Vaktechniek door Nathanja de Kruijff 22 september 2017

Een goed GDPR-proces op jouw kantoor voorkomt boetes

Er is de laatste tijd veel te doen om de General Data Protection Regulation (GDPR). In het Nederlands 'Algemene verordening gegevensbescherming (AVG)'. Als dit jou nieuw in de oren klinkt, moet je je even achter de oren krabben.
Je hebt namelijk niet meer zo lang om aan deze wetgeving te voldoen, want op 25 mei 2018 aanstaande gaat deze van kracht!

Moet je nu zenuwachtig worden? Ja, opzich wel, want de boetes bij het niet voldoen zijn fors. Maar persoonlijk zie ik elk risico graag als een kans. De GDPR is zowel een last als een lust voor jouw accountants- of administratiekantoor. Waarom? Ik leg het je graag uit. 

Oude computer.jpgLaat ik bij het positieve beginnen. De huidige Data Protection Directive, waar onze huidige Wet bescherming persoonsgegevens op gebaseerd is, is aangenomen in 1995.
In 1995 zag een computer er zo uit -->

Bescherming van de burger

Er is dus nogal wat veranderd. In die tijd was internet minder wijdverbreid en werd lang niet door iedereen gebruikt. Dit in tegenstelling tot nu, waarin iedereen overal toegang tot internet heeft. Toegang is één ding, maar er wordt ook van alles gedeeld. Privé en zakelijk. Vandaar belangrijk dat we passende wetgeving hebben die daarop anticipeert. Met als belangrijkste doel: bescherming van de burger. De GDPR ziet daar op toe. Een mooie trigger om als kantoor eens na te denken hoe je eigenlijk met persoonsgegevens omgaat. 

Nieuwe wetgeving betekent nieuwe verplichtingen en dit is vaak een last voor bedrijven. Maar elke last houdt ook weer een lust in. Denk niet alleen ‘waar moet ik aan voldoen?’ maar ‘what’s in it for me?’.  De Autoriteit Persoonsgegevens heeft 10 stappen benoemd die bedrijven kunnen helpen bij de voorbereiding. Hieronder een paar daarvan uitgelicht.

  • Bewustwording

Dit is niet voor niks de eerste stap. Je kunt namelijk niet voldoen aan nieuwe verplichtingen als je niet weet wat die inhouden. Daarom is het belangrijk je kans te pakken en personeel op te leiden, zodat zij weten waar ze in hun werkzaamheden op moeten letten en wanneer ze te maken hebben met persoonsgegevens.

Het helpt jouw organisatie om medewerkers te hebben met voldoende kennis en daarnaast is het een goed visitekaartje voor klanten. Onderdeel van bewustwording is niet alleen training, maar ook het vastleggen van waar jouw kantoor voor staat. Denk aan een data protection policy. Een intern document waarin jij en je medewerkers vastleggen hoe de organisatie omgaat met persoonsgegevens. Uiteraard kun je dit laten zien aan klanten. Dit straalt uit dat jouw kantoor vooruit loopt als service en kennispartner én dat de klantdata veilig bij je is.  

  • Rechten van betrokkenen

Omdat het belangrijkste doel van de GDPR bescherming van de burger is, krijgt de burger ook extra rechten toebedeeld in de GDPR. Zoals het recht om vergeten te worden en dataportabiliteit. Dit betekent dat een klant zijn of haar gegevens terug mag vragen. In de praktijk kan dit dus betekeken dat je de persoonsgegevens in een werkbaar format aan de klant moet terugleveren. Zodat ze bijvoorbeeld naar een andere accountant kunnen gaan.

Als verantwoordelijke (data-eigenaar) moet je voldoen aan deze verplichting. Als bewerker (leverancier) moet je de verantwoordelijke daarin faciliteren. Dit betekent dat de applicaties die jij gebruikt, het moeten toelaten om persoonsgegevens te selecteren en te verwijderen of te transporteren. Dit kan wat voeten in de aarde hebben, maar dit is ook een extra functionaliteit die je kunt inzetten in de marketing van jouw kantoor.

  • Data Protection Impact Assessment

In sommige gevallen stelt de GDPR een speciale Privacy Impact Assessment (PIA) verplicht. Dit is een verplichting voor de verantwoordelijke bij een wijziging van functionaliteiten in de boekhoudtool. Maar alleen als er een aanzienlijke kans is dat de gegevensverwerking schadelijk is voor het individu.

Dit zal niet snel het geval zijn, denk aan profilering met juridisch effect of grote verwerking van bijzondere persoonsgegevens. Toch is het een gemiste kans als je het uitvoeren van PIA's aan je voorbij laat gaan. Dit is namelijk het middel om privacy by design te implementeren (één van de andere GDPR verplichtingen) en jouw applicaties op privacy gebied te optimaliseren.

Mijn advies is om bij elk nieuw project met betrekking tot wijziging van applicaties, de projectverantwoordelijke een
‘Pre PIA Screening’ te laten invullen. Dit kan een korte vragenlijst zijn waarin uit- of ingesloten wordt of persoonsgegvens geraakt worden. Is dat het geval, dan kan een volledige PIA worden uitgevoerd. Is dit niet het geval, dan heb je gelijk een audittrail voor de Autoriteit Persoonsgegevens. De PIA moet de juiste vragen stellen zodat de product designers de privacy by design principes kunnen toepassen. Dan voldoe je gelijk ook aan de documentatieplicht van de GDPR. Daarnaast kun je jouw klanten laten zien dat jij de beste, meest veilige applicaties gebruikt en/of op een veilige manier met hun data omgaat.

  • Bewerkersovereenkomsten

Het sluiten van een bewerkersovereenkomst tussen verantwoordelijke en bewerker is reeds een verplichting onder de huidige wetgeving. Echter, de kans bestaat dat jouw huidige bewerkersovereenkomsten niet voldoen aan de GDPR. Er zijn namelijk aanvullende eisen gesteld*.

Pak deze kans om te kijken of je daadwerkelijk bewerkersovereenkomsten hebt als verantwoordelijke met al jouw bewerkers. Zorg voor een overzicht, zodat je voldoet aan jouw documentatieplicht. Als bewerker loont het ook om een proactieve houding te nemen tegenover de verantwoordelijke. Leg vast waar je als kantoor voor staat en wat jij de klant biedt op het gebied van gegegevensbescherming.

De bewerkersovereenkomst is een document dat duidelijkheid biedt over wat er daadwerkelijk gebeurd met de gegevens en de bescherming daarvan, maar ook wat er zou moeten gebeuren in het geval van escalaties. Het is beter om vooraf te regelen wat te doen in het geval van datalekken en wat betreft aansprakelijkheid. Mocht het werkelijkheid worden, dan wil je als eerste focussen op de oplossing en niet op het proces. 

De processen op jouw kantoor kritisch bekeken én verbeterd!

Het is dus raadzaam om de GPDR-last als lust op te pakken. Gebruik de nieuwe verplichtingen om processen en procedures gericht te maken op bescherming van persoonsgegevens en laat maar zien aan de buitenwereld dat jij jouw zaken op orde hebt.

Ookal zal in de initiele fase voldoen aan de GDPR een last zijn, maar uiteindelijk is het een lust: jouw processen zijn kritisch bekeken én verbeterd!

http://www.privacy-regulation.eu/nl/r81.htm

De nieuwste blogs 

Wil je op de hoogte worden gebracht van nieuwe blogs? 
Meld je aan voor de blog 'De online accountant':  

Aanmelden blog.png 

Onze meest recente blogs:

Vaktechniek

Accountancy moet werken aan kwaliteitsgerichte cultuur

Branchekennis

Welke verzekeringen heeft een zzp'er nodig?

Vaktechniek

Een goed GDPR-proces op jouw kantoor voorkomt boetes

Branchekennis

Hoe adviseer ik ondernemers bij de start van een bedrijf?

Branchekennis

8 valkuilen voor zzp'ers