Magazine

Digitaal

Welke digitale bronnen zijn voor accountants nuttig, handig of vermakelijk? Arnout van Kempen doet elk kwartaal een greep.

Dit artikel is verschenen in Accountant Q4, 2018

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

De afgelopen maanden zijn steeds meer accountants zich bewust geworden van de gevolgen van de AVG. Een belangrijk element daarin is de verplichting datalekken te melden aan de Autoriteit Persoonsgegevens. Voor accountantskantoren is de communicatie over stukken met de klant een belangrijke potentiële bron van datalekken.

Maar wat is nu precies een datalek? Kort gezegd: iedere inbreuk, bewust of per vergissing, op vertrouwelijkheid of beschikbaarheid van gegevens die naar een persoon zijn te herleiden. Of een datalek moet worden gemeld bij de Autoriteit is afhankelijk van de ernst. Bij zeer ernstige lekken moet ook de persoon wiens gegevens zijn gelekt worden ingelicht, zodat deze maatregelen kan treffen.

Stel bijvoorbeeld dat een concept IB-aangifte voor klant X wordt gestuurd naar klant Y. Als kantoor moet je je dan afvragen of dat gegevens zijn die Y kan misbruiken om X te benadelen. Gaat het om financiële gegevens, een BSN-nummer et cetera, dan zal dat al snel het geval zijn. Melding aan X en aan de Autoriteit is dan geboden. Een belangrijke uitzondering is de situatie waarbij vaststaat dat Y de informatie niet heeft ingezien. Dat Y dat beweert is niet genoeg, maar als kan worden bewezen dat Y de informatie niet heeft ingezien, is geen sprake van een datalek.

Wat betekent dit nu voor de te treffen maatregelen voor een kantoor? Ten eerste zal je voor communicatiemiddelen willen kiezen waarbij stukken zoveel mogelijk correct worden geadresseerd. Dat lijkt voor de hand liggend, maar is dat niet zonder meer. Een programma als Outlook ondersteunt het makkelijk verkeerd adresseren sterk, door na het intypen van de eerste letters van een adres al met een voorstel te komen, dat niet juist hoeft te zijn. Een systeem waarbij je één keer een vast verband legt tussen de klant in je aangifte-programma en het mailadres van die klant werkt dan veel beter.

Je wilt ook technische maatregelen voor als het toch mis gaat. Zoals een communicatiemiddel waarbij je achteraf kunt vaststellen wie je verzonden document heeft geopend. Standaard mailprogramma’s kunnen dat niet, portal-oplossingen maar ook gecodeerde attachments kunnen dat vaak wel.

Het fundament onder databeveiliging, en dus onder het voorkomen van datalekken, is echter nooit techniek maar de mens. Je moet als kantoor dus investeren in bewustwording van je medewerkers. Bewustwording over het gemak waarmee gegevens verkeerd kunnen worden verzonden en over de noodzaak intern te melden als het toch verkeerd gaat. Dat betekent in de eerste plaats bewustwording over de mogelijkheden die kwaadwillenden hebben, als ze kunnen beschikken over de persoonsgegevens waarmee je als accountantskantoor werkt.

Tips? Stuur een linkje naar redactie@accountant.nl.

Arnout van Kempen di CCO CISA is directeur compliance & risk bij aaff, de fusieorganisatie van Alfa en ABAB. Hij schrijft op persoonlijke titel.

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.