Juist van accountants mag je verwachten dat ze zorgvuldig omgaan met de bescherming van gegevens. Toch is het slecht gesteld met de informatiebeveiliging in veel kantoren, zo weet Reindert Doorn. Hij deelt uit zijn ervaring met accountantskantoren de meest voorkomende missers.
1. Onbezonnen met bescheiden
Als onderdeel van de cliënt-acceptatie (Wwft) en de loonadministratie verzamelen kantoren grote hoeveelheden kopieën van identiteitsbewijzen. Hierbij worden meer identiteitsgegevens verzameld dan strikt noodzakelijk. Dat kan bij een plotselinge toetsing wel zo praktisch zijn. Maar er is een risico aan verbonden: in de praktijk worden die kopieën op uiteenlopende plekken opgeslagen en is er onvoldoende zicht op de beveiliging van de opslaglocaties. Zo kunnen bij veel kantoren alle medewerkers bij de kopieën. Of zijn de kopieën opgeslagen op een harddisk of een cloud-opslaglocatie zonder tweestapsverificatie. Bij een digitale inbraak liggen de identiteitsgegevens van klanten dan onnodig snel op straat.
Wat kun je eraan doen?
Beperk de verzameling tot het minimum, verwijder niet-noodzakelijke gegevens. Classificeer deze digitale documenten als je kroonjuwelen en beperk de toegang. Stel een proces op, van aanlevering door de klant tot archivering, dat nauwgezet wordt gevolgd. Onderzoek de aankomende mogelijkheden voor remote identification waarbij alleen een transcript van de identiteitsverificatie wordt vastgehouden.
2. Achteloos met afspraken
Bijna alle kantoren hebben een IT-partner in de hand voor de technische kant van IT. Het gaat hierbij bijvoorbeeld om werkpleken cloud- of serverbeheer. Op deze partner wordt zo sterk gesteund, dat het besef van eigen verantwoordelijkheid als het gaat om beveiliging minimaal is. Hierbij kan de situatie ontstaan dat er niet verder wordt gekeken dan enkele technische maatregelen. In de praktijk blijkt dat de IT-partner lang niet altijd adequaat toeziet op de veiligheid van de cloud of serveromgeving, de veiligheidsinstellingen rond e-mailverkeer onveilig staan of dat er wordt gestart met SharePoint/Teams zonder de compliance-instellingen te configureren. Het resulteert in een onterecht gevoel van security-compliancy.
Wat kun je eraan doen?
Maak zwart-op-wit afspraken met je IT-partner over wie in de uitvoering verantwoordelijk is voor welk element van beveiliging. Maak daarnaast afspraken over de invulling van de technische maatregelen. Controleer de beveiliging zelf door simpele tests als via www.internet.nl en door technische analyses uitgevoerd door derden.
3. Laks met leveranciers
Er komen steeds meer softwareapplicaties in het landschap van het accountantskantoor. Gemiddeld heeft een kantoor dertig softwareapplicaties in gebruik. Daarnaast gebruiken medewerkers op de werkvloer allerlei handige online tools. Ondanks dat kantoren steeds afhankelijker worden van software, worden de applicaties en de aanbieders nauwelijks beoordeeld. Zo worden in de praktijk applicaties gebruikt waarin gegevens worden gedeeld buiten de Europese Economische Ruimte, zonder passende waarborgen. Ook heeft niet elke leverancier de basis beveiligingsmaatregelen op orde. Let erop dat het kantoor verantwoordelijk is voor het beschermen van de klantgegevens.
Wat kun je eraan doen?
Stel een lijst op van basiseisen waaraan applicaties en aanbieders moeten voldoen. Het Digital Trustcenter biedt voorbeeldlijsten. Beoordeel elke nieuwe toepassing langs deze meetlat. Spreek intern af binnen welke bandbreedtes leveranciers mogen worden geaccepteerd. Informeer naar ISO27001-certificering van de leverancier. Vraag een verwerkersovereenkomst op en neem deze zorgvuldig door. Bespreek elk jaar met de leveranciers opnieuw de stand van zaken.
4. Krabbels kopiëren
Het gehele werkproces van de accountant is gericht op kwaliteit. Als het echter gaat om de elektronische handtekening zijn de eindproducten die worden opgeleverd in veel gevallen niet voorzien van het juiste betrouwbaarheidsniveau. Zo worden er vandaag de dag bij kantoren nog ingescande handtekeningen gekopieerd en geplakt onder documenten en verklaringen – al dan niet uitgevoerd door een assistent van de accountant. De digitale handtekening in de vorm van een geplakt plaatje kent in elk ge val een zeer laag betrouwbaarheidsniveau en de methode is zeer gevoelig voor fraude. Niet het voorbeeld dat je graag uitdraagt als kantoor.
Wat kun je eraan doen?
Ga aan de slag met de gekwalificeerde elektronische handtekening met behulp van een persoonsgebonden beroepscertificaat. Deze geeft volledige zekerheid. Implementeer software voor een digitaal ondertekenproces waarbij alleen de accountant zelf kan ondertekenen. Zorg met de software voor goede bewijslast van de wilsuiting tot ondertekening en laat alle belangrijke documenten verzegelen.
5. Losjes met logins
Met de groei van het applicatielandschap en onlineaccounts groeit de behoefte aan één centraal inlogsysteem. Niet alleen om medewerkers te faciliteren, maar ook om ze bij vertrek adequaat de toegang te ontzeggen tot alle onlineaccounts. Hoewel er handige oplossingen in de markt zijn (ook wel single-sign-on of SSO genoemd) laat de implementatie te wensen over. Hierdoor komt de vertrouwelijkheid van gegevens in gevaar. Zo wordt bij kantoren tweestapsverificatie uitgeschakeld in applicaties om een SSO-inlogproces te faciliteren. En worden handmatige, veelal onbeveiligde lijsten met wachtwoorden van medewerkers bijgehouden om bij verlopen wachtwoorden dit te kunnen herstellen.
Wat kun je eraan doen?
Maak alleen gebruik van een centraal inlogsysteem als dat de beveiliging verbetert, niet om gebruiksgemak. Schakel nooit tweestapsverificatie uit hiervoor. Bespreek de juiste configuratie met de aanbieder van de software. Bekijk ook de standaardmogelijkheden die Microsoft 365 biedt hiervoor.
Reindert Doorn is adviseur bij DOCCO, een innovatie- en adviesbureau dat accountantskantoren helpt bij digitale transformatie. Hij begeleidt dagelijks accountantskantoren als adviseur of interim-projectmanager en is gespecialiseerd in security & privacy. De genoemde voorbeelden uit dit artikel zijn gebaseerd op de dagelijkse praktijk.
Deze bijdrage komt uit de derde editie van het AV-magazine dat gaat over ICT en Kengetallen. Dit magazine is verschenen in september 2022. Zie: https://www.accountancyvanmorgen.nl/kennisdoc/av3-2022-ict-en-kengetallen/
Geef een reactie