Wat is uw rol en verantwoordelijkheid?
Iedere accountancyorganisatie verwerkt persoonsgegevens en moet zich dus houden aan de door de EU opgelegde wet- en regelgeving in de AVG. Als accountantsorganisatie moet u, al dan niet onder het toeziend oog van een Data Protection Officer, zorgen voor 'passende technische en organisatorische maatregelen'.
Technische maatregelen zijn alle ICT-securityvoorzieningen, zoals een firewall, IDS/IPS-systeem, endpoint protection, BYOD-managementoplossing en encryptie. Organisatorische maatregelen zijn erop gericht om datalekken te voorkomen die ontstaan door onwetendheid van de eigen medewerkers en gebrek aan beleid. Denk aan usb-sticks met onversleutelde persoonsgegevens die ‘per ongeluk’ kwijtraken, of e-mails met persoonsgegevens die bij de verkeerde personen terechtkomen.
Verplichte maatregelen
Dit vraagt om een sluitend privacy- en ICT-gebruiksbeleid met afspraken welke persoonsgegevens door wie op welke manier verwerkt worden. Daarnaast vraagt de AVG bij risicovolle verwerkingen van persoonsgegevens om deze risico’s van tevoren in kaart te brengen middels een Data Protection Impact Assessment. Ook is er een interne verantwoordingsplicht: de verantwoordelijken moeten kunnen rapporteren welke persoonsgegevens op welke manier worden verwerkt. Hiertoe moeten verwerkingsregisters worden bijgehouden. Dit is nog maar een greep uit de verplichte maatregelen: de AVG is zeer complex en bevat 99 artikelen met uiteenlopende maatregelen, procedures en documenten.