Ik mocht onlangs weer eens ‘echt’ op pad. Op de terugweg in de auto luisterde ik naar een podcast, ik vind dat persoonlijk een prettige manier om wat meer achtergronden te horen bij actualiteiten. In de betreffende podcast ging het onder meer over de AVG en in het bijzonder over een boete die de AVG onlangs heeft uitgedeeld. Het intrigeerde mij, niet zo zeer vanwege de hoogte van de boete (de Nederlandse Autoriteit Persoonsgegevens heeft de naam zeer hoge boetes uit te delen) maar meer vanwege de aanleiding. Het ging in dit geval om een mailing die niet op de juiste wijze was verzonden. Een lokale afdeling van een nationale politieke partij had een bevestiging van aanmelding voor een evenement verzonden, maar had daarbij alle aanmelders niet in de bcc maar in de aanhef vermeld. Het ging in dit geval om 100 geadresseerden. De boete viel (in termen van onze AP) mee: ‘slechts’ € 7.500.
De oorzaak is best interessant, want wees eerlijk: dit zou ons (bijna) allemaal kunnen overkomen, toch? In een onbewaakt moment vliegt de mail eruit en realiseren wij ons dat dit beter anders had gekund. De motivering bij de boete kent wel een bijzonderheid waar wij minder snel mee te maken hebben: het gaat immers om een politieke partij. En van politieke voorkeuren is in de AVG vastgelegd dat dit een bijzonder persoonsgegeven is. Dat zal dus in de bepaling van de strafbaarheid en de strafmaat een belangrijke rol hebben gespeeld naast het feit dat het datalek niet gemeld is.
Deze zaak kan je wel aan het denken zetten. Want hoe vaak gaat dit op kantoor fout? En weet ik dat eigenlijk allemaal wel? Zijn de procedures die wij zo’n 3 jaar geleden hebben bedacht nog passend? Kent iedereen ze ook? Ook het personeel dat na die tijd is gestart? Veel vragen die jij alleen kunt beantwoorden. Maar wel in de wetenschap dat de toezichthouder zich blijkbaar niet alleen meer concentreert op de grote zaken met de ‘megaboetes’ zoals de boete van € 525.000 voor Locate Family die vorige week in het nieuws was.
Als we hier nog wat verder over denken: hoe zit het überhaupt met de basishygiëne rondom het werken met vertrouwelijke gegevens? De AVG regelt veel voor de persoonsgegevens, maar als accountants- en administratiekantoor hebben wij nog veel gegevens die voor de buitenwacht zeer interessant kunnen zijn. En waarvoor het voor zowel de klant als voor het kantoor (zeer) schadelijk kan zijn als die op straat komen te liggen of al dan niet tijdelijk niet beschikbaar zijn als gevolg van een hack. Denk nog maar eens aan de lege kaasschappen in de supermarkten van een aantal weken terug als gevolg van de zogenaamde ‘kaas-hack’.
In alle drukte rondom het jaarrekeningseizoen, de afrekeningen NOW en TVL en de aangiften zouden wij bijna vergeten de basis goed op orde te houden. En zeker in de huidige tijd waardoor we minder op kantoor zijn en er meer informatie digitaal beschikbaar is, is het belangrijk dit te beseffen. Want er liggen veel risico’s op de loer. En er is toch niemand die tegen zijn klant wil zeggen: “Foutje bedankt…?”
Heb je de risico’s nog niet helemaal goed voor ogen of wil jij gewoon eens klankborden om te kijken hoe je ervoor staat, neem gerust eens contact op met Thijs de Nijs of Martijn Kriek.