanaal geeft toegang tot deze gegevens. Dat gebeurt via de koppelingen binnen gecontroleerde processen die verband houden met de standaarddienstverlening van jou als accountant. Denk hierbij aan administreren, samenstellen, aangiftes verzorgen en advisering. Het dossier en de gegevens van jouw klant worden via één plek uit de bron uitgelezen en staan ter beschikking aan jou en jouw klant. Natuurlijk is dit systeem voorzien van de techniek om datalekken te voorkomen en worden de opgeslagen data beschermd via voldoende toegangsbeveiliging.
Verminder of staak het gebruik van e-mail en post
Een kans om jouw software AVG-proof te maken, is het gebruik van e-mail en post te verminderen of zelfs helemaal te staken. In plaats daarvan bied je een beveiligde communicatietool, waarbij jouw klant zijn gegevens rechtstreeks upload in het accountantsdossier. Gegevens worden daarbij zonder tussenkomst van een mens, proces of opslagmedium (mail of harde schijf) gedeeld. Deze geüuploade gegevens zijn vervolgens direct weer beschikbaar voor jou en jouw klant, zodat er altijd inzicht en overzicht is van het totaal aan opgeslagen gegevens. Het wissen daarvan (op verzoek van de klant) kan door de integraties van het communicatiekanaal georganiseerd worden, omdat alle bronnen daaraan zijn gekoppeld.
Data en bestanden slim organiseren
Feitelijk heeft de mooie kans die er ligt voor jouw software betrekking op het slim organiseren van data en de informatie-uitvraag aan jouw klant. Werkprocessen zijn daarbij zo kort mogelijk met zo weinig mogelijk werkstappen en zo weinig mogelijk onnodige (opslag)stappen, waarin een lek kan ontstaan of een menselijk fout kan worden gemaakt. Het gebruik van e-mail en post is daarbij niet meer logisch of nuttig, zolang dit niet zonder tussenkomst van een menselijke stap direct (en beschermd) in het juiste dossier terechtkomt.
Wanneer je softwaretechnieken integreert met verwerkingssoftware, worden e-mail en post overbodig en kun je werkprocessen waarin data worden verwerkt, standaardiseren en automatiseren. Als je daarbij jouw klant als softwaregebruiker betrekt in de beschreven werkprocessen en de benodigde informatie-uitvraag en levering van informatie organiseert via één beveiligde communicatietool, kan software bijdragen aan het elimineren van menselijke fouten met betrekking tot data. Bovendien worden de risico’s verkleind ten aanzien van datalekken. Een goed voorbeeld van een dergelijke geïntegreerde techniek is Mijn Kantoorapp, onderdeel van de Fiscount-ICT-straat.
Gerrie van der Wal is directeur operationele zaken bij Fiscount
De Fiscount-training Implementatie van de AVG bij accountantskantoren.. hoe dan? geeft je inzicht in de verplichtingen en de stappen die jouw kantoor moet doorlopen om AVG-proof te worden. Voor meer informatie klik hier.
Geef een reactie