Categorie: Accountancy

Met deze 5 cruciale tips voorkom je als accountant boetes van de AP

Als accountant weet je dat het belangrijk is om veilig te werken, maar het is soms zo’n gedoe. Dus vergeet je het in de gauwigheid even. Toch is het verstandig om hier scherp op te blijven. Want als je te maken krijgt met een cyberaanval of datalek móet je een melding maken bij de Autoriteit Persoonsgegevens. En dat levert je imagoschade, een securitystappenplan én mogelijk zelfs een boete op. Hoe dit precies in z’n werk gaat? En hoe je dit voorkomt? Dat lees je hier. 

De Autoriteit Persoonsgegevens

Een datalek of cyberaanval kan iedereen overkomen, maar je moet het sinds 2018 volgens de AVG hoe dan ook bínnen 72 uur melden bij de Autoriteit Persoonsgegevens. Doe je dat niet? Dan neem je een financieel risico. Want mocht de Autoriteit Persoonsgegevens er vervolgens via een andere weg achter komen, kunnen er grote boetes volgen. Daarbij roep je ook achterdocht over jezelf af bij de AP, klanten, medewerkers en partners. Want waarom wilde je dit onder de pet houden? 

Een sanctie van de Autoriteit Persoonsgegevens 

Op het moment dat je meerdere keren bent getroffen en melding moet maken van een cyberaanval, bestaat de kans dat de Autoriteit Persoonsgegevens (AP) sancties oplegt. Hoe die eruitzien? Als eerst moet je aantonen welke stappen je gaat ondernemen om je security te verbeteren. Is hier na een tijd niks van terechtgekomen? Dan wacht er een boete op je. En die kan hoog uitvallen.  

De Autoriteit Persoonsgegevens mag tot wel vier procent van je jaaromzet vragen, oplopend tot maximaal twintig miljoen euro. Hoe je dit voorkomt? Om te beginnen is het goed om een jaarlijkse evaluatie in te stellen van het beveiligingsniveau van jouw organisatie. Hierbij kun je een securityscan inzetten om de zwakke plekken van je netwerk te ontdekken én te versterken. Maar er is meer.  

Tip 1: Tref technische maatregelen

Jij moet ook je eigen organisatie kritisch bekijken. Check of je alle technische maatregelen hebt getroffen om persoonsgegevens veilig te verwerken, versturen en bewaren. Of je tweetrapsautorisatie hebt ingesteld, ook op zakelijke telefoons. En of je mobiele apparaten op afstand kunt wissen als een medewerker deze per ongeluk verliest. Lees hier meer over het beveiligen van mobiele apparaten. 

Tip 2: Stel een algemeen beleid op

Daarbij is het belangrijk om een algemeen beleid op te stellen, waarin de rechten en plichten staan van medewerkers. Hierin neem je op hoe ze met persoonsgegevens om moeten gaan, wat ze met zakelijke apparaten moeten doen én op welke manieren zij verantwoordelijk zijn voor de beveiliging van die apparaten. Officieel gezien móét je zo’n beleid opstellen.  

Tip 3: Controleer nieuwe software en processen

Misschien heb jij alle bovenstaande zaken al goed geregeld. Dus ben je nu klaar, toch? Nou, nee. Op het moment dat jij nieuwe software in huis haalt of bedrijfsprocessen verandert, moet je die weer op veiligheid checken. Vooral als daar persoonsgegevens bij komen kijken.  

Denk bijvoorbeeld even terug aan de coronapandemie. Plotseling werkte iedereen thuis en werd Teams ineens hét communicatiemiddel. Dat was een grote verandering. En dan moeten je “alarmbellen” direct afgaan. Want bij iets nieuws moet je checken hoe veilig het is én afspreken hoe je omgaat met documentsdeling via dit nieuwe medium.  

Tip 4: Regel een cyberrisicoverzekering

Goed, dit zijn allemaal preventieve maatregelen. Maar je moet ook een plan hebben voor als er wél een cyberaanval plaatsvindt. Als eerst raden we klanten aan om een cyberrisicoverzekering te nemen. Hiermee dek je de schade die je oploopt en krijg je ondersteuning vanuit de verzekeraar. Zij hebben ervaring met cyberaanvallen, waardoor je direct de juiste kennis in huis hebt.

Tip 5: Organiseer een cyberaanval-oefening

Het is goed om je cyberweerbaarheid te testen door een “brandoefening” te organiseren. Hiervoor stel je een cyberaanval-responseplan op en voer cyberaanval-oefeningen uit. In het responseplan werk je uit wat je doet als je wordt aangevallen. Met wie je contact opneemt en hoe je erover gaat communiceren.  

Met de cyberaanval-oefening test je of je daadwerkelijk alle contactgegevens hebt die je nodig hebt, oefen je met medewerkers wat ze moeten doen én, om het realistisch te maken, kun je een PEN-test laten uitvoeren. Hierbij valt een ethische hacker jouw netwerk aan om te kijken waar de kwetsbaarheden zitten. Zo weet je precies hoe het ervoor staat.  

Neem contact op

Heb je vragen over al deze maatregelen rondom de bescherming van persoonsgegevens in je organisatie? Neem gerust contact op via info@arcusit.nl.

CTA

De vier gevaren van mobiel werkende accountants

Gebruiken jouw collega’s hun privé-smartphone voor zakelijke e-mail of andere zakelijke applicaties? Loggen ze met hun laptops weleens in via openbare WiFi-netwerken? Ai, als IT-er in de accountancy voel je de security-risico’s die met mobiel werken gepaard gaan. Wij helpen je die risico’s in te dammen.

Opkomst mobiel werken

Je kan niet meer om thuiswerken heen, onder meer omdat medewerkers het normaal vinden en ook steeds meer applicaties cloud based worden. Collega’s loggen dus vaker in vanuit huis, maar ook vanuit flexplekken, cafés of het openbaar vervoer. Fijn dat het kan, maar het levert ook flinke veiligheidsrisico’s op. Pas de laatste periode – met al dat nieuws over ransomware en hacks – voelen we die risico’s ook. Want als accountant verwerk je gevoelige data zoals burgerservicenummers en salarisadministratie. Daar wil je zorgvuldig mee omgaan, en de klant rekent daarop. Begeef je niet op glad ijs en zorg voor een stabiele basis.

De risico’s die je als accountantskantoor loopt? We beschrijven er vier én geven je tips hoe je die risico’s in de hand houdt.  

Risico 1: Openbare netwerken

Wanneer je medewerkers overal en nergens werken, loopt het veiligheidsniveau van hun netwerkverbinding nogal uiteen. De één is er alert op en kiest zijn werkplek en verbinding zorgvuldig uit. De ander klapt in de trein zijn laptop open en logt achteloos in. Het risico met een openbaar netwerk is dat er nog iemand met je meekijkt, via datzelfde openbare netwerk. Zo komt die persoon gemakkelijk bij die gevoelige informatie op jouw bedrijfsnetwerk, alle security-maatregelen ten spijt.

Zo minimaliseer je het risico
Allereerst kun je het bewustzijn bij je medewerkers vergroten, zodat ze hier alert op zijn. Daarnaast kun je een stap verder gaan en conditional access invoeren, waarmee je voorwaarden verbindt aan de toegang tot je netwerk. Wanneer een medewerker inlogt via een openbaar netwerk, kun je toegang weigeren of limiteren tot relatief onschuldige data. Dan limiteer je ook het werk dat de gebruiker kan doen en dat is wellicht vervelend. Maar het maakt hem er ook bewust van dat het gekozen netwerk niet ideaal is én zo hou je eventueel dataverlies beperkt.

Risico 2: Malware op devices

Herkennen je medewerkers een phishing-bericht? Nu iedereen zelf een laptop of smartphone heeft, bestaat het risico dat ze – bewust of onbewust – zelf programma’s gaan installeren. Als ze niet goed weten wat ze doen, heb je zomaar malware op je bedrijfsnetwerk staan.

Zo minimaliseer je het risico
Beperk de rechten van een eindgebruiker, zorg dat uitsluitend iemand met admin-rechten programma’s kan installeren. Dan nog zit je niet helemaal safe, phishing is en blijft een risico. Het is goed je medewerkers er frequent op te attenderen. En je kunt ze trainen zodat ze in staat zijn een goed lijkend nepmailtje te onderscheiden van een echte.Zorg dat je scherp monitort wat er op je netwerk gebeurt. Worden er ineens grote hoeveelheden bestanden versleuteld of gekopieerd? Met SecurityHive Honeypot Software krijg je meteen een seintje. Dan kun je direct tegenmaatregelen treffen, zoals het betreffende account de toegang ontzeggen. Zo hou je dataverlies beperkt.

Risico 3: Verlies van een laptop

Een mooie laptop is een gewild item, ook eenvoudige kruimeldieven hebben het erop gemunt. Een net zo groot risico is dat een collega zijn laptop in de trein vergeet, zoals we ook bij politici nog wel eens zien gebeuren. In beide gevallen dreigt dataverlies. Lukt het de crimineel om toegang te krijgen tot de laptop? Dan kan hij in de e-mail komen, bij de data op het bureaublad en wellicht ook op jullie netwerk, in jullie programma’s.

Zo minimaliseer je het risico
Natuurlijk moeten je medewerkers zorgvuldig met hun spullen omgaan. Dat weten ze zelf ook heus wel, maar je kunt hen meer bewust maken van het security-risico met bijvoorbeeld een training. Want van dat risico zijn ze zich wellicht nog onvoldoende bewust.

Een treffend technisch weerwoord op dit risico is Mobile device management. Dat is software waarmee je alle aangesloten hardware centraal beheert. Raakt er een laptop vermist? Dan kun je hem via die software – ongeacht de locatie van die laptop – op afstand volledig encrypten en onklaar maken. Dan kun je er niks meer mee. En het risico op dataverlies is verdwenen.

Risico 4: Verlies van een smartphone

Veel accountants gebruiken hun privé-smartphone voor zakelijke doeleinden. Ze hebben er hun zakelijke e-mail op geïnstalleerd of andere zakelijke applicaties. Wat als zo’n telefoon gestolen wordt of vermist raakt? Dan kan de nieuwe eigenaar – na het kraken van de login – zomaar in alle klantdata.

Zo minimaliseer je het risico
Met dezelfde Mobile device management kun je ook smartphones beheren. Dat kan uitsluitend wanneer deze smartphones bij jou in beheer zijn, en dat geldt niet voor privé-smartphones. Natuurlijk kun je alle medewerkers alert maken op het risico van deze situatie. Maar wellicht is het beter om jouw medewerkers een zakelijke smartphone te geven die is aangesloten op het Mobile device management. Zo kun je ze onklaar maken bij vermissing en dataverlies voorkomen.

Er wordt op je gerekend

Met de opkomst van mobiel werken neemt ook het gevaar van security-dreigingen toe. Medewerkers mogen zich best wat bewuster worden van die risico’s. Daarnaast heb je diverse praktische tools tot je beschikking om dataverlies te voorkomen. Maak er gebruik van. Jouw klant rekent erop dat jij verantwoord omgaat met zijn gevoelige data. En als accountantskantoor wil je precies dat uitstralen: dat klanten hun data met een gerust hart aan jou kunnen toevertrouwen. Toch?

 Wil je praktisch advies over de beveiligingsmaatregelen die voor jouw accountantskantoor dringend nodig zijn? Neem dan contact op voor een vrijblijvend gesprek.

New call-to-action

NAHV Belastingadviseurs

Hoe werken we als belastingadviseurs slimmer samen? En hoe houden we meer tijd over voor onze eindklanten? Twee vragen die centraal stonden in de zoektocht van financieel dienstverlener NAHV Belastingadviseurs naar een nieuwe IT-partner. We spraken met Dennis Ketelaars, directeur-eigenaar van NAHV en onze eigen accountmanager Willem Jan van der Eijk over de antwoorden op deze vragen en het resultaat van de samenwerking tussen beide partijen!

blank

NAHV

NAHV is een financieel dienstverlener gespecialiseerd in administratieve oplossingen en financieel advies voor creatieve ondernemers. Het doel van NAHV? Ondernemers werk uit handen nemen zodat ze energie kunnen steken in waar ze goed in zijn: ondernemen. Dennis: “Wij stellen onder meer jaarrekeningen op met specifieke software. Daarnaast willen we dat al onze medewerkers altijd én overal kunnen werken. Daarom gingen we in zee met Arcus IT.”

Overstap naar Arcus IT

Dennis: “Begin dit jaar droeg KPN Arcus aan als nieuwe IT-partner, samen met twee andere partijen. Uiteindelijk kozen we voor Arcus IT omdat zij diepgeworteld zijn in de accountancywereld en brede kennis hebben op dit gebied.”

Willem Jan: “Wij hebben alles overgenomen van KPN. Alle data en applicaties zijn naar een Microsoft Azure Virtual Desktop omgezet. De legacy-applicaties, waaronder bijvoorbeeld Unit 4 Audition, draaien nu nog op een virtuele server binnen Microsoft Azure. Zodra deze beschikbaar zijn als zogeheten Software as a Service applicaties, afgekort SaaS, zetten we die ook over.”

De Cloud

Om flexibel te zijn en downtime – niet kunnen werken doordat de IT-systemen platliggen – te beperken, werkt NAHV sinds kort dus in de Cloud. Dennis: “Toen begin vorig jaar de coronapandemie om zich heen greep en iedereen thuis moest werken, werd gelijk de toegevoegde waarde duidelijk. We konden van de één op de andere dag thuiswerken, zonder dat daar grote risico’s aan vastzaten. Dankzij de Single Sign-on had iedereen via één inlog toegang tot alle applicaties én op het juiste gebruikersniveau. Wij hebben drie verschillende niveaus: eigenaren, partners en assistenten. Dat zit allemaal in de software verwerkt.”

Archiefdata

Accountantskantoren hebben zeven jaar bewaarplicht. Het kan dus zomaar zijn dat een klant data opvraagt van twee jaar geleden of langer. Willem Jan: “Voor die data gebruiken we een archiefserver binnen het Microsoft Azure-platform. Deze start op wanneer er oude data opgehaald moet worden. Daarbij betaalt NAHV alleen voor de periode dat de server actief draait. Dat scheelt dus enorm in de kosten, echt uurtje factuurtje.”

blank


Microsoft 365

Dennis: “Met de volledige Microsoft 365-omgeving kunnen we nu veel makkelijker samenwerken. Naast de standaard Office-apps, zoals Word, hebben we nu ook apps als Planner en Microsoft Teams direct tot onze beschikking in één werkomgeving. Daarnaast is Microsoft 365 direct van toegevoegde voor onze klanten. Zo delen we bijvoorbeeld veel gemakkelijker dossiers met klanten.”

Samenwerking met Arcus IT

Dennis: “Als we ergens tegenaanlopen dan hebben we vrijwel altijd contact met dezelfde persoon binnen Arcus. Dat is erg fijn. Daarnaast maken we gebruik van de servicedesk waar we terecht kunnen met dagelijkse vragen. Als iemand bijvoorbeeld niet kan inloggen dan wordt hij of zij snel geholpen zodat diegene weer door kan. Arcus onderscheidt zich echt in het stukje advies. We weten veel van belastingadviezen, maar niet van IT. Die toegevoegde waarde op servicegebied is van groot belang.”

De toekomst

Willem Jan: “Er staat momenteel een voorstel uit om aan de slag te gaan met Workspace 365. Eén portaal met daarin alle applicaties in een eenvoudig overzicht en die met één klik werken. Dus geen extra inlogmoeilijkheden. Die omgeving richten we dan specifieker in op belastingadvies. Ook op security-gebied willen we stappen zetten. Zo stelden we bijvoorbeeld een security-review voor. Hierbij maken we onder andere een impactanalyse en adviseren we over wat er beter kan. Het zou bijvoorbeeld over dataclassificatie kunnen gaan, zodat bepaalde documenten niet gemaild kunnen worden. Denk aan documenten met een BSN-nummer of het opzetten van Identity Access Management, waarbij op basis van identiteit wordt bepaald waartoe iemand toegang heeft. Daar gaan we vervolgens samen mee aan de slag.”

Dennis: “Als je ervoor kiest om je IT intern te regelen, dan moet je bereid zijn om er tijd en energie in te steken. Wij besteden het juist uit om tijd te besparen én zodat alles vlekkeloos doorloopt. We hebben sinds de overstap naar Arcus minder uitval en andere problemen. Het is allemaal zeer steady en dat geeft zekerheid richting de toekomst.”

Ben je ook op zoek naar een IT-partner die gespecialiseerd is binnen de accountancybranche? Neem gerust contact met ons op voor een vrijblijvend adviesgesprek!