Vandaag een bericht op accountant.nl onder een onderzoek van de Consumentenbond waaruit zou blijken dat een kwart van de organisaties inzageverzoeken niet goed afhandelt. Dat zou wat vragen kunnen oproepen:

• Geldt, zoals de Consumentenbond lijkt te zeggen, dit recht alleen voor consumenten?
• Wat is dat inzagerecht eigenlijk?
• Is dit nog relevant voor de compliance officer van een accountantskantoor?

Om met de eerste kwestie te beginnen: nee. De relevante wetgeving hier is de AVG en dat is geen consumentenrecht maar breder, het geldt voor alle natuurlijke personen. Het inzagerecht is kort gezegd het recht voor een “betrokkene”, dat wil zeggen een persoon wiens persoonsgegevens worden verwerkt, inzicht te krijgen in de verwerking van diens persoonsgegevens. Dat betreft zowel de inhoud van die gegevens, als de wijze van verwerking, de grondslagen, etcetera. Dit is geregeld in artikel 15 van de AVG (te vinden bij: autoriteitpersoonsgegevens.nl AVG)

Doel van dit recht is mensen de kans te geven zelf te controleren wat een organisatie aan persoonsgegevens over hem of haar verzamelt, en wat daar mee gebeurt. Een betrokkene heeft vervolgens rechten om op te treden als blijkt dat gegevens niet kloppen, onrechtmatig verwerkt worden, etcetera.

In een uitspraak van de rechter, (zie ECLI:NL:RBROT:2021:2305) worden relevante uitspraken gedaan over welk recht een betrokkene nu precies heeft, en welke plicht een verwerkingsverantwoordelijke dus heeft. Relevant is:

1. Het inzagerecht gaat uitsluitend over persoonsgegevens die betrekking hebben op de betrokkene zelf. Het begrip “persoonsgegeven” moet breed worden uitgelegd, maar het kent wel grenzen die van geval tot geval bekeken moeten worden.
2. Een betrokkene die meent dat meer gegevens beschikbaar zouden moeten zijn dan hij of zij gekregen heeft, zal dat zelf aannemelijk moeten maken.
3. Artikel 15 van de AVG geeft de betrokkene géén recht op een afschrift van documenten of een kopie van bestanden waarin de persoonsgegevens zijn opgenomen als ook op een andere wijze aan het inzageverzoek kan worden voldaan.

Wat moet je daar nu mee in je compliancerol bij een accountantskantoor? Of je nu formeel bent aangewezen als FG of niet, maakt hierbij weinig uit. Een FG is immers feitelijk een compliance officer voor de AVG. Dus wie compliance officer is, zonder uitsluiting van verantwoordelijkheid voor de AVG, is in hoge mate vergelijkbaar met een “echte” FG.

Voor het accountantskantoor is van belang dat je toezicht houdt op de naleving van de AVG. Accountantskantoren, vaak inclusief fiscale praktijk en salarisadministratie, verwerken veel persoonsgegevens. Ook als de klant een rechtspersoon is, is het niet bepaald uitzonderlijk dat in het kader van de opdracht persoonsgegevens worden verwerkt van bijvoorbeeld de DGA. In de praktijk zoals ik die waarneem is het intern melden van datalekken, de externe melding daarvan en de opvolging, best goed geregeld. Ook verwerkingsovereenkomsten, privacy-statements op websites etcetera wil vaak wel. Maar wat ik zelden goed geregeld zie zijn is de invulling van de rechten van betrokkenen zoals dit inzagerecht. En daar heeft de compliance officer of de FG dan wel iets om op te letten.

De betrokkene heeft naast inzagerecht overigens meer rechten, en die moeten allemaal door de organisatie worden eerbiedigd in een voorkomend geval. Nu lijkt dat niet zo spannend. Immers, zo vaak krijgen accountantskantoren geen verzoek om inzage. En als dat dan een keer moet, dan lost de organisatie het op dat moment wel op, nietwaar?

Kleine uitdaging: de organisatie dient binnen één maand te reageren. Ofwel met de gevraagde informatie, ofwel met uitleg waarom pas na drie maanden aan het verzoek voldaan kan worden, ofwel met uitleg waarom geen inzage verstrekt zal worden. En een maand is vrij kort, als nog bedacht moet worden welke informatie in welke vorm exact verstrekt gaat worden. Het wordt nog korter als tussen ontvangst van het verzoek en starten van de verzameling van informatie tijd verloren gaat. Bijvoorbeeld omdat het verzoek bij de accountant van een klant binnen komt, die niet weet waar hij of zij die vraag vervolgens kan neerleggen.

Wat zou je dus ten minste moeten vaststellen vanuit compliance?

1. Is op de website van kantoor duidelijk aangegeven hoe en bij wie verzoeken met betrekking tot de rechten van betrokkenen in het kader van de AVG kunnen worden ingediend?
2. Is een proces ingericht, inclusief bewaking van termijnen, om binnen 1 maand een antwoord te leveren aan betrokkene?
3. Heeft de organisatie nagedacht over de wijze waarop alle persoonsgegevens waarover de organisatie beschikt, met betrekking tot een persoon, verzameld kunnen worden uit alle systemen, inclusief bijvoorbeeld e-mail, CRM, klant-acceptatie (denk ook aan de UBO!), etcetera?
4. Heeft de organisatie nagedacht over de vorm waarin desgevraagd invulling gegeven kan worden aan een inzageverzoek? Worden afschriften en kopieën verstrekt, of bijvoorbeeld een overzicht van stukken, zonder de kopie zelf?
5. Heeft de compliance officer of de FG vastgesteld dat voornoemde gedachten voldoen aan de eisen van de AVG en van de toezichthouder, de AP?