Het zijn de brieven die betrekking hebben op iedereen wiens werk, rust of spel te maken heeft met computers en informatie. Laten we eerlijk zijn, dat zijn de meesten van ons tegenwoordig, vooral op het gebied van accountancy (en ik heb het niet over MTD!) Ze zijn G.D.P.R. En dat zijn de algemene gegevensbeschermingsregels die op 25 mei 2018 van kracht worden.
Dit gebied is allesbehalve zo droog en saai als het klinkt. Controverse en verwarring in overvloed. Dus hier is deel één van de no-nonsense, hype-vrije gids van Accounting Insight News door het doolhof van de AVG:(Maar eerst een woord van waarschuwing ... het is een gids, geen juridisch evangelie!)
De hoeveelheid digitale informatie is de afgelopen 20 jaar snel en enorm toegenomen. Bestaande regels die bepalen hoe bedrijven en openbare organisaties met deze informatie omgaan, deze verwerken en in het algemeen zorgen voor deze informatie, voldeden niet aan de taak in ons nieuwe, meer door technologie doordrenkte landschap.
Er moest dus iets gebeuren, zoals de man die vroeger voor het gemotoriseerde voertuig liep en met een rode vlag zwaaide om medeweggebruikers te waarschuwen. In een notendop, de gegevensbeschermingsrichtlijn van 1995 (man met rode vlag) wordt vervangen door AVG, het nieuwe Europese kader voor gegevensbescherming. We gaan het tijdperk van dataremmen en verkeerslichten in!
Oh, en voordat we de Brexit-weg inslaan, introduceert het VK de wet op de gegevensbescherming, die in feite de AVG overneemt, ongeacht EU-aangelegenheden.
De regelgeving zal in het VK worden gehandhaafd door het Information Commissioner's Office, dat is gevestigd in Cheshire en wordt geleid door Elizabeth Denham, die in 2016 werd aangesteld voor een termijn van vijf jaar. Haar taak is om "het vertrouwen van het Britse publiek in wat er met hun persoonlijke gegevens gebeurt”.
Inbegrepen in het wettelijke AVG-pakket zijn:
De ICO zegt dat als u momenteel onderworpen bent aan de wetgeving inzake gegevensbescherming, u ook onderworpen bent aan de AVG.
Hoe u door de wet wordt beïnvloed, hangt af van of u een verwerker of beheerder van informatie bent. Een 'controller' bepaalt hoe gegevens worden gebruikt, bijvoorbeeld voor een marketingcampagne of een verkooppraatje. De term 'verwerker' omvat al het andere. Dat wil zeggen dat u gegevens in een bestand of in de cloud verkrijgt, aanpast en bewaart, maar niet de baas bent.
De volgende stap is persoonlijke en gevoelige gegevens. Persoonlijk betekent alle informatie die kan worden gebruikt om een persoon te identificeren, zoals naam of IP-adres. Gevoelig betekent gegevens die zaken als seksuele geaardheid, politieke opvattingen, medische geschiedenis en dergelijke onthullen.
Zoals je zou verwachten, zijn de meeste big data-gedreven bedrijven op de hoogte van de AVG. Waarschijnlijk hebben ze bijvoorbeeld al voldaan aan de eis om een functionaris voor gegevensbescherming in dienst te nemen.
Maar er zijn veel kleinere bedrijven, waaronder accountants, die veel persoonlijke en gevoelige gegevens beheren en verwerken. En ze moeten slim zijn. Ze moeten er gewoon voor zorgen dat ze weten welke gegevens ze hebben, bijvoorbeeld over klanten. Ze moeten ervoor zorgen dat ze toestemming hebben om het te gebruiken zoals ze zijn. En ze moeten ervoor zorgen dat het veilig is.
Datalekken – vernietiging, verlies, ongeoorloofde openbaarmaking – moeten binnen drie dagen na een hack worden gemeld aan de ICO. De inbreuk moet waarschijnlijk gevolgen hebben voor de rechten of vrijheden van mensen. Dus de voorwaarden voor rapportage hebben betrekking op gebieden zoals financieel verlies en vertrouwelijkheid
Groepen met meer dan 250 werknemers moeten uiteenzetten waarom de persoonlijke en gevoelige informatie van mensen wordt verzameld en verwerkt.
En in bepaalde situaties moeten bedrijven toestemming krijgen om de gegevens van een persoon te gebruiken. Dit proces moet duidelijk worden uitgelegd en er moet een "positieve opt-in" zijn van de persoon die wordt gevraagd om iets te doen.
De AVG geeft mensen meer macht om aan informatie over zichzelf te komen. En ze hoeven niet te betalen voor het voorrecht, zoals ze nu doen. Ook moet het bedrijf de details binnen een maand aanleveren. In de meeste gevallen zullen mensen recht hebben op uitleg van een beslissing die over hen wordt genomen op basis van het gebruik van hun gegevens. Ze kunnen ook de verwijdering eisen van persoonlijke informatie die niet langer nodig is voor het doel waarvoor ze zijn verzameld.
In een woord. boetes. Als je de gegevens van iemand niet volgens de AVG verwerkt (en je wordt gewinkeld of ontdekt), kun je een boete krijgen. flink. Hetzelfde geldt voor een inbreuk op de gegevensbeveiliging die niet wordt gemeld.
De ICO heeft de bevoegdheid om financiële boetes op te leggen tot € 10 miljoen of 2% van de wereldwijde omzet van een bedrijf (afhankelijk van wat groter is) voor kleinere overtredingen. Dat cijfer loopt op tot € 20 miljoen of 4% voor serieuzere zaken. Dat bedrag was vroeger £ 500.000.
GDPR heeft geleid tot veel bangmakerij en de profiteurs van onheil zijn er in grote getale op uit geweest. Denham heeft als volgt op sommige critici gereageerd:
Op boetes: “Deze wet gaat niet over boetes. Het gaat erom de consument en burger centraal te stellen. Dat mogen we niet uit het oog verliezen. Focussen op hoge boetes zorgt voor geweldige krantenkoppen, maar denken dat de AVG gaat over verlammende financiële straffen slaat de plank mis. De inzet van de ICO om organisaties te begeleiden, te adviseren en op te leiden over de naleving van de wet zal onder de AVG niet veranderen. We hebben altijd de voorkeur gegeven aan de wortel boven de stok.”
Na toestemming: “Om verwerking volgens de AVG rechtmatig te laten zijn, moet u een wettelijke basis identificeren voordat u begint. Lokale autoriteiten die gegevens over gemeentelijke belastingen verwerken, banken die gegevens delen voor fraudebescherming, verzekeringsmaatschappijen die claimgegevens verwerken. Elk van deze voorbeelden gebruikt een andere wettelijke basis voor het verwerken van persoonlijke informatie die geen toestemming is. De nieuwe wet voorziet in vijf andere manieren om gegevens te verwerken die wellicht passender zijn dan toestemming."
Over AVG in het algemeen: “AVG is een evolutief proces voor organisaties – 25 mei is de datum waarop de wetgeving van kracht wordt, maar geen enkel bedrijf staat stil. Er wordt van u verwacht dat u in de weken, maanden en jaren na mei 2018 opkomende privacy- en beveiligingsrisico's blijft identificeren en aanpakken. Dat gezegd hebbende, zal er geen 'grace'-periode zijn - er is twee jaar geweest om voor te bereiden en we zullen reguleren vanaf deze datum.”
Nog iets is zeker. We komen op dit onderwerp terug.
Hoe u het verzamelen van een vonnis kunt vermijden
Hoe u Western Union-kosten kunt vermijden
Hoe u een transfersom in een appartement kunt vermijden
Hoe voorkom je dat je blind wordt beroofd nadat je sterft
Hoe te voorkomen dat 2021 net zo'n ramp wordt als 2020
Hoe u een liefdadigheidszwendel kunt vermijden
Hoe deuk (DENT) te kopen