Een kennismaking met De IT-jurist

De IT-jurist, gevestigd in Haren, is een adviesbureau dat is ontstaan door de verzelfstandiging van de IT-juridische adviesafdeling van Software Borg. “Wij richten ons op vraagstukken waar IT, recht en informatiebeveiliging samenkomen”, vertelt André Kamps, inmiddels elf jaar werkzaam als IT-jurist. “Denk daarbij aan onderwerpen als intellectueel eigendom, privacy-recht en internetrecht. Wij geven juridisch advies, stellen contracten op en kunnen contracten beoordelen. Daarnaast voeren we audits en scans uit.”

Op maat
De IT-jurist werkt multidisciplinair. Dit betekent dat gebruik wordt gemaakt van zowel de kennis van juridische specialisten als van IT-deskundigen. “Bij het privacy-compliant maken van tijdregistratiesoftware bijvoorbeeld komt regelgeving kijken, maar ook een stuk techniek”, licht Jan-Willem Oordt, sinds 2011 werkzaam als IT-jurist bij De IT-jurist, toe. “Het moet duidelijk zijn wie daarvoor verantwoordelijk is. André en ik werken nauw samen met een aantal vaste IT-specialisten om voor elk bedrijf een oplossing op maat te bieden. Om dat goed te kunnen doen, is het voor ons van belang dat wij de organisatie en de bedrijfsvoering van de klant goed kennen. Communicatie met de klant is dus essentieel.”

Accountants
Van oorsprong richtte De IT-jurist zich vooral op ICT-leveranciers, maar tegenwoordig bedient de organisatie een bredere groep dienstverleners. “Momenteel werken wij veel samen met accountants”, vertelt Oordt. “Zij kunnen bij ons terecht als zij vragen hebben over hoe zij moeten omgaan met het verwerken van persoonsgegevens en als zij duidelijke afspraken met hun softwareleverancier willen maken. Ook hebben wij contact met accountants als wij samen met hen hun klanten adviseren, bijvoorbeeld op het gebied van IT, intellectueel eigendom en privacy.” 

Meldplicht
Een belangrijke ontwikkeling voor accountants is de inwerkingtreding van de meldplicht datalekken begin dit jaar. “Alle organisaties die in de rol van ‘verantwoordelijke’ persoonsgegevens verwerken, zijn verplicht om ernstige datalekken te melden bij de Autoriteit Persoonsgegevens en soms ook aan degene van wie die persoonsgegevens zijn”, vertelt Kamps. “Dit is relevant voor accountants, omdat accountants dagelijks bezig zijn met de verwerking van persoonsgegevens.” 
Wat moet de accountant precies weten over de meldplicht datalekken? “Het is belangrijk om scherp op het netvlies te hebben welke rol de accountant heeft”, antwoordt Oordt. “Soms is de accountant de ‘verantwoordelijke’. Denk bijvoorbeeld aan het opstellen van een jaarrekening. Maar een accountant doet natuurlijk meer. Soms verzorgt hij voor een ondernemer de salarisadministratie. In dat geval is de accountant een ‘bewerker’. Het is daarnaast heel goed om te beseffen dat accountants voor de verwerking van persoonsgegevens afhankelijk kunnen zijn van andere partijen, zoals softwareleveranciers. Het is dus van essentieel belang dat er schriftelijke afspraken zijn tussen een verantwoordelijke en een bewerker, de zogenaamde bewerkersovereenkomst. Daarin kunnen wij ondersteuning bieden.”

Beslisboom
Accountants kunnen hun voordeel doen met de ‘beslisboom datalekken’, die De IT-jurist heeft ontwikkeld (te vinden op www.it-jurist.nl/nieuws/beslisboom-datalekken). “Wij hebben deze beslisboom gemaakt om de verschillende stappen bij een datalek inzichtelijk te maken”, vertelt Kamps. “De beslisboom is gebaseerd op de beleidsregels van de Autoriteit Persoonsgegevens. Eén van de stappen is bijvoorbeeld het beoordelen of een datalek tot ernstige gevolgen leidt. Het is zowel voor accountants als voor ondernemers belangrijk om zich hierin te verdiepen. De meldplicht datalekken geldt namelijk voor alle organisaties die persoonsgegevens verwerken, dus ook voor kleine bedrijven en eenmanszaken. Mkb’ers kunnen boetes krijgen van de Autoriteit Persoonsgegevens als zij een ernstig lek van persoonsgegevens niet of niet tijdig hebben gemeld.”
Welk advies hebben jullie voor ondernemers en accountants? “Zorg dat je kunt laten zien dat je het maximale hebt gedaan om datalekken te voorkomen. Stel dat je werkt als eenpitter, dan zal de Autoriteit Persoonsgegevens zich ook realiseren dat de mogelijkheden beperkt zijn. Belangrijk is om te kunnen laten zien dat je hebt nagedacht over jouw processen en dat je daar passende maatregelen voor hebt proberen te treffen”, aldus Oordt.

Congres
Met onderzoeksbureau GBNED hebben beide heren al jaren nauw contact. Kamps: “Wij kennen Gerard Bottemanne via zijn website Softwarepakketten.nl. Hij nodigt ons met enige regelmaat uit om presentaties te geven op de bijeenkomsten die mede georganiseerd worden door GBNED.” Ook tijdens het aankomend ICT Accountancy Jaarcongres zal De IT-jurist een presentatie verzorgen. Oordt: “Wij zijn gevraagd om een update te geven over het onderwerp privacy. Uiteraard praten wij de zaal bij over de meldplicht datalekken. Daarnaast gaan wij in op de ontwikkelingen op het gebied van het Privacy Shield-verdrag, dat de Europese Commissie heeft gesloten met de Verenigde Staten omtrent het verwerken van Europese persoonsgegevens door Amerikaanse organisaties . Een interessant en zeer actueel onderwerp waar elke mkb-accountant kennis van moet nemen.” 

Voor meer informatie: www.it-jurist.nl. 

Dit artikel komt uit de ICT-special van het Accountantsmagazine. Deze publicatie valt deze week bij leden van Novak op de mat.