THEMA

'WERKEN MET DE AVG; JE MOET ER GEWOON EVEN VOOR GAAN ZITTEN'

Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens een begin maken met de handhaving van de Algemene Verordening Gegevensbescherming (AVG). Voor belastingadviseurs heeft de invoering van de AVG belangrijke gevolgen.

Zij verwerken immers vrijwel altijd (gevoelige) persoonsgegevens. Alexandra Piksen, directeur juridische zaken van de NOB, schreef een Handreiking over het onderwerp voor NOB-leden. In dit interview geeft zij een toelichting op de gevolgen van de AVG voor belastingadviseurs.

De AVG is een omvangrijk document. De website van de AP bevat een stortvloed aan informatie. Organisaties zullen het niet gemakkelijk vinden om inzicht te krijgen in wat hun verplichtingen zijn en wat in het kader van de AVG van hen wordt verwacht?

‘Het probleem is dat veel seminars en cursussen over de AVG gericht zijn op grotere organisaties. Dat brengt mee dat veel kennis wordt verondersteld van ICT, veiligheidsmaatregelen en dergelijke. Maar de gemiddelde ondernemer of kleinere organisatie beschikt daar niet over. Ik vond het met name van belang om de praktijk voor kleinere organisaties in kaart te brengen. Ik heb geprobeerd dat in de NOB Handreiking te doen door middel van een plan van aanpak. Die zijn niet uitputtend. Het ging mij erom, organisaties bewust te maken van de verschillende aspecten en de belangrijkste verplichtingen die uit de AVG voortvloeien.’

Waar begin je als het om bewustwording gaat?

‘Vanuit mijn eigen ervaring met het “AVG-proof” maken van de NOB denk ik dat het allerbelangrijkste is om een overzicht te krijgen van wat persoonsgegevens zijn, welke persoonsgegevens de organisatie verzamelt en voor welke doeleinden. Die inventarisatie is de belangrijkste eerste stap. Van daaruit kan een en ander verder worden ontwikkeld.’

Belastingadviseurs hebben doorgaans een enorme hoeveelheid gevoelige gegevens onder zich, vraagt dat om extra zorgvuldigheid?

‘Het is in het kader van de AVG belangrijk dat je kunt aantonen dat je inderdaad zorgvuldig met die gegevens omgaat. Maar dat kan alleen maar als je inzicht hebt in wat je verzamelt, wat je ermee doet en hoe een en ander beveiligd is. De AVG bevat de verplichting tot het bijhouden van een verwerkingsregister. Die verplichting geldt niet in alle gevallen, maar ik denk dat je er als belastingadviseur eigenlijk niet aan ontkomt om een dergelijk register op te zetten. De Verordening vermeldt dat een register moet worden bijgehouden door onder meer organisaties die risicovolle verwerkingen uitvoeren, structureel persoonsgegevens verwerken of dat met gevoelige gegevens doen. Dat is het geval bij vrijwel alle belastingadviseurs. De belastingadviseur is dan verwerkingsverantwoordelijke volgens de AVG.’

Met de invoering van de AVG vervalt de Wet bescherming persoonsgegevens (Wbp). Wat is het belangrijkste verschil tussen de Wbp en de AVG?

‘De meeste beginselen die in de AVG zijn opgenomen stonden ook al in de Wbp. Wie persoonsgegevens verzamelt, moet er zorgvuldig mee omgaan – in die zin is er niet veel veranderd. Met de opkomst van de digitale samenleving is er voor de bescherming van privacy veel meer aandacht gekomen. De verplichtingen van gegevensverwerkers zijn uitgebreid en veel concreter geworden. Ook de sancties op niet-naleving zijn aanmerkelijk zwaarder geworden. In de AVG worden bedragen genoemd tot 20 miljoen euro.’

Wat is het voordeel van de AVG voor belastingadviseurs als gegevensverwerkers?

‘De AVG is een Europese privacywetgeving. Deze geldt voor de hele EU. Voor internationale organisaties en grote kantoren zoals de big four is dat wel een voordeel. De Richtlijn moest worden omgezet in nationale wetgeving. In Nederland was dat de Wbp, in andere EU-lidstaten konden andere regels gelden. Weliswaar wordt straks via de Uitvoeringswet AVG op landelijk niveau een verdere invulling aan de AVG gegeven, maar dat neemt niet weg dat de regels over de gehele linie uniform zijn. Dat maakt naleving voor internationale organisaties wel eenvoudiger.’

Vanaf 1 januari 2016 moeten (ernstige) datalekken worden gemeld aan de AP en soms ook aan de betrokkene(n). Brengt de komst van de AVG daar wijziging in?

‘De meldplicht datalekken bestaat nog steeds, het is een belangrijk aspect van de regelgeving rond privacybescherming. Nieuw is dat de AVG eist dat de verwerkingsverantwoordelijke elke vorm van datalekken vastlegt. Er kan zich overigens al een datalek voordoen als een e-mail naar de verkeerde partij wordt gestuurd. Lekken er persoonsgegevens naar buiten, dan moet de belastingadviseur als verwerkingsverantwoordelijke een afweging maken: melden of niet melden? Die besluitvorming moet worden bijgehouden. Als je besluit om níet te melden aan de AP of aan betrokkenen zal dat intern gemotiveerd moeten worden vastgelegd. Meld je wel, dan kan dat via een digitaal loket. Via dat loket kun je een melding ook weer intrekken of aanpassen.’

Hoe moet je als belastingadviseur omgaan met bewaartermijnen? De fiscale bewaarplicht is bijvoorbeeld zeven jaar, kan dat een probleem vormen onder de AVG?

‘Uiteraard moet een belastingadviseur zich houden aan de fiscale bewaartermijn. Maar die staat hier eigenlijk los van. Elke organisatie die gegevens verzamelt moet zichzelf de vraag stellen: waarom verzamel ik deze gegevens, wat doe ik ermee en hoelang heb ik ze nodig? Als de gegevens volgens de fiscale rechtsregels zeven jaar moeten worden bewaard is het eenvoudig. Maar als het gaat om gegevens die niet in die categorie vallen, en mensen lopen een bepaald risico vanwege het feit dat die gegevens bij jou liggen, dan zal je een procedé moeten volgen: ik heb ze nu nodig, ik verzamel ze met een bepaald doel, en als ik ze niet meer nodig heb vernietig ik ze. Elke organisatie moet kritisch zijn over hoe lang gegevens worden bewaard. Je kunt niet maar alles verzamelen en in het archief laten zitten, dat past niet in het beginsel van doelbinding van de AVG. Als organisatie moet je kunnen uitleggen en verantwoorden waarom het redelijk is dat je bepaalde gegevens bewaart.’

 Heb je tot slot nog tips voor belastingadviseurs?

‘Voor veel middelgrote en kleinere kantoren kan het werken met de AVG in het begin enigszins beklemmend zijn. Er komt veel op je af, het is een hele kluif. Maar als je je erin verdiept, raak je er al snel vertrouwd mee en dan wordt het ook overzichtelijker. Je moet er gewoon even voor gaan zitten, voor zover je er nog niet aan begonnen bent. De tijd dringt immers, 25 mei is dichtbij! Er kan veel, maar je moet kunnen uitleggen waaróm je het doet. Transparantie en integriteit, respectvol omgaan met persoonsgegevens zijn belangrijk, maar ook de technische en organisatorische beveiliging moeten op orde zijn. Misschien moet een gegevensfunctionaris worden aangesteld die toeziet op de wijze van gegevensverwerking. In een kleinere organisatie zal dat niet snel het geval zijn, maar hoe grootschaliger het verwerken van persoonsgegevens is en hoe gevoeliger de gegevens, hoe eerder die verplichting ontstaat. Kortom: je moet bewuste keuzes maken, en de besluitvorming daarover vastleggen.’

Nextens heeft een verwerkersovereenkomst voor haar producten en diensten

RBI is gegevensverwerker voor klanten die gegevensverantwoordelijk zijn. Wij helpen onze klanten om aan de AVG te voldoen met hun gegevens. Lees verder en download de overeenkomst >>
  • Vond u dit bericht waardevol?
  • JaNee
Share this post