Accountants op pole position voor AVG

Bedrijven willen uit de klauwen van het Europese monster, dat vanaf 25 mei ook in Nederland rondwaart, blijven. Want zo wordt de AVG veelal beschouwd. En hoewel een aanpassingstermijn van twee jaar in acht is genomen, lijkt nog lang niet iedereen voorbereid op wat komen gaat. Te laat wakker geworden. Pas nu D-day met rasse schreden nadert, lijkt men te beseffen dat de nieuwe verordening geen kwestie is van eventjes de privacy policy-tekst op de website aanpassen.
 
Autoriteit Persoonsgegevens
Jeroen Caron, manager IT Audit & Assurance bij BDO Accountants in Amstelveen: “Ik heb niet de indruk dat de Autoriteit Persoonsgegevens onmiddellijk na 25 mei torenhoge boetes gaat opleggen. Geld innen is immers niet de insteek van de AVG. En ook niet van de AP. Het gaat erom de bewustwording dat bedrijven privacygegevens van de persoon zelf slechts in bruikleen hebben – en daar dus niet vrijelijk over beschikken – naar een hoger plan te tillen.”
 
Bij BDO, middelgrote speler in de accountancy, is een multidisciplinair team van 25 specialisten druk met de veranderende privacywetgeving. Juristen, cybersecurity experts, IT-auditors en -adviseurs. “MKB-bedrijven hebben op dit terrein vaak weinig kennis en ervaring. Daar wordt gezocht naar een klankbord, mensen willen advies en praktische ondersteuning. Onze rol in dit traject is te inventariseren hoe het met de gegevensverwerking van klanten is gesteld. Waar staat een bedrijf, hoe zit het met hard copy, documenten, gedigitaliseerde bedrijfsprocessen, mailverkeer, de servers…”
 
Risicoanalyse
En het gaat over het niveau van de procedures die bedrijven volgen. Is er een meldpunt datalekken, zijn de termijnen bekend? Hoe staat het met aanpassing van de IT-systemen, is de technische beveiliging op orde, worden gegevens niet langer bewaard dan echt nodig en daarna vernietigd of geanonimiseerd? Verder: hoe is het gesteld met de privacy impact assessment, risicoanalyse die interne privacy-problemen in kaart brengt?
 
Ook op langere termijn biedt de AVG mogelijkheden voor accountantskantoren. Want de verordening stelt dat door de toezichthouder een landelijk certificeringsmechanisme moet worden geïmplementeerd. Hiermee kunnen bedrijven aantonen dat zij voldoen aan de AVG-eisen. Waarna controle door de Autoriteit Persoonsgegevens volgt. Te verwachten valt dat accountants, als onafhankelijke spelers, een prominente rol krijgen in het opstellen van die rapportages.
 
Europese privacywetgeving
De aanvankelijke onderschatting van de Europese privacywetgeving door het Nederlandse bedrijfsleven heeft deels plaatsgemaakt voor paniek. Want na bijna twee jaar is er vooral in het MKB nog maar weinig gebeurd. Nu voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens benadrukt dat de AVG zeker niet vrijblijvend is en dat hij de mogelijkheid heeft torenhoge boetes – 4 procent van de wereldwijde omzet, met een maximum van 20 miljoen euro – op te leggen, is het besef dat er iets moet gebeuren eindelijk geland.
 
Batterijen consultants, juristen en IT-specialisten hebben zich inmiddels op de adviesindustrie rond de AVG gestort. Softwaremakers en advocatenkantoren bieden bijpraatsessies, workshops, cursussen en studies aan. Zelfs uitkeringsinstantie UWV geeft werkzoekenden met een opleidingsniveau van Hbo-niveau en hoger de mogelijkheid zich tot data protection officer te laten omscholen. Een ondoorzichtige vijver met wel heel veel vissers.
 
Feest voor accountants
Tom van Engers, hoogleraar juridisch kennismanagement aan de Universiteit van Amsterdam, sprak in het FD van “een feest voor accountants, adviseurs en advocatenkantoren. Accountants kunnen een heel nieuw verdienmodel bouwen op de vraag wat voor verklaringen je moet afgeven. Hetzelfde geldt voor de aansprakelijkheid. Iemand moet uiteindelijk de rekening betalen. En dat zullen niet de bedrijven, maar de eindconsumenten zijn.”
 
Bij accountantsbureau BDO in Amstelveen zegt Jeroen Caron: “Bedrijven moeten procedures opstellen of aanscherpen, systemen aanpassen, analyses uitvoeren. Privacybeleid met informatiebeveiligingsbeleid integreren. Daarnaast gaat het om bewustwording bij medewerkers. Bijvoorbeeld juristen, ICT, HR, Internal Control… Voor de AVG moeten ze allemaal samenwerken.”

[avg-advertorial slug=”kom-naar-de-accountancy-expo-op-18-juni-2019″]