De AVG: 7 complexiteiten en 3 tips voor accountantskantoren

Door Reindert Doorn

Het kan je niet ontgaan zijn: de nieuwe Europese privacyverordening (AVG) is aanstaande. Je wordt ermee overdonderd. En misschien is dat maar goed ook. Het is tijd om je te realiseren dat de tijd begint te dringen. De ‘wenfase’ van twee jaar is bijna achter de rug! Inmiddels lijkt het erop of ieder bedrijf ook garen wil spinnen bij de introductie. Elke week zijn er wel AVG-avonden, lezingen en meer moois. Goed voor het bewustzijn, maar delen één ding: het is vaak algemeen van aard. En dat is nu net waar menig accountantskantoor niet op zit te wachten. Die wil bovenal duidelijkheid en een goede risico inschatting kunnen maken.

Ook DOCCO is zo’n bedrijf die, net als velen, zich verdiept heeft in de AVG. Samen met betrokken privacy experts verzorgde DOCCO tientallen educatiebijeenkomsten voor honderden kantoren over het thema AVG. De komende periode is dat niet anders: de vraag is enorm. Hoe meer wij ons in de AVG verdiepen en hoe meer vragen er komen: des te duidelijker voltrekken de complexiteiten zich rond de invoering van de AVG. We zetten ze voor je op een rij. 

7 AVG-uitdagingen voor accountantskantoren

Veel vraagstukken die komen bovendrijven zijn echter niet AVG pur sang. Ook onder de Wet bescherming persoonsgegevens golden al veel verplichtingen. Alleen waren de sancties goed te overzien. Wellicht was de Wbp het best bewaarde geheim tot dusver. Het valt op dat kantoren bij de implementatie van maatregelen voor de AVG, vaak ook de implementatie van de Wet meldplicht datalekken en de basisprincipes van de Wbp nog gestalte moeten geven. En als adviesbureau, niet roomser dan de paus, hebben wijzelf ook nog de laatste stappen te zetten. Dat vooropgesteld.

1. Het recht om vergeten te worden en functionele beperkingen in mijn software
Onder de AVG bestaat het recht op vergetelheid. Deze gaat net wat verder dan het huidige recht van betrokkenen op dit gebied. Daarbij moet je als kantoor ook het maximale doen om gegevens uit kopieën en back-ups te verwijderen. Dat is een hele exercitie, zeker als je lange back-upretentie hanteert. Enfin, dat is op te lossen. Maar om het verzoek op verwijdering in te willigen heb je ook medewerking nodig van je softwareleveranciers. In sommige applicaties is ‘verwijderen’ namelijk geen functie. Het kost leveranciers een enorme inspanning of zelfs het aanpassen van het relationeel datamodel om hier invulling aan te geven.

2. Opslagbeperking (niet langer bewaren dan ‘nodig’), bewaartermijnen en lange termijn adviesdoeleinden
Veel paniek over de onmogelijkheden van het opschonen van de dossiers! De basisbeginselen voor verwerkingen -waaronder de bewaartermijnen- veranderen overigens nauwelijks. Wel moet de bewaartermijn zijn vastgesteld en gedocumenteerd. Hierbij kan de wettelijke bewaartermijn (fiscaal, WWFT) aangehouden worden (net als bij de rechten van betrokkenen). Langer bewaren kan ook, mits het is vastgesteld en voor het doel noodzakelijk is. Maar wat is noodzakelijk? Het P-dossier, akten, polissen, estateplaning… er is altijd wel een noodzaak te bedenken voor een langere termijn?

3. Is het identificatienummer (BSN) nu een bijzonder persoonsgegeven of niet?
Veel kantoren zijn hierover in de war. Als het BSN een bijzonder persoonsgegeven is, en elk kantoor verwerkt deze op grote schaal, komen er nieuwe verplichtingen om de hoek kijken. Gelukkig valt dit mee. Het werd onder de Wbp (soms) aangenomen als bijzonder persoonsgegevens, onder de AVG en in de uitvoeringswet niet. Passende bescherming én een wettelijke bepaling voor het verwerken is wel nodig. De WWFT is dat overigens niet (vereist geen verwerking BSN).

[avg-advertorial slug=”kom-naar-de-accountancy-expo-op-18-juni-2019″]

4. Het aantonen van toegepaste encryptie en het niet informeren van betrokkenen.
Eigenlijk ook niet nieuw, maar toch: je past als kantoor encryptie (versleuteling) toe op al je mobiele apparaten. Als passende technische maatregel voor bescherming van persoonsgegevens en/of simpelweg om te voorkomen dat je bij een datalek mogelijk klanten moet informeren. Het moeten melden aan de Autoriteit Persoonsgegevens kan al vervelend genoeg zijn. Als zich een dergelijke situatie voordoet dien je de gegevens rondom het lek wel drie jaar te bewaren. Door voortschrijdende techniek kan de versleuteling na verloop van tijd niet meer ‘adequaat’ zijn. Maar hoe toon je aan (kun je verantwoorden) dat je passende encryptie hebt toegepast? Installatielogs, facturen, cryptospecificaties of screenshots? 

Tip: Een Windows 10 (pro) of Mac-machine? Fijn. Dan heb je versleutelingssoftware meegeleverd gekregen. Het staat alleen standaard uit. Bitlocker of FileVault moet je wel even activeren!

5. Help! Ben ik nu verantwoordelijke of verwerker? En als beiden: welke overeenkomst sluit ik dan?
Een bediscussieerd onderwerp. De NBA heeft een rolmatrix opgesteld en gelukkig is er deze week duidelijkheid van de Autoriteit Persoonsgegevens gekomen op het laatste vraagstuk: de samenstellingsopdracht. Dat maakt het plaatje compleet. Voor eigen verzamelingen (CRM, marketing, HR), samenstel- en controleopdrachten en voor diensten rechtstreeks aan betrokkenen is nu sprake van de rol verwerkingsverantwoordelijke. Voor overige opdrachten (zoals (salaris)- administratie) t.b.v. verantwoordelijken is nu sprake van de rol verwerker. Nu levert bijna elk kantoor administratieve diensten én samenstelactiviteiten. Vanuit een andere rol dus. Welk model verwerkersovereenkomst hanteer je dan naar klanten?

6. Hoe kan ik verwerkingsafspraken met klanten nakomen als ingeschakelde subverwerkers allemaal eigen condities hanteren?
Sommige kantoren hebben voor deze diensten al verwerkersovereenkomsten met klanten gesloten. Echter vereist de AVG t.a.v. de verwerkersovereenkomst dat wordt afgesproken dat aan subverwerkers dezelfde verplichtingen worden opgelegd. Ingeschakelde subverwerkers mogen bijvoorbeeld geen lagere beschermingsniveaus bieden. Als kantoor heb je echter weinig te zeggen over de gehanteerde niveaus: leveranciers bieden -logischerwijs- maar beperkt maatwerkcontracten. Dat stelt je kantoor voor een uitdaging: kan ik de beloften naar mijn klanten wel nakomen? Wellicht eerst maar eens polsen wat er waargemaakt kan worden (inkoop bij subverwerkers) en dan de afspraken maken met klanten (verkoop  aan verantwoordelijken)?

7) Het vragen van toestemming voor het inschakelen van subverwerkers met de AVG
Daarbij wordt er nu ook afgesproken in de verwerkersovereenkomsten dat er toestemming gegeven moet worden bij het inschakelen van subverwerkers. Wel een fijn idee. Bijvoorbeeld als je IT-leverancier voornemens is de data van je kantoor te verplaatsen naar een derde waar je geen fiducie in hebt. Maar gegeven het voorbeeld waarbij je als kantoor zelf een subverwerker inschakelt, denk aan leverancier voor online loonadministratiesoftware, wordt het vervelend. Je zult dan eerst toestemming moeten ophalen bij je klanten. Wellicht kun je beter algemene toestemming afspreken, gecombineerd met een informatieplicht! Dat scheelt een hoop gedoe.

Het achtste en grootste struikelblok
Bovenstaande uitvoeringsvraagstukken zijn te overwinnen. Door praktische keuzes, medewerking van leveranciers of goede tips van juristen. De AVG-voorbereidingen op organisatorisch-, documentatie-en procesvlak zijn redelijkerwijs ook goed te behapstukken bij kantoren voor mei 2018. Waar vaak de mens en organisatie zwakke schakels zijn is techniek dat echter in de voorbereidingen naar de AVG. Hoe ga je als kantoor bijvoorbeeld binnenkort aannemelijk maken (en in de praktijk realiseren) dat je passende bescherming/beveiliging toepast? En dit periodiek toetst? Red je dat voor mei 2018?
De handleiding Algemene verordening gegevensbescherming van het Ministerie van Justitie omschrijf het onomwonden: “Een verwerkingsverantwoordelijke mag alleen verwerkers inschakelen die afdoende garanties met betrekking tot de naleving van de Verordening kunnen bieden. ….. Deze maatregelen zien bijvoorbeeld op de beveiliging van persoonsgegevens”

Klanten mogen het kantoor (bij de rol verwerker) dus enkel inschakelen als deze genoeg garanties biedt. Stoppen dus met het e-mailen van gevoelige gegevens, het opslaan van inloggegevens van/voor ondernemers bij de belastingdienst en uitdelen van administrator-wachtwoorden. Het kan je op deze wijze klanten gaan kosten! Het is hoog tijd om serieus naar informatiebeveiliging te kijken.

Drie handige online tools
Naast de nodige kopzorgen duiken er gelukkig ook steeds handige hulpmiddelen op. Voorkom dat je als kantoor teveel bezig bent op het wiel uit te vinden: informeer eerst bij je branche- of beroepsorganisatie naar de aanwezigheid van hulpmiddelen en modellen. Bijvoorbeeld het register voor datalekken en het register voor verwerkingsactiviteiten. Bekijk daarnaast ook eens deze drie websites:
www.hulpbijprivacy.nl (recent gestartte campagne van de overheid met handige wizard)
www.privacyshield.gov/list (controleren of je online tool uit de VS een passende waarborg biedt)
www.veiliginternetten.nl/privacyverklaring-generator/start/ (een privacyverklaring maken)

Handige whitepaper AVG
De afgelopen maanden hebben we de voorbereidingen getroffen voor een handige whitepaper: AVG voor accountantskantoren. Geen commerciële introductie, maar een handige gids. Vergelijkbaar met de veelgelezen whitepaper SBR Assurance. De beperkte tijd door de vele uitvoerende hulp, de voortschrijdende actualiteit (uitvoeringswet) én het uitbrengen van het handige handboek van het Ministerie van Justitie maakt dat we de whitepaper niet gaan afronden en publiceren. Het handboek biedt de achtergronden en handige beslisschema’s. En met de zeven genoemde aandachtspunten heb je het beeld compleet!

Hulp nodig bij de voorbereidingen op de introductie AVG? Neem contact op met Reindert Doorn, (reindert@docco.nl).