GDPR: Verwerken van persoonsgegevens

Verwerken van persoonsgegevens

03-05-2018

Waar gaat GDPR nou precies over en wat wordt er verstaan onder het verwerken van persoonsgegevens?

Verwerking van persoonsgegevens, hierna te noemen gegevensverwerking, is een heel breed begrip. Doorgaans denk je direct aan het verzamelen van contactgegevens, interesses, surfgedrag, aankoopgedrag, et cetera. En natuurlijk gegevens met als doel om marketing- en salescampagnes te dienen.

Gegevensverwerking in de breedste zin van het woord

Gegevensverwerking omvat veel meer dan alleen die zaken. Gegevensverwerking in het kader van GDPR-wetgeving gaat om elke vorm van persoonsgegevens verzamelen. Handelingen die er in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Om GDPR-proof te zijn als kantoor dien je een inventarisatie te maken van alle gegevensverwerking die je zelf uitvoert of toevertrouwt aan derden. Het is belangrijk om daarbij het begrip gegevensverwerking zo breed mogelijk op te vatten. Dat een firma die personeelsbeheer voor derden doet, persoonsgegevens verwerkt, is logisch. Maar ook de leverancier die in opdracht van je firma archieven vernietigd doet aan gegevensverwerking als het gaat om geprinte documenten met persoonsgegevens. Het gebruik van persoonsgegevens door privépersonen in de huiselijke sfeer valt echter niet onder de GDPR. Het werk van het gerecht en van de ordediensten evenmin, omdat dit door andere wetgeving geregeld wordt.

Rollen

GDPR-wetgeving maakt onderscheid in de manieren van het omgaan met persoonsgegevens van natuurlijke personen. Dit staat beschreven in de volgende drie verschillende rollen:

  1. Verantwoordelijke;
  2. Verwerker (bewerker);
  3. Betrokkene.

 

In internationaal verband zal je wellicht de termen “Data Controller”, “Data Processor” en “Data Subject” tegenkomen. Goed om te weten is dat alle landen in de Eurozone + Noorwegen, IJsland en Liechtenstein ook vallen onder deze regelgeving. De manier van omgaan met elkaars gegevens is met die landen op elkaar afgestemd.

Wanneer je als accountant welke rol hebt, staat beschreven in de brochure van de NBA. Klik hier voor de digitale versie.

Verantwoordelijke

De Verantwoordelijke is degene die het initiatief neemt om persoonsgegevens te (laten) verzamelen en bij te houden, met de bedoeling die op één of andere manier te verwerken. Een verantwoordelijke zal in het proces vast moeten leggen wat de doelmatigheid van het verzamelen van gegevens is. Volgens de GDPR-wetgeving mag je niet meer gegevens vastleggen dan strikt noodzakelijk en dat geeft je een goede aanleiding om goed na te denken over je processen en welke doelen de gegevens dienen. De Verantwoordelijke moet de veiligheid van de verzamelde gegevens garanderen. De verantwoordelijke zorgt dat de integriteit te allen tijde bewaard wordt (dit wil zeggen dat ze niet onterecht gewijzigd of gewist worden) en dat er geen inbreuk gepleegd wordt op vertrouwelijkheid.

Verwerker

De verwerker krijgt persoonsgegevens van een verantwoordelijke ter beschikking en deze verwerkt volgens de instructies van de verantwoordelijke. De verantwoordelijke kan zelf ook de verwerker zijn. Op het moment dat de verantwoordelijke de gegevens toevertrouwt aan een derde partij is de rol van verwerker ondergebracht bij die partij. Voer je een assurance-opdracht uit of stel je een jaarrekening samen? Dan is de kans groot dat je de rol van verantwoordelijke neemt. Doe je slechts salarisadministratie, dan ben je waarschijnlijk verwerker.

Het is altijd van belang dat je per opdracht de omstandigheden van de case in overweging neemt. Kortom, voordat je toetst hoe je aan het accountability vereiste van de GDPR-wetgeving kunt voldoen, moet je eerst weten welke rol je hebt. Voor accountants is dit wisselend, daarom moet per opdracht bekeken worden welke taken opgepakt worden en of deze rijmen met de rol van verantwoordelijke of van verwerker. Pas als dat duidelijk is, kun je per gegevensverwerking bepalen, waar je aan moet voldoen.

Het is wel goed te beseffen dat de taakverdelingen soms niet zo eenduidig is. Het is bijvoorbeeld mogelijk dat persoonsgegevens verzameld worden door een verwerker. Een verantwoordelijke kan immers aan een verwerker de taak geven persoonsgegevens te verzamelen, te verrijken en te analyseren als deel van de opdracht. Deze taken zijn alle voorbeelden van wat de wet bedoelt met ‘verwerking van persoonsgegevens’. Het is niet omdat je de gegevens verzamelt, dat je automatisch de rol van verantwoordelijke hebt. Omgekeerd blijf je als opdrachtgever wel verantwoordelijk, ook al besteed je het verzamelen van de gegevens uit aan een verwerker. Voordat je stappen neemt om de processen in te richten in het kader van GDPR-accountability, moet je eerst weten welke rol je als bedrijf inneemt. De verplichtingen verschillen namelijk wanneer je ‘verantwoordelijke’ of ‘verwerker’ bent. Voor accountants is dit behoorlijk diffuus, accountants kunnen van rol wisselen. Voor een bepaalde opdracht bepaalt de inhoud van de opdracht welke rol de accountant heeft. Met ingang van uiterlijk 25 mei 2018, zal een contract duidelijk moeten aangeven wat de rollen van de opdrachtgever en de opdrachtnemer zijn in de gegevensverwerking. Een belangrijke tip is om hieraan steeds de nodige aandacht te besteden.

Betrokkene

De betrokkene is de natuurlijke rechtspersoon op wie specifieke persoonsgegevens betrekking hebben. De GDPR-wetgeving is gemaakt met het eerste doel om de betrokkene in bescherming te nemen. De GDPR-wetgeving dwingt openheid over gegevensverwerking tegenover de betrokkenen af. Daarnaast hebben zij ook recht op wat meestal samengevat wordt als ‘fair-use’ van de data. Hieronder valt zowel het legaal en doelmatig verwerven en verwerken van gegevens als de zorg om ze accuraat te houden en ze voldoende te beveiligen. Een belangrijk uitgangspunt van GDPR-wetgeving is dat de betrokkene in grote mate kan beschikken over de verzamelde individuele data (data moet opvraagbaar, te corrigeren of te wissen zijn alsmede de verwerking van de gegevens moet stopgezet kunnen worden.

GDPR en Caseware

Voor jouw kantoor is het natuurlijk handig om te weten welke rollen er zijn als u met CaseWare werkt. Je kunt op de volgende manieren met onze oplossing werken:

  • Lokaal (installatie op los apparaat);
  • Op een eigen server;
  • Op een server bij een hostingprovider;
  • Met CaseWare Cloud;
  • Op CaseWare On Azure (icm CaseWare Cloud);
  • Werken met CaseWare Support.

 

Lokaal (installatie op eigen apparaat)
Bij een lokale installatie ben je als accountant verantwoordelijk voor de verwerking en beveiliging van je systeem. Je hoeft hiervoor geen verwerkersovereenkomst aan te gaan.

Eigen server
Bij een installatie op een eigen server ben je als accountant verantwoordelijk voor de verwerking en beveiliging van je systeem. Je hoeft hiervoor geen verwerkersovereenkomst aan te gaan.

Server bij een hostingprovider
Bij een installatie op het platform van een derde is er sprake van een (sub)verwerker. Je dient afspraken te maken met de hostingprovider over het verwerken van persoonsgegevens op dat platform.

CaseWare Cloud
Als je documenten opslaat in CaseWare Cloud ben je zelf verantwoordelijk voor de data die je daarin plaatst. CaseWare Cloud biedt de mogelijkheid om gegevens tijdelijk te bewaren, is gecertificeerd (lees ook het volgende artikel) en biedt tweefactor-authenticatie. Omdat er gegevens worden bewaard dien je kennis te nemen van het privacy statement en dien je handmatig akkoord te gaan met de (GDPR)voorwaarden. Elke keer als deze voorwaarden wijzigen moet je eerst opnieuw kennis nemen van en akkoord gaan met de voorwaarden van CaseWare Cloud Ltd. CaseWare Cloud Ltd. is (sub)verwerker.

CaseWare On Azure (i.c.m. CaseWare Cloud)
CaseWare On Azure is het hostingplatform van CaseWare o.b.v. Microsoft-techniek. Dit is altijd in combinatie met CaseWare Cloud. Met deze geavanceerde constructie is er sprake van drie (sub)verwerkers: CaseWare Cloud Ltd., CaseWare Nederland B.V en Microsoft. Meer informatie over het privacy statement en de verwerkersovereenkomst tussen jouw kantoor en CaseWare Nederland B.V. worden per mail gecommuniceerd en op de website caseware.nl gepubliceerd. CaseWare zal met ingang van 25 mei 2018 zowel CaseWare Cloud als CaseWare On Azure uitrusten met de mogelijkheid voor tweefactor-authenticatie. Het platform waar je op werkt is goed beveiligd en gecertificeerd.

CaseWare Support
Om uw supportverzoek op een juiste wijze af te handelen, hebben wij mogelijk het betreffende bestand (dossier) nodig. Indien u gebruik maakt van CaseWare Cloud om een bestand naar ons toe te sturen voor afhandeling van uw verzoek, hebben wij vanuit de Algemene Verordening Gegevensbescherming de rol van verwerker. Voor de verlening van support is voor deze gevallen derhalve onze verwerkersovereenkomst van toepassing. Deze kunt u hier downloaden.  

Ons uitgangspunt is dat u als verantwoordelijke ervoor zorgdraagt dat onnodige persoonsgegevens uit dit bestand worden verwijderd. Volgens onze standaardprocedure zal het door u ingestuurde dossier 30 dagen ná ontvangst worden verwijderd uit onze systemen.

In onderstaande afbeelding is te zien bij welk platform er sprake is van welke (sub)verwerkers.

Tjoek Korenromp
tjoek.korenromp@caseware.nl

Blijf op de hoogte van CaseWare
Neem vrijblijvend een CaseWare-ID of log in.