Hoe zal GDPR van invloed zijn op accountants?

Vanaf 25 mei 2018 is in Europa de General Data Protection Regulation (GDPR) van kracht, in het Nederlands hebben we het dan over de Algemene Verordening Gegevensbescherming (AVG). In deze nieuwe regelgeving, die geldt voor alle bedrijven, wordt geregeld hoe bedrijven moeten omgaan met vertrouwelijke gegevens van klanten.

Hierbij gaat GDPR niet over de effectieve verwerking van gegevens, maar vooral over transparantie, correcte verwerking en waarborgen met betrekking tot deze verwerking.

GDPR in het kort

Het belangrijkste doel van GDPR is ervoor te zorgen dat burgers controle hebben over hun persoonlijke gegevens. Deze verordening erkent dat enorme hoeveelheden gevoelige (privacy-)gegevens worden gecreëerd, doorzocht en opgeslagen en dat consumenten het recht hebben om te weten hoe deze informatie door bedrijven wordt gebruikt. Hoewel dit klinkt alsof het alleen betrekking heeft op grote bedrijven met enorme klantendatabases als Amazon en Bol.com, heeft het ook betrekking op professionele dienstverleners als accountants persoonsinformatie over hun klanten opslaan. Denk bijvoorbeeld aan salaris- en bankrekeninggegevens van uw klanten. Ook zij moeten aan deze nieuwe regelgeving voldoen.

Dus met nog 5 maanden te gaan - waar begin je?

Beoordeling van uw gegevensbeveiliging om een schending te voorkomen
Om ervoor te zorgen dat voor de gegevens die u voor uw klanten bewaart, de veiligheid en privacy gewaarborgd is, moet u uw niveau van wachtwoordbeveiliging beoordelen en controleren. Zorg er hierbij ook voor dat alle apparaten encryptiesoftware hebben geïnstalleerd.

Indien de toegang tot de data op een goede wijze is beveiligd en de data zelf niet rechtstreeks benaderbaar is, heeft u al een belangrijke eerste stap gemaakt.

Zorg er vervolgens voor dat u gevoelige informatie op een veilige wijze verstuurt naar uw klanten. Een goede manier om dit te doen, is het gebruik van een documentportaal en/of platform, waar u samen met uw klant de informatie kunt delen in een veilige omgeving.

Indien er onverhoopt een incident heeft plaatsgevonden, dient u de juiste procedures te volgen. Zorg er voor dat u deze procedures heeft uitgewerkt en stel vast of u een functionaris gegevens bescherming dient te benoemen.

Het recht om vergeten te worden vraagt om duidelijke procedures
Wanneer iemand vraagt om verwijdering van de persoonsinformatie, komt hier meer bij kijken dan op het eerste gezicht lijkt. Wees er daarom van bewust op hoeveel verschillende plaatsen en systemen de gegevens van uw klanten worden verwerkt en zijn opgeslagen. Zorg ervoor dat een gedefinieerd proces is ingesteld, waarbij een vaste procedure wordt doorlopen, voor het verwerken van verzoeken voor gegevensverwijdering. Denk hierbij ook aan back-ups en cloudopslag.

Waar staat de CaseWare Cloud en AuditCase data?

De GDPR is van toepassing voor bedrijven binnen de EER (Europese Economische Ruimte (= EU + Noorwegen + IJsland + Liechtenstein).

CaseWare Cloud draait op de EU gebaseerde servers van Amazon AWS. Dit betekent dat alle data van CaseWare Cloud, inclusief de back-ups en gearchiveerde informatie van deze data, wordt bewaard op servers binnen de Europese Unie.

Voor AuditCase wordt gebruik gemaakt van de hosting services van IBM softlayer in Amsterdam. Deze data, inclusief de back-ups, blijft dus in Nederland.

Een verandering in regels, maar niet in benadering

De nieuwe regelgeving, met de gestelde ,maximale boetes van € 20 miljoen of 4% van de wereldwijde omzet, is niet iets wat bedrijven en dus ook accountants, licht moeten opnemen. In de huidige tijd van digitalisering, verwerking van data en cyberaanvallen is het geen optie meer om gegevens onvoldoende beschermd te laten.

Het goede nieuws is dat een goede gegevensverwerking en het naleven van strikte processen voor kwaliteit en betrouwbaarheid voor de meeste accountants dagelijks werk is . Oftewel, een uitstekende gelegenheid om klanten ook hierbij uw toegevoegde waarde te laten zien.