De AVG: gedrocht of noodzakelijk kwaad?

Lees ook: De NVKS en andere relevante wet- en regelgevingen

Door Jos Helsloot adviseur AVG. Deze bijdrage is tot stand gekomen in samenwerking met ’t AccountantHuis.

Toch zult u als accountant zelf aan deze wetgeving moeten voldoen en ook uw klanten hierover adviseren. Terwijl er onder juristen over een aantal zaken nog volop discussie is over de interpretatie van diverse artikelen. Uiteindelijk zal jurisprudentie moeten uitwijzen welke interpretatie er aan gegeven dient te worden. Kortom, hoe weet u of u de AVG goed implementeert?

De intentie van de wet
Om een antwoord te geven op die vraag kijken we eerst naar de intentie van de wet. In de eerste alinea’s van de wetgevingshandeling staan de overwegingen om deze wet in te voeren. Het gaat nadrukkelijk om de verwerking en daarbij de bescherming van persoonsgegevens van een natuurlijk persoon. Het maakt niet uit waar deze zich in de Europese Unie bevindt. De verwerking dient bij te dragen aan economische en sociale voortuitgang en het individuele welzijn van de natuurlijk persoon. 

Het gaat hierbij zowel om de analoge (lees papieren) als ook om de digitale gegevens en de verwerking hiervan. De Europese wetgever wil dat haar inwoners en gebruikers van deze gegevens hier zorgvuldig en doordacht mee omgaan. Voorkomen dient te worden dat er lukraak allerlei gegevens van eenieder verzameld wordt, zonder dat hier een gericht doel voor is.

Deze gegevensverzameling, noodzakelijk voor het vrij verkeer van goederen en diensten, wordt met deze wet aan banden gelegd. Er worden voorwaarden, zogenaamde grondslagen benoemd, waarop men het verzamelen van gegevens kan baseren. Komt daar nog de ondubbelzinnig en in alle vrijheid gegeven toestemming van de betrokken natuurlijke persoon bij, mits deze goed is geïnformeerd over het doel van het te verzamelen persoonsgegeven, dan is vrijwel alles toegestaan. Deze laatste regel wordt het grondbeginsel van de AVG genoemd.

Let op: 
het gaat hier om gegevens verzamelen en opslaan, niet alleen om het gebruik van deze gegevens. Er bestaan nu nog landelijke privacywetgevingen, die in de loop van 2019 vervangen zullen gaan worden door de Europese Privacywet. In deze wetten staan regels hoe om te gaan met de verkregen gegevens en wat wel en niet openbaar mag worden gemaakt.

De AVG maakt onderscheid naar gewone (b.v. naam en adres) en bijzondere persoonsgegevens (b.v. bs-nummer). Dit is een essentieel verschil vooral omdat aan het verzamelen en opslag van bijzondere persoonsgegevens nog strengere regels en richtlijnen zijn verbonden, dan aan de gewone persoonsgegevens. Zoals hierboven reeds benoemd is het verzamelen van gegevens gerechtvaardigd op grond van grondslagen. Deze grondslagen bepalen de rechtsgrond waarop een gegeven mag worden verzameld en vastgelegd.  

De foute gedachte
Als accountant bent u zich voortdurend bewust van het feit dat u werkt met zowel natuurlijke als rechtspersoonsgegevens. In uw systemen heeft u aandacht voor de NVKS voorschriften waarin waarborgen zitten die zijn ingegeven door de Wwft en nu ook de AVG.
_______________________________________________________________________________
Middagbijeenkomst: De implementatie van de AVG
Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing; de privacywetgeving voor de hele Europese Unie (EU). Wat betekent dit voor u en uw klanten? 2,5 uur | €75 | 3 PE Punten / PE Uren 
Schrijf u nu in….
_______________________________________________________________________________

Het is een misverstand te denken dat met de invoering van de NVKS voorschriften u automatisch aan de AVG voldoet. U zult een aparte strategie en actie moeten ondernemen om ook AVG compliant te zijn. De AVG raakt de gehele organisatie en dat wil zeggen zowel instructie aan het personeel alsmede de administratieve inrichting van het verzamelen, opslaan en bewaren van gegevens, tot aan de betrokkene de mogelijkheid geven diverse rechten uit te oefenen op de verzamelde gegevens zoals aanpassing van persoonsgegevens of het porteren van data naar een andere accountant.

Hierin heeft de leiding van de accountantspraktijk een voortrekkersrol. Zij zijn degenen die zullen moeten benadrukken dat het al dan niet ongemerkt of ondoordacht verstrekken van persoonsgegevens kan worden aangemerkt als een datalek en dienovereenkomstig consequenties kan hebben. In de cultuur van de organisatie zal zorgvuldig omgaan met persoonsgegevens in het DNA moeten worden opgenomen. De benoeming van een Functionaris Gegevensverwerking is een goede start, maar niet altijd noodzakelijk. 

Een ander misverstand is dat de AVG alleen met IT en security te maken heeft. Het geldt namelijk ook voor uw papieren dossiers en opnieuw zijn hier verzamelen, verwerken en opslag de issues waar naar gekeken dient te worden. Dit tezamen met de toegang en het beheer zijn zaken die vastgelegd en geregeld dienen te worden, om aan de eisen van de AVG te voldoen.

AVG Compliant worden
Het start met inzicht verkrijgen in alle persoonsgegevens van natuurlijke personen die u verzamelt. Wat verzamelt u verplicht door een wet, een regeling of om de belangen van de betreffende persoon goed te kunnen behartigen? Heeft u echt alles nodig? Kunt u de gegevensverzameling terugbrengen tot een minimum waarmee toch de belangen van de persoon behartigd kunnen worden? 

Als u dan toch bezig bent hierover na te denken, leg dan direct vast waarom u bepaalde gegevens nodig hebt en met welk doel. Hierbij dient u tegelijk na te denken over de termijnen waarover u deze gegevens wenst te bewaren en waarom u die termijnen neemt. Houd hierbij in gedachten dat gegevens die u langere tijd bewaart, na verloop van tijd wellicht niet meer accuraat zijn. Wat doet u dan nog met die gegevens en is het nodig om ze actueel te maken?

Ieder bedrijf, van zzp-er tot multinational dient een privacyverklaring op te stellen. Hierin geeft u aan waarom u wat verzamelt en hoe lang u dit wilt bewaren. U stelt tevens een protocol op waarin staat hoe een natuurlijk persoon zijn of haar gegevens kan inzien en zijn of haar rechten kan uitoefenen die in de AVG gegeven zijn.  

Dan hebben we nog de kwestie van de software leveranciers, de opslag van data en al het internet of intranet verkeer. Al eerder hebben we opgemerkt dat persoonsgegevens verzameld mogen worden, mits er een doel is en de te verzamelen gegevens zo minimaal als mogelijk zijn.  Dit strookt niet altijd met de gegevens die diverse software programma’s willen hebben om zodoende de juiste werking van hun programma te borgen. Als accountant dient u dus na te gaan met welke minimale gegevens uw software toch nog de juiste uitkomst genereert. 

Volgens de AVG dienen gegevens van Europese burgers in Europa opgeslagen te worden. Dit opslaan van die gegevens noemen we verwerken. Met diverse IT leveranciers zult u een verwerkersovereenkomst moeten afsluiten, om de verantwoordelijkheid voor het opslaan van data daar te leggen waar die hoort. 

Tot slot dient uw accountantspraktijk zich bewust te zijn van de gevolgen die het lekken van data met zich mee kunnen brengen en de kosten die daarmee gemoeid kunnen gaan. Hierbij is een gedegen inventarisatie van uw ICT, uw netwerk, uw inlog- en netwerkbeveiligingen, de opslagmedia en uw instructie betreffende papieren dossiers bepaald niet onbelangrijk. Breng nu in kaart waar mogelijk risico’s zijn en bedenk strategieën om datalekken te voorkomen.

Conclusie
Feit is dat de AVG voor uw accountantspraktijk geldt, maar ook voor de slager op de hoek vanaf het moment dat hij persoonsgegevens gaat verzamelen om de bestelling in zijn winkel vlot te laten verlopen. Dat de uitvoering van deze wet voor een accountantspraktijk in eerste instantie makkelijker lijkt dan voor de slager is een misvatting. 

Gelet op de hoeveelheid en uiteenlopende gegevens die in een accountantspraktijk worden verzameld is de uitwerking van de AVG op die praktijk fors. Het is echter eerder een noodzakelijk kwaad dan een gedrocht. Waarom? Het internet wordt steeds belangrijker, persoonsgegevens wordt op steeds meer plaatsen vastgelegd en gekoppeld, profilering en tracking & tracing zijn in ons dagelijks leven niet meer weg te denken. Zorgvuldige verzameling, opslag en verwerking zijn dan ook van cruciaal belang om onze privacy te waarborgen. Toegegeven, het vraagt wel tijd en inspanning om hieraan te voldoen, maar eenmaal goed begonnen en goed vastgelegd valt het onderhoud in de praktijk wel mee. 

Natuurlijk is de AVG een nieuwe wet waar in de loop der tijd door jurisprudentie en aanvullende wetgeving finetuning zal plaatsvinden. Tot die tijd zijn er handvatten en stappenplannen die, mits secuur gevolgd, een zekere AVG compliance garanderen.

Auteur: Jos Helsloot, hij is adviseur op het gebied van AVG, personeelsmanagement en verzuim of re-integratie bij HRM voor Bedrijven, één van de leden van het Vaktechnisch DienstenCentrum van ’t AccountantHuis. Jos is tevens trainer voor accountants, onder andere op het gebied van de AVG. Zie voor Spitsuurbijeenkomst AVG: Spitsuurbijeenkomsten