Magazine

Digitaal

Welke digitale bronnen zijn voor accountants nuttig, handig of vermakelijk? Arnout van Kempen doet elk kwartaal een greep.

Dit artikel is verschenen in Accountant Q2, 2019

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

In het kader van de AVG moet u een scala aan maatregelen nemen. Verwerkersovereenkomsten, een register, beveiliging van uw e-mail, een meldprocedure voor datalekken. En zeker voor de iets grotere accountantskantoren wellicht een Functionaris voor de Gegevensbescherming, of Data Protection Officer. Maar wat is nu het belangrijkste? Onder de oudere IT-nerds is de afkorting PEBCAK wel bekend: Problem Exists Between Chair And Keyboard: het lijkt een computer probleem, maar het echte probleem is de gebruiker.

Bij informatiebeveiliging en dus ook de beveiliging van persoonsgegevens zoals door de AVG vereist, geldt de ijzeren regel dat je niet alles met techniek kunt oplossen. De menselijke factor speelt altijd een rol en moet dus altijd worden geadresseerd. Bekend voorbeeld hiervan is het afdwingen van ingewikkelde wachtwoorden die ook nog eens regelmatig moeten worden gewijzigd. Dat lijkt zinvol, want je wil niet dat een hacker eenvoudig je wachtwoord raadt. De vraag is of een hacker met de beschikbare technische middelen nou zoveel behoefte heeft aan ‘raden’. Veel groter is het risico dat een toevallige voorbijganger, een collega bijvoorbeeld, toegang krijgt tot het systeem van een (andere) medewerker. Dan zou makkelijk raden een risico opleveren. Maar een moeilijk te onthouden wachtwoord lokt uit dat de gebruiker het wachtwoord opschrijft, liefst op een voor de gebruiker makkelijk toegankelijke locatie. Een briefje naast de computer bijvoorbeeld. Daarmee is het moeilijk te raden wachtwoord ineens een rode loper met feestverlichting geworden, nutteloos als beveiliging.

Hoe vinden datalekken plaats? In de eerste plaats doordat mensen zelf laks met informatie omgaan. In de tweede plaats omdat systemen worden ontworpen zonder expliciet aan gegevensbeveiliging te denken. Kortom, PEBCAK. Het echte probleem is de mens, niet de techniek. Allemaal mooi misschien, maar doel van deze column is oplossingen aan te reiken. Hoe krijg je mensen bewust? Daar waar u applicaties aanschaft is het vooral een kwestie van ‘gegevensbescherming’ toevoegen als hoofdstuk in uw lijst van vereisten en daar gericht op testen, alvorens tot aanschaf over te gaan. Als het gaat om het bewustzijn van medewerkers is het een combinatie van een aantal zaken: voorlichten, faciliteren en ervaren. Voorlichting kan in vele vormen, maar de kern is gebruikers vertellen wat van hen wordt verwacht.

Faciliteren is er op gericht medewerkers de middelen te geven om op de gewenste manier te werken. Het instellen van wachtwoordregels die uitvoerbaar zijn voor een normaal mens is daar een voorbeeld van. Ervaren heeft te maken met mensen confronteren met hun ongewenste gedrag. Hier ligt een rol voor de eerdergenoemde Functionaris voor de Gegevensbescherming. Daarover volgende keer meer.

Arnout van Kempen is werkzaam als zelfstandig compliance officer voor (grotere) mkb-kantoren en docent voor SRA, NBA en Saxion Hogeschool. Daarnaast is hij lid van de signaleringsraad van de NBA, van het platform niet-oob-kantoren en is hij diaken van het bisdom ‘s-Hertogenbosch.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

    Aanmelden nieuwsbrief

    Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

    Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.