Big data is de belofte van het nieuwe IT-tijdperk. Ging het in de vorige eeuw nog om het graven in bergen van gegevens (data mining). Nu kan via het internet een sleepnet worden gehaald door onbeperkte hoeveelheden persoonsgegevens. Maar niet alles mag, legt advocaat Monique van Dijken-Eeuwijk uit in dit artikel voor Accountant.
Tegen welke regels loop je als accountantskantoor het eerst aan als je zelf aan de slag gaat met Big Data of jouw klanten erover adviseert?
‘De toezichtwetgeving. Volgens de Wet toezicht accountants moet een accountantsorganisatie een beheerste en integere uitoefening van haar bedrijf waarborgen en de onafhankelijkheid tegenover de cliënt en de geheimhouding van gegevens veilig stellen.’
Hoe stel je dat veilig?
‘Je mag gegevens uit het controledossier niet zomaar delen met een andere discipline binnen de organisatie. Tenzij de cliënt de accountant ontheft van zijn geheimhoudingsplicht door toestemming te geven. Maar daarbij moet de accountant ook nog belangen van andere stakeholders meewegen. Door de onafhankelijkheidsvoorschriften kun je niet zo maar producten aanbieden aan een wettelijke-controlecliënt. En een kantoor kan zich ook niet afhankelijk maken van een Big Data provider als het daar de wettelijke controle doet.’
Met Big Data kunnen accountants niet alleen vaststellen of de jaarstukken een getrouw beeld geven, maar ook bedreigingen, risico’s en kansen signaleren. Kun je die toegevoegde waarde dan wel leveren?
‘Als je het integreert in de controle is het waarschijnlijk in overeenstemming met de onafhankelijkheidsvoorschriften. Nu zie je dat Big Data binnen de organisatie nog vaak een “stand alone” functie is.’
Cloud
‘Bij Big Data zitten gegevens vaak in de cloud. En in een cloud kunnen gegevens zich het ene moment bevinden in Singapore, het andere in de Verenigde Staten en daarna weer in Zuid-Afrika. De state of the art technologie vind je bij providers als Google, IBM en Amazon, Amerikaanse ondernemingen, die gevestigd zijn in de Verenigde Staten.’
Wat voor juridische gevolgen heeft dat?
‘Voor de beheerste bedrijfsvoering moeten gegevens goed beschermd zijn en moet je weten waar die zich bevinden. In de VS worden privacy en data vaak minder goed beschermd. Toezichthouders en partijen in een juridische procedure kunnen daar gemakkelijker toegang tot jouw gegevens krijgen dan in de EU. Daarom kun je persoonsgegevens daar niet zonder meer heen brengen.’
Wat moet je dan?
‘Je zou eigenlijk het maximale moeten doen om de gegevens binnen de EU te houden. Maar door gebrek aan state of the art technologie en infrastructuur in Europa is dat lastig. Zo lang er geen Europese alternatieven zijn voor Google, IBM en Amazon moet je proberen in het contract met de provider te bedingen dat de gegevens binnen de EU blijven en de cloud provider transparant is over de verwerking van de gegevens.’
Privacy
Als ik voor een klant een big data toepassing ontwikkel om het workflowmanagement te verbeteren, waar moet ik dan opletten?
‘Dat je niet alleen de gegevens beschermt, maar ook het intellectuele eigendom goed regelt. Je kunt de klant bijvoorbeeld een licentie geven.’
Mag ik of die klant personeelsgegevens gebruiken om het workflowmanagement te verbeteren?
‘Het doel van de data-analyse moet “verenigbaar” zijn met het doel waarvoor de gegevens in eerste instantie zijn verkregen. Workflowmanagement verbeteren, kun je wel zien als als “verenigbaar gebruik”, denk ik.’
Kun je klantgegevens gebruiken om de dienstverlening te verbeteren?
‘Als we ervan uitgaan dat het gebruik verenigbaar is, zul je daarvoor nog toestemming nodig hebben van de klant.’
Zijn er gegevens die je helemaal niet mag verwerken?
‘Ja, je mag normaal gesproken geen gegevens verwerken over iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid of seksuele leven.’
Maar openbare data mag je wel altijd verwerken?
‘Als het om persoonsgegevens gaat, moet je je daarbij houden aan de privacyregels.’
Moet ik worden geïnformeerd als mijn persoonsgegevens worden verwerkt?
‘Ja, je moet voldoende worden geïnformeerd over de verwerking. In de media heb je kunnen lezen dat Google, Facebook, LinkedIn hierin herhaaldelijk tekort zijn geschoten. In het licht van Big Data is het ook nog van belang dat een data-analyse niet mag leiden tot geautomatiseerde beslissingen over individuen. Denkbaar is dat een klant van het accountantskantoor Big Data gebruikt om met klanten uit een kennelijk risicogebied voortaan geen zaken meer te doen of alleen tegen ongunstiger condities. Dat mag dus niet zo maar.’
Boetes
Wat zijn de risico’s als je je niet aan de regels houdt?
‘Je riskeert klachten van klanten, werknemers en belanghebbenden. Betrokkenen kunnen claims indienen en toezichthouders kunnen boetes opleggen. De Autoriteit Financiële Markten bijt zo nu en dan al door. Straks kunnen privacytoezichthouders dat ook.’
Straks?
‘Er is een EU-verordening in de maak die privacytoezichthouders de bevoegdheid geeft voor elke overtreding een boete op te leggen ter grootte van 5% van de wereldwijde omzet. Als de Europese Commissie haar zin krijgt, wordt dit 2% lager. De verordening wordt naar verwachting op 1 januari 2015 ingevoerd.’
Hoe groot is de kans dat je wordt betrapt?
‘Ook de pakkans gaat omhoog. Het kantoor moet als verantwoordelijke voor de verwerking van persoonsgegevens kunnen aantonen dat de privacybescherming echt onderdeel uitmaakt van de bedrijfsprocessen en procedures. Verder moeten publieke organisaties en bedrijven met meer dan 250 werknemers moeten daarvoor een privacyfunctionaris aanstellen.’
Die boetes worden dus echt uitgedeeld?
‘Ja, ik verwacht dat de toezichthouders de boetebevoegdheid snel zullen gaan gebruiken als pressiemiddel om de nieuwe regels op de kaart te krijgen.’