Digitaal
Welke digitale bronnen zijn voor accountants nuttig, handig of vermakelijk? Arnout van Kempen doet elk kwartaal een greep.
Dit artikel is verschenen in Accountant Q2, 2019
Bekijk alle artikelen uit dit nummer
In het kader van de AVG moet u een scala aan maatregelen nemen. Verwerkersovereenkomsten, een register, beveiliging van uw e-mail, een meldprocedure voor datalekken. En zeker voor de iets grotere accountantskantoren wellicht een Functionaris voor de Gegevensbescherming, of Data Protection Officer. Maar wat is nu het belangrijkste? Onder de oudere IT-nerds is de afkorting PEBCAK wel bekend: Problem Exists Between Chair And Keyboard: het lijkt een computer probleem, maar het echte probleem is de gebruiker.
Bij informatiebeveiliging en dus ook de beveiliging van persoonsgegevens zoals door de AVG vereist, geldt de ijzeren regel dat je niet alles met techniek kunt oplossen. De menselijke factor speelt altijd een rol en moet dus altijd worden geadresseerd. Bekend voorbeeld hiervan is het afdwingen van ingewikkelde wachtwoorden die ook nog eens regelmatig moeten worden gewijzigd. Dat lijkt zinvol, want je wil niet dat een hacker eenvoudig je wachtwoord raadt. De vraag is of een hacker met de beschikbare technische middelen nou zoveel behoefte heeft aan ‘raden’. Veel groter is het risico dat een toevallige voorbijganger, een collega bijvoorbeeld, toegang krijgt tot het systeem van een (andere) medewerker. Dan zou makkelijk raden een risico opleveren. Maar een moeilijk te onthouden wachtwoord lokt uit dat de gebruiker het wachtwoord opschrijft, liefst op een voor de gebruiker makkelijk toegankelijke locatie. Een briefje naast de computer bijvoorbeeld. Daarmee is het moeilijk te raden wachtwoord ineens een rode loper met feestverlichting geworden, nutteloos als beveiliging.
Hoe vinden datalekken plaats? In de eerste plaats doordat mensen zelf laks met informatie omgaan. In de tweede plaats omdat systemen worden ontworpen zonder expliciet aan gegevensbeveiliging te denken. Kortom, PEBCAK. Het echte probleem is de mens, niet de techniek. Allemaal mooi misschien, maar doel van deze column is oplossingen aan te reiken. Hoe krijg je mensen bewust? Daar waar u applicaties aanschaft is het vooral een kwestie van ‘gegevensbescherming’ toevoegen als hoofdstuk in uw lijst van vereisten en daar gericht op testen, alvorens tot aanschaf over te gaan. Als het gaat om het bewustzijn van medewerkers is het een combinatie van een aantal zaken: voorlichten, faciliteren en ervaren. Voorlichting kan in vele vormen, maar de kern is gebruikers vertellen wat van hen wordt verwacht.
Faciliteren is er op gericht medewerkers de middelen te geven om op de gewenste manier te werken. Het instellen van wachtwoordregels die uitvoerbaar zijn voor een normaal mens is daar een voorbeeld van. Ervaren heeft te maken met mensen confronteren met hun ongewenste gedrag. Hier ligt een rol voor de eerdergenoemde Functionaris voor de Gegevensbescherming. Daarover volgende keer meer.