Privacyverklaring

Notitie Privacybeleid STERK Accountants B.V.
– Gegevensbescherming, Cybercriminaliteit, Meldplicht Datalekken –

Inhoudsopgave notitie Privacybeleid STERK Accountants B.V.:

Bewustwording
Data Protection Impact Assessment
Functionaris voor de gegevensbescherming
Leidende toezichthouder
Privacy by design & privacy by default
Toestemming
Meldplicht datalekken
Tot slot

Bewustwording (A)

Tijdens de uitvoering van onze werkzaamheden communiceren wij elektronisch met onze cliënten en relaties. Hierin is tevens begrepen de onderlinge uitwisseling van persoonsgegevens, welke als data worden opgeslagen op onze computersystemen. Zoals mede benoemd in onze opdrachtbevestigingen zullen wij al hetgeen redelijkerwijs van ieder van ons verwacht mag worden, doen of nalaten ter voorkoming van het optreden van risico’s voortvloeiende uit elektronische communicatie, het verwerken van persoonsgegevens en het voorkomen van datalekken.

Ons kantoor is niet verplicht om een privacybeleid op te stellen. Daar wij van mening zijn dat het verplicht opstellen van een privacybeleid (ook wel gegevensbeschermingsbeleid) niet in verhouding staat tot de door ons verrichte verwerkingsactiviteiten. Mede ingegeven door de beperkte omvang van onze verwerking van persoonsgegevens in relatie tot onze overige werkzaamheden zowel ten aanzien van onze tijdsbesteding als ook de omzet gemoeid met de verwerking van persoonsgegevens in relatie tot de omzet van het totale kantoor. Waarbij tevens opgemerkt wordt dat deze bewerking vaak plaats vindt onder eindverantwoordelijkheid van onze opdrachtgever. In veel gevallen is hiervan geen sprake, dan is ons kantoor de verwerkingsverantwoordelijke.

Wij zijn als kantoor wel van mening dat het nuttig is om een privacybeleid op te stellen. Hiermee trachten wij privacy risico’s van verwerkingen van persoonsgegevens binnen ons kantoor inzichtelijk te maken, met vervolgens als doel het vermijden of verminderen van privacy risico’s. Tevens laten wij hiermee, aan onze beroepsgroep en de Autoriteit Persoonsgegevens, zien dat wij invulling willen geven en willen voldoen aan de Algemene Verordening Gegevensbescherming (AVG).

In de notitie privacybeleid zal aandacht besteed worden aan ‘the internet of things’ binnen ons kantoor, de voor ons kantoor van toepassing zijnde soft- en hardware en onze leveranciers van cloud oplossingen.

Met deze notitie voldoen wij tevens aan onze verantwoordingsplicht (accountability) en trachten wij een belangrijke bijdrage te leveren aan de bescherming van het grondrecht van mensen op privacy. Hiermee laten wij zien dat wij de juiste technische en organisatorische maatregelen hebben genomen om persoonsgegevens te beschermen. En dat een verwerking voldoet aan rechtmatigheid, transparantie, doelbinding en juistheid.

De persoonsgegevens die door ons worden verkregen, opgeslagen en indien nodig worden bewerkt, vloeien voornamelijk voort uit onze accountancy- en/of fiscale werkzaamheden die wij beroepsmatig verrichten. Aan onze dienstverlening ligt een opdrachtbevestiging met onze cliënt ten grondslag.

Wij zijn ons bewust van het feit dat cliënten waarvoor wij persoonsgegevens verwerken, het recht hebben op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

In deze notitie privacybeleid en het verwerkingsregister zal, waar van toepassing een omschrijving gegeven worden van de categorieën persoonsgegevens die wij verwerken. Hierbij is onze verplichting om niet meer persoonsgegevens te verwerken dan noodzakelijk wordt geacht om ons beroep te kunnen uitvoeren en onze diensten te kunnen verrichten. Persoonsgegevens worden daarnaast niet langer dan noodzakelijk voor onze beroepsgroep bewaard.

Door ons worden geen gegevens gedeeld met een land of internationaal kantoor buiten de Europese Unie. Wij gebruiken de gegevens alleen voor de afgesproken doelen, zullen de gegevens niet zonder toestemming met anderen delen en zorgvuldig beveiligen.

Onze medewerkers:

Zijn op de hoogte gebracht van de nieuwe privacyregels;
Zijn zich bewust van de huidige dreigingen op het terrein van informatiebeveiliging (cybercrime) en de belangrijkste oorzaken van datalekken;
Weten wat wij van hen in het kader van informatiebeveiliging en privacybescherming verwachten qua houding en gedrag en
Hebben verklaard dat zij op de hoogte zijn van de belangrijkste items van de Algemene Verordening Gegevensbescherming (AVG) en dat zij uit dien hoofde een (mogelijk) datalek onverwijld melden.

Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals, okt. 2019

Data Protection Impact Assessment, PIA (B)

Wij zijn van mening dat wij niet verplicht zijn een zogenaamd Data Protection Impact Assessment uit te voeren, daar onze beoogde gegevensverwerking waarschijnlijk geen hoog privacyrisico met zich meebrengt. Daar wij als kantoor niet:

systematisch en uitvoerig persoonlijke aspecten evalueren;
op grote schaal bijzondere persoonsgegevens verwerken;
op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied.

Gezien de omvang van ons kantoor volstaan wij met het opstellen van een notitie privacybeleid.

Functionaris voor de gegevensbescherming (C)

Wij zijn van mening dat wij geen functionaris voor de gegevensbescherming behoeven aan te stellen, daar wij niet kwalificeren als een kantoor zoals benoemd onder paragraaf B. Deze functionaris behoudt binnen het eigen kantoor toezicht op de toepassing en naleving van de AVG. Gezien onze geringe omvang behoeven wij deze functionaris niet te benoemen. Wij zijn ons als kantoor uiteraard bewust van een gedegen databescherming en wij realiseren ons dat data bescherming en het up to date houden hiervan, alsmede voldoen aan de AVG een continue proces is.

Leidende toezichthouder (D)

Er is geen sprake van een leidende toezichthouder. Daar ons kantoor maar één vestiging kent en tevens niet is aangesloten bij een internationaal, opererend kantoor en/of netwerk. Onze gegevensverwerking heeft ook geen impact op meerdere lidstaten binnen de Europese Unie. Door ons worden geen gegevens gedeeld met een land of internationaal kantoor buiten de Europese Unie.

Privacy by design & privacy by default (E)

Als kantoor voeren wij onze dienstverlening uit, in lijn met de uitgangspunten privacy by design en privacy by default.

De definities van privacy by design en privacy by default zijn ontleend aan de website Autoriteit Persoonsgegevens: Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat niet meer gegevens verzameld worden dan noodzakelijk voor het doel van de verwerking. En dat de gegevens niet langer bewaard worden dan nodig.

Privacy by default houdt in dat technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat wij alléén persoonsgegevens verwerken die noodzakelijk zijn voor het specifieke doel dat wij willen bereiken.

In onze omgang met privacy gevoelige informatie, het bewaren en verwerken van (persoons)gegevens en elektronische communicatie betrachten wij een professioneel kritische en alerte houding aan te nemen. Dit uit zich onder meer in het feit dat wij het risico op een datalek trachten te voorkomen door het risico op onder meer malware te verkleinen door:

tijdige software updates installeren waar nodig met de expertise van onze automatiseerder/software leverancier;
wij geen verouderde protocollen gebruiken;
computernetwerken en systemen hebben gescheiden, het netwerk blijft ten alle tijden op kantoor, laptops worden indien op locatie gebruikt enkel tijdelijk buiten de kantooromgeving gehouden;
wij periodiek back-ups maken op externe, losgekoppelde, beveiligde gegevensdragers.

Binnen ons kantoor zijn de 10 vuistregels van veilig internetten opgemaakt door het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie bekend en wordt invulling gegeven hieraan. Dit impliceert dat:

Antivirus programma’s zijn geïnstalleerd
Software updates worden uitgevoerd wanneer deze beschikbaar komen
Er worden ‘sterke’ wachtwoorden gehanteerd
Er is alleen verbinding met vertrouwde wifi netwerken
Er worden geen email berichten en onbekende bestanden geopend die wij niet vertrouwen en/of waarvan wij de afzender niet kennen
Er worden alleen apps en programma’s van bekende, officiële partijen gebruikt
Webadressen (URL’s) worden altijd gecontroleerd om vast te stellen of er sprake is van een nagemaakte of onveilige website
Pop-ups worden in de browser niet geopend en waar nodig afgesloten met Alt+F4
Wij denken goed na over te delen informatie op het internet (waaronder in ieder geval wordt verstaan onze website en sociale netwerksites)
Wij gebruiken ons gezond verstand, iets wat te mooi lijkt om waar te zijn, is dat meestal ook

Toestemming (F)

De AVG eist dat wij moeten kunnen aantonen dat wij geldige toestemming van betrokkenen hebben gekregen om persoonsgegevens te verwerken. De twee eisen die gesteld worden aan een geldige toestemming zijn dat deze geïnformeerd en specifiek gegeven is. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen.

Meldplicht datalekken (G)

Bij de beslissing of wij een gebeurtenis die zich heeft voorgedaan moeten melden aan de Autoriteit Persoonsgegevens, en eventueel daarnaast ook aan de betrokkene, moeten wij een aantal afwegingen maken. Het onderstaande schema, ontleend aan de beleidsregels voor toepassing van artikel 34a van de wet Wbp geeft onze afwegingen weer:

Beveiligingslek -> Heeft zich een beveiligingsincident voorgedaan?

Datalek -> Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten?

Melden aan de Autoriteit Persoonsgegevens -> Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?

Melden aan de betrokkene -> Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene?

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.

Indien een melding gedaan moet worden, dan wordt het meldformulier van het meldloket datalekken gehanteerd.

Tot slot (H)

Uw mening is belangrijk voor ons. Wij hechten dan ook veel waarde aan uw oordeel over onze website. Heeft u vragen, opmerkingen of suggesties over uw rechten en/of de manier waarop STERK Accountants B.V. met persoonsgegevens omgaat? Dan ontvangen wij deze graag via het e-mailadres info@sterk.accountants.

Vanzelfsprekend helpen wij u graag verder als u klachten heeft over de verwerking van uw persoonsgegevens. Mocht u er desondanks toch niet samen met ons uitkomen, dan heeft u op grond van de Algemene Verordening Gegevensbescherming ook het recht om een klacht in te dienen bij de privacytoezichthouder, de Autoriteit Persoonsgegevens

STERK Accountants B.V. kan deze notitie Privacybeleid wijzigen. We raden u dan ook aan deze verklaring regelmatig te lezen. Zo blijft u op de hoogte van eventuele wijzigingen.

Cookie	Duur	Beschrijving
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.