Zekerheid of schijnveiligheid?
Bieden digitale keurmerken ondernemers en hun accountants die in de cloud werken de garantie dat administratieve processen veilig en volgens de wettelijke regels verlopen? Of geven keurmerken slechts schijnveiligheid?
Dit artikel is verschenen in Accountant nr. 12, 2014
Bekijk alle artikelen uit dit nummer
Digitale keurmerken
Online werken: niet meer weg te denken bij het moderne accountantskantoor. Maar komen facturen, voorraadbeheer, afschrijvingen, kasstromen en kilometervergoedingen wel op de juiste manier in de cloud terecht? Om dat te garanderen, zijn er diverse digitale keurmerken in het leven geroepen, zoals Zeker-OnLine voor administratieve dienstverlening, het Keurmerk Betrouwbare Afrekensystemen voor kassa's en het Keurmerk Ritregistratiesystemen. En er zijn er nog veel meer (zie kader).
Producenten van onder meer online (in de cloud) boekhoudsoftware, elektronische kassa's en systemen om zakelijke kilometers te registeren, kunnen zich voor het keurmerk aanmelden. Na een screening waarbij wordt gekeken of ze aan de technische en juridische eisen voldoen, en na betaling, van een bedrag komen ze ervoor in aanmerking. De eisen zijn in samenspraak met onder meer accountants, marktpartijen en de Belastingdienst vastgesteld.
Efficiënter werken
Levert deelname aan een keurmerk een voordeel op voor ondernemers en hun accountants? Volgens Hugo van Campen, vaktechnisch medewerker mkb bij de NBA, wel: "Als een aanbieder van boekhoudsoftware het keurmerk Zeker-OnLine wil krijgen, dan wordt zijn product door een EDP-auditor op grond van COS 3402 gecontroleerd. Voor alle partijen is het dan duidelijk dat een ondernemer kan voldoen aan zijn wettelijke verplichtingen, zoals bewaren en dergelijke. Verder zitten er in administratie gevoerd met een dergelijk pakket geen rare verrassingen. Ik kan mij voorstellen dat de Belastingdienst daar bij haar toezicht rekening mee houdt."
SRA
De vraag rijst waarom de NBA, als men het zo belangrijk vindt dat accountants met gecertificeerde systemen werken, zelf niet een keurmerk introduceert? Van Campen: "Dat is niet de taak van een publiekrechtelijke organisatie. Wij stellen de regels op waaraan accountants zich moeten houden. De ontwikkeling van producten die van deze regels zijn afgeleid, is een zaak van marktpartijen."
SRA kent daarentegen wel al jaren een eigen certificering voor boekhoud- en salarissoftware. Hoe verhoudt die zich tot Zeker-OnLine? Volgens Fouk Tsang, bestuurslid ICT van de SRA, heeft men zeer intensief meegedacht bij de ontwikkeling van het keurmerk. Toch betekent dit niet dat hij geheel tevreden is.
"Zeker-OnLine kijkt voornamelijk naar de technische omgeving rondom het softwarepakket. Het is afgeleid van ISAE 3402. Maar een Nederlandse ondernemer met een dochteronderneming in de VS, die te maken heeft met SOx, vraagt dan toch om een ISAE 3402-verklaring." Tsang vindt het een groot gemis dat Zeker-OnLine te weinig ingaat op de functionaliteit van de software. En hoewel de Belastingdienst bij de totstandkoming van het keurmerk betrokken was, vraagt hij zich af of gebruik van Zeker-OnLine werkelijk leidt tot minder fiscale controles in het kader van Horizontaal Toezicht.
Geen honderd procent garantie
Twinfield heeft sinds eind september het keurmerk verworven. Algemeen directeur Frank van der Woude: "Wij geven hiermee aan dat we werken volgens het normenkader van Zeker-OnLine op basis van ISAE 3402. Dat is belangrijk voor ons, maar ook voor de bedrijven die met onze producten werken. Dat zijn voornamelijk accountantskantoren. Zij geven op hun beurt naar hun klanten aan dat ze volgens strenge veiligheidseisen werken. Ondernemers vragen steeds vaker naar een onafhankelijk veiligheidsstempel."
Van der Woude beseft dat een keurmerk niet een garantie voor de eeuwigheid is. "In de ICT-sector gaan de ontwikkelingen heel snel. Daarom wordt er elk halfjaar gekeken of we het keurmerk mogen blijven voeren. Daarnaast voert BDO Audit & Assurance BV om de drie maanden een audit uit in ons bedrijf. We nemen onszelf dus vaker de maat dan de verplichte Zeker-OnLine controle. Ondanks dat, ook ik begrijp dat honderd procent veiligheid, zeker in de ICT-sector, niet bestaat."
'Schijnzekerheid en wildgroei'
Om die reden heeft concurrent AFAS bewust van het keurmerk afgezien. Algemeen directeur Bas van der Veldt: "Er wordt gesuggereerd dat software met een keurmerk veilig is. Maar uiteindelijk kan elk systeem worden gehackt. Wij hebben een intrinsieke motivatie om onze software zo veilig mogelijk te maken, daar hebben we geen keurmerk voor nodig. We verzorgen elke maand 1,6 miljoen loonstroken en hebben duizenden klanten die met ons ERP-systeem werken. Als daarmee wat misgaat, zijn we failliet. Herinner je je DigiNotar nog? Dat zegt genoeg. Keurmerken creëren een schijnzekerheid. Zeker als je bedenkt dat Zeker-OnLine een commercieel belang heeft om zoveel mogelijk keurmerken af te zetten. Want deelname kost je als softwareproducent zesduizend euro. Dat Zeker-OnLine graag geld wil verdienen aan het keurmerk dat begrijp ik. Maar suggereer dan niet dat het volledige veiligheid biedt."
Onafhankelijke deskundige
Hugo van Campen van de NBA beaamt dat volledige veiligheid niet bestaat. "Maar een softwareproducent met het keurmerk geeft daarmee aan dat hij in ieder geval maatregelen heeft genomen om het risico te verkleinen. Die maatregelen zijn beoordeeld door een onafhankelijke deskundige. Bij een systeem zonder keurmerk moeten gebruikers zelf achterhalen of het systeem veilig is."
Een ander bezwaar van AFAS-directeur Van der Veldt is dat er te veel keurmerken zijn. "Er is een wildgroei ontstaan. Het aantal keurmerken verspreidt zich sneller dan het ebola-virus."
Welke digitale keurmerken zijn er zoal?
- Zeker-OnLine- voor boekhoudingen (en in de toekomst ook voor Payroll, Logistiek etc.)
- HackerSafe
- ISO 27001
- Keurmerk Betrouwbare Afrekensystemen voor kassa's
- Keurmerk Ritregistratiesystemen
- Keurmerk elektronisch factureren
- Assuring the Cloud (Deloitte)
- Keurmerk Thuiswinkel Waarborg
- Stichting webshop keurmerk
- ICT Waarborg
- Keurmerk veilig winkelen
- Thuiswinkel.org
- NEN
- SRA certificering
- ISO 9001
- Secure Software Certificaat
- BDO Software Certificering
Zeker-OnLine-voorzitter Bert Tuinsma: "Wees een vent en vraag het keurmerk aan"
"Het is een misverstand om ISAE 3402 te vergelijken met het normenkader van Zeker-OnLine", zegt Bert Tuinsma. "Echter, de audits om vast te stellen dat een product voldoet aan onze eisen worden wel uitgevoerd op basis van 3402."
Tuinsma is voorzitter van de stichting die het keurmerk Zeker-OnLine samen met marktpartijen en deskundigen heeft ontwikkeld. Tot zijn pensionering in 2012 was hij partner bij EY. Hij reageert op de opmerkingen en kritiek op het keurmerk in dit artikel.
"Ik werp de suggestie verre van me dat we een commercieel belang hebben om keurmerken te verlenen. Het aanvragen van het keurmerk kost, afhankelijk van de grootte van de onderneming, 2.750 of 5.500 euro. Hetzelfde bedrag wordt in rekening gebracht voor de jaarlijkse bijdrage. Dat geld hebben we hard nodig om het normenkader op peil te houden, de uitkomsten van audits te beoordelen en gesprekken te voeren met partijen en voor marketing, de website et cetera." Om aan te geven dat Zeker-OnLine geen commercieel initiatief is, benadrukt Tuinsma de betrokkenheid van aanbieders van administratieve cloud-diensten, adviesbureau ICT Recht, EDP Auditors, de Belastingdienst, NBA en NOREA bij het keurmerk. "We nemen onze taak zeer serieus. Zo wordt er eerst een audit gehouden om te kijken of aanbieders voldoen aan onze eisen. Daarna wordt er twee keer een jaarlijkse quick scan uitgevoerd. In het derde jaar volgt dan weer een volledige audit."
Hij is het met Bas van der Veldt van AFAS eens dat volledige veiligheid niet bestaat in de ICT-sector. Maar hij trekt wel een andere conclusie dan Van der Veldt: "Als hij er zo van overtuigd is dat AFAS op een veilige en verantwoorde manier werkt, zeg ik: wees dan een vent en vraag het keurmerk aan. Maar dat doet hij niet."
Gerelateerd
ACM pleit voor meer concurrentie tussen cloudbedrijven
De Autoriteit Consument & Markt (ACM) pleit voor aanpassingen van de Europese regels om de concurrentie tussen cloudaanbieders te stimuleren.
Invoeren financiële dashboards lastiger dan gedacht
Deel 2 van een tweeluik over de meerwaarde van financiële dashboards, geschreven door accountancystudenten en docenten van de Hogeschool Utrecht. Dit tweede deel...
Van schoenendoos naar dashboard
Deel 1 van een tweeluik over de meerwaarde van financiële dashboards, geschreven door accountancystudenten en docenten van de Hogeschool Utrecht. Dit eerste deel...
Van de aktetas naar de cloud?
Zijn mkb-accountantskantoren al zo ver dat digitalisering en automatisering volledig worden omarmd? Kunnen ordners en aktetas worden vervangen door de cloud? Verkennend...