Pijnpunten bij invoeren AVG (Werkoverleg Accountancy Expo)

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Tijdens Accountancy Expo 2018 op 19 juni bespreken we in speciale werkoverleggen met groepjes van 8 tot 10 accountants (onder begeleiding van een expert) waar kantoren tegenaan lopen bij het implementeren van maatregelen om aan de nieuwe regels te voldoen. 

We vroegen Reindert Doorn, Adviseur IT & Verandermanagement bij Docco, om een beeld te schetsen van hoe het er nu voor staat met de invoering en wat kantoren nog voor elkaar moeten krijgen om voor 25 mei AVG-proof te zijn. 

“Alle accountantskantoren en administratiekantoren – eenpitters zelfs – krijgen hiermee te maken”, begint Doorn. “Het is zaak dat ze dit eerst voor hun eigen kantoor goed regelen. Kantoren die het interessant vinden kunnen daarna ook klanten adviseren rond dit thema. Ieder bedrijf in Nederland moet er immers aan voldoen.”

Over het algemeen zijn kantoren zich niet erg bewust van de urgentie van dit thema, merkt Doorn. Hij constateert dat dit vaker het geval is bij nieuwe verplichtingen die op accountantskantoren afkomen. “De meeste accountants zijn zo druk met hun klanten dat ze weinig tijd nemen voor dergelijke ontwikkelingen rond nieuwe thema’s.” 

Een ander voorbeeld hiervan is de verplichting om digitaal te ondertekenen bij de controleverklaringen over boekjaar 2017 bij middelgrote rechtspersonen. Sommige klanten blijken er nog geen notie van te hebben genomen en dat geeft last minute stress. Dat gaat ook bij AVG gebeuren, kantoren die er na of vlak voor 25 mei achterkomen dat ze iets gedaan hadden moeten hebben. Positieve uitzonderingen zijn er ook: Alle administratiekantoren die zijn aangesloten bij NOAB zijn bijvoorbeeld in 2017 al voorgelicht over de AVG. Dat is een goede zaak, maar ik denk toch dat het bewustzijn bij veel kantoren nog veel beter kan.”

[avg-advertorial slug=”kom-naar-de-accountancy-expo-op-18-juni-2019″]

Tegelijkertijd moet het ook niet overschat worden. “Een kantoor kan in anderhalve dag heel veel voorbereid hebben qua documentatieplicht. Dan ben je nog niet helemaal compliant, maar wel een eind op weg”, zegt Doorn. “Geluiden om uitstel zijn echt overtrokken. Kom eerst maar in actie. In korte tijd is best veel mogelijk.”

De eerste stap is het aanstellen van een taakeigenaar en het opstellen van een register van verwerkingsactiviteiten; een overzicht van alle gegevens die het kantoor beheert, waar deze staan (binnen of buiten EU), en wie er bijvoorbeeld toegang toe hebben. “Vergelijk het met de AO/IC voor de geld-goederenbeweging. In dit register gaat het om de persoonsgegevens die door het bedrijf vloeien. Kijk daarbij goed of je passende beveiligingsmaatregelen hebt. Zo niet, dan kan het zijn dat je omwille van de AVG- je security naar een hoger niveau moet tillen.” 

Denk bij het register niet alleen aan verwerkingen binnen de primaire applicaties, waarschuwt Doorn. Ook online tools tellen mee, zoals Google Drive, Mailchimp, Trello of Evernote. Doorn: “Als die buiten de EU staan moeten daar aanvullende waarborgen voor getroffen worden. Als wordt samengewerkt met partijen in de US, kan het EU-US Privacy shield uitkomst bieden.” (http://privacyshield.gov). 

Een andere activiteit die de AVG met zich meebrengt is gerelateerd aan datalekken. “De Meldplicht Datalekken was al van kracht”, aldus Doorn. “Wat nieuw is bij de AVG is dat alle inbreuken vastgelegd moeten worden in een logboek en niet alleen de gemelde datalekken. Ook moeten de verwerkinsgovereenkomsten met klanten en leverancier op orde zijn en enkele extra onderdelen bevatten, bijvoorbeeld rondom de inzet van subverwerkers.” 

“Tot slot”, besluit Doorn: “Denk goed na of je in staat bent de rechten van betrokkenen uit te kunnen oefenen. Dat wil zeggen; iedere betrokkene kan straks je kantoor bellen en vragen; ‘wat weet je van mij?’ en kan dit laten wijzigen of verwijderen. Daar zul je adequaat op moeten antwoorden.”   
Daar moeten kantoren over nadenken, intern en naar buiten toe. En het aanspreekpunt kenbaar maken via bijvoorbeeld hun website. En daarbij: zit er überhaupt een knop verwijderen in je softwarepakket? “Tot slot, kijk ook naar je website zelf. Heeft deze een passende beveiliging? En staat er bijvoorbeeld een privacy statement? Vergeet niet de voorkant van je kantoor, want dat is wel je visitekaartje.”

Zie ook:  In 10 stappen voorbereid op de AVG