5 checks voor accountantskantoren ter voorbereiding op de ...€¦ · dienstverlening aan uw klanten ook na 25 mei 2018 nog steeds prima in orde. Daarnaast is de invoering van de

Checklist

In business for people.

5 checks voor accountantskantoren ter voorbereiding op de Algemene Verordening Gegevensbescherming (AVG)

InleidingUw accountantskantoor verleent verschillende soorten diensten aan uw klanten waarvoor een grote hoeveelheid en diversiteit aan bedrijfs- en persoonsgegevens wordt gebruikt in een complex IT-landschap. Dat maakt u kwetsbaar voor verlies of misbruik van data en voor het niet-compliant zijn met de privacywetgeving. Maar laat u niet leiden door angst voor controles en boetes. Met de checklist uit deze whitepaper, een flinke dosis gezond verstand en het nemen van uw eigen verantwoordelijkheid, is de dienstverlening aan uw klanten ook na 25 mei 2018 nog steeds prima in orde. Daarnaast is de invoering van de AVG ook een goede gelegenheid om uw dienstverlening ook naar dit kennisgebied uit te breiden.

INHOUDSOPGAVE

Inleiding 2Wat is de AVG en wat zijn de implicaties voor uw kantoor 3Accountantskantoren en de AVG 5Bereid uw kantoor voor op de nieuwe regelgeving 8AVG-checklist voor uw kantoor 9Geraadpleegde bronnen 16Bijlage 1 - Definities uit de AVG 17

2 Unit4 | Accountantskantoren en de AVG

Op 25 mei 2018 treedt een nieuwe Europese privacywet in werking: de Algemene Verordening Gegevensbescherming (AVG). Deze verordening is internationaal ook wel bekend onder de naam Ge-neral Data Protection Regulation (GDPR).

Deze regelgeving zal in alle lokale privacywetten binnen de hele EU en Europese Economische Ruim-te (EER) worden geïmplementeerd. De verordening geldt voor alle organisaties die producten of dien-sten verkopen aan burgers in Europa en hun per-soonsgegevens verwerken, inclusief bedrijven op andere continenten. De verordening biedt burgers in de EU en EER meer controle over hun persoons-gegevens en moet waarborgen dat hun informatie in heel Europa goed wordt beschermd. De nieuwe AVG vervangt de gegevensbeschermingsrichtlijn 95/46/EG. De AVG is rechtstreeks van toepassing in elke lidstaat en zal leiden tot een betere harmonisa-tie van gegevensbescherming tussen de EU-landen.

Van organisaties wordt verwacht dat zij kunnen aantonen dat de beveiliging van persoonsgegevens effectief is. De AVG bepaalt verder dat verwerking van persoonsgegevens alleen mag worden uitbe-

steed aan een verwerker die afdoende garanties biedt voor de beveiliging ervan. Dit betekent bij-voorbeeld dat bedrijven alleen zaken mogen doen met accountants die zo’n garantie kunnen afgeven. En op hun beurt mogen accountants alleen verwer-kingen uitbesteden aan partijen die ook een derge-lijke garantie kunnen afgeven. De uitbesteding van de verwerking van persoonsgegevens moet zijn geregeld in een zogenaamde Verwerkersovereen-komst waarbij de verwerkers de plicht hebben om het nakomen van de vastgelegde verplichtingen te kunnen aantonen.

Hoewel veel bedrijven inmiddels al eigen privacy-processen en -procedures hebben vastgesteld in overeenstemming met de richtlijn, bevat de AVG een aantal nieuwe waarborgen voor EU-Burgers waarvan gegevens worden verzameld. Zodra de AVG van kracht is, dreigen er forse boetes en straf-fen voor gegevensverantwoordelijken en verwer-kers die zich niet aan de regels houden. De AVG houdt hierbij geen rekening met de omvang van organisaties. Het (niet) melden van bijvoorbeeld een datalek kan grote gevolgen hebben, ook voor de reputatie of de waarde van een onderneming.

Definities uit de AVGIn de AVG staat (de bescherming van) privacy centraal. Voor een goed begrip van de AVG is enige kennis van de ‘AVG-terminologie’ nood-zakelijk. In bijlage 1 vindt u daarom de definities van enkele kernbegrippen.

Wat is de AVG en wat zijn de implicaties voor uw kantoor


Nieuwe kansen: uitbreiding van dienst-verlening De invoering van de AVG betekent niet alleen een gedwongen check van de eigen organisatie en pro-cessen, het biedt daarnaast een mooie gelegenheid voor het introduceren van een nieuwe dienstverle-ning. Uw accountantskantoor kan een rol spelen bij het adviseren of ondersteunen van uw eigen klan-ten bij het inrichten en op niveau brengen van hun informatiebeveiliging en het tijdig compliant zijn met de (vernieuwde) privacywetgeving. U dient hiervoor natuurlijk wel te beschikken over de benodigde technische en juridische kennis. Indien dit niet het geval is en dit ook niet op korte termijn kan worden gerealiseerd, is het wellicht een mogelijkheid om met een AVG-specialist een gezamenlijke dienstver-lening voor uw klanten te ontwikkelen.

De advisering of ondersteuning van klanten heeft dezelfde uitgangspunten als wanneer u uw eigen organisatie voorbereid op AVG-compliancy. Het belangrijkste uitgangspunt is dat de bedrijfsvoering van de desbetreffende organisatie en de daarbij be-horende (bedrijfs-)risico’s als uitgangspunt worden genomen. De aard en omvang van de verwerkingen en de daarbij gebruikte (bijzondere) persoonsge-gevens in combinatie met de aard en omvang van de organisatie, dienstverlening, processen, etc. zijn bepalend voor de maatregelen die een organisatie moet treffen.

Om hier inzicht in te krijgen, wordt gestart met een inventarisatie van de verwerkingen en de daarbij te gebruiken persoonsgegevens en een vorm van risicoanalyse. De inventarisatie maakt duidelijk welke maatregelen nodig zijn, naast de maatregelen en procedures die de AVG verplicht stelt. Denk aan passende beveiliging, aan de rechtmatige grond-slag, relatie met betrokkene en een protocol voor het melden van datalekken. De AVG-problematiek bij een organisatie in de zorg, bijvoorbeeld een huisartsenpraktijk, is volstrekt anders dan bij een handels- of transportonderneming, of een organisa-tie die internationaal en mogelijk zelfs buiten de EU opereert. De invulling van informatiebeveiliging en privacybescherming zal daarop moeten aansluiten.

Het bij klanten vragen om aandacht voor de proble-matiek van informatiebeveiliging en privacybescher-ming is natuurlijk altijd een eerst goede stap als start voor advisering. Vragen die daarbij kunnen worden gesteld zijn:

• Zijn uw medewerkers op de hoogte van de nieuwe privacyregels?

• Verwerkt uw organisatie persoonsgegevens en zo ja, welke gegevens, in welke verwerkingen, waar opgeslagen en voor wie zijn deze toegankelijk?

• Beschikt uw organisatie over een Functionaris Gegevensbescherming (indien verplicht)?

• Beschikt uw organisatie over passende beveili-ging om de privacy-rechten van de betrokkene(n) van wie u persoonsgegevens verwerkt te kunnen beschermen?

• Beschikt uw organisatie over maatregelen en procedures om invulling te kunnen geven aan de rechten van betrokkene(n)?

• Beschikt uw organisatie met betrekking tot de ver-werking van persoonsgegevens als verwerkings-verantwoordelijke/(sub)verwerker over de vereiste overeenkomsten?

• Beschikt uw organisatie over een protocol/pro-cedures om een datalek te kunnen melden en (indien nodig) betrokkene(n) te informeren?

• Beschikt uw organisatie over maatregelen en pro-cedures om inbreuken/datalekken met betrekking tot persoonsgegevens te kunnen documenteren?

• Zijn uw medewerkers zich bewust van de huidige dreigingen op het terrein van informatiebeveiliging (cybercrime) en de belangrijkste oorzaken van datalekken?

• Weten uw medewerkers wat u in het kader van informatiebeveiliging en privacybescherming van hen verwacht, qua houding en gedrag?


Een accountantskantoor maakt bij de uitvoering van zijn werkzaamheden veelvuldig gebruik van de gege-vens van zijn klanten. Denk hierbij bijvoorbeeld aan grootboektransacties, debiteuren- en crediteurenge-gevens, banktransacties, declaraties, personeels- en salarisgegevens, fiscale gegevens, maar ook meer ‘algemene gegevens’ zoals verslagen van bespre-kingen, correspondentie, e-mailverkeer en posts op sociale media.

Bijna elke vorm van dienstverlening die uw kantoor verleent, heeft verwerking van persoonsgegevens tot gevolg (zie beschrijving van ‘verwerken’ bij ‘Defini-ties in bijlage 1’) en bij elke vorm van verwerking kan inbreuk op de privacy optreden:

- administratieve dienstverlening (bijvoorbeeld het bijhouden van de bedrijfs- en personeelsadminis-tratie en salarisverwerking);

- advisering en het samenstellen en controleren van jaarrekeningen;

- ondersteuning bij pensioenen, overnames, fusies, bedrijfsopvolging, waardebepaling, financiering, estate planning, subsidies, etc.

De rechten van betrokkenenOp grond van de AVG krijgen betrokkenen meer en uitgebreidere privacyrechten. Zo heeft de betrok-kene straks recht op:

• Transparante informatie en duidelijke communica-tie over de persoonsgegevens die over hem/haar zijn verzameld en worden gebruik.;

• Inzage in zijn persoonsgegevens; welke, aan wie verstrekt, door wie verwerkt en onder welke voor-waarden.

• Rectificatie in het geval van onjuiste persoonsge-gevens.

• Beperking van de verwerking, bijvoorbeeld in het geval van onrechtmatigheid, onjuiste gegevens of wanneer gegevens niet meer nodig zijn voor de verwerkingsdoeleinden.

• Vergetelheid; dit betekent dat de verwerkingsver-antwoordelijke de persoonsgegevens (op ver-zoek) verwijdert.

• Overdraagbaarheid van gegevens; dat wil zeg-gen dat de verwerkingsverantwoordelijke deze op verzoek kan overdragen aan of delen met een andere partij. Sluit aan bij de invoering van de PDS2-regelgeving, waarbij bedrijven zonder bank-vergunning toegang krijgen tot betaalgegevens van rekeninghouders.

• Bezwaar tegen gebruik van persoonsgegevens, wanneer deze worden gebruikt voor alleen ge-automatiseerde verwerking (profilering) waaraan voor betrokkene(n) rechtsgevolgen zijn verbon-den. Denk aan personeelsselectie, het bepalen van iemands kredietwaardigheid of voor het gebruik van direct marketing.

• Kennisgeving aan een ontvanger als betrokkene vraagt om rectificatie, beperking of vergetelheid.

De AVG stelt de nodige eisen aan het verzamelen, opslaan en gebruiken van persoonsgegevens, bij-voorbeeld met betrekking tot:

• Het identificeren en beveiligen van de persoons-gegevens in uw systemen

• Het voldoen aan de nieuwe transparantievereisten

• Het waarnemen en melden van gegevensinbreuken

• Het trainen van privacymedewerkers en andere werknemers

Accountantskantoren en de AVG


Gegevensverwerking documenterenDoor uw gegevensverwerking te documenteren, kunt u aantonen dat u voldoet aan de AVG. U be-schrijft welke persoonsgegevens u verwerkt en voor welk doel, waar deze informatie vandaan komt, waar deze is opgeslagen en met wie u deze deelt.

Organisaties met meer dan 250 medewerkers zijn verplicht een register van verwerkingen bij te hou-den. Een register van verwerkingen is niet verplicht voor organisaties met minder dan 250 medewer-kers, tenzij het waarschijnlijk is dat: - de verwerking een risico inhoudt voor de rechten

van betrokkenen; - de verwerking niet incidenteel is; - de verwerking bijzondere persoonsgegevens

betreft (bijvoorbeeld grootschalige verwerking van salarissen waarbij ook bijzondere persoonsgege-vens worden gebruikt, zoals loonbeslag).

Het register geeft inzicht in de verwerkingen waar-voor een verwerkingsverantwoordelijke of verwer-ker verantwoordelijk is en biedt de mogelijkheid om de naleving van de AVG aan te tonen. Vooral om deze reden is het voor accountantskantoren ver-standig een register van verwerkingsactiviteiten bij te houden.

Dit document is bestemd als model voor een verwerkingsregister conform artikel 30 uit de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679). Bron: Autoriteit Persoonsgegevens

DOWNLOAD HIER HET MODEL


http://info.unit4.com/rs/900-SZD-631/images/NL-Acc-AVG-Model-Verwerkingsregister-Verwerker.xlsx

Gegevensverwerking alleen nog met toestemming van betrokkenenUw gegevensverwerking kan nu al gebaseerd zijn op de toestemming van de betrokkenen. De AVG stelt echter strengere eisen aan de toestemming voor de verwerking van persoonsgegevens dan tot nu toe het geval was. Evalueer en registreer daarom de manier waarop u toestemming vraagt. U moet kunnen aantonen dat de betrokkenen u toestem-ming hebben gegeven om hun persoonsgegevens te verwerken. En voor de betrokkenen moet het even gemakkelijk zijn om hun toestemming in te trekken als om deze te geven.

Binnen de AVG is het verzamelen en verwerken van persoonsgegevens slechts onder een van de volgende omstandigheden legitiem:

• als de betreffende persoon (de ‘betrokkene’), na voldoende te zijn geïnformeerd, ondubbelzinnig toestemming heeft gegeven; of

• als de gegevensverwerking nodig is voor bijvoor-beeld een contract, voor facturering of een aan-vraag voor een lening; of

• als verwerking vereist is op grond van een wette-lijke verplichting, of

• als verwerking noodzakelijk is om het vitale be-lang van de betrokkene te beschermen, bijvoor-beeld de verwerking van medische gegevens van een slachtoffer van een auto-ongeval; of

• als verwerking noodzakelijk is voor het vervullen van taken van algemeen belang of die door de overheid, de belastingdienst, de politie of andere overheidsorganen worden uitgevoerd; of

• Indien de gegevensverantwoordelijke of een der-de daartoe een legitiem belang heeft, mits dit be-lang de belangen van de betrokkene niet schaadt of inbreuk maakt op zijn grondrechten, met name het recht op privacy. Deze bepaling schrijft voor dat er een redelijk evenwicht moet bestaan tussen de zakelijke belangen van de gegevensverant-woordelijke en de privacy van de betrokkene.

De AVG verbiedt de verwerking van persoonsgege-vens waaruit de raciale of etnische afkomst, de po-litieke opvattingen, de godsdienstige of levensbe-schouwelijke overtuiging, het lidmaatschap van een vakbond en de verwerking van gegevens over de gezondheid of het seksleven, tenzij aan een van de uitzonderingscriteria is voldaan. Gezien het feit dat accountantskantoren ook veelvuldig persoonsgege-vens verwerken, is het raadzaam om u te verdiepen in de uitzonderingscriteria.

Privacy by design en Privacy by defaultOrganisaties moeten bij het ontwerpen van produc-ten en diensten ervoor zorgen dat persoonsgege-vens goed worden beschermd (Privacy by design) en maatregelen treffen om ervoor te zorgen dat alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat moet worden bereikt (Privacy by default). De verwerkings-verantwoordelijke moet de naleving van de AVG aan kunnen tonen. Ook voor het accountantskan-toor is deze bepaling heel belangrijk omdat klanten wettelijk verplicht zijn om schriftelijke garanties van het accountantskantoor te vragen.

Privacy Impact Assessment (PIA)Accountantskantoren die een bijzondere verwerking uitvoeren of een verwerking waarbij nieuwe tech-nologieën worden gebruikt, dienen hiervoor een Privacy Impact Assessment (PIA) uit te voeren. Denk hierbij aan vormen van data analyse in de controle of klanten ondersteunen bij het analyseren of op-timaliseren van hun processen. Een PIA verschaft inzicht in de risico’s met betrekking tot de bescher-ming van persoonsgegevens.

In de praktijk worden dergelijke bewerkingen vaak door specialisten uitgevoerd. Meestal in hun eigen omgeving, die ook buiten de EU kan liggen. In dat geval moet het kantoor zorgdragen dat sprake is van passende beveiliging en dat de privacyrechten van betrokkene worden gewaarborgd.


De wijze waarop uw accountantskantoor invulling geeft aan de aangescherpte wettelijke verplich-tingen is onder meer afhankelijk van de omvang, de organisatie en de aard van de dienstverlening. Bent u een zelfstandige zonder personeel (ZZP’er), een eenmanspraktijk (accountant plus een aantal medewerkers), of een meermanspraktijk (meer-dere accountants plus medewerkers). Als ZZP’er heeft u geen medewerkers waarmee moet worden overlegd, afspraken gemaakt of gedrag gemoni-tord. In de meeste gevallen zult u als ZZP’er of als eenmanspraktijk gebruikmaken van de diensten van derde partijen bij de invulling of ondersteuning van uw dienstverlening (bijvoorbeeld van service-providers voor de invulling van IT-ondersteuning). Grotere kantoren geven vaak zelf invulling aan hun processen en de toepassing van IT. In algemene zin kan worden gesteld dat hoe meer een kantoor zelf invulling geeft aan IT en beveiliging, hoe meer wordt gevraagd van de organisatie zelf.

Het gebruikmaken van diensten van (gespecialiseer-de) derde partijen kan de belasting voor het kantoor verlichten. Dit betekent echter wel dat afspraken

moeten worden vastgelegd in overeenkomsten en dat de naleving moet worden gemonitord. In organi-saties met medewerkers zullen aanpassingen in de informatiebeveiliging en het doorvoeren van maatre-gelen in het kader van de AVG om een meer pro-jectmatige aanpak vragen. Het is uiteindelijk aan de verantwoordelijke(n) binnen de organisatie, welke keuzes worden gemaakt.

Passende maatregelenUw kantoor moet volgens de AVG passende tech-nische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen onge-oorloofde of onrechtmatige verwerking en tegen on-opzettelijk verlies, vernietiging of beschadiging. We raden u aan om u voor te bereiden op de inwerking-treding van de AVG en dit niet te lang uit te stellen.

Bewustwording

Rechten van betrokkenen

Overzicht van verwerkingen

Data Protection Impact Assessment

Privacy by Design – Privacy by Default

Functionaris voor de Gegevensbescherming (FG)

Meldplicht datalekken

Verwerkersovereenkomsten

Leidende Toezichthouder

Toestemming

Bovenstaande stappen zijn de stappen zoals opgenomen op de website van de Autoriteit Persoonsgegevens. Deze kunt u hier nalezen.

Bereid uw kantoor voor op de nieuwe regelgeving


https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/voorbereiding-op-de-avg

Bewustwording, inzicht, overzicht

AVG-compliancy begint met het besef van eigen

verantwoordelijkheid van uw organisatie. Uw medewerkers dienen op de hoogte te zijn van de nieuwe privacyregels

en kunnen inschatten wat de impact van de AVG is op uw huidige processen

en diensten en welke aanpassingen nodig zijn om

aan de AVG te voldoen.

Invulling geven aan de AVG-bepalingen

Als tweede stap gaat u invulling geven aan de AVG-bepalingen:

passende technische en organisatorische maatregelen

voor een adequate beveiliging en procedures om te kunnen voldoen aan

de voorschriften, bijvoorbeeld de meldingsplicht van een

datalek.

Verkrijgen van inzicht in risico’s

Om passende beveiligingsmaatregelen te kunnen nemen, is het van belang inzicht te hebben in de grootste risico’s die

het kantoor loopt. Een inventarisatie van deze

risico’s kan men doen door middel van een uitgebreide risicoanalyse of een snellere

QuickScan.

Het invullen van de beveiligingsmaatregelen

In te voeren beveiligingsmaatregelen hebben betrekking op de organisatie, de gegevens,

het dienstenpakket/klantenportefeuille; de applicaties/applicatie-

architectuur; de technische infrastructuur; derde partijen (sub)verwerkers; de toegang en de uitwisseling van data en het gebruik van mobiele

apparatuur.

Evaluatie, monitoring en bijstelling

In deze afsluitende stap worden procedures ingevoerd om het

functioneren van de ingevoerde maatregelen te kunnen evalueren, te

monitoren en desgewenst bij te kunnen stellen.

AVG checklist voor uw Accountantskantoor

CHECK 1 CHECK 2 CHECK 3 CHECK 4 CHECK 5


CHECK 1

Bewustwording, inzicht, overzicht, verantwoordelijkheid

AVG-compliancy begint met het besef van eigen verantwoordelijkheid van uw organisatie. Zorg dat de relevante medewerkers op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen.

Beveiligings- en privacy-beleid Formuleer als leiding van de organisatie een beveili-gings- en privacybeleid waarin u aangeeft aan welke eisen de organisatie moet voldoen en op welke wijze de organisatie daar invulling aan geeft. Geef ook aan wat van de medewerkers wordt verwacht.

Belangrijke uitgangspunten bij het formuleren van een beveiligings- en privacybeleid zijn:- Behoud de regie; dit betekent dat uw organisatie

het initiatief neemt om afspraken te maken met partijen over hoe men omgaat met gegevens.

- Zorg voor enige flexibiliteit; werk met gestandaardi-seerde klantoplossingen met behoud van keuzevrij-heden binnen aangegeven grenzen.

- Hanteer het ‘Need to know’-principe; wees selectief bij het verlenen van bevoegdheden en toegang tot gegevens en processen.

- Bewaar alleen gegevens die wettelijk nodig zijn. - Focus op gedrag; stimuleer en beloon actief, be-

wust, verantwoordelijk en alert gedrag.

OrganisatieDe activiteiten ten aanzien van de informatiebeveili-ging en privacybescherming vragen doorgaans om een projectmatige aanpak, waarbij meerdere par-tijen betrokken zijn: IT en HR-specialisten, Juridische zaken, compliance officers, derden waarmee u zaken doet en natuurlijk uw klanten. Belangrijke voorwaarde is dat het projectteam over de benodigde middelen (financieel en personeel) beschikt om de noodzake-lijke activiteiten uit te kunnen voeren.

Hoe is de AVG van toepassing op uw kantoor

• Breng de verwerkingen van persoonsgegevens in kaart

De eerste en belangrijkste vraag die u in het kader van de AVG moet beantwoorden is of er in uw organisatie sprake is van verwerking van persoons-gegevens. Is dit het geval dan moet u voor deze verwerking(en) rekening houden met de bepalin-gen van de AVG. Om deze vraag te kunnen beant-woorden, is inzicht nodig in de verwerkingen en de daarbij behorende persoonsgegevens, die onder uw verantwoordelijkheid, al dan niet in opdracht van andere partijen (klanten) plaatsvinden. Ook dient u na te gaan of er een rechtmatige grondslag is voor de verwerking.

• Bepaal of u verwerkingsverantwoordelijke of verwerker bent

Een vraag die u ook moet beantwoorden, is of u verwerkingsverantwoordelijke of verwerker bent. De rol en context van de werkzaamheden bepalen welke maatregelen moeten worden genomen voor bepaalde verwerking(en) van persoonsgegevens. De AVG kent een aantal bepalingen die betrekking hebben op het zijn van verwerkingsverantwoor-delijke of verwerker. Zo is een accountant volgens de AVG verwerkingsverantwoordelijke als hij het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en is hij een (sub-)verwerker als hij ten behoeve van een verwerkings-verantwoordelijke of verwerker persoonsgegevens verwerkt. Ook bepaalt de AVG dat wanneer sprake is van uitbesteding van verwerking van persoons-gegevens, dit moet worden geregeld in een over-eenkomst. Hierin staan onder meer het onderwerp, de duur, aard en het doel van de verwerking en de rechten en verplichtingen.


Onderstaand overzicht bevat de taken en verplichtingen van verwerkingsverantwoordelijken (Vv) en verwer-kers (V), voortvloeiend uit de AVG.

TAKEN EN VERPLICHTINGEN VAN VERWERKINGSVERANTWOORDELIJKEN EN VERWERKERS Vv V

Bepaalt het doel en de middelen voor de verwerking van persoonsgegevens.

Verwerkt persoonsgegevens in opdracht/ten behoeve van een verwerkingsverantwoordelijke.

Zorgt voor passende technische en organisatorische maatregelen opdat de verwerking aan de eisen van de wet voldoet en moet dit kunnen aantonen.

Voert in voorkomende gevallen een PIA uit.

Verwerkt gegevens van betrokkene op basis van een rechtmatige grondslag.

Vult de rechten van betrokkene(n) in.

Is verantwoordelijk/aansprakelijk voor de gegevensverwerking die door of namens hem wordt uitgevoerd.

Maakt uitsluitend gebruik van de diensten van (sub)verwerkers, die afdoende garanties kunnen geven met betrekking tot een passende beveiliging.

Voert in opdracht van een verwerkingsverantwoordelijke alleen verwerkingen uit die zijn gebaseerd op een overeenkomst.

Houdt een register van verwerkingsactiviteiten bij.

Beschikt over een FG.

Meldt een datalek bij de AP.

Meldt een datalek bij de verwerkingsverantwoordelijke.

Informeert in voorkomende gevallen de betrokkene(n) over een datalek.

Houdt een register van inbreuken/datalekken bij.

Moet alle schade vergoeden die een betrokkene kan lijden ten gevolge van een verwerking die inbreuk heeft gemaakt op zijn rechten.

Bron: Nederlande Beroepsorganisatie voor Accountants

U heeft dus inzicht nodig in welke partijen betrok-ken zijn bij de dienstverlening aan uw klant. Geza-menlijk bent u verantwoordelijk voor het bescher-men van de privacy en aansprakelijk voor mogelijke schade. Alle partijen in de keten moeten elkaar bevestigen dat zij voldoen aan de wet.

• Aanstellen van Functionaris voor Gegevensbescherming (FG)

Alleen voor overheidsorganisaties of organisaties die bijzondere persoonsgegevens verwerken, geldt de verplichting een Functionaris voor Gegevens-bescherming aan te stellen. Ook al is een FG niet verplicht, dan kan het soms toch zinvol zijn er een aan te stellen. Niet alleen om aan te tonen dat het kantoor beschikt over de nodige expertise op het terrein van de privacywet en -bescherming, maar ook in het geval er een klacht tegen uw kantoor wordt ingediend bij de AP en u moet aantonen dat u beschikt over de benodigde deskundigheid en voldoet aan de eisen van de AVG. Daarnaast kan een FG u adviseren hoe u het beste om kunt gaan met verwerkingen, een PIA of een inbreuk of datalek.


CHECK 2

Invulling geven aan de AVG-bepalingen

• Een toereikende beveiliging (passende technische en organisatorische maatregelen) en de effectieve werking daarvan kunnen aantonen. Zie verder checks 3 en 4.

• Schriftelijke afspraken met klanten en (sub-)verwerkers over de beveiliging en verwerking van persoons-gegevens en kunnen aantonen dat deze worden nagekomen.

• Procedures om als verwerkingsverantwoordelijke invulling te kunnen geven aan de rechten van betrokkene(n) en om in voorkomende gevallen een datalek te kunnen melden aan de toezichthouder of betrokkene(n).

• Procedures om als verwerker invulling te kunnen geven aan de meldingsplicht van een datalek aan de verwerkingsverantwoordelijke.

• Processen en beveiliging waarbij rekening is gehouden met de principes van: Privacy by Design en by Default.

• Procedures om als verwerkingsverantwoordelijke of verwerker een Privacy Impact Assessment (PIA) uit te kunnen voeren bij nieuwe verwerkingen, bijvoorbeeld bij het gebruik van data-analyse.

• Het inrichten en bijhouden van een register van verwerkingsactiviteiten (verplicht voor organisaties met meer dan 250 medewerkers).

• Een gedragscode waarin is vastgelegd hoe om te gaan met gegevens binnen de eigen organisatie en in relatie met de klanten.

• Het op vrijwillige basis inrichten en bijhouden van een register van verwerkingsactiviteiten.


CHECK 3

Verkrijg inzicht in de risico’s

Aanleidingen die het verlies of misbruik van gege-vens tot gevolg hebben, komen vaker voor dan u denkt. Bijvoorbeeld het verlies van een gegevens-drager (tablet, USB-stick, laptop of zelfs een telefoon), het verzenden van gegevens naar het verkeerde (e-mail)adres of het ingaan op phishing mails waarbij onbedoeld persoonlijke gegevens worden achterge-laten met alle gevolgen van dien.

Risicoanalyse en Quick Scan Om passende beveiligingsmaatregelen te kunnen nemen, is het van belang inzicht te hebben in de grootste risico’s die het kantoor loopt. Dit kan door het uitvoeren van een risicoanalyse. Omdat een risicoanalyse veel tijd in beslag kan nemen, kan het kantoor ook een Quick Scan uitvoeren. Dit om een eerste indruk te krijgen welke gebieden als eerste aandacht vergen en waar maatregelen direct effectief kunnen zijn.

AANDACHTGEBIEDEN SCORES (RANGE) VAN MATE VAN RISICO UW SCORE

Dienstenpakket Beperkt Uitgebreid

Verwerking van persoonsgegevens Weinig Veel

Applicaties (aantal) Klein Groot

Omvang organisatie Klein Groot

Omvang klantenportefeuille Klein Groot

Applicaties (maatwerk versus standaard) Standaard Maatwerk

Applicatie-architectuur (o.a. aantal) Eenvoudig Complex

Technische infrastructuur (gestandaardiseerd) Wel Niet

Uitbesteed versus inhouse Uitbesteed Inhouse

Mobiele apparatuur Nee Ja

Contractspartijen IT Weinig Veel

Contractspartijen overige Weinig Veel

Toegang tot data / processen Beperkt Ruim

Meerdere communicatiekanalen met klanten Nee Ja

Gebruik van een portaal Ja Nee

Gemengd gebruik van applicaties Nee Ja

Baseline benadering Naast een Quick Scan kan de organisatie ook kiezen voor de baseline benadering, als basis. Het basis-beveiligingsniveau is vaak gebaseerd op de maat-regelen zoals aangegeven in de Code voor Informa-tiebeveiliging, of een subset daarvan. Op een later moment wordt via het proces van risicoanalyse nage-gaan of het basisbeveiligingsniveau toereikend is of

dat voor bepaalde processen/systemen aanvullende maatregelen noodzakelijk zijn. In het NEMACC-rapport hebben de onderzoekers gekozen voor deze aanpak. In het daarin aangegeven Stappenplan is een set van maatregelen aangegeven die een accountantskantoor op korte termijn kan invoeren (indien nog nodig). Zie verder check 4.

Ter illustratie een afbeelding van een Quick Scan. Via een score van 1 (laag) t/m 5 (hoog) wordt per aandachtsgebied het risico ingeschat op kwetsbaarheid voor inbreuken. De scan geeft een overzicht van de verschillende aandachtsgebieden.


CHECK 4

Het invullen van de beveiligingsmaatregelen

In deze stap voert de organisatie de maatregelen in die tot doel hebben de gegevens en processen te beschermen tegen inbreuken, verlies, etc. De maatre-gelen hebben betrekking op de volgende gebieden:

• de organisatie

• de gegevens

• het dienstenpakket/klantenportefeuille

• de applicaties/applicatie-architectuur

• de technische infrastructuur

• derde partijen (sub)verwerkers

• de toegang tot en de uitwisseling van data

• het gebruik van mobiele apparatuur

Het gebruikmaken van derde partijen Bij het inrichten van informatiebeveiliging heeft de organisatie, naast het zelf treffen van de nodige maatregelen, ook nog een andere optie. Veel, vooral de wat kleinere accountantskantoren, zullen door hun beperkte omvang (schaal) en gebrek aan deskundig-heid niet of moeilijk in staat zijn om de gewenste be-veiligingsmaatregelen zelf te realiseren. Het gebruik-maken van de diensten van derde partijen kan in dat geval een oplossing bieden. Voorbeelden zijn: het gebruik van toepassingen in de cloud waardoor data op een veilige plaats wordt bewaard en het gebruik van beveiligde communicatie en mobiele apparaten. Voorwaarde is wel dat men zaken doet met betrouw-bare partijen (zoals de privacywetgeving vereist). Ook moet het kantoor in staat zijn om de inhoud en de kwaliteit van de geleverde diensten en naleving van de afspraken vast te kunnen stellen. Een andere optie is dat bepaalde vormen van dienstverlening die een te groot beveiligingsrisico vormen en dus scha-delijk kunnen zijn voor het kantoor of de reputatie worden beëindigd.

Het melden van datalekkenU dient alle gegevensinbreuken te documenteren. In geval van een gegevensinbreuk moet u deze binnen een tijdsbestek van 72 uur, goed gedocumenteerd melden aan de verantwoordelijke autoriteit die op basis van de documentatie moet kunnen vaststellen of u hebt voldaan aan de rapportageplicht. Op de website van de Autoriteit Persoonsgegevens is een meldingsformulier beschikbaar. Via dit webformulier kan een melding worden aangevuld of ingetrokken. De melding moet informatie bevatten over de aard en omvang van de inbreuk, de mogelijke gevolgen en de maatregelen die zijn genomen. Als de verwerker een inbreuk constateert, dan stelt hij de verwerkings-verantwoordelijke zo snel mogelijk op de hoogte. Zowel de verwerkingsverantwoordelijke als de verwerker zijn verplicht alle inbreuken op persoons-gegevens, te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen maatregelen. Dus ook de inbreuken die niet zijn gemeld.


Stappenplan meldingsprocedure datalek

1. Bepalen of de AVG en daarmee de meldplicht datalekken van toepassing is.

De AVG is van toepassing als er

sprake is van geheel of gedeelte-lijke geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen. De AVG is niet van toepassing op de ver-werking van persoonsgegevens door een natuurlijk persoon bij de uitoefening van een zuiver per-soonlijke of huishoudelijke activiteit.

2. Bepalen of er sprake is van een datalek of beveiligingsincident.

Er is alleen sprake van een datalek als zich daadwerkelijk een bevei-ligingsincident heeft voorgedaan waarbij persoonsgegevens ver-loren zijn gegaan, of als onrecht-matige verwerking van de per-soonsgegevens niet kan worden uitgesloten. Registratie van inbreu-ken op de privacy is verplicht.

3. Datalek bij de Autoriteit Persoons gegevens te melden of niet?

De organisatie die persoonsge-

gevens verwerkt, moet (systema-tische) inbreuken op de privacy signaleren. Dit betekent dus dat u maatregelen moet treffen om gege-vensverwerking te kunnen monito-ren en inbreuken tijdig te kunnen signaleren. Als een inbreuk heeft plaatsgevonden en er sprake is van (een aanzienlijke kans op) nadelige gevolgen voor betrokkene, dan is een melding aan de Autoriteit Persoonsgegevens noodzakelijk. In het algemeen is een melding al-leen noodzakelijk als er persoons-gegevens van gevoelige aard zijn gelekt. Een melding is niet nodig als het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

4. Betrokkene(n) over het datalek informeren.

Wanneer de inbreuk waarschijn-lijk risicovol is voor de rechten en vrijheden van natuurlijke personen, dan informeert de verwerkingsver-antwoordelijke de betrokkene(n) direct over de inbreuk. Dit ter voorkoming van ernstige schade bij betrokkene(n) als gevolg van het verlies, onrechtmatig gebruik of misbruik van hun persoonsge-gevens. Wanneer de verwerker constateert dat een door hem aan de verwerkingsverantwoordelijke gemeld datalek niet wordt gemeld bij de Autoriteit Persoonsgegevens of aan betrokkene(n), dan moet hij de verwerkingsverantwoordelijke hierover aanspreken. Onderneemt deze geen actie en meent de ver-werker dat melding toch gewenst is, dan moet hij zelf actie onderne-men. Dit om zijn mogelijke aanspra-kelijkheid te beperken.


CHECK 5

Evaluatie, monitoring en bijstelling

In deze afsluitende check worden procedures in-gevoerd om het functioneren van de ingevoerde maatregelen te kunnen evalueren, te monitoren en desgewenst bij te kunnen stellen. Ook worden procedures opgezet om het gedrag te monitoren, om het niet-naleven van afspraken tijdig te kunnen sig-naleren (detectie) en om een juiste afhandeling van incidenten en verstoringen te garanderen.

Geraadpleegde bronnen:

• Autoriteit Persoonsgegevens

• Kamer van Koophandel

• De accountant en de Wet bescherming persoonsgegevens

• Nederlandse Beroepsorganisatie voor Accountants


https://autoriteitpersoonsgegevens.nl/

https://www.kvk.nl

https://www.vandoorne.com/globalassets/publicaties/2016/q1/de-accountant-en-de-wet-bescherming-persoonsgegevens_leidraad-voor-de-accountant_januari-2016.pdf

https://www.vandoorne.com/globalassets/publicaties/2016/q1/de-accountant-en-de-wet-bescherming-persoonsgegevens_leidraad-voor-de-accountant_januari-2016.pdf

https://www.nba.nl

https://www.nba.nl

In de AVG staat (de bescherming van) privacy centraal. Voor een goed begrip van de AVG is enige kennis van de ‘AVG-terminologie’ noodzakelijk. In bijlage 1 vindt u daarom de definities van enkele kernbegrippen.

Definities:

Persoonsgegevens: alle informatie over een geïden-tificeerde of identificeerbare natuurlijke persoon (‘betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan wor-den geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienum-mer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Bijzondere persoonsgegevens: een deel van de persoonsgegevens wordt gezien als gevoelige gegevens, ook wel bijzondere persoonsgegevens genoemd. Gebruik en verwerking hiervan mag alleen onder strikte voorwaarden. Voorbeelden van bijzon-dere gegevens zijn: ras of etnische afkomst; politieke opvattingen; religieuze of levensbeschouwelijke overtuiging; lidmaatschap van een vakbond; gezond-heid; seksueel gedrag en seksuele gerichtheid.

Anonieme gegevens: gegevens zijn geen persoons-gegevens als deze zijn geanonimiseerd. Anoniem betekent dat maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele na-tuurlijke personen redelijkerwijs is uitgesloten.

Betrokkene: de natuurlijke persoon waarop de per-soonsgegevens betrekking hebben.

Verwerkersverantwoordelijke: de natuurlijke per-soon of rechtspersoon, overheidsinstantie, instelling of andere organisatie die - alleen of met anderen - de doeleinden en middelen van de verwerking van per-soonsgegevens vaststelt. Soms worden de doelein-den en middelen voor de verwerking van persoons-gegevens echter bepaald door het recht van de Europese Unie of de specifieke lidstaat. In dat geval kan de gegevensverantwoordelijke (of kunnen de specifieke criteria voor het aanwijzen van een gege-vensverantwoordelijke) ook worden geregeld in het recht van de Europese Unie of de specifieke lidstaat.

Verwerker: de natuurlijke persoon of rechtspersoon, overheidsinstantie, instelling of andere organisatie die persoonsgegevens verwerkt namens de verwer-kingsverantwoordelijke.

Bijlage 1 - Definities uit de AVGToestemming van de betrokkene: elke vrije, speci-fieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een ver-klaring of een ondubbelzinnige actieve handeling de verwerking van zijn persoonsgegevens aanvaardt.

Gegevensinbreuk: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoor-loofde verstrekking van of de ongeoorloofde toe-gang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Verwerking: een bewerking (of een geheel van be-werkingen) met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzen-ding, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.


Over Unit4Unit4 is een toonaangevende leverancier van bedrijfssoftware voor dienstverlenende organisaties. Met ruim 4.000 medewerkers wereldwijd genereert Unit4 een jaarlijkse omzet van meer dan 500 miljoen euro. Unit4 levert ERP, branchegerichte en best-in-class applicaties. Duizenden organisaties uit sectoren als zakelijke en publieke dienstverlening, onderwijs, non-profit, vastgoed, groothandel en financiële dienstverlening werken met business software van Unit4.

unit4.nlUnit4 Business Software B.V.Papendorpseweg 100, 3528 BJ UtrechtPostbus 5005, 3502 JA UtrechtT +31 88 247 17 77 E [email protected]

Copyright © Unit4 Disclaimer: Alle informatie in dit document is met grote zorgvuldigheid

samengesteld. Voor mogelijke onjuistheid en/of onvolledigheid van de hierin verstrekte

informatie kan Unit4 geen aansprakelijkheid aanvaarden, evenmin kunnen aan de inhoud van dit

document rechten worden ontleend.

In business for people.

Documents

5 checks voor accountantskantoren ter voorbereiding op de ...€¦ · dienstverlening aan uw klanten ook na 25 mei 2018 nog steeds prima in orde. Daarnaast is de invoering van de