De nieuwe Europese regelgeving, GDPR, die vanaf 25 mei de wetgeving betreffende de bescherming van de persoonlijke levenssfeer aanzienlijk zal versterken, lokt heel wat reacties uit. Iedereen heeft er al over horen spreken, maar niemand weet waarover het precies gaat. In dit artikel beantwoorden wij 5 vragen die je een beter zicht op de GDPR zullen geven.
Hoe ben je als accountant of belastingadviseur GDPR compliant?
In het bezit zijn van een mandaat
Op basis van een akkoord stelt dit mandaat je in staat om de persoonsgegevens van je klanten door anderen, zoals het sociaal verzekeringsfonds bijvoorbeeld, te laten verwerken. De verwerking houdt, onder andere, in dat je die gegevens mag overdragen en door andere partijen mag laten bewerken.
Elk kantoor, groot of klein, moet effectief over de vereiste mandaten beschikken.
Het doel van het mandaat verduidelijken
Het gaat hier om de opdracht die je voor je klant moet vervullen zoals boekhoudkundige en fiscale taken uitvoeren. In casu komt dit erop neer dat je zijn boekhouding voor hem beheert. Dit mandaat slaat dus op alle persoonsgegevens – en op de verwerking ervan – die je nodig hebt voor de uitvoering van je opdracht als accountant of als belastingadviseur.
Je mag derhalve enkel de persoonsgegevens verwerken en bewaren die je nodig hebt voor de correcte uitvoering van je opdracht. In het geval van een sociaal verzekeringsfonds, kan dat ook het beheer van het sociaal statuut omvatten.
Een register van de verwerkingsactiviteiten bijhouden
Dat register moet de volgende informatie bevatten :
• de juridische grondslag of de reden die je toelaat om de gegevens te verwerken;
• de doeleinden van de verwerking;
• de categorieën van persoonsgegevens en van betrokken personen;
• de bron van de persoonsgegevens;
• de bestemmelingen aan wie de persoonsgegevens overgemaakt worden;
• de duur van bewaring alsook de termijn voor het verwijderen van de persoonsgegevens;
• de naam en coördinaten van de verantwoordelijke voor de verwerking en/of de onderaannemer.
Dat register kan ook veiligheidsmaatregelen bevatten die in het kader van de GDPR toegepast zullen worden. Je moet ook een onderaannemingsovereenkomst afsluiten met je softwareleverancier. De dienstverstrekkers die toegang hebben tot de persoonsgegevens van je klanten mogen die informatie in geen geval voor persoonlijke doeleinden aanwenden.
Er bestaat nog geen strikte richtlijn over het model van register van de verwerkingsactiviteiten. Het mag dus in Excel opgemaakt worden bijvoorbeeld.
Je klanten beschikken over een inzagerecht
Zo kunnen ze bijvoorbeeld vragen om de persoonsgegevens die je over hen bezit te mogen raadplegen. Daartoe volstaat het dat je hun een kopie van hun gegevens overmaakt. Dit moet binnen een termijn van 30 dagen gebeuren en, in principe, mag je daarvoor geen kosten aanrekenen.
Informeer je medewerkers over de getroffen maatregelen
Geef ze voldoende informatie en sensibiliseer ze voor de bescherming van de persoonlijke levenssfeer.
Hoe kan je bewijzen dat je voldoet aan de GDPR-vereisten of dat je alles in het werk stelt om in orde te zijn?
Vanaf 25 mei moet je in staat zijn om te bewijzen dat je het nodige doet om in orde te zijn met de GDPR.
De 3 voornaamste etappes zijn:
- het verwerkingsregister;
- het verwerkingsakkoord;
- het feit dat je je medewerkers daarover inlicht.
Je kunt een formulier opstellen dat de getroffen maatregelen weergeeft. Dat overzicht zal zeker een nuttige documentatie zijn, maar wettelijk gezien ontoereikend. Je moet dus echt in staat zijn om te bewijzen welke concrete stappen je ondernomen hebt. Zo zal je, bijvoorbeeld, moeten kunnen aantonen hoe ver het staat met je register.
Welke maatregelen moet je nemen als je met andere partijen samenwerkt?
Als klanten je advies vragen over leningen, verzekeringen, kredieten, … mag je, vanaf 25 mei, hun persoonsgegevens niet langer, aan banken, verzekeraars, of kortom, aan derden meedelen opdat zij contact met hen zouden kunnen opnemen.
In principe moet je de coördinaten van die derden aan je klanten overmaken opdat zij zelf het initiatief zouden nemen om deze te contacteren. Daarentegen kan je wel (via gewone mail) vragen of zij je toestemming geven om hun gegevens door te geven, bijvoorbeeld, om informatie over een bepaalde lening te verkrijgen.
Het mandaat dat je klanten aan jou verlenen, kan ook in dat type van samenwerking voorzien. Je moet de beoogde partijen dan duidelijk vermelden en niet zomaar de term derden gebruiken. Je zal ook uitdrukkelijk moeten beschrijven met welk doel je diensten aan je klanten aanbiedt. Als het slechts om één klant gaat, moet je je algemene werkwijze niet aanpassen. Een schriftelijke toestemming zal in dat geval volstaan.
Mogen de persoonsgegevens langer bewaard worden dan strikt noodzakelijk? Wat houdt dat in?
De persoonsgegevens die je nodig hebt voor de uitvoering van je opdracht mag je bewaren zolang de betrokken persoon tot je klantenbestand behoort. Vanaf het ogenblik dat een klant beslist om een einde aan de samenwerking te maken, moet je in principe al zijn persoonsgegevens in je databases vernietigen of wissen.
Einde van de samenwerking met je klant?
Als een klant beslist om de samenwerking te beëindigen, mag je zijn coördinaten slechts gedurende een bepaalde periode bewaren.
Als accountant of belastingadviseur is het dus raadzaam om bepaalde verjaringstermijnen, van 3 of 7 jaar bijvoorbeeld, in acht te nemen. Je doet er dus goed aan om de btw-aangiften, belastingaangiften, wijzigingen, … van ex-klanten met het oog op een eventuele belastingcontrole te bewaren tot de verjaringstermijn verstrijkt.
Zorg er ook voor dat je hem vooraf op de hoogte brengt van de geldende termijnen of de criteria om deze te bepalen. Zelfs al beroept een klant zich op zijn recht op overdracht en eist hij dus dat zijn volledige boekhouding naar de nieuwe accountant of nieuwe belastingadviseur overgedragen wordt, dan nog bewaar je ze, veiligheidshalve en om elk probleem te vermijden, best tot de verjaringstermijnen verstrijken. Daarna moet je alle persoonsgegevens definitief wissen of vernietigen…
Wat moet je doen bij een datalek?
Er is sprake van een datalek als er een risico bestaat dat persoonsgegevens verspreid worden zonder toestemming, verloren gaan, vernietigd of gewijzigd worden. Als de computer waarop ze opgeslagen zijn of je netwerk gehackt wordt, is er sprake van een datalek, zelfs al werd geen enkel persoonsgegeven gekopieerd of beschadigd. Het verlies van een USB-stick en de verzending van een mail naar een verkeerde bestemmeling worden eveneens als een datalek beschouwd.
De wet verplicht je niet om een register van gelekte gegevens bij te houden. Toch kan het nuttig zijn om ze te bewaren. Zo kan je best de volgende informatie registreren:
• de datum alsook een korte beschrijving van de gelekte gegevens;
• wat er met de persoonsgegevens gebeurd is;
• het aantal en soort persoonsgegevens die gelekt zijn;
• de gevolgen en de getroffen maatregelen;
• of aan de meldingsplicht voldaan werd of de reden waarom dit niet gemeld werd (niet alle lekken moeten immers gemeld worden).
Wat die meldplicht betreft, willen wij nog aanstippen dat je de datalekken niet systematisch moet melden aan de Commissie voor de bescherming van de persoonlijke levenssfeer die, vanaf 25 mei, de Autoriteit Persoonsgegevens wordt. Deze melding is wel verplicht als het misdrijf, naar alle waarschijnlijkheid, een risico voor de rechten en vrijheden van de natuurlijke personen inhoudt. In dat geval moet ze binnen 72 uur volgend op de vaststelling van het datalek plaatsvinden.
Deze melding moet vijf soorten gegevens omvatten:
• de aard van het misdrijf;
• de betrokken personen;
• de naam en coördinaten van de functionaris voor de gegevensbescherming of een ander contactpunt waar bijkomende informatie verkregen kan worden;
• de vermoedelijke gevolgen van het datalek;
• de maatregelen die getroffen en preventief toegepast zullen worden.
Als het datalek een groot risico kan veroorzaken, moet je de betrokken personen ook inlichten over de aard van het lek, de vermoedelijke gevolgen ervan en de getroffen maatregelen om ze te verhelpen. Deze mededeling is niet verplicht als de gegevens vergrendeld of versleuteld waren, als er reeds maatregelen getroffen werden om te vermijden dat die lekken zich in de toekomst nog zouden voordoen of als er een publieke mededeling of persbericht verspreid werd.