​De digitalisering heeft het accountantsberoep fundamenteel veranderd. Waar het dossier vroeger in een kast zat, circuleert het vandaag tussen boekhoud- en aangiftesoftware, een documentmanagementsysteem, cloudopslag, e-signing, klantportalen én – nog altijd – e-mail. Dat is efficiënt, maar het maakt het beroep ook kwetsbaar: één verkeerd geadresseerde mail, één te ruim ingestelde toegangsrechtengroep of een derde die ‘mee’ in je data kan kijken, kan al snel leiden tot een vertrouwelijkheidsincident en mogelijk een persoonsgegevensinbreuk. De GDPR is precies bedoeld om dat risico te beheersen.

Niet door de werking van kantoren te verlammen, maar door een juridisch kader op te leggen dat persoonsgegevens beschermt via principes, rollen, contractuele verplichtingen en passende beveiligingsmaatregelen. In dit artikel staan we eerst kort stil bij wat de GDPR inhoudt en wat de kernprincipes zijn, om die vervolgens toe te passen op de concrete vraag: hoe gaat u als accountant om met software, mailverkeer en de data van uw klant?

Wat houdt de GDPR in?

De GDPR (Algemene Verordening Gegevensbescherming/AVG) is een Europese verordening die sinds 25 mei 2018 van toepassing is en de basisregels vastlegt voor de verwerking en bescherming van persoonsgegevens van natuurlijke personen. Ze legt verplichtingen op aan organisaties die met persoonsgegevens werken en geeft betrokkenen afdwingbare rechten. Ook voor accountants is de GDPR dus geen louter ‘IT-thema’, maar een juridisch kader dat rechtstreeks doorwerkt in de manier waarop u dossiers opbouwt, documenten uitwisselt, software inzet en vertrouwelijkheid bewaakt.

Het toepassingsgebied is ruim: de GDPR geldt voor de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens én voor persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen. Concreet: niet alleen uw boekhoudpakket, maar ook uw mailboxarchief, klantenportaal, DMS en cloudmappen vallen onder de GDPR zodra er persoonsgegevens in zitten.

Ook het begrip ‘verwerking’ is breed. Het omvat onder meer verzamelen, opslaan, raadplegen, gebruiken, doorzenden, combineren en wissen. In de accountantspraktijk betekent dit dat bijna elke handeling met klantdossiers – inclusief het doorsturen van een bijlage of het archiveren van een mail – juridisch een verwerking is.

Kernprincipes van de GDPR

De GDPR vertrekt van een aantal fundamentele beginselen die als toetssteen gelden voor elke verwerking van persoonsgegevens. Voor de dagelijkse praktijk in een accountantskantoor zijn vooral de volgende beginselen richtinggevend:

(i) Rechtmatigheid, behoorlijkheid en transparantie: Persoonsgegevens moeten rechtmatig, behoorlijk en transparant worden verwerkt. Dit vertaalt zich in duidelijke afspraken met de klant (bijvoorbeeld opdrachtbrief, privacy-informatie) en een verdedigbare grondslag voor wat u doet.

(ii) Doelbinding: Gegevens moeten verzameld worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder worden verwerkt op een onverenigbare manier. Praktisch: wat u ontvangt ‘voor de opdracht’, gebruikt u niet zomaar voor andere doeleinden.

(iii) Minimale gegevensverwerking: Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het principe is bijzonder relevant voor mailverkeer en het verspreiden van documenten: minder data delen en minder kopieën aanmaken is vaak de meest effectieve compliance- én beveiligingsmaatregel.

(iv) Opslagbeperking: Bewaar persoonsgegevens niet langer dan noodzakelijk. Een mailbox als eeuwige archiefkast is moeilijk te rijmen met dit principe.

(v) Juistheid: Persoonsgegevens moeten correct en up-to-date zijn. Als gegevens onjuist blijken, moet u redelijke maatregelen nemen om ze zonder uitstel te verbeteren of te verwijderen.

(vi) Integriteit en vertrouwelijkheid: Persoonsgegevens moeten op passende wijze worden beveiligd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit is de juridische basis voor MFA (multifactorauthenticatie), encryptie, toegangsbeheer, logging en incidentprocedures.

(vii) Verantwoordingsplicht (accountability): De verantwoordingsplicht vormt een rode draad doorheen de GDPR. De verwerkingsverantwoordelijke moet niet alleen de naleving van de GDPR-beginselen verzekeren, maar deze naleving ook kunnen staven en aantonen met passende documentatie, maatregelen en governance.

Toepassing op de accountantspraktijk: software, mailverkeer en klantdata

Wie als accountant met klantdossiers werkt, verwerkt onvermijdelijk persoonsgegevens. De GDPR vertrekt daarbij van een rolverdeling die in de praktijk bepalend is voor uw verplichtingen. De verwerkingsverantwoordelijke is degene die de doeleinden en de middelen van de verwerking vaststelt, terwijl de verwerker persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke.

In een accountantskantoor zullen die rollen vaak naast elkaar bestaan. Voor de eigen kantoororganisatie (personeelsbeheer, facturatie, marketing, intern IT-beheer) treedt u in de regel op als verwerkingsverantwoordelijke. In het kader van cliëntendossiers kan u – afhankelijk van de concrete opdracht en de mate waarin de cliënt instructies geeft – soms handelen als verwerker, en in andere gevallen (mede) als verwerkingsverantwoordelijke. Belangrijk is dat deze kwalificatie niet enkel ‘contractueel’ is: wanneer een partij die als verwerker wordt aangeduid in werkelijkheid zelf doeleinden en middelen bepaalt, wordt zij voor die verwerking als verwerkingsverantwoordelijke beschouwd. Dit is vooral relevant bij softwareleveranciers die (naast het leveren van de dienst) gegevens of metadata ook voor eigen doeleinden willen gebruiken.

Software als dataketen

Vanuit dat perspectief is het nuttig om uw softwarelandschap te benaderen als een dataketen. Klantgegevens lopen door boekhoud- en aangiftesoftware, documentmanagementsystemen, klantenportaal, cloudopslag, e-signing, back-up enzovoort. Zodra een leverancier in die keten persoonsgegevens verwerkt namens uw kantoor (of namens uw cliënt binnen de grenzen van uw opdracht), moet die relatie juridisch en praktisch correct zijn ingericht. Artikel 28 GDPR vereist dat verwerking door een verwerker wordt geregeld via een overeenkomst (of andere rechtshandeling) waarin minstens het onderwerp, de duur, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen worden vastgelegd. In die overeenkomst moeten bovendien kernwaarborgen terugkomen, zoals verwerking enkel op gedocumenteerde instructies, vertrouwelijkheid, passende beveiliging, bijstand bij incidenten en – bij het einde van de dienstverlening – teruggave of wissing van gegevens (behoudens wettelijke bewaarplichten).

Ook intern moet u uw verwerkingen kunnen inventariseren en onderbouwen. Daarom verplicht de GDPR tot het bijhouden van een register van verwerkingsactiviteiten. In de praktijk betekent dit dat u als verwerkingsverantwoordelijke in het register minstens de volgende zaken opneemt:

1. de verwerkingsdoeleinden
2. de categorieën van persoonsgegevens (en betrokkenen)
3. de categorieën van ontvangers
4. eventuele doorgiften (bijvoorbeeld naar derde landen of internationale organisaties)
5. waar mogelijk de bewaartermijnen
6. en een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Treedt u op als verwerker, dan houdt u een register bij van de categorieën van verwerkingen die u ten behoeve van verwerkingsverantwoordelijken uitvoert.

Peppol en e-facturatie

Sinds 1 januari 2026 is gestructureerde elektronische facturatie via het Peppol-netwerk verplicht voor btw-plichtige ondernemingen in België. Voor accountants vraagt dit extra waakzaamheid. Door het beroepsgeheim moet u vermijden dat een factuur (via omschrijvingen of dossierbenamingen) vertrouwelijke informatie over de cliënt of het dossier prijsgeeft.

De meest aangewezen aanpak is daarom om de factuurinhoud te beperken volgens het principe van dataminimalisatie. Vermeld op de (Peppol-)factuur zo weinig mogelijk gevoelige details. De factuur moet gestructureerd worden uitgewisseld, maar een gedetailleerde ereloonstaat of uitgebreide prestatiedetails kan u – indien nodig – afzonderlijk aan de cliënt bezorgen via een vertrouwelijk kanaal (bijvoorbeeld via een portaal of een beveiligde link), buiten het e-facturatiekanaal om.

Het gebruik van e-mail

E-mail is in de meeste kantoren nog steeds het standaardkanaal voor communicatie, maar tegelijk één van de meest frequente bronnen van privacy-incidenten. Een persoonsgegevensinbreuk beperkt zich namelijk niet tot een hack: ook een onbedoelde openbaarmaking of toegang, of een verlies of wijziging van persoonsgegevens kan daaronder vallen. Een verkeerd geadresseerde mail, een CC/BCC-fout of een bijlage die ongewild wordt doorgestuurd, kan dus perfect als gegevensinbreuk worden aangemerkt.

Wanneer u toch documenten via e-mail moet verzenden, is het cruciaal dat u kunt aantonen dat u passende beveiligingsmaatregelen toepast. De GDPR verplicht passende technische en organisatorische maatregelen en noemt daarbij onder meer versleuteling (waar passend), maatregelen om beschikbaarheid en herstel te waarborgen, en het periodiek toetsen van de doeltreffendheid van die maatregelen. In de praktijk is een combinatie van MFA op mailboxen met versleutelde bijlagen of beveiligde links met vervaldatum vaak een verdedigbare minimumnorm, zeker bij gevoelige stukken zoals loonfiches, identiteitsdocumenten of fiscale detailgegevens.

Data van klanten

Zodra klantgegevens binnen het kantoor circuleren, staat vertrouwelijkheid centraal. De GDPR vereist dat persoonsgegevens ‘op passende wijze’ worden beveiligd, zodat zij beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking, met inbegrip van ongeoorloofde toegang of verstrekking. Een model waarbij ‘iedereen alles ziet’ is daarom in de regel moeilijk te verantwoorden, zeker wanneer dossiers gevoelige informatie bevatten.

Daar komt in België voor accountants een expliciete beroepsrechtelijke verplichting bovenop. De Wet van 17 maart 2019 betreffende de beroepen van accountant en belastingadviseur legt een geheimhoudingsplicht op voor gegevens die u (uitdrukkelijk of stilzwijgend) in de uitoefening van uw beroep zijn toevertrouwd en voor vertrouwelijke feiten die u in die uitoefening vaststelt. Bovendien moet u, wanneer u vertrouwelijke informatie deelt met personeelsleden, stagiairs of andere beroepsbeoefenaars, erop toezien dat zij het vertrouwelijk karakter daarvan eerbiedigen. Toegangsbeheer, onboarding en offboarding, en een cultuur van discretie zijn dus geen loutere compliance-maatregelen, maar essentiële pijlers van zorgvuldig en professioneel handelen.

Een belangrijke vraag is wat er moet gebeuren met de data van een cliënt die overstapt naar een andere dienstverlener. De basisregel bij een klantenwissel is duidelijk en dwingend. Zodra de cliënt erom verzoekt, moet de beroepsbeoefenaar alle boeken, documenten en elektronische of andere gegevens die toebehoren aan de cliënt onverwijld teruggeven. Die verplichting is verankerd in zowel de wettelijke regeling voor accountants en belastingadviseurs als in de toepasselijke deontologische regels. In een volgend artikel gaan we dieper in op wat deze verplichting in de praktijk precies met zich meebrengt.

Wat te doen bij een datalek?

Het is essentieel om incidenten niet te beschouwen als zeldzame uitzonderingen, maar als situaties waarop u als kantoor voorbereid bent. In de praktijk hoeft een datalek niet spectaculair te zijn: zoals eerder aangehaald kan een verkeerd geadresseerde e-mail, een CC/BCC-fout of een onbedoeld doorgestuurde bijlage al kwalificeren als een persoonsgegevensinbreuk.

De GDPR legt in dat geval een duidelijk kader op. De verwerkingsverantwoordelijke moet een persoonsgegevensinbreuk zonder onredelijke vertraging en, indien mogelijk, uiterlijk binnen 72 uur nadat hij er kennis van heeft genomen melden aan de bevoegde toezichthoudende autoriteit, de Gegevensbeschermingsautoriteit (GBA). Dit tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De verwerker moet de verwerkingsverantwoordelijke zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van een inbreuk.

Minstens even belangrijk als de vraag ‘moeten we melden?’, is de plicht om incidenten systematisch te documenteren. De GDPR vereist dat de verwerkingsverantwoordelijke alle inbreuken documenteert, met inbegrip van de feiten, de gevolgen en de genomen corrigerende maatregelen. Een datalekregister is daarom geen formaliteit, maar een instrument om controle te houden en om achteraf te kunnen aantonen dat u adequaat hebt gehandeld.

Maak van het datalekregister een praktisch werkdocument

Een degelijk datalekdossier bevat doorgaans minstens:

1. een korte omschrijving van het incident (wat is er gebeurd, via welk kanaal/systeem, hoe werd het ontdekt?)
2. datum van het incident
3. wie het incident intern meldde
4. welke gegevenscategorieën mogelijk betrokken zijn (en hoe gevoelig die zijn) en hoeveel betrokkenen (aantal of realistische schatting)
5. een voorlopige risico-inschatting (waarom wel/geen risico voor rechten en vrijheden)
6. de beslissing over melding aan de GBA, met een beknopte motivering: (i) wel melden: waarom het (waarschijnlijk) een risico inhoudt of (iii) niet melden: waarom het geen (of niet waarschijnlijk) risico inhoudt
7. de genomen beperkende en corrigerende maatregelen (bv. link ingetrokken, account geblokkeerd, wachtwoorden gereset, extra MFA afgedwongen, verkeerde afzender gevraagd e-mail te verwijderen)
8. de afsluiting van het incident en eventuele preventieve verbeteracties.

Dit alles sluit aan bij de rode draad van de GDPR: de verantwoordingsplicht. Naleving is niet alleen ‘juist handelen’, maar ook kunnen aantonen dat u passende maatregelen heeft genomen en incidenten beheerst. Een incident proberen te verbergen is daarom zelden verstandig: niet alleen kan het risico escaleren (verdere verspreiding, extra betrokkenen), het ondergraaft ook uw verdedigbaarheid wanneer een incident later toch aan het licht komt.

In dat licht is een datalekregister dat volledig leeg blijft, bij een eventuele controle vaak minder geloofwaardig dan een register waarin kleinere incidenten correct zijn opgenomen, geëvalueerd en afgesloten. Het gaat om aantonen dat u incidenten detecteert, registreert, beoordeelt en corrigeert.

Conclusie: GDPR gaat over vertrouwelijkheid in een digitale omgeving

GDPR in een accountantskantoor gaat in essentie niet over ‘extra administratie’, maar over het professioneel organiseren van vertrouwelijkheid in een digitale omgeving. Wie zijn rol (verwerkingsverantwoordelijke of verwerker) correct afbakent, zijn softwareketen contractueel en technisch op orde zet, e-mail bewust herleidt tot communicatie en gevoelige documentstromen via beveiligde kanalen laat verlopen, maakt de verwerking van klantgegevens tegelijk veiliger én beter verdedigbaar onder de GDPR-beginselen én de beroepsrechtelijke vertrouwelijkheid.

Wanneer zich toch een incident voordoet, maakt een duidelijke procedure en een zorgvuldig bijgehouden datalekregister het verschil: niet omdat een kantoor geen fouten mag maken, maar omdat de verantwoordingsplicht vereist dat u kan aantonen dat u incidenten detecteert, beoordeelt, corrigeert en structureel bijstuurt.

Met die basis versterkt u niet alleen de bescherming van persoonsgegevens, maar ook de continuïteit, kwaliteit en reputatie van uw kantoorpraktijk.

Joost Peeters en Yannick Lauwers – Studio Legale

​​​​Dit artikel verscheen eerder ook in het ITAAzine van het ITAA.

Lees hier ook andere artikels van Studio Legale.