AVG/GDPR: een grote verantwoordelijkheid voor accountancy en finance

Accountancyorganisaties zijn onmisbare raderen in de business. De nieuwe Europese privacywetgeving (AVG/GDPR) drukt hen echter wel met de feiten op de neus. Ze dragen namelijk een grote verantwoordelijkheid als het gaat om privacy van hun cliënten. Terwijl er wat betreft compliance en bewustwording rondom de nieuwe privacywet nog veel werk te verzetten is.

Accountancy en complicance

Vanaf 26 mei 2018 gaat de nieuwe Europese privacywetgeving (AVG / GDPR van kracht). Vanaf dat moment moet iedere organisatie die persoonsgegevens verwerkt voldoen aan een set nieuwe spelregels. Accountantskantoren verwerken zonder uitzondering persoonsgegevens, en krijgen dan ook onherroepelijk met deze nieuwe wetgeving te maken.

De nieuwe privacywet stelt allerlei eisen aan de omgang met privacygevoelige data, en stelt bepaalde procedures en (voorzorgs)maatregelen verplicht. De spelregels zijn niet vrijblijvend. Wie zich schuldig maakt aan ernstige nalatigheid kan bij een datalek torenhoge boetes verwachten. Het maximale boetebedrag bedraagt 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Compliance is dus allesbehalve optioneel.

Voorbeeldfunctie van accountants

Het vermijden van boetes is echter niet de belangrijkste reden om de zaken op orde te krijgen. Accountants bekleden een maatschappelijke voorbeeldfunctie. Accountants zijn vertrouwenspersonen. Het beroep kenmerkt zich door kernwaarden als professionaliteit, integriteit, objectiviteit, vakbekwaamheid en vertrouwelijkheid. Het siert hen simpelweg niet wanneer zij met dit soort zaken blunderen.

Klanten verwachten een strikte geheimhouding en zorgvuldigheid in de omgang met hun privacy en die van hun organisatie. Accountants hebben dan ook niet alleen een wettelijke, maar ook een morele plicht om zorgvuldig met klantgegevens om te springen. Dat geldt voor individuele accountants als natuurlijke personen, maar ook voor accountantskantoren als rechtspersonen. De imagoschade die optreedt bij een datalek kan nog vele malen ernstiger zijn dan welke boete dan ook.

Accountantskantoren moeten alle zeilen bijzetten als het gaat om een goede privacy en security van hun datahuishouding. Zij verwerken dagelijks zeer privacygevoelig materiaal. Denk aan jaarrekeningen, of informatie over naderende overnames.

‘Het lekken van privacygevoelige data kan een ramp zijn voor de betrokkenen en hen grote economische schade berokkenen. Het legt een grote verantwoordelijkheid bij de medewerkers van accountantskantoren.’

Strikt privacy- en ICT-gebruiksbeleid

De nieuwe privacywetgeving in combinatie met de enorme verantwoordelijkheid nopen tot een zeer strikte omgang met privacygevoelige informatie. Dat kan alleen als organisaties een waterdicht privacy- en ICT-gebruiksbeleid hanteren.

Dat is allesbehalve eenvoudig, want de datahuishouding in deze sector is in de afgelopen jaren complexer geworden. Online boekhouden is gemeengoed geworden, evenals gebruik van mobiele apparaten als smartphones en tablets.

Digitale marketing

Ook wat marketing aangaat zijn deze bedrijven doorgaans sterk georiënteerd op digitaal. Niet zelden hanteert de sector uitgebreide digitale strategieën, en communiceren zij via kanalen als social media, apps en e-mail. Alles voor een hechtere relatie met de doelgroep. Op zich is dat nastrevenswaardig en zo goed als verplicht in dit digitale tijdperk, maar deze grotere digitale voetafdruk zorgt ook voor nieuwe cyberrisico’s.

Digitale data hebben namelijk als kenmerk dat ze zich razendsnel kunnen verspreiden. Fysieke beperkingen zijn daarbij niet aan de orde. Zeker via social media kan een datalek zich in ongekend tempo manifesteren. Niet zelden zijn datalekken dan ook het resultaat van een ongepaste socialmediapost die ‘viral’ is gegaan.

Niet op orde

Het gevaar van het hoge digitaliseringstempo laat in de branche zijn sporen na. Lang niet alle accountantskantoren hebben hun zaken op dit gebied op orde. De switch naar digitale dataverwerking heeft bij veel bureaus in enorm tempo plaatsgevonden. Daarbij lag vaak een grote focus op functionaliteit en klantbeleving, en waren zorgvuldigheid, security en aandacht voor privacy kinderen van de rekening.

Onbewuste handelingen

Datalekken komen in de accountancysector dan ook regelmatig voor. De cijfers spreken boekdelen. De Autoriteit Persoonsgegevens tekende sinds 2016 meeste datalekken op voor de accountancy- en financesector. Samen met de zorgsector staan ze op dat gebied eenzaam bovenaan.

Dat is pijnlijk, want juist accountantskantoren beheren zeer privacygevoelige persoonsgegevens. Financiële informatie is natuurlijk erg privacygevoelig, maar ook BSN-nummers zijn erg gewild. Bijvoorbeeld voor identiteitsfraude. Denk ook aan zaken als fotokopieën van paspoorten die organisaties uit deze branche niet zelden verwerken. Daarbij laat de eerder genoemde voorbeeldfunctie zich niet rijmen met een datalek.

Eigen medewerkers

Het gaat bij datalekken vaak soms om ogenschijnlijk eenvoudige zaken mis, zoals het gebruik van verouderde besturingssystemen waar hackers met het grootste gemak op inbreken. Soms is een datalek het snode werk van hackers en cybercriminelen die met bewuste acties computersystemen lamleggen en leegroven. In andere gevallen zijn het dieven die fysieke apparatuur zoals laptops ontvreemden.

Maar nog veel vaker is de mens de zwakste schakel. In veruit het grootste deel van de gevallen gaat het om onbewuste, onopzettelijke fouten van medewerkers. De financiële sector is de afgelopen jaren met name geplaagd door zoekgeraakte USB-drives vol niet-versleutelde, privacygevoelige informatie.

Slordigheid is niet altijd de boosdoener. Minstens zo vaak is er onder medewerkers sprake van een kennisachterstand wat betreft de privacymaterie. Allerlei prijzige technische securitymaatregelen bieden weinig bescherming wanneer personeel achteloos op links klikt, zakelijke mail via privé-accounts verstuurt en verdachte bijlagen opent.

Op zich is dat goed te begrijpen. Hun primaire taak is immers het controleren van jaarrekeningen en het bieden van hulp bij financiële kwesties. Toch hebben zij vanwege het directe klantcontact en de grote hoeveelheden privacygevoelige gegevens die zij onder ogen krijgen een grote verantwoordelijkheid op dit gebied.

YourPrivacy

Download ons gratis magazine YourPrivacy voor Accountancy en Finance.

Procedures op orde

In andere gevallen ontstaan datalekken doordat interne procedures simpelweg niet op orde zijn. Een datalek kan zo het gevolg zijn van een weliswaar beleidsmatige, maar simpelweg foutieve verwerking of serie van verwerkingen van privacygevoelige gegevens. Vaak gaat het dan om data die onder ogen komen van personen die daartoe niet zijn bevoegd door de betrokkenen.

Wie is verantwoordelijk?

Het grote aandeel van de accountantssector in het aantal datalekken roept een interessante vraag op: wie is verantwoordelijk? En wellicht nog zwaarder wegend: wat zijn mogelijke maatregelen hiertegen? Het ontbreken van dichtgetimmerde procedures over de omgang met privacygevoelige gegevens is zorgelijk. Daardoor staat het onderwerp te weinig op het netvlies van het personeel, met alle gevolgen van dien.

Bovenaan de agenda

De invoering van een compliance privacybeleid moet, voor zover dat nog niet is gebeurd, bovenaan prijken op de agenda’s van de verantwoordelijken. De sector verdient dat niet alleen, maar is dat aan hun klanten en aan de wetgevende macht verplicht.

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR in het vooruitzicht zijn veel bedrijven druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.

Whitepaper School

Download de school+ Whitepaper

Wilt u de whitepaper downloaden? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een downloadlink.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.

YourPrivacy

Download YourPrivacy

Wilt u meer weten over de Privacywetgeving, de GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor uw aanvraag. Check uw e-mail... ook uw SPAM-box.

Share This