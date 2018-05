We hebben ruim twintig jaar van technologische ontwikkeling achter de rug. De mobiele telefoon en smartphone heeft zijn intrede genomen. Cloud, SaaS, glasvezel en miljoenen websites zijn we rijker. De tijd heeft niet stilgestaan. Digitalisering en connectiviteit zijn gemeengoed. Sinds vorig jaar is roaming gratis, zodat je voortaan vanaf het vakantieadres met alle gemak gegevens kunt verwerken. Zo anders was het voor 2000. Een krakende modem was vaak nodig om in te bellen en gegevens van je computer af te krijgen om deze per e-mail naar een ontvanger te sturen. Computers draaiden op Windows 95/98. Thuis had je een antwoordapparaat. Beeld je in, de huidige EU-privacyrichtlijnen dateren van 1995. Hoog tijd voor een upgrade toch?

Wekelijks geef ik AVG-cursussen in onze branche en help ik kantoren samen met mijn team in het maken van een vliegende start. En dat is nodig ook, want vanzelf gaat het niet. De aanstaande AVG is een ware worsteling voor veel accountants. Al is het maar omdat er nog open-eindjes zijn en het ontbreken van jurisprudentie geen houvast met zich meebrengt. Een gemiddelde accountant wil gewoon weten: wat moet er exact gebeuren om compliant te zijn? Is er geen checklist? De onduidelijkheid en bijbehorende onmacht geeft frustratie. Zeker als er tijdsdruk is. En het is ‘business first’, dus de invoering van de AVG komt bar slecht uit! Intrinsiek gemotiveerde accountants treffen we doorgaans (op het AVG-dossier) dus zelden aan. Ik verwacht dan ook weinig bijval op deze -wellicht – impopulaire blog. Maar toch…

Hoog tijd dat de AVG van kracht wordt!

Een terugblik in de tijd doet je beseffen dat het onmiskenbaar noodzakelijk is dat er eigentijdse privacyregels komen. Dat besef begint langzaam in te dalen. Geholpen door dagelijkse berichtgeving en maatschappelijke verontwaardiging rond de facebookdiscussie. Verontwaardiging over gegevensdeling wat we jarenlang als niet-problematisch hebben gezien. Het belang van privacy is aan het toenemen. Achteraf weliswaar.

Kantoren vragen zich vaak af wat de nieuwe verordening toevoegt in het maatschappelijk verkeer: missen we nu dan iets? We hebben toch al regels? Het klopt dat de AVG ten opzichte van de huidige richtlijnen niet veel substantieel afwijkt, op de verantwoordingsplicht na. De eerste inventarisaties rondom diezelfde verantwoordingsplicht maken echter bij bijna alle kantoren klip en klaar dat er nog onvoldoende compliance is met de huidige privacyregels. Het is evident dat dit op orde moet komen. En niet de boetehoogte, maar het vervallen van de drempels voor toekenning ervan draagt eraan bij dat er nu actie wordt ondernomen. Zonder die druk komt er geen beweging. Net als bij SBR-verplichtstellingen. Hoog tijd dus!

Onduidelijkheid, maar blij met guidance

Het werken met de open normen geeft veel frustratie in onze branche. Het zal ook wel even duren voordat er volledige duidelijkheid ontstaat, daarvoor zal de gang naar een rechter moeten plaatsvinden. Zo anders lijkt het binnen de Orde van Advocaten: de omgang met open normen en betwistbaarheid van onderwerpen is bekend terrein en voer voor adviesactiviteiten. Deze week volgde ik het innovatieplatform van de NOvA over de AVG. Opvallend genoeg was het niet de ontbrekende duidelijkheid die frustreerde, maar het ontbreken van guidance. Als voorbeeld wordt de NBA benoemd, die tenminste duiding geeft aan haar leden, waar de NOvA daarin achterblijft. We mogen denk ik blij zijn met partijen als de NBA, SRA, Auxilium en NOAB die kantoren vooruit proberen te helpen met voorlichting, modellen, registers en toolkits. Ondanks de open eindjes.

Blij met opstellen register van verwerkingsactiviteiten

Een van de open eindjes is de uiteindelijke verwachting van de omgang met het register van verwerkingsactiviteiten. Branchevereninging Nederland ICT zinspeelde op een uitzondering voor de registerplicht. Ik ben benieuwd wat hierover nog naar voren komt vanuit Europa binnenkort. Voor een stukadoor lijkt me het onnodige ballast. Voor een accountantskantoor zeker niet. Verwerkingen zijn grootschaliger dan bij de stukadoor en kennen soms verhoogde privacy risico’s. Het lijkt me zonder (inventariserend) register moeilijk om aan te tonen dat je aan de privacywet voldoet. Het opstellen van het register legt bij veel kantoren in de praktijk bloot dat er onvoldoende weet is van data die door de organisatie stroomt. Een waardevolle exercitie dus!

Kantoren verzoeken met regelmaat om een vooringevuld register (een soort VIA) om sneller aan de verantwoordingseisen te kunnen voldoen. Voor zover dat überhaupt mogelijk is, doet deze copy-paste exercitie af aan wat in de kern beoogd wordt: zelf nadenken, in beeld krijgen en grip houden op datastromen. Daar gaat het om. Niet om de administratieve registratie.

Blij met moties en amendementen

Wordt er dan helemaal geen rekening gehouden met kleinere kantoren? Bij de bespreking en recente stemming rondom de Nederlandse Uitvoeringswet AVG in de Tweede Kamer is er gelukkig wel voor gepleit. Zo is een amendement aangenomen voor ‘het in aanmerking nemen van de behoeften van kleine, middelgrote en micro-ondernemingen’ en een motie om na een half jaar te evalueren over onderwerpen waaronder ‘de reikwijdte van de uitzondering voor kleine bedrijven voor het bijhouden van een register voor alle persoonsgegevens die zij verwerken’. Tenslotte is er een motie aangenomen om in de handhaving richting o.a. ondernemers ‘hulpvaardig’ op te treden.

Praktijk: “daar mag ik toch op vertrouwen?”

Het overeenkomen van afspraken over verwerkingen van persoonsgegevens door derden (verwerkersovereenkomsten) is ook een goede zaak. Het is nu al verplicht maar door de inwerkingtreding van de AVG eindelijk in de belangstelling. Er is soms verontwaardiging waarom “leveranciers hier niet proactief mee komen”. Eenzelfde reden waarom je waarschijnlijk nog niets aan klanten hebt aangeboden? Iedereen is er druk mee. En dat is maar goed ook. Het ontbreken van afspraken kan – bijvoorbeeld bij incidenten – leiden tot beroerde situaties, denk aan het ontbreken van medewerking van een leverancier bij het melden van een inbreuk.

Het hebben van goede contractafspraken is essentieel. Uit de praktijk komt dit ook naar voren. In eerste instantie achten (kleine) kantoren het vaak als onzinnig: “ik heb er geen verstand van, zij wel, ik mag er dan toch vanuit gaan dat het goed geregeld is?” Doordat afspraken nu geformaliseerd moeten worden, komen tekortkomingen pijnlijk – maar noodzakelijkerwijs – aan het licht. Het ontbreken van voldoende beveiligingsmaatregelen of waarborgen bijvoorbeeld. Volgens de regelgeving bezien mag je zo’n partij als verwerker dan niet inschakelen.

Waar de AVG aan bijdraagt

De nieuwe privacywetgeving heeft dus zeker zijn waarde. Het zorgt voor hernieuwde aandacht en daarbij (maatschappelijk) debat. Binnen onze branche zorgt het in elk geval voor:

Toenemend bewustzijn in de omgang met data en continuïteitsrisico’s. Zowel bij het vennotenteam als bij de medewerkers.

Meer grip en inzicht: kantoren houden beter in de gaten wát er verwerkt wordt, waar en hoe lang. Soms worden onnodige verwerking ook beperkt.

Hogere normen en standaarden: de lat voor verwerkers wordt hoger gelegd (met meer waarborgen) door de nieuwe contractafspraken met kwaliteitsverbetering tot gevolg.

Laten we hopen dat het geen eenmalige hype is, zoals met de millenniumbug, maar een blijvend karakter aanneemt. En dat zowel beveiliging als privacy blijvend op de directieagenda geadresseerd worden.

Niets aan te doen behalve actie nemen

Deze aspecten doen niets af aan de “kostprijsverhogende ballast” zoals het soms wordt ervaren. De frustratie ten aanzien van wet- en regelgeving zal er niet minder om worden. Maar ageren heeft weinig nut, de verordening heeft rechtstreekse werking. Kantoren moeten gewoon aan de bak. Mijn mede-docent, met wie ik inmiddels meer dan duizend kantoorhouders heb getraind, vergelijkt het altijd met het weer: “we kunnen er uren over praten, maar het verandert niet. We kunnen er wel naar handelen en bedenken wat we zullen aantrekken”. Ik hoop dat je zo ook de zonnige kant van de AVG zult gaan inzien!

Reindert Doorn is AVG-expert bij DOCCO, IT adviesbureau voor accountantskantoren