5 checks voor accountantskantoren ter voorbereiding op de Algemene Verordening Gegevensbescherming (AVG)

Transcriptie

1 Checklist 5 checks voor accountantskantoren ter voorbereiding op de Algemene Verordening Gegevensbescherming (AVG) In business for people.

2 Inleiding INHOUDSOPGAVE Inleiding 2 Wat is de AVG en wat zijn de implicaties voor uw kantoor 3 Accountantskantoren en de AVG 5 Bereid uw kantoor voor op de nieuwe regelgeving 8 AVG-checklist voor uw kantoor 9 Geraadpleegde bronnen 16 Bijlage 1 - Definities uit de AVG 17 Uw accountantskantoor verleent verschillende soorten diensten aan uw klanten waarvoor een grote hoeveelheid en diversiteit aan bedrijfsen persoonsgegevens wordt gebruikt in een complex IT-landschap. Dat maakt u kwetsbaar voor verlies of misbruik van data en voor het niet-compliant zijn met de privacywetgeving. Maar laat u niet leiden door angst voor controles en boetes. Met de checklist uit deze whitepaper, een flinke dosis gezond verstand en het nemen van uw eigen verantwoordelijkheid, is de dienstverlening aan uw klanten ook na 25 mei 2018 nog steeds prima in orde. Daarnaast is de invoering van de AVG ook een goede gelegenheid om uw dienstverlening ook naar dit kennisgebied uit te breiden. 2 Unit4 Accountantskantoren en de AVG

3 Wat is de AVG en wat zijn de implicaties voor uw kantoor Op 25 mei 2018 treedt een nieuwe Europese privacywet in werking: de Algemene Verordening Gegevensbescherming (AVG). Deze verordening is internationaal ook wel bekend onder de naam General Data Protection Regulation (GDPR). Deze regelgeving zal in alle lokale privacywetten binnen de hele EU en Europese Economische Ruimte (EER) worden geïmplementeerd. De verordening geldt voor alle organisaties die producten of diensten verkopen aan burgers in Europa en hun persoonsgegevens verwerken, inclusief bedrijven op andere continenten. De verordening biedt burgers in de EU en EER meer controle over hun persoonsgegevens en moet waarborgen dat hun informatie in heel Europa goed wordt beschermd. De nieuwe AVG vervangt de gegevensbeschermingsrichtlijn 95/46/EG. De AVG is rechtstreeks van toepassing in elke lidstaat en zal leiden tot een betere harmonisatie van gegevensbescherming tussen de EU-landen. Van organisaties wordt verwacht dat zij kunnen aantonen dat de beveiliging van persoonsgegevens effectief is. De AVG bepaalt verder dat verwerking van persoonsgegevens alleen mag worden uitbesteed aan een verwerker die afdoende garanties biedt voor de beveiliging ervan. Dit betekent bijvoorbeeld dat bedrijven alleen zaken mogen doen met accountants die zo n garantie kunnen afgeven. En op hun beurt mogen accountants alleen verwerkingen uitbesteden aan partijen die ook een dergelijke garantie kunnen afgeven. De uitbesteding van de verwerking van persoonsgegevens moet zijn geregeld in een zogenaamde Verwerkersovereenkomst waarbij de verwerkers de plicht hebben om het nakomen van de vastgelegde verplichtingen te kunnen aantonen. Hoewel veel bedrijven inmiddels al eigen privacyprocessen en -procedures hebben vastgesteld in overeenstemming met de richtlijn, bevat de AVG een aantal nieuwe waarborgen voor EU-Burgers waarvan gegevens worden verzameld. Zodra de AVG van kracht is, dreigen er forse boetes en straffen voor gegevensverantwoordelijken en verwerkers die zich niet aan de regels houden. De AVG houdt hierbij geen rekening met de omvang van organisaties. Het (niet) melden van bijvoorbeeld een datalek kan grote gevolgen hebben, ook voor de reputatie of de waarde van een onderneming. Definities uit de AVG In de AVG staat (de bescherming van) privacy centraal. Voor een goed begrip van de AVG is enige kennis van de AVG-terminologie noodzakelijk. In bijlage 1 vindt u daarom de definities van enkele kernbegrippen. 3 Unit4 Accountantskantoren en de AVG

4 Nieuwe kansen: uitbreiding van dienstverlening De invoering van de AVG betekent niet alleen een gedwongen check van de eigen organisatie en processen, het biedt daarnaast een mooie gelegenheid voor het introduceren van een nieuwe dienstverlening. Uw accountantskantoor kan een rol spelen bij het adviseren of ondersteunen van uw eigen klanten bij het inrichten en op niveau brengen van hun informatiebeveiliging en het tijdig compliant zijn met de (vernieuwde) privacywetgeving. U dient hiervoor natuurlijk wel te beschikken over de benodigde technische en juridische kennis. Indien dit niet het geval is en dit ook niet op korte termijn kan worden gerealiseerd, is het wellicht een mogelijkheid om met een AVG-specialist een gezamenlijke dienstverlening voor uw klanten te ontwikkelen. De advisering of ondersteuning van klanten heeft dezelfde uitgangspunten als wanneer u uw eigen organisatie voorbereid op AVG-compliancy. Het belangrijkste uitgangspunt is dat de bedrijfsvoering van de desbetreffende organisatie en de daarbij behorende (bedrijfs-)risico s als uitgangspunt worden genomen. De aard en omvang van de verwerkingen en de daarbij gebruikte (bijzondere) persoonsgegevens in combinatie met de aard en omvang van de organisatie, dienstverlening, processen, etc. zijn bepalend voor de maatregelen die een organisatie moet treffen. Om hier inzicht in te krijgen, wordt gestart met een inventarisatie van de verwerkingen en de daarbij te gebruiken persoonsgegevens en een vorm van risicoanalyse. De inventarisatie maakt duidelijk welke maatregelen nodig zijn, naast de maatregelen en procedures die de AVG verplicht stelt. Denk aan passende beveiliging, aan de rechtmatige grondslag, relatie met betrokkene en een protocol voor het melden van datalekken. De AVG-problematiek bij een organisatie in de zorg, bijvoorbeeld een huisartsenpraktijk, is volstrekt anders dan bij een handels- of transportonderneming, of een organisatie die internationaal en mogelijk zelfs buiten de EU opereert. De invulling van informatiebeveiliging en privacybescherming zal daarop moeten aansluiten. Het bij klanten vragen om aandacht voor de problematiek van informatiebeveiliging en privacybescherming is natuurlijk altijd een eerst goede stap als start voor advisering. Vragen die daarbij kunnen worden gesteld zijn: Zijn uw medewerkers op de hoogte van de nieuwe privacyregels? Verwerkt uw organisatie persoonsgegevens en zo ja, welke gegevens, in welke verwerkingen, waar opgeslagen en voor wie zijn deze toegankelijk? Beschikt uw organisatie over een Functionaris Gegevensbescherming (indien verplicht)? Beschikt uw organisatie over passende beveiliging om de privacy-rechten van de betrokkene(n) van wie u persoonsgegevens verwerkt te kunnen beschermen? Beschikt uw organisatie over maatregelen en procedures om invulling te kunnen geven aan de rechten van betrokkene(n)? Beschikt uw organisatie met betrekking tot de verwerking van persoonsgegevens als verwerkingsverantwoordelijke/(sub)verwerker over de vereiste overeenkomsten? Beschikt uw organisatie over een protocol/procedures om een datalek te kunnen melden en (indien nodig) betrokkene(n) te informeren? Beschikt uw organisatie over maatregelen en procedures om inbreuken/datalekken met betrekking tot persoonsgegevens te kunnen documenteren? Zijn uw medewerkers zich bewust van de huidige dreigingen op het terrein van informatiebeveiliging (cybercrime) en de belangrijkste oorzaken van datalekken? Weten uw medewerkers wat u in het kader van informatiebeveiliging en privacybescherming van hen verwacht, qua houding en gedrag? 4 Unit4 Accountantskantoren en de AVG

5 Accountantskantoren en de AVG Een accountantskantoor maakt bij de uitvoering van zijn werkzaamheden veelvuldig gebruik van de gegevens van zijn klanten. Denk hierbij bijvoorbeeld aan grootboektransacties, debiteuren- en crediteurengegevens, banktransacties, declaraties, personeels- en salarisgegevens, fiscale gegevens, maar ook meer algemene gegevens zoals verslagen van besprekingen, correspondentie, verkeer en posts op sociale media. Bijna elke vorm van dienstverlening die uw kantoor verleent, heeft verwerking van persoonsgegevens tot gevolg (zie beschrijving van verwerken bij Definities in bijlage 1 ) en bij elke vorm van verwerking kan inbreuk op de privacy optreden: - administratieve dienstverlening (bijvoorbeeld het bijhouden van de bedrijfs- en personeelsadministratie en salarisverwerking); - advisering en het samenstellen en controleren van jaarrekeningen; - ondersteuning bij pensioenen, overnames, fusies, bedrijfsopvolging, waardebepaling, financiering, estate planning, subsidies, etc. De rechten van betrokkenen Op grond van de AVG krijgen betrokkenen meer en uitgebreidere privacyrechten. Zo heeft de betrokkene straks recht op: Transparante informatie en duidelijke communicatie over de persoonsgegevens die over hem/haar zijn verzameld en worden gebruik.; Inzage in zijn persoonsgegevens; welke, aan wie verstrekt, door wie verwerkt en onder welke voorwaarden. Rectificatie in het geval van onjuiste persoonsgegevens. Beperking van de verwerking, bijvoorbeeld in het geval van onrechtmatigheid, onjuiste gegevens of wanneer gegevens niet meer nodig zijn voor de verwerkingsdoeleinden. Vergetelheid; dit betekent dat de verwerkingsverantwoordelijke de persoonsgegevens (op verzoek) verwijdert. Overdraagbaarheid van gegevens; dat wil zeggen dat de verwerkingsverantwoordelijke deze op verzoek kan overdragen aan of delen met een andere partij. Sluit aan bij de invoering van de PDS2-regelgeving, waarbij bedrijven zonder bankvergunning toegang krijgen tot betaalgegevens van rekeninghouders. Bezwaar tegen gebruik van persoonsgegevens, wanneer deze worden gebruikt voor alleen geautomatiseerde verwerking (profilering) waaraan voor betrokkene(n) rechtsgevolgen zijn verbonden. Denk aan personeelsselectie, het bepalen van iemands kredietwaardigheid of voor het gebruik van direct marketing. Kennisgeving aan een ontvanger als betrokkene vraagt om rectificatie, beperking of vergetelheid. De AVG stelt de nodige eisen aan het verzamelen, opslaan en gebruiken van persoonsgegevens, bijvoorbeeld met betrekking tot: Het identificeren en beveiligen van de persoonsgegevens in uw systemen Het voldoen aan de nieuwe transparantievereisten Het waarnemen en melden van gegevensinbreuken Het trainen van privacymedewerkers en andere werknemers 5 Unit4 Accountantskantoren en de AVG

6 Gegevensverwerking documenteren Door uw gegevensverwerking te documenteren, kunt u aantonen dat u voldoet aan de AVG. U beschrijft welke persoonsgegevens u verwerkt en voor welk doel, waar deze informatie vandaan komt, waar deze is opgeslagen en met wie u deze deelt. Organisaties met meer dan 250 medewerkers zijn verplicht een register van verwerkingen bij te houden. Een register van verwerkingen is niet verplicht voor organisaties met minder dan 250 medewerkers, tenzij het waarschijnlijk is dat: - de verwerking een risico inhoudt voor de rechten van betrokkenen; - de verwerking niet incidenteel is; - de verwerking bijzondere persoonsgegevens betreft (bijvoorbeeld grootschalige verwerking van salarissen waarbij ook bijzondere persoonsgegevens worden gebruikt, zoals loonbeslag). Het register geeft inzicht in de verwerkingen waarvoor een verwerkingsverantwoordelijke of verwerker verantwoordelijk is en biedt de mogelijkheid om de naleving van de AVG aan te tonen. Vooral om deze reden is het voor accountantskantoren verstandig een register van verwerkingsactiviteiten bij te houden. Dit document is bestemd als model voor een verwerkingsregister conform artikel 30 uit de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679). Bron: Autoriteit Persoonsgegevens DOWNLOAD HIER HET MODEL 6 Unit4 Accountantskantoren en de AVG

7 Gegevensverwerking alleen nog met toestemming van betrokkenen Uw gegevensverwerking kan nu al gebaseerd zijn op de toestemming van de betrokkenen. De AVG stelt echter strengere eisen aan de toestemming voor de verwerking van persoonsgegevens dan tot nu toe het geval was. Evalueer en registreer daarom de manier waarop u toestemming vraagt. U moet kunnen aantonen dat de betrokkenen u toestemming hebben gegeven om hun persoonsgegevens te verwerken. En voor de betrokkenen moet het even gemakkelijk zijn om hun toestemming in te trekken als om deze te geven. Binnen de AVG is het verzamelen en verwerken van persoonsgegevens slechts onder een van de volgende omstandigheden legitiem: als de betreffende persoon (de betrokkene ), na voldoende te zijn geïnformeerd, ondubbelzinnig toestemming heeft gegeven; of als de gegevensverwerking nodig is voor bijvoorbeeld een contract, voor facturering of een aanvraag voor een lening; of als verwerking vereist is op grond van een wettelijke verplichting, of als verwerking noodzakelijk is om het vitale belang van de betrokkene te beschermen, bijvoorbeeld de verwerking van medische gegevens van een slachtoffer van een auto-ongeval; of als verwerking noodzakelijk is voor het vervullen van taken van algemeen belang of die door de overheid, de belastingdienst, de politie of andere overheidsorganen worden uitgevoerd; of Indien de gegevensverantwoordelijke of een derde daartoe een legitiem belang heeft, mits dit belang de belangen van de betrokkene niet schaadt of inbreuk maakt op zijn grondrechten, met name het recht op privacy. Deze bepaling schrijft voor dat er een redelijk evenwicht moet bestaan tussen de zakelijke belangen van de gegevensverantwoordelijke en de privacy van de betrokkene. De AVG verbiedt de verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, het lidmaatschap van een vakbond en de verwerking van gegevens over de gezondheid of het seksleven, tenzij aan een van de uitzonderingscriteria is voldaan. Gezien het feit dat accountantskantoren ook veelvuldig persoonsgegevens verwerken, is het raadzaam om u te verdiepen in de uitzonderingscriteria. Privacy by design en Privacy by default Organisaties moeten bij het ontwerpen van producten en diensten ervoor zorgen dat persoonsgegevens goed worden beschermd (Privacy by design) en maatregelen treffen om ervoor te zorgen dat alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat moet worden bereikt (Privacy by default). De verwerkingsverantwoordelijke moet de naleving van de AVG aan kunnen tonen. Ook voor het accountantskantoor is deze bepaling heel belangrijk omdat klanten wettelijk verplicht zijn om schriftelijke garanties van het accountantskantoor te vragen. Privacy Impact Assessment (PIA) Accountantskantoren die een bijzondere verwerking uitvoeren of een verwerking waarbij nieuwe technologieën worden gebruikt, dienen hiervoor een Privacy Impact Assessment (PIA) uit te voeren. Denk hierbij aan vormen van data analyse in de controle of klanten ondersteunen bij het analyseren of optimaliseren van hun processen. Een PIA verschaft inzicht in de risico s met betrekking tot de bescherming van persoonsgegevens. In de praktijk worden dergelijke bewerkingen vaak door specialisten uitgevoerd. Meestal in hun eigen omgeving, die ook buiten de EU kan liggen. In dat geval moet het kantoor zorgdragen dat sprake is van passende beveiliging en dat de privacyrechten van betrokkene worden gewaarborgd. 7 Unit4 Accountantskantoren en de AVG

8 Bereid uw kantoor voor op de nieuwe regelgeving De wijze waarop uw accountantskantoor invulling geeft aan de aangescherpte wettelijke verplichtingen is onder meer afhankelijk van de omvang, de organisatie en de aard van de dienstverlening. Bent u een zelfstandige zonder personeel (ZZP er), een eenmanspraktijk (accountant plus een aantal medewerkers), of een meermanspraktijk (meerdere accountants plus medewerkers). Als ZZP er heeft u geen medewerkers waarmee moet worden overlegd, afspraken gemaakt of gedrag gemonitord. In de meeste gevallen zult u als ZZP er of als eenmanspraktijk gebruikmaken van de diensten van derde partijen bij de invulling of ondersteuning van uw dienstverlening (bijvoorbeeld van serviceproviders voor de invulling van IT-ondersteuning). Grotere kantoren geven vaak zelf invulling aan hun processen en de toepassing van IT. In algemene zin kan worden gesteld dat hoe meer een kantoor zelf invulling geeft aan IT en beveiliging, hoe meer wordt gevraagd van de organisatie zelf. moeten worden vastgelegd in overeenkomsten en dat de naleving moet worden gemonitord. In organisaties met medewerkers zullen aanpassingen in de informatiebeveiliging en het doorvoeren van maatregelen in het kader van de AVG om een meer projectmatige aanpak vragen. Het is uiteindelijk aan de verantwoordelijke(n) binnen de organisatie, welke keuzes worden gemaakt. Passende maatregelen Uw kantoor moet volgens de AVG passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. We raden u aan om u voor te bereiden op de inwerkingtreding van de AVG en dit niet te lang uit te stellen. Bewustwording Rechten van betrokkenen Overzicht van verwerkingen Data Protection Impact Assessment Privacy by Design Privacy by Default Functionaris voor de Gegevensbescherming (FG) Meldplicht datalekken Verwerkersovereenkomsten Leidende Toezichthouder Toestemming Bovenstaande stappen zijn de stappen zoals opgenomen op de website van de Autoriteit Persoonsgegevens. Deze kunt u hier nalezen. Het gebruikmaken van diensten van (gespecialiseerde) derde partijen kan de belasting voor het kantoor verlichten. Dit betekent echter wel dat afspraken 8 Unit4 Accountantskantoren en de AVG

9 AVG checklist voor uw Accountantskantoor CHECK 1 CHECK 2 CHECK 3 CHECK 4 CHECK 5 Bewustwording, inzicht, overzicht Invulling geven aan de AVG-bepalingen Verkrijgen van inzicht in risico s Het invullen van de beveiligingsmaatregelen Evaluatie, monitoring en bijstelling AVG-compliancy begint met het besef van eigen verantwoordelijkheid van uw organisatie. Uw medewerkers dienen op de hoogte te zijn van de nieuwe privacyregels en kunnen inschatten wat de impact van de AVG is op uw huidige processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen. Als tweede stap gaat u invulling geven aan de AVG-bepalingen: passende technische en organisatorische maatregelen voor een adequate beveiliging en procedures om te kunnen voldoen aan de voorschriften, bijvoorbeeld de meldingsplicht van een datalek. Om passende beveiligingsmaatregelen te kunnen nemen, is het van belang inzicht te hebben in de grootste risico s die het kantoor loopt. Een inventarisatie van deze risico s kan men doen door middel van een uitgebreide risicoanalyse of een snellere QuickScan. In te voeren beveiligingsmaatregelen hebben betrekking op de organisatie, de gegevens, het dienstenpakket/ klantenportefeuille; de applicaties/applicatiearchitectuur; de technische infrastructuur; derde partijen (sub)verwerkers; de toegang en de uitwisseling van data en het gebruik van mobiele apparatuur. In deze afsluitende stap worden procedures ingevoerd om het functioneren van de ingevoerde maatregelen te kunnen evalueren, te monitoren en desgewenst bij te kunnen stellen. 9 Unit4 Accountantskantoren en de AVG

10 CHECK 1 Bewustwording, inzicht, overzicht, verantwoordelijkheid AVG-compliancy begint met het besef van eigen verantwoordelijkheid van uw organisatie. Zorg dat de relevante medewerkers op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen. Beveiligings- en privacy-beleid Formuleer als leiding van de organisatie een beveiligings- en privacybeleid waarin u aangeeft aan welke eisen de organisatie moet voldoen en op welke wijze de organisatie daar invulling aan geeft. Geef ook aan wat van de medewerkers wordt verwacht. Belangrijke uitgangspunten bij het formuleren van een beveiligings- en privacybeleid zijn: - Behoud de regie; dit betekent dat uw organisatie het initiatief neemt om afspraken te maken met partijen over hoe men omgaat met gegevens. - Zorg voor enige flexibiliteit; werk met gestandaardiseerde klantoplossingen met behoud van keuzevrijheden binnen aangegeven grenzen. - Hanteer het Need to know -principe; wees selectief bij het verlenen van bevoegdheden en toegang tot gegevens en processen. - Bewaar alleen gegevens die wettelijk nodig zijn. - Focus op gedrag; stimuleer en beloon actief, bewust, verantwoordelijk en alert gedrag. Organisatie De activiteiten ten aanzien van de informatiebeveiliging en privacybescherming vragen doorgaans om een projectmatige aanpak, waarbij meerdere partijen betrokken zijn: IT en HR-specialisten, Juridische zaken, compliance officers, derden waarmee u zaken doet en natuurlijk uw klanten. Belangrijke voorwaarde is dat het projectteam over de benodigde middelen (financieel en personeel) beschikt om de noodzakelijke activiteiten uit te kunnen voeren. Hoe is de AVG van toepassing op uw kantoor Breng de verwerkingen van persoonsgegevens in kaart De eerste en belangrijkste vraag die u in het kader van de AVG moet beantwoorden is of er in uw organisatie sprake is van verwerking van persoonsgegevens. Is dit het geval dan moet u voor deze verwerking(en) rekening houden met de bepalingen van de AVG. Om deze vraag te kunnen beantwoorden, is inzicht nodig in de verwerkingen en de daarbij behorende persoonsgegevens, die onder uw verantwoordelijkheid, al dan niet in opdracht van andere partijen (klanten) plaatsvinden. Ook dient u na te gaan of er een rechtmatige grondslag is voor de verwerking. Bepaal of u verwerkingsverantwoordelijke of verwerker bent Een vraag die u ook moet beantwoorden, is of u verwerkingsverantwoordelijke of verwerker bent. De rol en context van de werkzaamheden bepalen welke maatregelen moeten worden genomen voor bepaalde verwerking(en) van persoonsgegevens. De AVG kent een aantal bepalingen die betrekking hebben op het zijn van verwerkingsverantwoordelijke of verwerker. Zo is een accountant volgens de AVG verwerkingsverantwoordelijke als hij het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en is hij een (sub-) verwerker als hij ten behoeve van een verwerkingsverantwoordelijke of verwerker persoonsgegevens verwerkt. Ook bepaalt de AVG dat wanneer sprake is van uitbesteding van verwerking van persoonsgegevens, dit moet worden geregeld in een overeenkomst. Hierin staan onder meer het onderwerp, de duur, aard en het doel van de verwerking en de rechten en verplichtingen. 10 Unit4 Accountantskantoren en de AVG

11 Onderstaand overzicht bevat de taken en verplichtingen van verwerkingsverantwoordelijken (Vv) en verwerkers (V), voortvloeiend uit de AVG. TAKEN EN VERPLICHTINGEN VAN VERWERKINGSVERANTWOORDELIJKEN EN VERWERKERS Vv V Bepaalt het doel en de middelen voor de verwerking van persoonsgegevens. Verwerkt persoonsgegevens in opdracht/ten behoeve van een verwerkingsverantwoordelijke. Zorgt voor passende technische en organisatorische maatregelen opdat de verwerking aan de eisen van de wet voldoet en moet dit kunnen aantonen. Voert in voorkomende gevallen een PIA uit. Verwerkt gegevens van betrokkene op basis van een rechtmatige grondslag. Vult de rechten van betrokkene(n) in. Is verantwoordelijk/aansprakelijk voor de gegevensverwerking die door of namens hem wordt uitgevoerd. Maakt uitsluitend gebruik van de diensten van (sub)verwerkers, die afdoende garanties kunnen geven met betrekking tot een passende beveiliging. Voert in opdracht van een verwerkingsverantwoordelijke alleen verwerkingen uit die zijn gebaseerd op een overeenkomst. Houdt een register van verwerkingsactiviteiten bij. Beschikt over een FG. Meldt een datalek bij de AP. Meldt een datalek bij de verwerkingsverantwoordelijke. U heeft dus inzicht nodig in welke partijen betrokken zijn bij de dienstverlening aan uw klant. Gezamenlijk bent u verantwoordelijk voor het beschermen van de privacy en aansprakelijk voor mogelijke schade. Alle partijen in de keten moeten elkaar bevestigen dat zij voldoen aan de wet. Aanstellen van Functionaris voor Gegevensbescherming (FG) Alleen voor overheidsorganisaties of organisaties die bijzondere persoonsgegevens verwerken, geldt de verplichting een Functionaris voor Gegevensbescherming aan te stellen. Ook al is een FG niet verplicht, dan kan het soms toch zinvol zijn er een aan te stellen. Niet alleen om aan te tonen dat het kantoor beschikt over de nodige expertise op het terrein van de privacywet en -bescherming, maar ook in het geval er een klacht tegen uw kantoor wordt ingediend bij de AP en u moet aantonen dat u beschikt over de benodigde deskundigheid en voldoet aan de eisen van de AVG. Daarnaast kan een FG u adviseren hoe u het beste om kunt gaan met verwerkingen, een PIA of een inbreuk of datalek. Informeert in voorkomende gevallen de betrokkene(n) over een datalek. Houdt een register van inbreuken/datalekken bij. Moet alle schade vergoeden die een betrokkene kan lijden ten gevolge van een verwerking die inbreuk heeft gemaakt op zijn rechten. Bron: Nederlande Beroepsorganisatie voor Accountants 11 Unit4 Accountantskantoren en de AVG

12 CHECK 2 Invulling geven aan de AVG-bepalingen Een toereikende beveiliging (passende technische en organisatorische maatregelen) en de effectieve werking daarvan kunnen aantonen. Zie verder checks 3 en 4. Schriftelijke afspraken met klanten en (sub-)verwerkers over de beveiliging en verwerking van persoonsgegevens en kunnen aantonen dat deze worden nagekomen. Procedures om als verwerkingsverantwoordelijke invulling te kunnen geven aan de rechten van betrokkene(n) en om in voorkomende gevallen een datalek te kunnen melden aan de toezichthouder of betrokkene(n). Procedures om als verwerker invulling te kunnen geven aan de meldingsplicht van een datalek aan de verwerkingsverantwoordelijke. Processen en beveiliging waarbij rekening is gehouden met de principes van: Privacy by Design en by Default. Procedures om als verwerkingsverantwoordelijke of verwerker een Privacy Impact Assessment (PIA) uit te kunnen voeren bij nieuwe verwerkingen, bijvoorbeeld bij het gebruik van data-analyse. Het inrichten en bijhouden van een register van verwerkingsactiviteiten (verplicht voor organisaties met meer dan 250 medewerkers). Een gedragscode waarin is vastgelegd hoe om te gaan met gegevens binnen de eigen organisatie en in relatie met de klanten. Het op vrijwillige basis inrichten en bijhouden van een register van verwerkingsactiviteiten. 12 Unit4 Accountantskantoren en de AVG

13 CHECK 3 Verkrijg inzicht in de risico s Aanleidingen die het verlies of misbruik van gegevens tot gevolg hebben, komen vaker voor dan u denkt. Bijvoorbeeld het verlies van een gegevensdrager (tablet, USB-stick, laptop of zelfs een telefoon), het verzenden van gegevens naar het verkeerde ( )adres of het ingaan op phishing mails waarbij onbedoeld persoonlijke gegevens worden achtergelaten met alle gevolgen van dien. Risicoanalyse en Quick Scan Om passende beveiligingsmaatregelen te kunnen nemen, is het van belang inzicht te hebben in de grootste risico s die het kantoor loopt. Dit kan door het uitvoeren van een risicoanalyse. Omdat een risicoanalyse veel tijd in beslag kan nemen, kan het kantoor ook een Quick Scan uitvoeren. Dit om een eerste indruk te krijgen welke gebieden als eerste aandacht vergen en waar maatregelen direct effectief kunnen zijn. AANDACHTGEBIEDEN SCORES (RANGE) VAN MATE VAN RISICO UW SCORE Dienstenpakket Beperkt Uitgebreid Verwerking van persoonsgegevens Weinig Veel Applicaties (aantal) Klein Groot Omvang organisatie Klein Groot Omvang klantenportefeuille Klein Groot Applicaties (maatwerk versus standaard) Standaard Maatwerk Applicatie-architectuur (o.a. aantal) Eenvoudig Complex Technische infrastructuur (gestandaardiseerd) Wel Niet Uitbesteed versus inhouse Uitbesteed Inhouse Mobiele apparatuur Nee Ja Contractspartijen IT Weinig Veel Contractspartijen overige Weinig Veel Toegang tot data / processen Beperkt Ruim Meerdere communicatiekanalen met klanten Nee Ja Gebruik van een portaal Ja Nee Gemengd gebruik van applicaties Nee Ja Ter illustratie een afbeelding van een Quick Scan. Via een score van 1 (laag) t/m 5 (hoog) wordt per aandachtsgebied het risico ingeschat op kwetsbaarheid voor inbreuken. De scan geeft een overzicht van de verschillende aandachtsgebieden. Baseline benadering Naast een Quick Scan kan de organisatie ook kiezen voor de baseline benadering, als basis. Het basisbeveiligingsniveau is vaak gebaseerd op de maatregelen zoals aangegeven in de Code voor Informatiebeveiliging, of een subset daarvan. Op een later moment wordt via het proces van risicoanalyse nagegaan of het basisbeveiligingsniveau toereikend is of dat voor bepaalde processen/systemen aanvullende maatregelen noodzakelijk zijn. In het NEMACC-rapport hebben de onderzoekers gekozen voor deze aanpak. In het daarin aangegeven Stappenplan is een set van maatregelen aangegeven die een accountantskantoor op korte termijn kan invoeren (indien nog nodig). Zie verder check Unit4 Accountantskantoren en de AVG

14 CHECK 4 Het invullen van de beveiligingsmaatregelen In deze stap voert de organisatie de maatregelen in die tot doel hebben de gegevens en processen te beschermen tegen inbreuken, verlies, etc. De maatregelen hebben betrekking op de volgende gebieden: de organisatie de gegevens het dienstenpakket/klantenportefeuille de applicaties/applicatie-architectuur de technische infrastructuur derde partijen (sub)verwerkers de toegang tot en de uitwisseling van data het gebruik van mobiele apparatuur Het gebruikmaken van derde partijen Bij het inrichten van informatiebeveiliging heeft de organisatie, naast het zelf treffen van de nodige maatregelen, ook nog een andere optie. Veel, vooral de wat kleinere accountantskantoren, zullen door hun beperkte omvang (schaal) en gebrek aan deskundigheid niet of moeilijk in staat zijn om de gewenste beveiligingsmaatregelen zelf te realiseren. Het gebruikmaken van de diensten van derde partijen kan in dat geval een oplossing bieden. Voorbeelden zijn: het gebruik van toepassingen in de cloud waardoor data op een veilige plaats wordt bewaard en het gebruik van beveiligde communicatie en mobiele apparaten. Voorwaarde is wel dat men zaken doet met betrouwbare partijen (zoals de privacywetgeving vereist). Ook moet het kantoor in staat zijn om de inhoud en de kwaliteit van de geleverde diensten en naleving van de afspraken vast te kunnen stellen. Een andere optie is dat bepaalde vormen van dienstverlening die een te groot beveiligingsrisico vormen en dus schadelijk kunnen zijn voor het kantoor of de reputatie worden beëindigd. Het melden van datalekken U dient alle gegevensinbreuken te documenteren. In geval van een gegevensinbreuk moet u deze binnen een tijdsbestek van 72 uur, goed gedocumenteerd melden aan de verantwoordelijke autoriteit die op basis van de documentatie moet kunnen vaststellen of u hebt voldaan aan de rapportageplicht. Op de website van de Autoriteit Persoonsgegevens is een meldingsformulier beschikbaar. Via dit webformulier kan een melding worden aangevuld of ingetrokken. De melding moet informatie bevatten over de aard en omvang van de inbreuk, de mogelijke gevolgen en de maatregelen die zijn genomen. Als de verwerker een inbreuk constateert, dan stelt hij de verwerkingsverantwoordelijke zo snel mogelijk op de hoogte. Zowel de verwerkingsverantwoordelijke als de verwerker zijn verplicht alle inbreuken op persoonsgegevens, te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen maatregelen. Dus ook de inbreuken die niet zijn gemeld. 14 Unit4 Accountantskantoren en de AVG

15 Stappenplan meldingsprocedure datalek 1. Bepalen of de AVG en daarmee de meldplicht datalekken van toepassing is. 2. Bepalen of er sprake is van een datalek of beveiligingsincident. 3. Datalek bij de Autoriteit Persoons gegevens te melden of niet? 4. Betrokkene(n) over het datalek informeren. De AVG is van toepassing als er sprake is van geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen. De AVG is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijk persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit. Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan waarbij persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten. Registratie van inbreuken op de privacy is verplicht. De organisatie die persoonsgegevens verwerkt, moet (systematische) inbreuken op de privacy signaleren. Dit betekent dus dat u maatregelen moet treffen om gegevensverwerking te kunnen monitoren en inbreuken tijdig te kunnen signaleren. Als een inbreuk heeft plaatsgevonden en er sprake is van (een aanzienlijke kans op) nadelige gevolgen voor betrokkene, dan is een melding aan de Autoriteit Persoonsgegevens noodzakelijk. In het algemeen is een melding alleen noodzakelijk als er persoonsgegevens van gevoelige aard zijn gelekt. Een melding is niet nodig als het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer de inbreuk waarschijnlijk risicovol is voor de rechten en vrijheden van natuurlijke personen, dan informeert de verwerkingsverantwoordelijke de betrokkene(n) direct over de inbreuk. Dit ter voorkoming van ernstige schade bij betrokkene(n) als gevolg van het verlies, onrechtmatig gebruik of misbruik van hun persoonsgegevens. Wanneer de verwerker constateert dat een door hem aan de verwerkingsverantwoordelijke gemeld datalek niet wordt gemeld bij de Autoriteit Persoonsgegevens of aan betrokkene(n), dan moet hij de verwerkingsverantwoordelijke hierover aanspreken. Onderneemt deze geen actie en meent de verwerker dat melding toch gewenst is, dan moet hij zelf actie ondernemen. Dit om zijn mogelijke aansprakelijkheid te beperken. 15 Unit4 Accountantskantoren en de AVG

16 CHECK 5 Evaluatie, monitoring en bijstelling In deze afsluitende check worden procedures ingevoerd om het functioneren van de ingevoerde maatregelen te kunnen evalueren, te monitoren en desgewenst bij te kunnen stellen. Ook worden procedures opgezet om het gedrag te monitoren, om het niet-naleven van afspraken tijdig te kunnen signaleren (detectie) en om een juiste afhandeling van incidenten en verstoringen te garanderen. Geraadpleegde bronnen: Autoriteit Persoonsgegevens Kamer van Koophandel De accountant en de Wet bescherming persoonsgegevens Nederlandse Beroepsorganisatie voor Accountants 16 Unit4 Accountantskantoren en de AVG

17 Bijlage 1 - Definities uit de AVG In de AVG staat (de bescherming van) privacy centraal. Voor een goed begrip van de AVG is enige kennis van de AVG-terminologie noodzakelijk. In bijlage 1 vindt u daarom de definities van enkele kernbegrippen. Definities: Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ( betrokkene ); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Bijzondere persoonsgegevens: een deel van de persoonsgegevens wordt gezien als gevoelige gegevens, ook wel bijzondere persoonsgegevens genoemd. Gebruik en verwerking hiervan mag alleen onder strikte voorwaarden. Voorbeelden van bijzondere gegevens zijn: ras of etnische afkomst; politieke opvattingen; religieuze of levensbeschouwelijke overtuiging; lidmaatschap van een vakbond; gezondheid; seksueel gedrag en seksuele gerichtheid. Anonieme gegevens: gegevens zijn geen persoonsgegevens als deze zijn geanonimiseerd. Anoniem betekent dat maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs is uitgesloten. Betrokkene: de natuurlijke persoon waarop de persoonsgegevens betrekking hebben. Verwerkersverantwoordelijke: de natuurlijke persoon of rechtspersoon, overheidsinstantie, instelling of andere organisatie die - alleen of met anderen - de doeleinden en middelen van de verwerking van persoonsgegevens vaststelt. Soms worden de doeleinden en middelen voor de verwerking van persoonsgegevens echter bepaald door het recht van de Europese Unie of de specifieke lidstaat. In dat geval kan de gegevensverantwoordelijke (of kunnen de specifieke criteria voor het aanwijzen van een gegevensverantwoordelijke) ook worden geregeld in het recht van de Europese Unie of de specifieke lidstaat. Verwerker: de natuurlijke persoon of rechtspersoon, overheidsinstantie, instelling of andere organisatie die persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke. Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de verwerking van zijn persoonsgegevens aanvaardt. Gegevensinbreuk: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Verwerking: een bewerking (of een geheel van bewerkingen) met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. 17 Unit4 Accountantskantoren en de AVG

18 Over Unit4 Unit4 is een toonaangevende leverancier van bedrijfssoftware voor dienstverlenende organisaties. Met ruim medewerkers wereldwijd genereert Unit4 een jaarlijkse omzet van meer dan 500 miljoen euro. Unit4 levert ERP, branchegerichte en best-in-class applicaties. Duizenden organisaties uit sectoren als zakelijke en publieke dienstverlening, onderwijs, non-profit, vastgoed, groothandel en financiële dienstverlening werken met business software van Unit4. unit4.nl Unit4 Business Software B.V. Papendorpseweg 100, 3528 BJ Utrecht Postbus 5005, 3502 JA Utrecht T E steluwvraag@unit4.com Copyright Unit4 Disclaimer: Alle informatie in dit document is met grote zorgvuldigheid samengesteld. Voor mogelijke onjuistheid en/of onvolledigheid van de hierin verstrekte informatie kan Unit4 geen aansprakelijkheid aanvaarden, evenmin kunnen aan de inhoud van dit document rechten worden ontleend. In business for people.