"Databeveiliging bij accountants: 'Ik kon anderhalf uur alles doen op die server'"

Sommige accountants- en administratiekantoren vertonen nog steeds ernstige beveiligingslekken bij het beheren van gevoelige klantgegevens. Dit constateert Jordy Willemse, Data Protection Manager bij Visionplanner, in het kader van de Cyber Security Month. Hij waarschuwt: "Kantoren moeten zich realiseren wat de potentiële schade is als er iets misgaat met databeveiliging.”

Jordy, wat is je opgevallen op het gebied van databeveiliging bij accountants het afgelopen jaar?

"Helaas zie ik nog steeds situaties die zorgen baren. Zo kreeg ik onlangs volledige toegang tot de server van een systeembeheerder bij een middelgroot kantoor, zonder enige vorm van toezicht. De medewerker zei letterlijk: 'Jij komt hier wel uit, ik laat TeamViewer voor je openstaan.' Ik kon in anderhalf tot twee uur lang alles doen op die server. Dit heb ik overigens niet gedaan, hoor." 

Dat klinkt zorgwekkend. Hoe reageer je op zo'n situatie?

"Op het moment zelf was ik vooral verbaasd. Het is niet alleen onveilig, maar gaat ook in tegen alle beveiligingsprincipes. Het is mijn taak om hiervan melding te maken en dat heb ik gedaan, maar ik dacht echt: dit verzin je niet. Zo zie je maar, wat voor mij vanzelfsprekend is, dat is het niet voor anderen. Deze situatie laat zien hoe belangrijk het is om mensen te blijven wijzen op potentiële datalekken.”

Wat zijn de risico's van zo'n situatie?

"Het grootste risico is dat iemand met kwade bedoelingen toegang krijgt tot gevoelige bedrijfsgegevens. Bij accountants gaat het vaak om financiële data van klanten. Met de nieuwe WWFT-regels moeten accountants nog meer gevoelige informatie verzamelen en bewaren. Die informatie kun je niet zomaar op een willekeurige computer of in de cloud laten staan."

Wat is volgens jou de oorzaak van dit soort situaties?

"Vaak is het een gebrek aan bewustzijn. Mensen denken: 'Ik heb toch niets te verbergen' of 'Facebook en Google weten toch alles al'. Maar dat is een gevaarlijke houding. Bedrijven moeten zich realiseren wat de potentiële schade is als er iets misgaat met databeveiliging. Wij zijn als Visionplanner een betrouwbare partner, maar dan nog is het belangrijk om als kantoor toezicht te houden als je een ict-bedrijf toegang geeft tot gevoelige data."

Welke tips heb je voor accountantskantoren om hun databeveiliging te verbeteren?

"De belangrijkste tip is: stop met het hergebruiken van wachtwoorden. Gebruik een wachtwoord manager om unieke, sterke wachtwoorden te genereren en op te slaan voor al je accounts. Daarnaast is het cruciaal om twee-factor authenticatie (2FA) in te schakelen waar mogelijk. Ik zie nog te vaak dat mensen dit overslaan, omdat ze het onhandig vinden. Een andere tip is: blijf erbij als een softwarebedrijf of andere ict-dienstverlener toegang vraagt tot gegevens om een probleem op te lossen. Zo voorkom je dat er andere dingen gebeuren dan het oplossen van het probleem."

Hoe kunnen kantoren hun medewerkers motiveren om veilig met data om te gaan?

"Bewustwording is key. Geef er aandacht aan, niet alleen via een jaarlijkse online test, maar maak het een doorlopend onderwerp. Als mensen zich bewust zijn van de risico's, zullen ze er vanzelf beter mee omgaan."

Tot slot, wat is jouw oproep aan accountants- en administratiekantoren voor 2025?

"Investeer in kennis en training op het gebied van databeveiliging. Zorg dat er binnen je organisatie iemand is die de ins en outs kent van veilig werken met data en laat deze persoon de rest van het team bijspijkeren. Databeveiliging is geen eenmalige actie, maar een continu proces dat aandacht verdient."

Jordy's ervaringen laten zien dat er nog veel werk te verzetten is op het gebied van databeveiliging in de accountancysector. Door bewust te worden van de risico's en de juiste maatregelen te nemen, kunnen kantoren hun eigen gegevens én die van hun klanten beter beschermen. Want zoals Jordy benadrukt: "Het gaat niet om je te pesten, maar om ervoor te zorgen dat je 's avonds rustig naar huis kunt gaan.”