Zorgvuldig omgaan met gegevens van de klant; sinds de invoering van de AVG moeten accountantskantoren aan strengere regels voldoen. ‘Veel kantoren hebben de informatiebeveiliging nog niet voldoende op orde’, stelt Melanie Hermes, directeur en juridisch adviseur arbeidsrecht en privacy bij Fiscount Juristen.
Hoe kunnen accountantskantoren AVG-proof omgaan met persoonsgegevens? Hoe kunnen zij klanten het goede voorbeeld kunnen geven en waar liggen (advies-)kansen?
Wat zijn uw ervaringen in de accountancysector?
‘Toen de Algemene verordening gegevensbescherming (AVG) in 2018 van kracht werd, hadden veel accountancykantoren een paar zaken geregeld: de bedrijfswebsite had een privacyverklaring en er was aandacht voor veiliger mailverkeer. Maar veel kantoren moeten nog flink aan de slag, ik merk dat ze het AVG-onderwerp voor zich uitschuiven. Recentelijk deed Fiscount samen met andere organisaties uit de accountancybranche een dringende oproep aan kantoren om informatiebeveiliging hoog op de agenda te zetten. Het is echt heel belangrijk budget vrij te maken, in kaart te brengen over welke gegevens je beschikt en hoe je deze goed beschermt.’
Wat zijn aandachtspunten voor de accountant?
‘Dat is allereerst een veilige gegevensoverdracht. Nog steeds leveren veel klanten hun administratie aan in een schoenendoos, met de mededeling: ‘Kijk maar wat je kunt gebruiken.’ Als accountant loop je daarmee risico. Als de doos wordt gestolen, weet je niet wat je in huis had en kun je ook niet goed onderbouwen waarom je over al deze gegevens beschikte. Ook het mailen van persoonsgegevens verdient aandacht. Doe dat in elk geval via “encrypted” mail. Daarmee versleutel je de inhoud, zodat hackers er niets mee kunnen doen. De beste en veiligste manier om gegevens te delen, is via een portal. Besteed aandacht en investeer in de juiste informatiebeveiliging: zorg voor een goed “digitaal” slot. Besluit je als kantoor papieren administratie te bewaren, doe dat dan in een afgesloten kast. Bij sommige kantoren staan dossiers tot aan het plafond opgestapeld. Dat kan echt niet.’
Wat zijn de do’s en dont’s als het gaat om AVG?
‘1. Maak altijd melding van een datalek. Als je bijvoorbeeld een e-mail met gevoelige informatie verstuurt naar een verkeerd adres, zul je de Autoriteit Persoonsgegevens moeten informeren. Accountants hoeven daar niet bang voor te zijn; ze laten daarmee zien dat ze de AVG-verplichtingen serieus nemen. De Autoriteit Persoonsgegevens begrijpt dat zoiets soms gebeurt. Doe je dat niet en het komt uit, dan zijn de consequenties vaak vervelender.
2. Bedenk met wie je bepaalde informatie deelt. Binnen de eigen organisatie moet duidelijk zijn wie toegang heeft tot persoonlijke gegevens, maar ook bij de klant moet je weten aan welke mensen de informatie wordt toevertrouwd.
3. Neem in elke opdrachtbevestiging een passage op over de AVG. Benoem dat je gevoelige informatie niet voor andere doeleinden zult gebruiken en goed zult beveiligen. Je kunt afspreken dat de klant zelf verantwoordelijk is voor de gegevens die hij naar het accountantskantoor stuurt. Zo word je als accountant niet direct op de vingers getikt als er teveel informatie wordt verstuurd.’
Welke risico’s loop je als accountantskantoor als je het niet goed regelt?
‘De boetes die de Autoriteit Persoonsgegevens uitdeelt, zijn fors. Daarnaast kunnen klanten een civiele procedure beginnen bij onzorgvuldig gebruik van gegevens. Wat sneller op de loer zal liggen, is de reputatieschade die de accountant oploopt als hij moet bekennen dat gevoelige informatie die hem was toevertrouwd in verkeerde handen is gevallen.’
Waar gaat het nog mis bij de interpretatie van de AVG?
‘Veel kantoren hebben verwerkersovereenkomsten gesloten met hun klanten, terwijl dat niet hoeft. De accountant is namelijk geen verwerker van gegevens, hij doet meer dan dat: hij controleert cijfers, waarschuwt en adviseert de klant. In een verwerkersovereenkomst spreken accountants af dat ze precies doen wat de klant hen opdraagt. Ze beloven feitelijk iets wat ze niet zullen waarmaken en wat indruist tegen (juridische) normen. Kantoren kunnen het best concreet advies inwinnen en vervolgens zo’n overeenkomst ontbinden.’
Hoe kun je als accountant het goede voorbeeld geven?
‘De accountant moet de belangrijkste regels kennen en naleven. Daarbij mag de accountant de klant best een beetje opvoeden. Kaart het onderwerp aan bij de ondernemer en vertel dat de AVG ook op hem van toepassing is. Benoem processen die niet goed gaan en draag oplossingen aan. Als de ondernemer papieren bonnen aanlevert, vraag dan of hij deze via een portal kan aanleveren. Is dat geen optie, spreek dan af wanneer hij zijn administratie weer ophaalt. Andere tips: Wijs erop dat het onverstandig is vertrouwelijke cijfers te versturen per e-mail en laat hem geen bsn-gegevens opnemen in een document als dat niet noodzakelijk is, bijvoorbeeld in de arbeidsovereenkomst.’
Hoe word je een organisatie die AVG-proof werkt?
‘Begin met een verwerkingsregister. Dat is een blauwdruk van de persoonsgegevens die je binnen je bedrijf hebt. Ga van A tot Z na wat er gebeurt met persoonsgegevens, wie ervoor verantwoordelijk is en met wie je de informatie deelt. Analyseer welke data je nodig hebt en welke niet. Beoordeel welke maatregelen er zijn genomen om de gegevens te beschermen. Met een verwerkingsregister heb je zicht op de gegevensstromen en kun je de klant snel informeren als deze vraagt hoe er wordt omgegaan met zijn data.’
Hoe houd je cybercriminelen buiten de deur?
‘Om persoonsgegevens ook digitaal te beschermen, is een goede relatie met je softwareleverancier van belang. Daarnaast is het belangrijk regelmatig te laten toetsen of zij alle risico’s hebben overzien. Cybercriminelen worden steeds inventiever, een IT-specialist kan zorgen voor een goed digitaal slot. Daarnaast is het raadzaam de beveiliging te vervatten in protocollen. Daarmee borg je de informatiebeveiliging ook voor de toekomst.’
Dit artikel is eerder verschenen in het AV-magazine van september 2021.
laat de overheid eerst maar even haar beste beentje voor zetten……