Wet meldplicht data-lekken: wat iedere accountant moet weten

Vanaf 1 januari 2016 geldt de Wet meldplicht data-lekken. In dit artikel wordt beschreven wat de wet inhoudt en waar men specifiek als accountant op moet letten.
De meldplichtwet is een aanpassing op de Wet bescherming persoonsgegevens en is van toepassing op alle bedrijven en instellingen die persoonsgegevens verwerken. 
De Wbp geeft aan dat een persoonsgegeven elk gegeven is herleidbaar naar een natuurlijke persoon. Een kenteken bijvoorbeeld is herleidbaar naar een natuurlijk persoon en dus een persoonsgegeven. De bewerker van persoonsgegevens is degene – lees toeleverancier – die ten behoeve van de verantwoordelijke – lees opdrachtgever – persoonsgegevens verwerkt. De verantwoordelijke bepaalt het doel en de middelen van de verwerking. De verantwoordelijke is, zoals de naam al zegt, verantwoordelijk voor de gehele verwerking van persoonsgegevens, ook als derde partijen (bewerkers) de persoonsgegevens bewerken.
 
Onder gegevensverwerking verstaat de wet handelingen met betrekking tot persoonsgegevens. De wet noemt verschillende voorbeelden van gegevensverwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Een zeer ruim begrip dus!
 
Accountants
Accountants kunnen voor henzelf of namens hun klanten verschillende persoonsgegevens verwerken. Voor de verwerking van deze persoonsgegevens is op grond van de Handreiking Vrijstelling Wpb een uitzondering opgenomen voor o.a. Registeraccountants en accountants-administratieconsulenten. Deze dienstverleners hoeven de verwerking van de persoonsgegevens van hun cliënten niet te melden als aan de voorwaarden ten aanzien van de gegevensbewerking genoemd in de handreiking is voldaan.
Deze voorwaarden betreffen de categorieën van gegevens die verwerkt mogen worden, de bewaartermijn, en de categorieën van ontvangers die toegang mogen hebben tot de gegevens. Wanneer de verwerking niet voldoet aan de voorwaarden die het Vrijstellingsbesluit daaraan stelt, moet de verwerking alsnog worden gemeld bij de Autoriteit Persoonsgegevens (AP). Te denken valt aan de situatie dat de gegevens verwerkt worden door meer dan 1 verantwoordelijke of gevallen waarin er door de verantwoordelijke persoonsgegevens worden doorgegeven aan landen buiten de EU.
Indien er melding moet plaatsvinden en dit niet gebeurt dan kan de AP maatregelen nemen. Is de verwerking niet, niet tijdig of niet juist aangemeld dan kan zij een boete opleggen of eisen dat binnen een bepaalde termijn de overtreding van de Wbp ongedaan gemaakt wordt. Daarbij kan een dwangsom worden opgelegd.
Controlerende taak accountant
De bepalingen van de Wbp spelen daarnaast ook een rol bij de controlerende taak van de accountant.  Hij heeft de verantwoordelijkheid om de naleving van wet- en regelgeving te toetsen bij het controleren van de jaarrekening van een bedrijf. 
De accountant zal moeten onderzoeken of er geen aanwijzingen zijn van afwijkingen die van materieel belang zijn als gevolg van overtredingen van wet- en regelgeving, waaronder dus ook de Wbp. De accountant dient inlichtingen te verkrijgen omtrent de verwerking van persoonsgegevens die kunnen wijzen op een niet-naleving van de Wbp die van materieel belang kunnen zijn op de jaarrekening. Bijvoorbeeld door te vragen of er een intern privacy- en beveiligingsbeleid wordt gehanteerd, het opvragen van privacy- of beveiligingsaudits, kijken of er zich een data-lek voorgedaan, of er contact geweest is met de toezichthouder of dat er claims zijn ingediend. 
De accountant dient er met name op bedacht te zijn dat het opnemen van een voorziening, schuld of toelichting noodzakelijk kan zijn wanneer sprake is van risicovolle verwerking, aangezien een overtreding van de Wbp voor de klant in dergelijke gevallen sneller van materieel belang zal zijn. De AP kan ook in dat geval de eerder genoemde maatregelen treffen. Voorbeelden van een aantal risicovolle verwerkingen zijn de verwerking van gevoelige gegevens zoals gezondheidsgegevens, locatiegegevens of financiële gegevens of het verwerken van gegevens waarvan verlies tot identiteitsfraude kan leiden (zoals BSN of paspoortgegevens). Ook de kans op data-lekken – hierover later meer – en het risico welke de organisatie daarbij loopt zal voldoende duidelijk moeten zijn. De accountant dient in dat kader cliënten ook te vragen naar de beveiliging van privacygevoelige data.
Wet melding datalekken (Wmd)
Zoals gezegd is per 1 januari 2016 de wet melding data-lekken van kracht. De accountant kan in het kader van de Wbp zowel de rol van verantwoordelijke hebben als die van bewerker. 
De verantwoordelijke heeft zeggenschap over hetgeen dat wordt verwerkt. Kenmerkend voor de verantwoordelijke is dat hij instructies kan geven ten behoeve van de gegevensverwerking en dus feitelijke invloed hierop heeft. Een voorbeeld hiervan is bv de database van een accountant m.b.t. persoonsgegevens zijn klanten. De accountant is in dit voorbeeld de verwerker, wordt de database gehost bij een externe partij die de gegevens verwerkt ten behoeve van de salarisadministratie of aangifte inkomstenbelasting dan is deze externe partij de bewerker. In dit voorbeeld zal de accountant in zijn hoedanigheid van verwerker indien sprake is van een data-lek zelf het data-lek bij de AP en de betrokkenen – lees de personen wiens gelekte gegevens in de database stonden opgenomen – moeten melden. Bij een data-lek moet overigens allereerst worden vastgesteld of er een inbreuk op de beveiliging heeft plaatsgevonden en er dus sprake is van ‘ernstige nadelige gevolgen’. Als dat het geval is heeft de verantwoordelijke de wettelijke plicht om een data-lek bij de AP te melden, voor de bewerker is deze wettelijke verplichting er niet. Echter in de meeste bewerkersovereenkomsten staat wel een contractuele meldplicht van de bewerker naar de verantwoordelijke. De bewerker is meestal ook de eerste die op de hoogte is van een data-lek. De melding naar de AP en betrokkenen loopt via de klant van de accountant indien het lek zich voordoet bij de (sub) bewerker. 
In dit kader is het van belang dat de bewerkersovereenkomst met de klant (en eventueel met een sub-bewerker) up-to-date is. Een bewerkersovereenkomst is een overeenkomst tussen de verantwoordelijke en de bewerker en bevat bepalingen op welke wijze de verantwoordelijke en de bewerker omgaan met persoonsgegevens bevat bepalingen waaruit duidelijk blijkt welke partij, waarvoor verantwoordelijk is. 
 
Controle AP
Bij controle van de AP of in geval van een juridische procedure moet men aan kunnen tonen dat de organisatie compliant is. Om te inventariseren of men compliant is met de wet meldplicht data-lekken, kunnen onder meer de volgende vragen worden beantwoord:
a) met welke partijen wordt samengewerkt in het kader van gegevensverwerking; 
b) is met deze partijen een (actuele) bewerkersovereenkomst gesloten;
c) bevat de overeenkomst een bepaling ten aanzien van data-lekken en wordt er een verantwoordelijke genoemd;
d) geschied verwerking van persoonsgegevens veilig, zowel binnen eigen organisatie als binnen de bedrijven waarmee wordt samengewerkt;
e) hebben alle partijen waarmee wordt samengewerkt een geheimhoudingsverklaring getekend waarin de verwerkte persoonsgegevens worden benoemd;
f) wordt er een procedure gevolgd in het geval dat er sprake is van een data-lek?
 
De wet kent vanaf nu ook de mogelijkheid om boetes op te leggen wanneer niet voldaan wordt aan de wet. Deze boetes kunnen onder meer opgelegd worden voor:
het niet melden van een data-lek terwijl dat wel moet.
het verwerken van persoonsgegevens zonder toestemming;
het niet op orde hebben van de beveiliging; 
 
De boete kan oplopen tot € 820.000,- of 10% van de jaaromzet. Vaak zal er eerst een waarschuwing gegeven worden, maar de AP mag besluiten direct een boete op te leggen.
 
Wijziging rol accountant
De wijzigingen in bovengenoemde regelingen brengen een veranderende taak voor de accountant met zich mee. 
Als controleur dient hij te toetsen of aan de regelgeving wordt voldaan en de risico’s in kaart te brengen. Als adviseur zal hij steeds vaker worden ingeschakeld om preventief na te gaan of zijn klant compliant is of indien er sprake is van een data-lek de omvang en oorzaak in kaart te brengen. Met de gewijzigde wetgeving en de toenemende verwerking van persoonsgegevens neemt ook het risico op data-lekken toe. De accountant dient zelf ook compliant te zijn aangaande de verwerking van persoonsgegevens die zij voor eigen doeleinden verwerken. Indien deze worden uitbesteed zal gekeken moeten worden of de bewerkersovereenkomsten voldoen aan de gewijzigde wetgeving. In alle gevallen geldt dat het verstandig is dat de accountant zich goed laat informeren en tijdig de juiste mensen erbij betrekt. Dit artikel is daartoe een eerst aanzet.
 
[Reinoud van Servellen is partner en oprichter van HarveyBloom (advocaten, fiscalisten en bedrijfsjuristen). Voor meer informatie kijk op www.harveybloom.com.]   
Gerelateerde artikelen