De digitalisering heeft onze sector vooruitgestuwd, maar maakt kantoren ook afhankelijker van software. Waar dossiers, boekhouding en fiscaliteit vroeger in de kluis lagen, circuleren vandaag grote datastromen door externe platformen. Die data zijn vaak gedekt door het beroepsgeheim. Hoe garanderen we in dat ecosysteem dezelfde vertrouwelijkheid als aan de fysieke tafel met de cliënt? Het ITAA wil een formeel transparantiekader met softwareleveranciers tot stand brengen: helder, controleerbaar en bindend.
Vertrouwelijkheid als wettelijke plicht
Accountants- en belastingadvieskantoren gebruiken een waaier aan toepassingen voor dossierbeheer, boekhouding, rapportering, fiscaliteit en documentbeheer. Die toepassingen verwerken grote volumes informatie die onder het strafrechtelijk beschermde beroepsgeheim vallen. Tegelijk zijn “data” uitgegroeid tot een strategisch en commercieel kernbegrip, wat nieuwe vormen van opslag, analyse, delen en (in)directe monetisatie stimuleert. Dat spanningsveld, innovatie versus vertrouwelijkheid, staat centraal in de bezorgdheden van ITAA‑leden.
Kantoren blijven volledig verantwoordelijk voor het naleven van het beroepsgeheim, ook wanneer de verwerking via externe software gebeurt. In de praktijk botst die plicht op een onduidelijke communicatie bij sommige softwarehuizen: welke data worden precies bewaard (en waar, met expliciete aandacht voor bewaring binnen de EU/EER), in welke vorm (identificeerbaar, gepseudonimiseerd of geanonimiseerd), met welke doeleinden, met welke derden en met welke commerciële implicaties? In tal van contracten blijft die informatie vaag of te technisch, waardoor onbewuste risico’s ontstaan.
"Anoniem" is vaak niet anoniem
Wat bij softwareleveranciers als “anoniem” wordt voorgesteld, blijkt in de praktijk vaak pseudonimisering: identificerende elementen worden vervangen, maar herleiding blijft mogelijk via aanvullende sleutels, metadata of koppeling met externe bronnen. Zonder transparante communicatie en geïnformeerde toestemming van de eindcliënt ontstaat zo een juridisch en ethisch risico.
Pseudonimisering: identificerende elementen worden vervangen, maar herleiding blijft mogelijk met extra sleutels of bronnen. Niet hetzelfde als anonimiseren.
Anonimisering: onomkeerbaar verwijderen van identificeerbaarheid, ook bij combinatie met andere datasets. In de praktijk moeilijker dan het lijkt.
Doelstelling: één duidelijk, controleerbaar en bindend kader
Het ITAA beoogt een kader waarin softwareleveranciers volledige transparantie bieden over hun datastromen en erkennen dat gegevens die onder vertrouwelijkheid en beroepsgeheim vallen niet voor andere doeleinden mogen worden gebruikt, tenzij dat vooraf duidelijk, gedetailleerd en traceerbaar wordt meegedeeld aan het kantoor én de cliënt, die eigenaar van de data is. Dit moet zowel de cliënt beschermen als de rechtszekerheid voor ITAA-leden verhogen.
Het voorstel: een samenwerkingsovereenkomst met softwareleveranciers
Het voorgestelde instrument is een formeel samenwerkingsakkoord met softwareleveranciers actief in onze sector. Ondertekenaars engageren zich tot vier kernverplichtingen:
- Erkenning van beroepsgeheim en vertrouwelijkheid
Leveranciers erkennen dat zij gegevens verwerken die onder het beroepsgeheim vallen en dat die niet voor andere doeleinden mogen worden gebruikt zonder volledige transparantie en uitdrukkelijke toestemming van het kantoor én diens cliënt, die eigenaar van de data is.
- Volledige en gedetailleerde transparantie
Op de website én in contracten documenteren leveranciers begrijpelijk: welke data zij opslaan, waar (met expliciete aandacht voor bewaring binnen de EU/EER), in welke technische vorm (ruwe data, logs, metadata, pseudo- of anonimisering), met welke doeleinden, bewaartermijnen, derde ontvangers en elke vorm van commercialisatie, zelfs beperkt.
- Opt-in voor elk secundair gebruik
Voor analyses, optimalisatie of commerciële doeleinden geldt een opt-in: voorafgaande expliciete toestemming van het kantoor, eenvoudige deelbaarheid van die informatie richting cliënten, en in voorkomend geval de toestemming van de cliënt (bijv. via de opdrachtbrief). Privacy by design en dataminimalisatie zijn daarbij leidende principes.
- Externe auditbaarheid
Processen rond gegevensverwerking moeten auditbaar zijn, rechtstreeks of via een door het ITAA erkend framework, zodat claims over datagebruik, beveiliging en transparantie verifieerbaar zijn.
Wat levert dit op?
Voor ITAA leden en hun cliënten
- Rechtszekerheid: duidelijke spelregels die het beroepsgeheim in een gedigitaliseerde omgeving werkbaar houden.
- Transparantie: inzicht in datastromen, doeleinden en bewaartermijnen, zodat kantoren hun informatieplicht tegenover cliënten kunnen vervullen.
- Vertrouwen: een sectorstandaard die verwachtingen op elkaar afstemt en discussies vóór is.
Voor softwareleveranciers
- Herkenning als ‘transparante leverancier’ via opname in een ITAA‑register, en de mogelijkheid om dat publiek te communiceren.
- Concurrentieel voordeel: expliciete afstemming met beroepsgeheim‑verplichtingen creëert vertrouwen bij kantoren.
- Efficiëntere samenwerking: duidelijke kaders verminderen discussies over doeleinden en verwerkingsgrondslagen en versnellen implementaties.
De vier engagementen in één oogopslag
- Beroepsgeheim: geen nevengebruik zonder transparantie en expliciete toestemming van kantoor én cliënt; de cliënt is eigenaar van de data.
- Transparantie: publiek en contractueel overzicht van data, locatie (met aandacht voor EU/EER-bewaring), doeleinden, termijn, derden en commercialisatie.
- Opt-in: secundair gebruik enkel na expliciete toestemming; privacy by design en dataminimalisatie.
- Audit: verifieerbare processen, rechtstreeks of via erkend framework.
Wat kunnen kantoren nu al doen?
- Kaart je datastromen
Breng in kaart welke software je gebruikt, welke data waarheen gaan (in en uitgaand), en op welke grondslag. Dit vereenvoudigt je gesprek met leveranciers over transparantie en doeleinden. - Herbekijk contracten en privacy bijlagen
Check of doeleinden, bewaartermijnen, doorgiften en vormen van (in)directe commercialisatie helder en volledig zijn. Vraag verduidelijking waar nodig. - Actualiseer je opdrachtbrieven
Voorzie clausules die het opt-in principe tastbaar maken, zodat toestemming van cliënten correct en begrijpelijk verloopt. - Vraag naar auditmechanismen
Informeer hoe leveranciers hun beweringen over datagebruik en beveiliging aantoonbaar maken, bijvoorbeeld via externe audits of erkende frameworks. - Beperk data aan de bron
Implementeer dataminimalisatie: verzamel enkel wat nodig is, definieer bewaartermijnen en automatiseer verwijderingsprocessen waar mogelijk. - Maak een interne contactfiche per leverancier
Documenteer voor elk platform: verwerkingsdoeleinden, contactpunten, opslaglocaties, subverwerkers en procedure bij incidenten. Dat reduceert responstijd bij vragen van cliënten of audits.
Conclusie
De digitale versnelling vraagt om vertrouwen op systeemniveau. Met een formele samenwerkingsovereenkomst wil het ITAA de lat helder leggen: volledige transparantie, bewuste toestemming, auditbaarheid, en bovenal het onverkort respect voor het beroepsgeheim. Zo ontstaat er een evenwicht tussen innovatie en wettelijke bescherming, met winsten voor kantoren, leveranciers en vooral: voor cliënten.
