Het toenemende belang van datalekpreventie en informatiebeveiliging voor accountants

Partnerbijdrage van:

Introductie
In het digitale tijdperk delen accountants dagelijks een enorme hoeveelheid gevoelige informatie. Helaas gebeurt dit vaak op een onveilige manier, met potentieel vervelende gevolgen. Het is essentieel dat accountants meer maatregelen nemen om datalekken te voorkomen en informatie beter te beveiligen. Slimme communicatieplatformen met geavanceerde beveiligingsfuncties kunnen hierbij een unieke waarde bieden. In dit stuk staat beschreven waarom accountants deze maatregelen moeten nemen en hoe slimme communicatieplatformen hen kunnen helpen bij het waarborgen van de vertrouwelijkheid en integriteit van gegevens.

Veel accountants delen gevoelige informatie via ‘gewone e-mail’
Accountants zijn dagelijks bezig met het uitwisselen van uiterst gevoelige informatie. Helaas gebeurt dit in veel gevallen nog steeds via onbeveiligde e-mail of onveilige file-transfer-oplossingen. Hieronder volgen enkele veelvoorkomende situaties waarin accountants gevoelige informatie op een onveilige manier delen:
● Verzenden van jaarrekeningen: Hoewel de uiteindelijke jaarrekening vaak per post wordt verstuurd of via een beveiligd portaal wordt aangeboden, worden conceptversies vaak nog via reguliere e-mail gedeeld. Deze concepten bevatten echter dezelfde informatie als de definitieve versie.

● Opvragen van facturen, bonnetjes, aandeelhoudersregisters, en meer: Accountants hebben deze informatie vaak nodig voor het opstellen van de jaarrekening, BTW-aangifte, en andere doeleinden.

● Verzenden van auditrapporten: Zeker conceptauditrapporten worden vaak gedeeld via gewone e-mail, terwijl daar mogelijk nog ongepolijste, gevoelige informatie in staat.

● Verstrekken van vertrouwelijke informatie: Denk aan salarisstroken en andere vertrouwelijke werknemersinformatie aan de persoon zelf of aan externe partijen zoals pensioenfondsen of verzekeringsmaatschappijen.

● Delen van belastingaangiften: Delen van belastingaangiften en bijbehorende financiële gegevens met belastingadviseurs en belastingdiensten.

● Uitwisselen van juridische documenten: denk aan overeenkomsten, contracten en notariële akten, met cliënten, juridische adviseurs of notarissen.

● Communicatie met banken en financiële instellingen: Communicatie over vertrouwelijke transacties, leningen, kredietwaardigheid en andere financiële gegevens.

De toenemende eisen van wet- en regelgeving

Voldoen aan de eisen van de GDPR
Artikel 5 van de GDPR stelt dat persoonsgegevens moeten worden "verwerkt op een manier die een passende beveiliging van de persoonsgegevens waarborgt, inclusief bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met gebruikmaking van passende technische of organisatorische maatregelen”. Conform artikel 32 van de GDPR hebben organisaties de plicht om privacygevoelige informatie op passende wijze te beveiligen, "rekening houdend met de ‘state of the art’”. 

Aankomende implementatie van de NIS2 Richtlijn
Naast de GDPR komen er binnenkort een aantal aanvullende verplichtingen op organisaties af, waaronder NIS2 welke uiterlijk in oktober 2024 in alle EU-landen wordt geïmplementeerd. NIS2 geldt voor bedrijven die essentiële diensten leveren en die van belang zijn voor de economie en samenleving. In totaal zijn dit acht sectoren, waaronder financiële markten. NIS2 geldt dan voor organisaties met meer dan 50 medewerkers en meer dan 10 miljoen euro omzet. 

NIS2 verplicht het gebruik van beveiligde communicatieplatforms die MFA en continue authenticatie-oplossingen bevatten. Niet-naleving van NIS2 kan leiden tot aanzienlijke financiële verliezen, reputatieschade en juridische aansprakelijkheid, met boetes tot 2% van de jaaromzet of €10 miljoen. Bovendien kunnen leidinggevenden en directie zware straffen en persoonlijke aansprakelijkheid krijgen in geval van inbreuken. 

E-mail mist essentiële functionaliteiten voor datalekpreventie en beveiliging
E-mail wordt zo veel gebruikt omdat het super eenvoudig is en door bijna iedereen wordt gebruikt. Gewone e-mail mist echter essentiële aspecten die belangrijk zijn vanuit wet- en regelgeving en veiligheid.

– Goede transportbeveiliging ontbreekt vaak: E-mail stamt uit de jaren 70 en is van nature onveilig. Hoewel transportbeveiliging (TLS) later is toegevoegd, is het optioneel en niet standaard. Daarbij komt dat TLS bij e-mail opportunistisch is, wat betekent dat het probeert versleuteling te gebruiken, maar als dat niet mogelijk is, wordt de e-mail alsnog onversleuteld verzonden. Ook is TLS vatbaar voor man-in-the-middle (MitM) aanvallen, waarbij kwaadwillende personen onversleutelde verzending kunnen afdwingen of versleutelde e-mails kunnen omleiden naar een andere server. Helaas is de adoptie van best-practice-standaarden tegen MitM-aanvallen, zoals DANE, echter nog steeds laag. Tot slot, als versleuteling wordt afgedwongen, maar ontvangers niet de vereiste beveiliging ondersteunen, is er geen fallback-mechanisme, waardoor de e-mail wordt teruggestuurd.

– E-mails op servers leveranciers zijn vaak onvoldoende beveiligd: Veel leveranciers, inclusief grote spelers zoals Microsoft en Google, bezitten (een kopie van) deze sleutels, waardoor ze kwetsbaar zijn voor interne bedreigingen, aantrekkelijk voor hackers en onderworpen aan verzoeken van buitenlandse overheden. De European Data Protection Board (EDPB) benadrukt het risico van werken met dergelijke leveranciers en beveelt aanvullende maatregelen aan, zoals het gebruik van sleutels die niet in handen zijn van de leverancier.

– Beveiliging van gegevens met multifactorauthenticatie ontbreekt: Met de meeste e-mailsystemen, waaronder M365, is het niet mogelijk om informatie die je deelt te beveiligen met MFA of 2FA. Voor de verwerking van gevoelige gegevens stellen richtlijnen van de meeste nationale instanties, waaronder de AP en NCTV: "De AP adviseert MFA in te stellen voor alle systemen waar toegangscontrole op ingesteld is. Vooral bij externe toegangscontrole en systemen die veel (gevoelige of bijzondere) persoonsgegevens bevatten.” en “De AP adviseert MFA in te stellen op (zakelijke) instantmessagingdiensten [..] en mailapplicaties”.

Deze beperkingen maken e-mail kwetsbaar voor datalekken en beveiligingsproblemen en maken dat het gebruik van ‘gewone e-mail’ niet voldoet aan de vereisten vanuit wet- en regelgeving en normenkaders. Veel gebruikte file-transfer diensten kennen dezelfde beperking, omdat ze niets anders doen dan een linkje met een download sturen naar een e-mailadres. Daarmee wordt geen veiligheidsprobleem opgelost en heeft het dezelfde risico’s als e-mail.

Groot risico op datalekken door menselijke fouten
Hoewel zorgen voor passende beveiliging van informatie belangrijk is, zit daar in de praktijk niet de grootste bedreiging. Als we kijken naar de in juni uitgebrachte jaarlijkse rapportage datalekken van de Autoriteit Persoonsgegevens, zien we dat ‘maar’ 9% van alle datalekken werden veroorzaakt door ‘Hacking, malware (bijv. ransomware) en/of phishing’. Het belangrijkste risico bij deze praktijken blijkt de menselijke fout. Zo groeide het aantal datalekken in 2022 veroorzaakt door ‘E-mail met persoonsgegevens verstuurd aan verkeerde ontvanger(s) of verstuurd met ontvangers in het aan-veld of in de cc’ met 79%. 

Ook dit soort fouten zal voor menig lezer met schaamrood op de kaken herkenbaar zijn. Uit onderzoek blijkt dat 62% van de medewerkers toegeeft in de afgelopen 24 maanden een e-mailfout te hebben gemaakt. Dit zal onder mensen die werken in de accountancy niet anders zijn.

Slimme communicatieplatformen als oplossing
In toenemende mate implementeren organisaties slimme communicatie-oplossingen als aanvulling op e-mailplatformen Microsoft365 en Google. Gartner noemt dit zogenaamde ‘Email Data Protection Supplements’. Dergelijke slimme communicatieplatformen bieden geavanceerde functionaliteiten om organisaties te helpen bij het voorkomen van datalekken door menselijke fouten en het waarborgen van informatiebeveiliging. Deze platforms bieden verschillende unieke waardeproposities:

● Beslissingsondersteuning voor het voorkomen van fouten: Door gebruik van machine learning in combinatie met beslissingsondersteuning kunnen slimme communicatieplatformen mogelijke fouten signaleren tijdens het opstellen van berichten en de gebruiker hierover informeren en/of automatisch het probleem verhelpen voor verzending. Dit voorkomt aantoonbaar grote hoeveelheden menselijke fouten op een gebruiksvriendelijke manier.

● Geavanceerde beveiligingsfuncties: Slimme communicatieplatformen bieden geavanceerde versleutelingstechnieken en authenticatiemechanismen om de vertrouwelijkheid en integriteit van gegevens te waarborgen. Zero-access encryptie beschermt de inhoud van berichten tijdens verzending en opslag zonder dat de leverancier bij gegevens kan.

● Integratie met bestaande tools: Slimme communicatieplatformen integreren naadloos met de tools die accountants al gebruiken, zoals Outlook, M365 en Gmail. Ze bieden ook integratie met bronsystemen zoals CRM, waardoor accountants efficiënter kunnen werken zonder extra inspanningen.

● Rechtszekerheid en traceerbaarheid: Accountants kunnen vertrouwen op slimme communicatieplatformen voor nauwkeurige registratie en traceerbaarheid van communicatie. Dit is essentieel bij audits, naleving van wet- en regelgeving en het aantonen van de effectiviteit van informatiebeveiligingsmaatregelen.

Conclusie
Het toenemende belang van datalekpreventie en informatiebeveiliging vereist dat accountants meer maatregelen nemen om de vertrouwelijkheid en integriteit van gegevens te waarborgen. Slimme communicatieplatformen met geavanceerde beveiligingsfuncties bieden een unieke oplossing voor deze uitdagingen. Door gebruik te maken van deze platforms kunnen accountants datalekken veroorzaakt door menselijke fouten voorkomen, informatie adequaat beveiligen, voldoen aan steeds strengere wet- en regelgeving en voldoen aan stijgende verwachtingen van de klant. Het is tijd voor accountants om af te stappen van ‘gewone e-mail’ en over te stappen op veiligere en efficiëntere manieren van communiceren, en slimme communicatieplatformen kunnen hen hierbij helpen.