Blog door Reindert Doorn, DOCCO

In control zijn. Grip op (de cijfers van) je onderneming. Kreten die waarmee elk kantoor zijn diensten aanprijst. Ook intern proberen kantoren ‘in control’ te zijn. Bijvoorbeeld waar het gaat om kwaliteitsaspecten. Zo krijgen kantoren met de nieuwe AQI’s een set waardevolle kwaliteitsindicatoren om op te sturen. Maar waarom vertalen we ‘in control’ zijn voornamelijk in termen van financiële- en kwaliteitsinstrumentaria? Volgens de Autoriteit Persoonsgegevens leven we in een datasamenleving. De bedrijfsvoering van kantoren is volledig afhankelijk van IT. De tijd is (over)rijp om ook beter in controle te raken rond informatiebeveiliging.

Het is – uitzonderingen doorgelaten – een rommeltje bij de meeste administratie- en accountantskantoren als het gaat om een structurele aanpak van security en privacyvraagstukken. Aspecten als kennisgebrek, tijdsgebrek, desinteresse en gemakzucht zijn hier debet aan. Soms wordt er bovenmatig gesteund op ingehuurde derden. Het is tijd voor een wake-up call. De dagelijkse voorbeelden in de media van getroffen bedrijven door bijvoorbeeld ransomware zouden kantoren alert moeten maken. Maar in de praktijk lijken we wel murw.

Geen onwil
Ik denk dat het doorgaans geen onwil is: een kantooreigenaar snapt het belang. Alleen is de materie van informatiebeveiliging, maar ook de privacywetgeving soms ongrijpbaar. In elk geval geen dagelijkse kost. Dat zorgt ervoor dat er onzekerheid is over vragen als ‘waar doe ik goed aan qua maatregelen’, ‘hoeveel budget moet ik reserveren’ en ‘wat is goed genoeg’. De jungle van IT-aanbieders die hun kansen schoon zien en kantoren op onderdelen hulp aanbieden maakt het niet overzichtelijker.

Elk kantoor zou er goed aan doen een methodiek te implementeren om grip te houden (of krijgen) op beveiligings- en privacyrisico’s. Waarom wel een compliance raamwerk, maar geen raamwerk rondom gegevensbescherming? Kantoren dienen naast kwaliteitsmanagement in breder perspectief na te denken over risicomanagement. Niet morgen, maar vandaag.

Risicomanagement zonder raamwerk
Doen we dan niets hoor ik je denken? Jawel. Elk kantoor neemt wel een aantal maatregelen, bijvoorbeeld een bewustwordingscampagne, het testen met phisingmails of het bijhouden van een verwerkingsregister. De maatregelen zijn, waar het gaat om beveiliging, echter niet holistisch beschouwd. Kort gezegd: we doen maar wat. Een betere aanpak zou zijn om te kijken naar álle schakels, zowel van techniek, proces en mens. En over de as van preventie, detectie en herstel. Daarnaast acteren we nu vaak incidenteel (vb. AVG mei 2018) en incident gedreven. Een doordachtere aanpak waarbij periodiek vanuit een risico analyse gekeken wordt naar een passende beheersmaatregelen zou enorm behulpzaam zijn voor kantoren. Dan wordt en meer zorg besteed aan de grootste risico’s. Dat onderscheid ontbreekt nu volledig.

“Kort gezegd: we doen maar wat.”

Cybersecuritybeeld Nederland
Elk jaar tekent de Nationaal Coördinator Terrorismebestrijding en Veiligheid het actuele veiligheidsbeeld in Nederland op. In het meest recente rapport is dit jaar een apart hoofdstuk gewijd aan risicomanagement in relatie tot verhoogde weerbaarheid. Organisaties met een risicogebaseerde aanpak blijken er veel beter voor te staan. Het besef ontstaat dat het eenmalig nemen van een aantal basismaatregelen geen stand houdt. Risico’s rondom beveiliging behoeven continue aandacht en dienen adequaat te worden gereduceerd. Een gebalanceerde aanpak zorgt ervoor dat de juiste ‘digitale dijken’ worden verstevigd. En dat deze ‘digitale dijken’ voortdurend gecheckt worden op houdbaarheid.

Het zal niet lang duren totdat de waarde van ondernemingen ook wordt afgemeten aan de mate van beheersing van digitale risico’s. Of de accountants voldoende bagage heeft om dit te beoordelen en mee te wegen in de continuïteitsparagraaf zal moeten blijken. Een ding is zeker: een goede risicogebaseerde aanpak zorgt voor blijvende levensvatbaarheid van je bedrijf. Dat geldt voor klanten maar evenzo voor het kantoor zelf.

Hoe pak ik dat aan
Bij het woord risicomanagement denk je wellicht: duur en langdurig. Een opzet kan echter al eenvoudig van aard zijn. Vergelijk het met de (toen voor velen eenmalige) opzet van het AVG-dossier een aantal jaar terug en voeg daar het aspect van voortdurende controle- en verbetering aan toe. En het (vooraf) wegen van de risicobeperkende maatregelen in termen van bijvoorbeeld kosten en belangen als gebruiksgemak. Tot slot is het de kunst om scenario’s te testen en te evalueren als een soort ‘digitale brandoefening’.