Magazine 01 april 2014

'Hoe betrouwbaar zijn al die snufjes?'

De accountant die met een gerust hart de toekomst wil instappen, ontkomt niet aan het nieuwste buzz-woord van IT-minnend Nederland. Maar naast de alom door leveranciers geroemde voordelen, kleven er ook de nodige nadelen aan de cloud. Die tackelen is een kwestie van juridisch dichttimmeren en slim praktisch inrichten.

Dit artikel is verschenen in Accountant nr. 4, 2014

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Handig, die cloud. Zonder al te veel te hoeven doen, is de samenwerking tussen accountant en cliënt ineens stukken makkelijker geworden. Even een linkje naar de laatste rapportage voor het management van de multinational. Of tegelijkertijd werken aan de laatste jaarrekening, samen met de klant. Daarnaast besteedt de accountant het beheer van IT uit, waarmee hij ook slechts betaalt voor wat hij afneemt aan IT-diensten. Niet meer, niet minder. Precies genoeg, en dat alles in de cloud. Hij heeft - als het goed is - geen omkijken meer naar de beschikbaarheid van het systeem.

Geen flauw idee

Tegenover dat soort voordelen staan ook tal van nadelen, stellen deskundigen. In veel gevallen niet onoverkomelijk, maar wel zaken om op te letten. Jan Pasmooij is consultant IT-auditing en als plaatsvervangend zakelijk directeur en docent betrokken bij de opleidingen in de accountancy en IT-auditing van de Erasmus Universiteit. Hij onderzocht in opdracht van de Nederlandse Beroepsorganisatie van Accountants (NBA) de cloud. "Mijn beeld is dat de mkb-accountant nu al met een veelheid aan softwarepakketten werkt en dat dat lang nog niet altijd cloud-toepassingen zijn."

Dat terwijl vanaf 2016 het digitaal deponeren van de jaarrekening verplicht is. Pasmooij: "Dat betekent dat accountantskantoren volledig digitaal moeten kunnen werken. Maar veel kantoren zijn nog niet zo ver. Laat staan dat ze al aan cloud computing denken. Over dat laatste hebben ze geen flauw idee."

Bedrijfsrisico's

Cloud computing behoeft dus uitleg. In feite is het niets meer dan het via het internet op aanvraag beschikbaar stellen van hardware (bijvoorbeeld een computerserver), software (programma's) en gegevens. Ongeveer zoals elektriciteit uit het lichtnet. Het gebruik van cloud computing op zich brengt volgens Pasmooij niet veel nieuwe bedrijfsrisico's met zich mee. "Veel van die risico's bestaan op dit moment ook al bij het gebruik van automatisering in eigen huis of bij uitbesteding aan een derde partij.

Drie belangrijke verschillen zijn er echter wel. Allereerst is er het gedeelde gebruik met andere gebruikers. Daarnaast: cloud-diensten worden aangeboden door een derde partij, waardoor je als gebruiker niet direct invloed hebt op de functionaliteit, de interne beheersing en de kwaliteit."

Dat kan bijvoorbeeld problemen opleveren als het accountantskantoor software in de cloud bij de klant introduceert. "Dan houdt de klant het accountantskantoor al snel verantwoordelijk voor de IT-dienstverlening", aldus Pasmooij. Als laatste brengt hij de samenwerking van cloud-aanbieders onderling te berde. "Daardoor is voor de gebruiker niet altijd duidelijk welke organisatie waar gegevens verwerkt, opslaat of bewaart."

'Beetje trouwen'

Frans van Loon is manager ICT en Facilities bij accountantskantoor ABAB. "Een middelgroot kantoor", typeert hij. ABAB verzorgt salarisverwerking en HRM-advies via software in de cloud. Maar het heeft ook een portal onder de naam 'Mijn ABAB'. "Wij hebben als strategie onze dienstverlening zo veel mogelijk digitaal aan te bieden", beschouwt Van Loon. "Via 'Mijn ABAB' hebben klanten de beschikking over hun eigen dossiers. Van fiscale aangiftes tot aan adviesrapporten en jaarrekeningen. Tevens beschikt de klant over financiële stuurinformatie in de vorm van dashboards."

ABAB werkt voor haar dienstverlening samen met een externe partij. Van Loon: "De cloud kan een vendor lock-in betekenen. Je gaat niet zo snel weg als de verhouding tussen prijs en kwaliteit en de productontwikkeling op een aanvaardbaar niveau blijven en de migratiekosten aanzienlijk zijn. Om dat aspect te ondervangen, moet je afspraken over de exit maken.

In het contract met onze cloud-leverancier staat bijvoorbeeld dat wij te allen tijde eigenaar van de data zijn, ook al gaat de leverancier failliet. Als we afscheid nemen, dan krijgen we de data in een voor die tijd gangbaar formaat
mee. Dat hebben we bewust zo opgeschreven. Zo kunnen we een overstap naar een andere leverancier relatief gemakkelijk maken. Instappen in een cloud-omgeving doe je voor meerdere jaren. Je gaat toch een beetje trouwen met de desbetreffende partij. Dan moet je op zijn minst wel een zorgvuldig zakelijk beeld opbouwen van de betrouwbaarheid en de continuïteit van de leverancier. Gaat het na het sluiten van het contract desondanks fout, dan moet duidelijk zijn wat er dan gebeurt. Zorg voor heldere afspraken op papier."

Juridisch afdichten

Die afspraken vallen uiteen in twee categorieën, beschouwt Arnoud Punt van Aecius juridisch advies. Hij is gespecialiseerd in de cloud. "Juridisch afdichten en praktisch inrichten. Wie is de cloud-leverancier? Wat levert hij exact? Hoe verzorgen we de back ups van de data? Hoe is de beveiliging geregeld? Waar wordt de data opgeslagen?"

Veel accountantskantoren stellen dat soort vragen niet, stelt Punt. "Cloud-leveranciers zijn vaak machtige partijen die het liefst een zo gestandaardiseerd mogelijke dienst leveren. Daarnaast gaat de klant voor het beste product voor de laagste prijs. De voorwaarden waaronder de dienst wordt geleverd, sneeuwen veelal onder." Better safe than sorry, wil Punt maar zeggen. "Wees je bewust van de gevaren. Hoe zit het contract praktisch en juridisch exact in elkaar?"

David Bos, algemeen directeur van B&P Accountants en Advies, is dat helemaal met hem eens. "Zorg voor een zogeheten service level agreement en laat deze door een deskundige doorlichten." Bos heeft ruim honderd medewerkers in dienst en is volledig op de cloud overgegaan. "Zelfs bellen doen we via internet." De cloud is volgens hem geen doel op zich, maar een middel. "Wil je je als accountant onderscheiden met digitale dienstverlening, dan moet je voor de cloud gaan. Anders niet."

Privacy van gegevens

Cloud-aanbieders leggen de verantwoordelijk voor de data vaak bij het accountantskantoor, zegt Punt. "Dat gaat over de bruikbaarheid, de integriteit, maar ook het bewaren van de data. De verantwoordelijkheid daarvoor ligt bij het accountantskantoor, ongeacht of er een grote crash is bij het datacenter van de leverancier of hun servers zijn afgebrand."

Bos reageert: "In feite is dat niet anders dan bij fysieke informatie. Ook dan ben je verantwoordelijk voor de juistheid van de gegevens. Maar je moet wel nadenken over calamiteiten. Is er een back up nodig? Of moeten we onze telefonie automatisch via een ander datacenter laten lopen op het moment dat ons datacenter in de problemen komt?"

Dit aspect valt volgens Bos te regelen. Lastiger is volgens hem de privacy van gegevens. "De Nederlandse overheid vraagt heel veel gegevens op. Tot aan parkeergegevens aan toe. In Amerika is die ontwikkeling nog erger. In de cloud heb je minder zicht op dat aspect dan wanneer je een server in de kelder hebt staan. Neemt niet weg dat je een gerenommeerde IT-auditpartij in de hand kunt nemen om alle beveiligingsprotocollen te testen om te zien of de cloud-omgeving ook daadwerkelijk aan de hoogste eisen voldoet." Pasmooij wijst in het verlengde hiervan op Zeker-OnLine (zie kader).

Schending?

Punt gaat nog een stap verder. "Is het gebruik van bijvoorbeeld een dienst als Dropbox niet per definitie een schending van de geheimhoudingsplicht van de accountant? Ook andere aanbieders van cloud-oplossingen hebben servers in de VS staan waar de Amerikaanse overheid bij kan. Het is niet te garanderen dat derden geen ongeoorloofde toegang hebben. Terwijl die geheimhouding wel de kern van de dienstverlening van een accountant is. Dit risico komt dus ook voor rekening van de accountant. In theorie zou het een berisping kunnen opleveren."

Punt raadt voor de continuïteit aan met grotere cloud-leveranciers zaken te doen, maar op te letten waar zij de data van het accountantskantoor stallen. "Een grotere leverancier biedt het voordeel dat deze kan investeren in de ontwikkeling van het pakket. Hij gaat niet zo snel failliet of stopt ermee. Zij kunnen hun beveiliging ook op een hoger niveau brengen dan je zelf als accountantskantoor ooit kan regelen."

Pasmooij voegt er de mogelijkheid van het versleutelen van de data aan toe. "Encryptie kan handig zijn, bijvoorbeeld als je als kantoor veel met zeer gevoelige informatie als octrooien of recepturen te maken hebt. Versleutelen heeft echter weinig nut als je voor de bakker op de hoek werkt."

Drie soorten cloud-diensten

Cloud computing kent in feite drie soorten diensten. De eerste is Infrastructure as Service (IaaS). Daarbij biedt de leverancier alleen verwerkings- en opslagcapaciteit aan. De tweede is Platform as Service (PaaS). Daarbij krijgt de gebruiker ook de beschikking over mogelijkheden om zelf software te kunnen ontwikkelen of te onderhouden. De derde is Software as a Service (SaaS). De leverancier biedt daarbij software aan via de internet. Deze stelt de gebruiker in staat bepaalde bewerkingen uit te voeren, bijvoorbeeld het bijhouden van een administratie of het berekenen van salarissen. Theoretisch is dat een heel overzichtelijk plaatje, maar in de praktijk worden cloud-diensten door meerdere leveranciers vaak in combinatie aangeboden. Amazon uit Amerika kan bijvoorbeeld de ruimte voor de verwerking en de opslag van een boekhoudpakket leveren. Het is dus zaak de hele keten in de gaten houden, zegt Pasmooij: "Vraag bij een leverancier door. Waar heeft hij zijn software in de cloud gestald en met wie werkt hij samen?"

Integreren systemen

De deskundigen noemen integratie van verschillende systemen in de cloud een probleem. Bijvoorbeeld: het salarisverwerkingspakket kan niet automatisch gegevens uitwisselen met het boekhoudpakket in de cloud. En wie kiest voor één oplossing, zit weer met de eerdergenoemde vendor lock-in.

"Een wezenlijk probleem", zegt Van Loon: "Als ABAB hebben we de schaalgrootte en de kennis om standaardoplossingen toch aan te kunnen passen aan onze behoeften. Dat in samenwerking met de aanbieder van de cloud-dienst. Maar dat kan lang niet ieder kantoor. Het koppelen van applicaties in de cloud is complex. Deze koppelingen zijn eenvoudig te ontwikkelen als de applicaties draaien op eigen servers. In de cloud is single sign-on (eenmalig inloggen waarna automatisch toegang wordt verschaft tot meerdere applicaties, red.) ook lastig te realiseren. En wie kiest voor één geïntegreerde totaaloplossing, zit weer met een potentiële vendor lock-in. Je kiest daardoor altijd wel voor een soort eenheidsworst."

Bos vindt het met de vendor lock-in wel meevallen. "Je kunt altijd wel converteren van het ene pakket naar het andere." Punt beschouwt dat dat voor de belangrijkste gegevens zoals de grootboekrekening en de balans vaak wel het geval is. "Vaak verlies je bij het converteren data in aanvullende terreinen. Denk aan de managementrapportage of de adviesvelden van de accountant."

Toekomstvast

Kies partijen die toekomstvast zijn. Dat is de rode draad. Ga met hen in gesprek over hoe de samenwerking in de cloud er precies uit moet komen te zien. "En ga niet over één nacht ijs", zegt Van Loon van ABAB treffend. Schakel deskundigen in. Dat roept niet alleen de jurist, maar ook de mkb-accountant zelf. Voorkom een fikse teleurstelling achteraf.

Pasmooij tot slot: "De cloud is als een auto met leuke snufjes. Je bent al snel verliefd. Maar voordat je de auto gebruikt, wil je wel even zeker weten wat er onder de motorkap ligt. Hoe betrouwbaar zijn al die snufjes eigenlijk?"

Onafhankelijke informatie over cloud-diensten en cloud-leveranciers op: www.ictaccountancy.nl/cloudcomputing.

Zekerheid online

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten. Doelstelling van het keurmerk is zekerheid geven aan de markt, de gebruikers van online administratieve diensten. Het keurmerk staat voor betrouwbaarheid, veiligheid, continuïteit, kwaliteit in functionaliteit en juridische zekerheid. De Belastingdienst, aanbieders van online administratieve diensten en het Electronic Commerce Platform Nederland zijn de initiatiefnemers. Met het keurmerk wordt zichtbaar welke aanbieders diensten leveren die voldoen aan belangrijke online beveiligingsvereisten.

Twee aanbiedingsmodellen

Let op het model van aanbieden, zeggen de deskundigen. Stel de daarbij passende vragen en zorg dat de cloud-leverancier er antwoord een op heeft.

1. De accountant biedt cloud-diensten aan een klant of verstrekt hem toegang. Wat gebeurt er als klant weg wil? De klant wil wellicht niet meer boekhouden in dezelfde omgeving. Hoe beschikt de klant over de boekhouding?
2. De ondernemer schaft cloud-diensten aan en verschaft de accountant toegang. De ondernemer kan makkelijk toegang intrekken en andere accountants toegang verschaffen. Hoe gaat het accountantskantoor daar- mee om?

9 risico's cloud computing

1. Opzeggen abonnement: hoe is de exit geregeld?
2. Onthouden van toegang vanwege dispuut over beta-ling.
3. Het stoppen van de cloud-dienst.
4. Ongeoorloofd toegang tot gegevens (derden, hackers/overheid).
5. Back up niet geregeld.
6. Cloudaanbieder kan ontwikkelingen niet bijbenen.
7. Waar ligt zeggenschap cloud-dienst: accountant of ondernemer?
8. Vastzitten aan leverancier: vendor lock-in.
9. Complexe structuur cloud: wie zit achter welke cloud?