Digitaal
Welke digitale bronnen zijn voor accountants nuttig, handig of vermakelijk? Arnout van Kempen doet elk kwartaal een greep.
Dit artikel is verschenen in Accountant Q3, 2018
Bekijk alle artikelen uit dit nummer
Ruim vijftig jaar geleden kreeg het Militair Industrieel Complex van Amerika, inclusief de academische centra, behoefte om computernetwerken van universiteiten, militaire installaties en dergelijke aan elkaar te knopen. Het was het hoogtepunt van de koude oorlog en het risico van een atoomaanval werd serieus genomen. Het netwerk van netwerken dat gebouwd werd, het ‘internet’, moest aan twee belangrijke eisen voldoen. Allerlei netwerken, met verschillende software, hardware en zelfs kabels moesten met elkaar kunnen praten via eenvoudige en openbare protocollen. En zelfs als een aanval driekwart van het internet fysiek zou wegvagen, moest het restant blijven functioneren. Wat op dat moment niemand interesseerde: de privacy van individuele gebruikers.
De oplossing die werd gekozen vinden we tegenwoordig misschien vanzelfsprekend, maar was vrij revolutionair. Ten eerste werd ‘internet’ opgezet als een aantal protocollen op verschillende niveaus. Heel simpel gezegd heb je daardoor een technisch niveau dat een gebruiker niet ziet en een niveau waarop diensten zijn gedefinieerd, zoals individuele berichten (e-mail), groepsberichten (usenet) en werken op afstand (telnet). Later kwam daar het inmiddels immens populaire hyperlink-teksten bij, dat we kennen als het wereldwijde web (www). Al deze protocollen zijn simpel en toepasbaar binnen complexere diensten. Zo is een mail uit Outlook een uitbreiding op het oude mail-protocol van internet. Iedere vorm van encryptie ontbreekt in de standaard internet-protocollen.
Dat wordt spannend door de tweede slimme vinding. Om de kwetsbaarheid van internet te reduceren wordt geen gebruikgemaakt van vaste routes binnen het netwerk. Veel lokale netwerken doen dat anders. Als op kantoor ‘de server’ uitvalt ligt vaak het hele netwerk plat. Bij internet is dat anders. Een bericht van A naar B zoekt als het ware zelf zijn weg over de bestaande routes.
Als de route van Maastricht naar Amsterdam via Utrecht loopt, maar Utrecht is uit de lucht, dan kan het bericht een omweg zoeken via pakweg Londen en toch aankomen. Deze benadering maakt het internet buitengewoon robuust, maar veroorzaakt ook een risico. De tussenstappen tussen A en B zijn niet bekend. Dat betekent dat als één van de tussenstations je mail wil meelezen, dat niet alleen kan, maar je het ook niet merkt.
Als je dat weet en begrijpt zou je verwachten dat e-mail al vijftig jaar uitsluitend versleuteld verzonden wordt. Niets is minder waar. Zo zie ik accountantskantoren, ook vrij grote, pas sinds kort maatregelen nemen om te bewaken dat documenten alleen via beveiligde en versleutelde routes worden verstuurd. De aanleiding is veelal de AVG en de meldplicht Datalekken. Technisch gezien volkomen terecht dat nu maatregelen worden genomen, hooguit decennia te laat.
Juridisch is er wel iets bijzonders aan de hand. Navraag bij de Autoriteit Persoonsgegevens leert dat die het versturen van onversleutelde mail niet als een datalek ziet. Technisch gezien een twijfelachtig standpunt, maar praktisch wel goed om te weten. U bent heel onverstandig als u nog gebruikmaakt van eenvoudige, onveilige mailoplossingen. Maar de toezichthouder neemt het u niet kwalijk.