Nieuws 31 maart 2026

AFM benadrukt belang van goede informatiebeveiliging bij accountantsorganisaties

Accountantsorganisaties moeten het maximale doen om hun informatiebeveiliging verder te versterken. Dat benadrukt toezichthouder Autoriteit Financiële Markten (AFM), op basis van inzichten die zijn verkregen bij de oob-accountantsorganisaties.

Digitale incidenten bij grote organisaties, zoals het recente grote datalek bij Odido en cyberincidenten bij de Autoriteit Persoonsgegevens en het ministerie van Financiën, laten zien hoe kwetsbaar die kunnen zijn. De impact raakt vaak niet alleen de getroffen organisatie, maar ook (sub)leveranciers, klanten en soms zelfs financiële markten, aldus de AFM.

Voor accountantsorganisaties, die werken met gevoelige cliënt- en transactiedata en afhankelijk zijn van digitale systemen, is een toekomstbestendige informatiebeveiliging daarom essentieel, benadrukt de toezichthouder. "Een stevig fundament van informatiebeveiliging en risicomanagement helpt incidenten te voorkomen én sneller op te vangen wanneer ze zich voordoen."

Raamwerk voor informatiebeveiliging

Veel incidenten ontstaan door menselijke fouten, gebrekkige monitoring of onduidelijkheid over verantwoordelijkheden. Een robuust raamwerk voor risicomanagement biedt houvast om informatiebeveiliging toekomstbestendig in te richten en de 'hacker als wekker' te voorkomen, aldus de AFM.

De toezichthouder noemt de Good Practice Informatiebeveiliging van De Nederlandsche Bank als voorbeeld van een goed risicomanagementraamwerk, "dat richting geeft aan samenhang, risicobewustzijn en continue verbetering". Ook voor accountantsorganisaties biedt dat raamwerk handvatten biedt voor een "proportionele en samenhangende aanpak" van informatiebeveiligingsrisico's. Bovendien bevat het een self-assessment informatiebeveiliging, die direct inzicht biedt in de volwassenheid daarvan, meent de AFM.

Versterkingspunten

Op basis van de verkregen inzichten bij oob-accountantsorganisaties komt de toezichthouder met een aantal "versterkingspunten", die ook accountantskantoren met een reguliere vergunning kunnen helpen bij het verder versterken van hun risicomanagement:

ICT-risicomanagement: werk met een actueel en cyclisch proces. Houd risicoregisters actueel en volledig rondom interne en externe dreigingsbeeld. Leg risicobesluiten vast en bewaak opvolging. Zorg dat risico's binnen de risk appetite zijn.

Continuïteitsmanagement: toets aannames en test breed. Actualiseer business-impact-analyses regelmatig. Test niet alleen IT-herstel, maar de volledige keten. En verwerk lessons learned structureel in plannen en rapportages.

Configuratiemanagement: breng afhankelijkheden helder in kaart. Zorg voor een volledig overzicht van informatiesystemen, API-koppelingen, assets en relaties. Maak inzichtelijk welke processen geraakt worden bij verstoringen.

Leveranciersbeheer: monitor structureel en risicogebaseerd. Werk met formele onboarding  en evaluatieprocessen. Betrek ook subleveranciers bij risico afwegingen.

Incidentmanagement: structureel leren en verbeteren. Definieer eenduidig wat een incident is. Voer post incident-analyses standaard uit. Documenteer verbeteracties en borg opvolging.

IT-risicobeheersing blijft prioriteit

Een raamwerk voor informatiebeveiliging is pas effectief wanneer het aantoonbaar werkt, zo benadrukt de AFM. De toezichthouder vraagt daarom aan alle accountantsorganisaties om extra aandacht te besteden aan een "veilige, toekomstbestendige beheersomgeving".

De AFM blijft hierover in gesprek met de sector en ondersteunt waar mogelijk. De komende jaren blijft IT-risicobeheersing een prioriteit van de toezichthouder.