In 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze wet heeft als doel de privacy van personen te beschermen. Deze wet heeft grote impact voor alle bedrijven, dus ook voor ons als klein accountantskantoor.

Ieder persoon heeft met de AVG het recht om in te zien welke gegevens van hen zijn vastgelegd, deze te laten verwijderen of aan te passen en beperken. Bij ons als accountantskantoor kan het dan gaan om bijvoorbeeld salarisgegevens van personeel van onze klanten, persoonlijke gegevens van onze cliënten zelf, maar ook van telefoonnummers en informatie over prospects of relaties die geen klant van ons zijn. In feite gaat het om alle gegevens die van een natuurlijk persoon door ons worden vastgelegd.

De mate waarin verantwoordelijkheid voor de privacybescherming voor onze rekening komt is afhankelijk van de rol die wij in het betreffende proces spelen. Onderscheid moet worden gemaakt in de verantwoordelijke en de (sub-) verwerker.

Bijvoorbeeld bij de salarisadministratie is de werkgever de verantwoordelijke en zijn wij als De Burele Accountants verwerker. Wij hebben onze verwerking gedelegeerd aan onze softwarelevancier NMBRS, NMBRS is dan subverwerker. De subverwerker zal ons kenbaar moeten maken welke privacymaatregelen zijn getroffen, wij zullen onze klant daarover inlichten. Ander voorbeeld: bij onze CRM software en onze Outlook telefoonlijst zijn wij verantwoordelijk voor een goede bescherming van persoonsgegevens.

In 2018 hebben wij invulling gegeven aan onze verantwoordelijkheid. Dat betekent dat we de processen en door ons ingeschakelde software hebben gescreend op de eventuele risico’s en getroffen maatregelen. In onze werkprocessen sturen we aan op het beperken van onnodige vastlegging van persoonsgegevens en voor de aanlevering op een veilige uitwisseling van gegevens met onze klanten. Op het gebied van hardware zullen we voortdurend kritisch na gaan of er nieuwe risico’s bestaan op het gebied van beveiliging.

Verwerker van gegevens

Wij worden bij onze dienstverlening beschouwd als verwerker van de volgende privacy gevoelige persoonsgegevens in het kader van onze opdracht, waaronder kunnen vallen personeelsadministratie, loonadministratie, financiële verslaglegging, fiscale aangifte:

  1. Naam (initialen, achternaam)
  2. Telefoonnummer
  3. E-mailadres
  4. Geboortedatum- en plaats
  5. Burgerlijke staat, geslacht
  6. Adres en woonplaats
  7. Gegevens ID-bewijs (in verband met de Wwft)
  8. Financiële gegevens, zowel zakelijk als privé
  9. NAW-gegevens en BSN van personeelsleden van onze cliënten

De werkzaamheden waarvoor bovengenoemde gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

  • De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan aan ons als verwerker een opdracht is verstrekt
  • het onderhoud, waaronder updates en releases van het door ons dan wel onze softwareleverancier als sub-verwerker aan onze klant ter beschikking gestelde systeem;
  • het gegevens- en technische beheer, ook door een sub-verwerker;
  • de hosting, ook door een sub-verwerker.

De gegevens die verwerkt worden betreffende volgende categorieën van betrokkenen:

  • ondernemer / bestuurder / aandeelhouder / UBO
  • vertegenwoordiger onderneming
  • fiscale partner van (1)
  • medewerkers van opdrachtgevers;

Bij de aan ons verleende opdracht tot het samenstellen van de jaarrekening worden wij door de autoriteit persoonsgegevens beschouwd als verantwoordelijke omdat wij bij die opdracht een aantal zaken zelfstandig beoordelen. Dit houdt in dat wij

Andere maatregelen

Verder hebben we voor al onze processen de volgende maatregelen getroffen:

  • Met onze leveranciers hebben we verwerkingsovereenkomsten gesloten, waarbij de door hen getroffen maatregelen en verantwoordelijkheden helder vastliggen.
  • Voor de gebruikte hardware maken we gebruik van encryptie van harde schijven en wordt geen gebruik meer gemaakt van niet beveiligde portable gegevensdragers.
  • Ons systeem van wachtwoordbeheer is verscherpt door inschakeling van specifieke software. Ook is aandacht geschonken aan het gebruik van beveiligde internetprotocollen, netwerkverbindingen, antivirus
  • Zoveel als mogelijk zal getracht worden persoonsgegevens niet per mail uit te wisselen maar via een beveiligd klantenportaal of via beveiligde software

Voor onze bestaande klanten zijn hernieuwde afspraken gemaakt over onze rol en de mate waarin wij of onze klant verantwoordelijk is voor de juiste toepassing van de AVG.

 

Ook benieuwd naar de impact van de AVG voor jouw bedrijf? Lees er meer over op https://hulpbijprivacy.nl/