Op 25 mei 2018 wordt de nieuwe Europese privacywet, de ‘Algemene Verordening Gegevensverwerking’ (AVG), van toepassing. Deze nieuwe privacywet vervangt de Nederlandse Wet bescherming persoonsgegevens. Voor een deel overlappen deze twee wetten. Het verschil is dat met de nieuwe privacywet vooraf aantoonbaar gemaakt moet worden dat privacy en veiligheid van persoonsgegevens gewaarborgd zijn. De AVG vereist dus wel degelijk aanpassingen. Ook voor u als accountant.

Het belangrijkste om te weten is dat de nieuwe privacywetgeving gaat om de verwerking van persoonsgegevens en de herleidbaarheid hiervan. Als accountant heeft u ook te maken met de verwerking van persoonsgegevens. Volgens de Autoriteit Persoonsgegevens zijn dit “gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.” Dit laatste is een punt van aandacht. Vaak zijn gegevens die anoniem lijken toch te herleiden tot de natuurlijke persoon en vallen ze binnen de privacywetgeving. Hoe dit precies zit wordt later in deze blog besproken.

Bij persoonsgegevens wordt onderscheid gemaakt tussen gewone gegevens zoals naam en adres en bijzondere gegevens. Bijzondere gegevens zijn gegevens waarmee iemands privacy ernstig kan worden aangetast indien deze openbaar toegankelijk zijn. Hieronder valt bijvoorbeeld informatie over iemands gezondheid, geloof en ras.

Verwerking bijzondere persoonsgegevens

Onder de huidige Nederlandse wetgeving bent u al verplicht cliënten te informeren over de gegevens die u van hen verwerkt. Ook heeft u toestemming nodig van de cliënt om gegevens door te sturen en mag u deze gegevens niet delen met landen buiten de Europese Unie. Met het inwerking treden van de AVG worden deze verplichtingen verder aangescherpt. Tevens zijn er twee nieuwe privacyrechten toegevoegd. Namelijk het recht om ‘vergeten’ te worden en het recht om persoonsgegevens over te dragen. Maar wat impliceren deze aanscherpingen en aanvullingen voor u en hoe past u deze toe in uw werkzaamheden?

Werken voor cliënten betekent dat u al snel gegevens aan het verwerken en bewerken bent. Het verwerken en bewerken van gegevens valt onder de AVG. Dit mag u alleen doen onder bepaalde voorwaarden. Deze voorwaarden worden “Grondslagen” genoemd. Advocaat Menno Weij zegt hierover: “Als u iets met gegevens doet, dan moet u een grondslag hebben om die gegevens te verwerken. Er zijn zes grondslagen op basis waarvan u gegevens mag verwerken.” Naast cliënten geldt dit ook voor de gegevens van medewerkers binnen uw praktijk. Bij de verwerking van gegevens is het belangrijk rekening te houden met de herleidbaarheid. Bij directe persoonsgegevens spreekt dit vaak voor zich. Aan de indirecte persoonsgegevens zitten echter wat haken en ogen waar u rekening mee moet houden.

Directe en indirecte persoonsgegevens

Het behoeft geen uitleg dat een naam of een BSN directe gegevens zijn omdat deze immers direct leiden naar de betreffende persoon. Echter, ook indirecte gegevens waarvan u in eerste instantie wellicht denkt dat deze niet herleidbaar zijn vallen onder de nieuwe privacywet. “Indirecte persoonsgegevens zoals een telefoonnummer of een IP-adres zijn indirect via een ander bestand van bijvoorbeeld een derde partij toch te herleiden tot een natuurlijk persoon.“ Aldus Weij.

PE-Academy heeft in samenwerking met advocaat Menno Weij de cursus “Privacywet AVG: wat moet en wat mag?” ontwikkeld. Menno Weij is partner bij SOLV Advocaten in Amsterdam en gespecialiseerd in ICT-recht, Outsourcing, e-Commerce, Privacy alsmede in Auteurs- en merkenrecht.