De meeste accountants zijn ervan overtuigd dat zij veilig én volgens de wet data uitwisselen met klanten. En in veel gevallen is dat ook waar. Klanten leveren hun documenten veilig aan via platforms als Zivver en SmartLockr en de accordering verloopt weer net zo zeker via online Clouddiensten zoals AFAS of Exact. Maar hoe zit het met de conceptversies of documenten die niet geaccordeerd worden via dit soort diensten? Hoe veilig is het als klanten documenten aanleveren via SharePoint? In dit blog nemen we je mee langs de valkuilen én oplossingen rondom data uitwisselen met de klant.

Mismatch in systemen bij data-uitwisseling

Een van de lastigste situaties bij het uitwisselen van data, is wanneer jouw administratiesoftware niet koppelt met die van de klant. Hoewel de meeste grote partijen wel een veilige verbinding bouwen, komt het nog weleens voor dat je wordt gedwongen om exports te maken. Hierbij is het haast niet te voorkomen dat je ze verstuurt via e-mail of overhandigt met via een USB.

Dit levert allerlei veiligheidsrisico’s en beperkingen op, want wat als de mail niet aankomt? Wat als de USB-stick tijdens het transport kapotgaat? Daarbij is een USB-stick natuurlijk nog makkelijker te ontvreemden en raak je deze ook snel kwijt. Denk er daarom goed over na hoe je deze dataoverdracht toch zo veilig mogelijk borgt. Je neemt bijvoorbeeld al een hoop risico weg als je gebruikmaakt van SharePoint en je jouw relatie vraagt of deze de bestanden op SharePoint wil plaatsen.

De security valkuilen van Microsoft 365

Dan komen we direct bij het volgende punt: hoewel documentaanlevering vaak via Zivver of SmartLockr verloopt, geven sommige klanten de voorkeur aan Microsoft 365. Op zich is dit geen probleem, alleen vergeten veel accountants dat de standaard beveiliging bij het delen met derden niet op actief staat.

Weet jij echt exact wie er toegang heeft tot jouw mappen? Kan alleen de persoon die de documenten moet aanleveren in de map? Of kan iedereen met een deellink erin? En hoe lang hebben ze deze bevoegdheid? Ditzelfde probleem popt op bij het werken aan conceptversies van documenten. Ook daarbij is het de vraag wie er toegang heeft en voor hoelang.

Gevolgen van slechte security bij Microsoft 365

De AVG komt je natuurlijk niet direct halen als je de bestanddeling en conceptversies niet goed afschermt. Als gegevens uitlekken en het gaat enkel om bedrijfscijfers, zoals een accountancyverklaring over een boekjaar, dan is niet direct een datalek dat je moet melden bij de Autoriteit Persoonsgegevens. Toch is het verstandig deze data goed te beschermen, want het is bedrijfsbezit en daarmee vertrouwelijk.

Gaat het om het regelen van de inkomstenbelasting, een taak die veel accountants toch op zich nemen, dan zit je natuurlijk wél direct in de knoei met de AVG. En beeld je eens in dat het intern bij de klant rommelt: een van de twee directeuren wil zich bijvoorbeeld uitkopen. Dan wil je niet dat de een inzicht kan krijgen in de zaken van de ander. In beide gevallen is het belangrijk om veilig en verifieerbaar te werken.

Oplossing 1: Specifieke toegang toewijzen

Hoe doe je dat dan: veilig en verifieerbaar werken met Microsoft 365 bij het uitwisselen van klantgegevens? Je hebt hierbij verschillende mogelijkheden. Als je een document deelt, kun je rechten toewijzen aan de link: iedereen, alleen nieuwe en bestaande gasten of specifieke personen kunnen de link openen. Het is verstandig om voor dat laatste te kiezen. Hierbij weet je precies wie er wel en geen toegang heeft. Op deze manier heb je grip op wie er in jouw bestanden zit.

Oplossing 2: Verloopperiodes aangeven

Past een persoon iets aan in de tekst? Dan zie je die veranderingen ook meteen terug in het Microsoft 365-document. Ben je het niet eens met de aanpassing? Door het versiebeheer kun je een eerdere versie van het document terughalen. Naast specifieke personen kun je ook een verloopperiode aangeven. Zo weet je dat er na drie maanden geen externen meer in dat bestand of in een map zitten. Zo heb je al twee functies waarmee je veiliger werkt.

Oplossing 3: Multi-factorautorisatie voor betere security in Microsoft 365

De derde, en eigenlijk de belangrijkste, mogelijkheid is om multi-factorautorisatie in te stellen. Waarschijnlijk heb je dit in je jouw kantoor al geregeld, maar vraag ook jouw klant om dit te doen. Leg je klanten uit dat het in jullie beider belang is dat zij met hun gebruikersnaam, wachtwoord én app- of sms-code inloggen. Want alleen zo weet je zeker dat je geen onbevoegden toegang geeft tot jouw omgeving en de klantdata. Uiteindelijk dragen al deze tools bij aan veilig en verifieerbaar werken in Microsoft 365.

