…of toch nog niet helemaal? Dan bent u zeker niet alleen. Bij de pakken blijven zitten is echter geen optie, want stilaan maar zeker begint de Gegevensbeschermingsautoriteit (de ‘GBA’) in actie te schieten. Als boekhouder of accountant komt u met de regelmaat van de klok met (dikwijls gevoelige) persoonsgegevens van uw klanten in aanraking, waardoor u binnenkort wel eens de GBA over de vloer zou kunnen krijgen. Mr. Franklin zet de belangrijkste GDPR-aandachtspunten voor uw kantoor op een rijtje zodat u zo goed mogelijk gewapend bent hiertegen.
Data-inventaris
Een goede voorbereiding is het halve werk. Daarom is het belangrijk om eerst een inventaris te maken van welke persoonsgegevens u van welke betrokkenen momenteel verwerkt, van waar u deze gegevens haalt, in welke omstandigheden en hoelang u deze bewaart, wie van uw kantoor toegang heeft tot de gegevens en tot slot of u bepaalde gegevens met derden deelt. Via deze denkoefening kan u meteen controleren hoever u al staat (of juist niet) in het kader van uw GDPR-verplichtingen en hoeveel werk er nog aan de winkel is.
Doeleinden en wettelijke grondslagen van iedere verwerking
Voordat u effectief persoonsgegevens begint te verwerken, moet u eerst nadenken (1) voor welke doeleinden u deze zal verwerken en (2) via welke van de zes wettelijke grondslagen u iedere verwerking zal verantwoorden.
Een typische misvatting is dat men vaak ervan uitgaat dat u voor iedere verwerking de toestemming van de betrokkene moet vragen. Niets is minder waar. Als boekhouder of accountant, verwerkt u bijvoorbeeld vaak persoonsgegevens van uw klanten in het kader van de verlening van uw accountancydiensten. U hoeft hiervoor geen toestemming te vragen, aangezien u deze verwerking perfect kan rechtvaardigen via de noodzaak voor de uitvoering van de overeenkomst met uw klant. Ook moet u bepaalde gegevens sowieso bewaren of delen met de overheid in het kader van een wettelijke verplichting, zoals in het kader van het UBO-register dat recent in het leven werd geroepen door de nieuwe antiwitwaswetgeving. Zelfs indien u persoonsgegevens van uw klanten voor directe marketing verwerkt, kan u zich beroepen op uw legitieme belangen en hoeft u geen toestemming te vragen.
Register van verwerkingsactiviteiten
Uw belangrijkste verplichting is dat u als verwerkingsverantwoordelijke een register van verwerkingsactiviteiten moet bijhouden. Dit document is essentieel, want indien er zich bijvoorbeeld een datalek voordoet, zal de GBA aan de hand van dit register kunnen beoordelen of uw kantoor al dan niet voldoende conform de GDPR was georganiseerd. Wij overlopen met u de belangrijkste zaken die in dit register moeten staan.
Vooreerst moet u de contactgegevens van het privacy-aanspreekpunt op uw kantoor opnemen. Ondernemingen die hoofdzakelijk gevoelige gegevens verwerken (zoals ziekenhuizen), of die het verwerken van persoonsgegevens als ‘core business’ uitoefenen (zoals sommige digital marketeers), moeten hiervoor verplicht een functionaris voor gegevensbescherming of ‘data protection officer’ (DPO) aanstellen. Voor accountants (en ook voor andere vrije beroepen), weigert de GBA echter hardnekkig om een duidelijk standpunt in te nemen hierover.
Ten tweede moet u ook opnemen welke persoonsgegevens u van welke betrokkenen verwerkt. Hierbij neemt u ook op voor welke doeleinden u deze persoonsgegevens verwerkt.
Indien u persoonsgegevens deelt met externe verwerkers (zoals een sociaal secretariaat), moet u ook hun contactgegevens in het register opnemen. Verder moet u omschrijven hoelang u de persoonsgegevens bijhoudt. De algemene regel is dat u persoonsgegevens niet langer mag bewaren dan nodig voor het verwerkingsdoel. Hier moeten we onmiddellijk aan toevoegen dat de bewaarperiode soms door dwingende wetgeving wordt opgelegd. Zo moet u volgens de boekhoudwetgeving bepaalde persoonsgegevens van uw klanten zeven jaar bijhouden, en volgens de antiwitwaswetgeving moet u deze zelfs tien jaar bewaren te rekenen vanaf het einde van de zakelijke relatie met uw klant of vanaf de datum van een occasionele verrichting.
Tot slot moet u verantwoorden welke technische en organisatorische maatregelen u neemt ter bescherming van de persoonsgegevens en welke interne procedure uw kantoor hanteert indien u jammer genoeg toch met een datalek te maken krijgt.
Privacybeleid
Aan de hand van uw privacybeleid of privacy policy, informeert u de betrokkenen over hoe u met hun persoonsgegevens omgaat. Hierin vat u in begrijpbare taal samen wat u ondertussen al netjes in uw register van verwerkingsactiviteiten hebt opgenomen.
Belangrijk om aan uw policy toe te voegen, is dat de betrokkenen van wie u persoonsgegevens verwerkt ook een aantal rechten hebben, zoals het recht op inzage, het recht op verbetering van verkeerde gegevens, het recht om vergeten te worden, enzovoort. U moet de betrokkenen informeren dat zij deze GDPR-rechten genieten, dus neemt u best een passage op in uw privacy policy waarin u kort hun rechten verduidelijkt en hoe zij deze kunnen uitoefenen (bijvoorbeeld per mail naar een apart privacy e-mailadres van uw kantoor). Als verwerkingsverantwoordelijke moet u zich uiteraard ook intern organiseren zodat u ieder verzoek van een betrokkene tot uitoefening van zijn rechten, correct en tijdig kan inwilligen. Belangrijk is ook dat enkel de betrokkenen zelf deze rechten kunnen uitoefenen. Stel dat u een nieuwe klant heeft die van boekhouder is veranderd, dan kan enkel de klant zelf (via zijn recht van overdraagbaarheid) eisen dat zijn voormalige boekhouder de persoonsgegevens van die klant aan u overdraagt. Als u dit in zijn plaats probeert te doen, zal u helaas bot vangen.
Verder bent u ook verplicht om de betrokkenen te informeren hoe zij een klacht bij de GBA kunnen neerleggen en via welke contactgegevens zij de GBA kunnen bereiken daarvoor.
Bij nieuwe klanten is het overigens een best practice om uw privacy policy meteen in de vorm van een clausule op te nemen in de opdrachtbrief, zodat zij onmiddellijk geïnformeerd zijn nog voor u met uw verwerkingsactiviteiten aan de slag gaat. Indien u een website heeft, is het ook geen slecht idee om uw privacy policy (in dat geval samen met een cookie policy) online te zetten. In elk geval brengt u best iedereen van wie u persoonsgegevens verwerkt, sowieso schriftelijk (per e-mail of per brief) op de hoogte van uw nieuwe privacy policy.
Tot slot is uw privacybeleid op papier maar zo sterk als de uitvoering ervan binnen uw kantoor. Daarom is het belangrijk dat ook uw collega’s goed geïnformeerd zijn over het privacybeleid van uw kantoor, en dat zij steeds de reflex maken om de GDPR in het achterhoofd te houden tijdens de uitoefening van hun job.