‘Bewustzijn creëren over hoe je veilig met data omgaat, dat is het belangrijkste’

ROTTERDAM - Het verzamelen en toepassen van data is voor steeds meer accountantskantoren een fundamenteel onderdeel van de bedrijfsvoering. De inzet van data levert ontelbaar veel mogelijkheden op. Maar de medaille heeft ook een keerzijde: veiligheid. Wat moet je als accountantskantoor doen om op een veilige en verantwoorde manier met je data om te gaan? We vragen het aan Michael Loanjoe, data protection manager bij Visma | yuki.

Hoe pak je het veilig verzamelen en toepassen van data aan?

“Voor accountantskantoren geldt dat het grootste deel van je data van buitenaf komt, van leveranciers bijvoorbeeld. Daar moet je goede juridische afspraken over maken, en dat doe je met een verwerkersovereenkomst. Hiermee is de rolverdeling tussen de leverancier en verwerker van de gegevens vastgelegd en ben je gedekt als er iets misgaat. Wanneer je data extern opslaat, adviseer ik daarnaast om dat altijd in Europa te doen zodat partijen onder dezelfde wet- en regelgeving vallen. Dat is bijvoorbeeld bij een cloudoplossing in de VS niet het geval. Daarnaast wil je altijd weten wie je bij het bedrijf aan kan spreken als zich een noodsituatie voordoet.”

Hoe bescherm je de data van je klanten?

“Het is belangrijk om een overzicht te hebben van alle verwerkingen van datastromen die er binnen je kantoor plaatsvinden. Als er dan bijvoorbeeld een datalek is, kan je herleiden om welke informatie het gaat en sneller de eventuele schade beperken.”

Welke tools om met data om te gaan kan je op een veilige manier gebruiken?

“Dat zijn er heel veel: van tools om data te encrypten tot tools die helpen om data te verrijken of te publiceren. Het belangrijkste is dat je altijd kijkt naar de zogenoemde privacy statements op de website van de aanbieders. Dat laat zien dat het bedrijf voldoet aan de wet- en regelgeving. Als zo’n privacy statement er niet op staan, moet je de boel niet vertrouwen.”

Ook bouwen aan een datagedreven bedrijfscultuur? 
Download de checklist

Hoe maak je het risico op datalekken zo klein mogelijk?

“Een datalek zit in een klein hoekje. Iemand hoeft maar ergens een laptop of USB-stick te laten slingeren, en het kwaad is al geschiedt. Maar datalekken kunnen in vele varianten plaatsvinden. Daarom is het zaak om als bedrijf een proces rond datalekken te hebben, en de verschillende varianten die mogelijk zijn ook daadwerkelijk te oefenen. Vergelijk het met een brandsimulatie: als het brandalarm afgaat wil je dat iedereen meteen weet wat er moet gebeuren. Met een datalek is dat net zo. Om welke data gaat het? Zijn er persoonsgegevens gelekt? Hoe kunnen we de schade beperken? Moeten we het datalek melden bij de Autoriteit Persoonsgegevens? En moeten we het datalek melden bij de betrokken personen? Op al dat soort vragen moet je antwoord hebben.”

Hoe richt je zo’n simulatie in?

“Dat kan je op verschillende manieren aanpakken. Je kan bijvoorbeeld een ethische hacker inhuren om kwetsbaarheden in je systemen te ontdekken. Maar je kan het ook wat laagdrempeliger en goedkoper aanpakken en zelf een crisissimulatie opzetten: collega X is zijn laptop kwijt. Wat nu?”

Hoe zorg je ervoor dat iedereen in de organisatie op de juiste manier met data omgaat?

“Het belangrijkste is om door de hele organisatie heen bewustzijn te creëren over het belang van veilig met data omgaan. Dat doe je zoals gezegd door processen rond zaken als datalekken vast te leggen en daadwerkelijk te oefenen. Dataveiligheid zou daarnaast een standaard onderdeel moeten zijn van het onboardingsproces van nieuwe medewerkers.
Ten slotte is het verstandig om iemand aan te stellen die zich specifiek op databescherming richt. Bij overheden is het al verplicht om zo’n functionaris gegevensbescherming aan te stellen, maar ook voor accountantskantoren is het verstandig. Zo iemand is altijd op de hoogte van de implicaties van de laatste wet- en regelgeving en kan er voor het management op toezien dat er op de werkvloer ook iets met die kennis wordt gedaan.”

Bekijk voor meer informatie over de bescherming van data de website van de Autoriteit Persoonsgegevens. Hier vind je onder meer artikelen over de beveiliging van persoonsgegevens, acties bij een datalek en de meldplicht datalekken.