Unit4
Blog

Accountantskantoren en de AVG: 5 checks ter voorbereiding

Door:  Michel Jongboer

Uw accountantskantoor verleent verschillende soorten diensten aan uw klanten waarvoor een grote hoeveelheid en diversiteit aan bedrijfs- en persoonsgegevens wordt gebruikt in een complex IT-landschap. Dat maakt u kwetsbaar voor verlies of misbruik van data en voor het niet-compliant zijn met de privacywetgeving. Maar laat u niet leiden door angst voor controles en boetes. Met een flinke dosis gezond verstand, het nemen van uw eigen verantwoordelijkheid en de vijf checks uit dit artikel, is de dienstverlening aan uw klanten ook na 25 mei 2018 nog steeds prima in orde.

Accountantskantoren en de AVG

Met de komst van de AVG wordt van organisaties verwacht dat zij kunnen aantonen dat de beveiliging van persoonsgegevens effectief is. De AVG bepaalt verder dat verwerking van persoonsgegevens alleen mag worden uitbesteed aan een verwerker die afdoende garanties biedt voor de beveiliging ervan. Dit betekent bijvoorbeeld dat bedrijven alleen zaken mogen doen met accountants die zo’n garantie kunnen afgeven. En op hun beurt mogen accountants alleen verwerkingen uitbesteden aan partijen die ook een dergelijke garantie kunnen afgeven. De uitbesteding van de verwerking van persoonsgegevens moet zijn geregeld in een zogenaamde Verwerkersovereenkomst waarbij de verwerkers de plicht hebben om het nakomen van de vastgelegde verplichtingen te kunnen aantonen.

Bijna elke vorm van dienstverlening die een accountantskantoor verleent, heeft verwerking van persoonsgegevens tot gevolg en bij elke vorm van verwerking kan inbreuk op de privacy optreden. Op grond van de AVG krijgen betrokkenen meer en uitgebreidere privacyrechten. De AVG stelt de nodige eisen aan het verzamelen, opslaan en gebruiken van persoonsgegevens, bijvoorbeeld met betrekking tot:

• Het identificeren en beveiligen van de persoonsgegevens in uw systemen
• Het voldoen aan de nieuwe transparantievereisten
• Het waarnemen en melden van gegevensinbreuken
• Het trainen van privacymedewerkers en andere werknemers

Door uw gegevensverwerking te documenteren, kunt u aantonen dat u voldoet aan de AVG. U beschrijft welke persoonsgegevens u verwerkt en voor welk doel, waar deze informatie vandaan komt, waar deze is opgeslagen en met wie u deze deelt.

Uitzonderingscriteria

De AVG verbiedt de verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, het lidmaatschap van een vakbond en de verwerking van gegevens over de gezondheid of het seksleven, tenzij aan een van de uitzonderingscriteria is voldaan. Gezien het feit dat accountantskantoren ook veelvuldig persoonsgegevens verwerken, is het raadzaam om u te verdiepen in de uitzonderingscriteria.

Privacy by design en Privacy by default

Organisaties moeten bij het ontwerpen van producten en diensten ervoor zorgen dat persoonsgegevens goed worden beschermd (Privacy by design) en maatregelen treffen om ervoor te zorgen dat alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat moet worden bereikt (Privacy by default). De verwerkingsverantwoordelijke moet de naleving van de AVG aan kunnen tonen. Ook voor het accountantskantoor is deze bepaling heel belangrijk, omdat klanten wettelijk verplicht zijn om schriftelijke garanties van het accountantskantoor te vragen.

Privacy Impact Assessment (PIA)

Accountantskantoren die een bijzondere verwerking uitvoeren of een verwerking waarbij nieuwe technologieën worden gebruikt, dienen hiervoor een Privacy Impact Assessment (PIA) uit te voeren. Denk hierbij aan vormen van data analyse in de controle of klanten ondersteunen bij het analyseren of optimaliseren van hun processen. Een PIA verschaft inzicht in de risico’s met betrekking tot de bescherming van persoonsgegevens.

AVG-checklist accountantskantoor

Uw kantoor moet volgens de AVG passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Deze 5 checks kunnen u helpen ter voorbereiding van de AVG.

  • CHECK 1 Bewustwording, inzicht, overzicht

AVG-compliancy begint met het besef van eigen verantwoordelijkheid van uw organisatie. Uw medewerkers dienen op de hoogte te zijn van de nieuwe privacyregels en kunnen inschatten wat de impact van de AVG is op uw huidige processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen.

  • CHECK 2 Invulling geven aan de AVG-bepalingen  

Als tweede stap gaat u invulling geven aan de AVG-bepalingen: passende technische en organisatorische maatregelen voor een adequate beveiliging en procedures om te kunnen voldoen aan de voorschriften, bijvoorbeeld de meldingsplicht van een datalek.

  • CHECK 3 Verkrijgen van inzicht in risico’s

Om passende beveiligingsmaatregelen te kunnen nemen, is het van belang inzicht te hebben in de grootste risico’s die het kantoor loopt. Een inventarisatie van deze risico’s kan men doen door middel van een uitgebreide risicoanalyse of een snellere QuickScan.

  • CHECK 4 Het invullen van de beveiligingsmaatregelen

In te voeren beveiligingsmaatregelen hebben betrekking op de organisatie, de gegevens, het dienstenpakket/klantenportefeuille; de applicaties/applicatiearchitectuur; de technische infrastructuur; derde partijen (sub)verwerkers; de toegang en de uitwisseling van data en het gebruik van mobiele apparatuur.

  • CHECK 5 Evaluatie, monitoring en bijstelling

In deze afsluitende stap worden procedures ingevoerd om het functioneren van de ingevoerde maatregelen te kunnen evalueren, te monitoren en desgewenst bij te kunnen stellen.

Gezond verstand en eigen verantwoordelijkheid

De wijze waarop uw accountantskantoor invulling geeft aan de aangescherpte wettelijke verplichtingen is onder meer afhankelijk van de omvang, de organisatie en de aard van de dienstverlening. Zodra de AVG van kracht is, dreigen er forse boetes en straffen voor gegevensverantwoordelijken en verwerkers die zich niet aan de regels houden. De AVG houdt hierbij geen rekening met de omvang van organisaties.

Maar laat u niet leiden door angst voor controles en boetes. Met een flinke dosis gezond verstand, het nemen van uw eigen verantwoordelijkheid en de vijf checks uit dit artikel, is de dienstverlening aan uw klanten ook na 25 mei 2018 nog steeds prima in orde.

---------------------------------------------------------------------------------------------------------------------------

Wilt u uitgebreidere informatie over de vijf checks, weten wanneer het verzamelen en verwerken van persoonsgegevens legitiem is en bij welke vorm van bewerking inbreuk op de privacy kan optreden of nog even de kernbegrippen van de AVG nalezen? Bekijk dan de whitepaper 5 checks voor accountantskantoren ter voorbereiding op de Algemene Verordening Gegevensbewerking (AVG).

Michel Jongboer

Michel Jongboer is verantwoordelijk voor de software-strategie en het portfolio bij Unit4 Financial Services. In die hoedanigheid is hij betrokken bij de ontwikkeling van Accountancy, Financieel Intermediair en Business Intelligence software.