0318-830376 info@docco.nl

DOCCO IT & Verandermanagement - http://www.docco.nl

Het is slecht gesteld met het informatiebeveiligingsniveau in de accountancysector. Ondanks veel media-aandacht, publicaties en campagnes blijft het onderwerp in de sector laag op de agenda staan. Accountantskantoren zijn grootschalig verwerker van persoonsgegevens en moeten daarom aan de wet bescherming persoonsgegevens voldoen. Toch hebben de meeste kantoren geen risicoanalyse uitgevoerd op hun gegevensverwerking, laat staan een informatiebeveiligingsbeleid opgesteld. Hoe komt dat?

Enkele weken geleden stelde ik accountants bovenstaande vraag na afloop van de lezing van Christian Prickaerts van Fox-it op de Accountancy Expo. Te weinig tijd werd als een van de oorzaken genoemd. Een van de aanwezigen noemde het een tekort aan kennis. Maar wat uitbleef, en wat volgens mij de belangrijkste reden is; u vindt het helemaal niet spannend.

Tijdens de lezing van Christian werd de noodzaak van een goede beveiliging weer eens te meer duidelijk. We lopen namelijk achter de feiten aan, maar worden straks wel met de gevolgen geconfronteerd als een meldplicht voor datalekken en nieuwe Europese privacywetgeving de eventuele schuldvraag omdraait; wat hebt ú precies gedaan om te voorkomen dat het incident plaatsvond?

In dat licht is het opmerkelijk dat er zo weinig aandacht is voor informatiebeveiliging. De gevolgen van een incident kunnen verstrekkend zijn. Misschien zelfs fataal voor uw kantoor. Terwijl juist accountants bekend staan als overwegend risicomijdende mensen.

Maar u vindt het niet spannend. U voelt de urgentie niet. U voelt zich niet onveilig. Er is immers nog nooit iets gebeurd. U heeft uw ICT naar behoren ingericht of in laten richten en u vertrouwt op de kennis en kunde van uw IT-leverancier(s).

Toch blijft het veilig verwerken van persoonsgegevens uw verantwoordelijkheid. Ook als deze gegevens bij een derde partij in de cloud staan en dus nooit fysiek bij u aanwezig zijn. In geval van een incident kunt u niet zomaar uw cloudprovider aansprakelijk stellen als blijkt dat het beveiligingsniveau van deze provider ontoereikend is. Uw cloudprovider moet voldoen aan uw beveiligingseisen en niet andersom. U bent en blijft altijd verantwoordelijk voor de informatie die u toevertrouwd is, als verwerker én als toezichthouder.

Daarnaast is het puur technisch benaderen van informatiebeveiliging veel te beperkt. Een sterke beveiliging bestaat uit drie lagen: techniek, organisatie en mensen. Met name die laatste laag is belangrijk, omdat mensen voor een groot deel bepalen in hoeverre maatregelen op het gebied van techniek en organisatie effectief zijn.

Waarom vindt u het niet spannend? Omdat u niet weet welke risico’s u loopt. Een veel gehoord argument is: “waarom zou een hacker nou bij mij in willen breken?”. Dat is echter niet het juiste perspectief om informatiebeveiliging en cybercrime in te zien. Onlangs nog verscheen de volgende kop in het nieuws: “Bende steelt 1,2 miljard wachtwoorden via SQL Injection”. Deze vorm van cybercrime is niets minder dan schieten met hagel op een mug. Cybercrime kiest meestal geen doelwit, u wordt simpelweg slachtoffer.

Waar moet u dan beginnen? Ik stel voor om de krachten de bundelen. Beroepsorganisaties, brancheverenigingen, beveiligingsexperts, IT-leveranciers, opleidingen en natuurlijk kantoren. Het is niet nodig om in elk kantoor van voor af aan te beginnen. Uit risicoanalyses bij verschillende kantoren komen vergelijkbare risico’s naar voren. Laten we samen zoeken naar een werkbare oplossing om informatiebeveiliging in de accountancysector naar een acceptabel niveau te brengen.

Share This