33 teit Persoonsgegevens, waarmee je je als organisatie kunt voorbereiden op de AVG. “Iedereen zou hetzelfde moeten doen, ook al is voor elk bedrijf de impact weer anders,” stelt De Kruijff. Stap één is ‘awareness’: “Weten wat de wet voor jouw bedrijf betekent, maar ook zorgen dat het personeel op de hoogte is. Ze moeten weten wanneer sprake is van een datalek. Bijvoorbeeld dat dit ook het geval is bij een USB-stick die een medewerker kwijtraakt. Maar ook dat ze weten wat persoonsgegevens zijn en dat ze daar voorzichtig en zorgvuldig mee moeten omgaan.” Nathanja de Kruijff Dataportabiliteit De hele wetgeving is geënt op het beschermen en afschermen van de rechten van een betrokkene wiens gegevens worden gebruikt. Bijvoorbeeld het recht om vergeten te worden en het recht om dataverwerking te beperken. ‘Een klant heeft het recht om over te stappen’ Het zogenoemde recht op dataportabiliteit heeft direct invloed op de werkwijze van kantoren, constateert De Kruijff. “Als een klant wil overstappen van accountants- of administratiekantoor, heeft hij het recht dat zijn hele administratie NOAB en de persoonsgegevens worden overgedragen naar het nieuwe kantoor.” Die relatie moet goed worden geregeld, benadrukt ze: “Kun je als kantoor iemand ‘vergeten’? Kun je op een makkelijke en geautomatiseerde manier al de gegevens van iemand verwijderen?” Hierbij komt ook de relatie met de softwareleverancier om de hoek kijken, aldus De Kruijff: “Het kan gebeuren dat een klant ons benadert om gegevens te verwijderen, omdat wij een stukje van de data in onze software hebben. Dat moet goed geregeld zijn in de contractuele relatie met het accountants- en administratiekantoor. Gaan we dat faciliteren voor de ondernemer of loopt het verzoek via zijn accountant? Dat moet worden vastgelegd.” Compliant De nieuwe regels vormen een extra administratieve last. De werkprocessen en het documentbeheer moeten dan ‘compliant’ zijn ingericht. Kantoren moeten kunnen aantonen dat de gegevensverwerking voldoet aan de wettelijke grondslagen, stelt De Kruijff. “Je moet in kaart brengen welke gegevens van wie je verwerkt en waarom?” Dat moet allemaal in een register staan. Daarbij gaat het niet alleen om de gegevens die je in je boekhoudsysteem verwerkt, maar ook om de papieren dossiers.” Alle stappen moeten herleidbaar zijn, net als bij belastingcontroles. Het is een extra systematiek die kantoren moeten opzetten, benadrukt De Kruijff. “Je zult er als kantoor je eigen standpunten in moeten vinden. Je moet echt nadenken ‘wat vinden wij voldoende, gezien de gegevens die wij verwerken?’ en dat incorporeren in je bedrijfsprocessen.” Twinfield International NV De Beek 9−15 3871 MS Hoevelaken T 033−467 70 00 E info@twinfield.com I www.twinfield.nl Activa | Nummer 4 - 2017 Fotog r a f ie Go f fe St r u i k sma
34 Online Touch Home