De Algemene verordening persoonsgegevens (AVG) komt eraan en is onverbiddelijk. Wat moet een kantoor daarvoor doen? In essentie komt het neer op zorgvuldig omgaan met de (financiële) gegevens van je klanten. Wie heeft binnen een kantoor toegang tot welke gegevens? Hoe lang moet je gegevens bewaren? Voor de fiscus 7 jaar. Dat is in de wet geregeld. Op grond van andere wetten kunnen kortere of soms zelfs langere termijnen gelden. Maar voor lang niet alle persoonsgegevens geldt een wettelijke bewaartermijn. In gesprek met Timo van Noppen.

In dat geval moeten organisaties bepalen hoe lang de persoonsgegevens nodig zijn voor het doel waarvoor ze zijn verzameld of worden gebruikt. Softwareleveranciers faciliteren al veel, maar de kantoren hebben nadrukkelijk een eigen verantwoordelijkheid.

Timo van Noppen is binnen Exact verantwoordelijk voor de kwaliteit en de digitale veiligheid van Exact Online en de opgeslagen data. Dat begint al bij het ontwikkelen van de software. Zorgen de programmeurs ervoor dat de software privacygevoelige gegevens ook daadwerkelijk kan beschermen? Bij digitale veiligheid hoort vervolgens het bewaken van de databases, de programmatuur en de administratieve gegevens die in Exact Online worden vastgelegd. Dat is een gedeelde verantwoordelijkheid van Exact samen met de hosting partij die de daadwerkelijke opslag van de gegevens voor haar rekening neemt.

Bij privacy denken mensen vaak in eerste instantie aan hackers die er met hun gegevens vandoor gaan. Van die risico’s zijn alle softwareleveranciers zich wel bewust. Vandaar dat gedrag t.a.v. de software wordt gemonitord. Wordt er het ene moment ingelogd vanuit bijvoorbeeld Haarlem en nog geen 5 minuten later wordt diezelfde inlog gebruikt vanuit bijv. Canberra dan valt dat op. En wordt er gereageerd. Timo zou om dit soort incidenten te voorkomen graag zien dat kantoren overgaan op tweestapsverificatie. ‘Vergelijk het met online bankieren. Je logt in met username, password en krijgt vervolgens op je telefoon een pincode waarmee je in Exact Online kan inloggen.’ Nu nog gebruikt slechts 10% van de gebruikers deze methode. Timo zou graag zien dat dit percentage fors omhoog gaat.

Gedeelde verantwoordelijkheid

Dit voorbeeld geeft volgens Timo precies aan waar het bij de bescherming van privacy, en in het bijzonder bij de bewaking van persoonsgegevens, om moet gaan. Het schept enerzijds verplichtingen voor de softwareleverancier. Die moet een infrastructuur bieden waarin de privacy gewaarborgd kan worden. Zo’n infrastructuur moet voorkomen dat derden en onbevoegden toegang krijgen tot (financiële) gegevens. Dat is echter maar een deel van het verhaal. ‘Als verwerker van data hebben we onze verantwoordelijkheid om die data beschikbaar en veilig te houden. Wij bieden al jaren een ISAE 3402 rapport. Daarin staat wat wij doen in het kader van de beveiliging van de gegevens die we onder onze hoede hebben. Vervolgens ligt er ook een verplichting bij de gebruikers. Zij moeten aan hun kant ook de nodige stappen zetten.’

Kantoren moeten nadenken over hun eigen digitale veiligheid?

‘Administratie- en accountantskantoren moeten ook zelf goed nadenken over wat zij moeten en mogen doen met de gegevens die zij in bijvoorbeeld Exact Online opslaan maar ook in andere systemen. Volgens de privacyregels mag je gegevens bewaren, maar als je geen reden meer hebt om gegevens te bewaren dan moet je ze verwijderen.’

Maar een kantoor heeft ook 7 jaar bewaarplicht…

‘Dat wringt dus al. Die 7 jaar fiscale bewaarplicht gaat voor. Een factuur moet je dus 7 jaar bewaren. En na 7 jaar en een dag moet je die factuur dus verwijderen, zeker wanneer je geen relatie meer hebt met die persoon of dat bedrijf. Exact regelt dat vanuit de techniek, maar klanten hebben wel een eigen verantwoordelijkheid!’

Wat moet een kantoor regelen?

‘Hoe wordt er met persoonsgegevens omgegaan? Wie kan er op enig moment bij welke gegevens? Op welk moment worden gegevens verwijderd? Pak een voorbeeld:

Een kantoor heeft een ondernemer als klant. Na een paar jaar besluit die ondernemer naar een ander kantoor over te stappen. De relatie wordt verbroken. Dan moet de accountant weten hoe lang hij de betreffende gegevens moet bewaren en welke. Voor administratieve gegevens, facturen en contracten is dat 7 jaar. Na die tijd is de concrete actie: gegevens verwijderen. Voor persoonlijke gegevens van zo’n klant geldt dat ze moeten worden verwijderd als de accountant ze niet meer nodig heeft voor het doel waarvoor hij ze heeft gekregen.’

Moet een kantoor een protocol hebben?

‘Ja, dat heeft een kantoor zeker nodig. In Exact Online kun je in de software zien wie welke rollen en rechten heeft en daar hoort ook een audittrail bij. Je moet in je kantoor wel goed bijhouden wie welke rechten heeft. En dan moet er ook goed worden omgegaan met digitale veiligheid. Een username/password op een geel stickertje is bijvoorbeeld erg fout.’

Moeten kantoren verschillende rollen en rechten op niveaus toewijzen?

‘Er moet een doel zijn waarom jij – zo stelt de regelgeving – toegang hebt tot welke gegevens. Een secretaresse kan bij de NAW-gegevens. Debiteurenbeheer kan bij de openstaande facturen van een klant en kan bij de telefoonnummers om even na te kunnen bellen. De accountant die de klant onder zijn hoede heeft kan bij alle gegevens.’

Is dat veel gedoe voor een kantoor om dat in te regelen?

‘Valt heel erg mee. Je kunt per gebruiker rollen toewijzen. Je kunt eenvoudig rollen kopiëren van de ene gebruiker naar de andere, wanneer een collega bijvoorbeeld vertrekt of een andere functie krijgt. Wij hebben nu een model dat eenvoudig te hanteren is, waarin rollen eenduidig kunnen worden toegewezen en waarin ook nadrukkelijk een audittrail aanwezig is waarin is vastgelegd wie welke rollen heeft en had.’

Stappenplan AVG, hoe kan dat eruit zien?

‘Een stappenplan is,’ volgens Timo ‘geen rocket science.’ Maar het moet wel goed worden opgesteld en vastgelegd. De stappen die een kantoor moet zetten zijn eenduidig. Het vraagt om vastlegging van o.a. de volgende punten:

Waar worden persoonsgegevens verwerkt en bewaard? Daarbij gaat het niet alleen om het vastleggen in digitale systemen maar ook in een papieren dossier. Met welk doel en welke grondslag worden persoonsgegevens verwerkt? Wat zijn de bewaartermijnen die daar bij horen. Voor fiscale gegevens geldt een bewaartermijn van 7 jaar, voor andere gegevens gelden andere termijnen. Welke rollen – en dus personen – hebben toegang tot welke bewaarde gegevens? Een accountant heeft ruimere toegang tot gegevens dan bijvoorbeeld een debiteurenadministratie. Zijn er vervolgens processen en protocollen opgesteld rond het toekennen van rechten aan personen, het bewaren en veiligstellen van gegevens en tenslotte het verwijderen of anonimiseren van gegevens?

Niet voldoen aan deze regels kan vanaf 25 mei 2018 een fikse boete opleveren. Tot maximaal 4% van de wereldwijde jaaromzet of € 20 miljoen, mocht dat bedrag hoger zijn. ‘Het is nog wel een vraag hoe dit in de praktijk uitpakt. Er is immers nog geen jurisprudentie.’