Met deze 5 cruciale tips voorkom je als accountant boetes van de AP

Als accountant weet je dat het belangrijk is om veilig te werken, maar het is soms zo’n gedoe. Dus vergeet je het in de gauwigheid even. Toch is het verstandig om hier scherp op te blijven. Want als je te maken krijgt met een cyberaanval of datalek móet je een melding maken bij de Autoriteit Persoonsgegevens. En dat levert je imagoschade, een securitystappenplan én mogelijk zelfs een boete op. Hoe dit precies in z’n werk gaat? En hoe je dit voorkomt? Dat lees je hier. 

De Autoriteit Persoonsgegevens

Een datalek of cyberaanval kan iedereen overkomen, maar je moet het sinds 2018 volgens de AVG hoe dan ook bínnen 72 uur melden bij de Autoriteit Persoonsgegevens. Doe je dat niet? Dan neem je een financieel risico. Want mocht de Autoriteit Persoonsgegevens er vervolgens via een andere weg achter komen, kunnen er grote boetes volgen. Daarbij roep je ook achterdocht over jezelf af bij de AP, klanten, medewerkers en partners. Want waarom wilde je dit onder de pet houden? 

Een sanctie van de Autoriteit Persoonsgegevens 

Op het moment dat je meerdere keren bent getroffen en melding moet maken van een cyberaanval, bestaat de kans dat de Autoriteit Persoonsgegevens (AP) sancties oplegt. Hoe die eruitzien? Als eerst moet je aantonen welke stappen je gaat ondernemen om je security te verbeteren. Is hier na een tijd niks van terechtgekomen? Dan wacht er een boete op je. En die kan hoog uitvallen.  

De Autoriteit Persoonsgegevens mag tot wel vier procent van je jaaromzet vragen, oplopend tot maximaal twintig miljoen euro. Hoe je dit voorkomt? Om te beginnen is het goed om een jaarlijkse evaluatie in te stellen van het beveiligingsniveau van jouw organisatie. Hierbij kun je een securityscan inzetten om de zwakke plekken van je netwerk te ontdekken én te versterken. Maar er is meer.  

Tip 1: Tref technische maatregelen

Jij moet ook je eigen organisatie kritisch bekijken. Check of je alle technische maatregelen hebt getroffen om persoonsgegevens veilig te verwerken, versturen en bewaren. Of je tweetrapsautorisatie hebt ingesteld, ook op zakelijke telefoons. En of je mobiele apparaten op afstand kunt wissen als een medewerker deze per ongeluk verliest. Lees hier meer over het beveiligen van mobiele apparaten. 

Tip 2: Stel een algemeen beleid op

Daarbij is het belangrijk om een algemeen beleid op te stellen, waarin de rechten en plichten staan van medewerkers. Hierin neem je op hoe ze met persoonsgegevens om moeten gaan, wat ze met zakelijke apparaten moeten doen én op welke manieren zij verantwoordelijk zijn voor de beveiliging van die apparaten. Officieel gezien móét je zo’n beleid opstellen.  

Tip 3: Controleer nieuwe software en processen

Misschien heb jij alle bovenstaande zaken al goed geregeld. Dus ben je nu klaar, toch? Nou, nee. Op het moment dat jij nieuwe software in huis haalt of bedrijfsprocessen verandert, moet je die weer op veiligheid checken. Vooral als daar persoonsgegevens bij komen kijken.  

Denk bijvoorbeeld even terug aan de coronapandemie. Plotseling werkte iedereen thuis en werd Teams ineens hét communicatiemiddel. Dat was een grote verandering. En dan moeten je “alarmbellen” direct afgaan. Want bij iets nieuws moet je checken hoe veilig het is én afspreken hoe je omgaat met documentsdeling via dit nieuwe medium.  

Tip 4: Regel een cyberrisicoverzekering

Goed, dit zijn allemaal preventieve maatregelen. Maar je moet ook een plan hebben voor als er wél een cyberaanval plaatsvindt. Als eerst raden we klanten aan om een cyberrisicoverzekering te nemen. Hiermee dek je de schade die je oploopt en krijg je ondersteuning vanuit de verzekeraar. Zij hebben ervaring met cyberaanvallen, waardoor je direct de juiste kennis in huis hebt.

Tip 5: Organiseer een cyberaanval-oefening

Het is goed om je cyberweerbaarheid te testen door een “brandoefening” te organiseren. Hiervoor stel je een cyberaanval-responseplan op en voer cyberaanval-oefeningen uit. In het responseplan werk je uit wat je doet als je wordt aangevallen. Met wie je contact opneemt en hoe je erover gaat communiceren.  

Met de cyberaanval-oefening test je of je daadwerkelijk alle contactgegevens hebt die je nodig hebt, oefen je met medewerkers wat ze moeten doen én, om het realistisch te maken, kun je een PEN-test laten uitvoeren. Hierbij valt een ethische hacker jouw netwerk aan om te kijken waar de kwetsbaarheden zitten. Zo weet je precies hoe het ervoor staat.  

Neem contact op

Heb je vragen over al deze maatregelen rondom de bescherming van persoonsgegevens in je organisatie? Neem gerust contact op via info@arcusit.nl.

 

CTA

 

Gratis whitepaper:
'Formuleer jouw routekaart naar de online werkplek'
Download de whitepaper