JUYST

JUYST Accountancy Belastingadvies, IT-audit, HR-advies, Business Coaching

Formulier

Fout: Contact formulier niet gevonden.

Nieuwsbrief

ZoekSluit
LoginSluit
MenuSluit

IT-auditing

De beveiliging van ons online BI-platform dbi.cloud is voor ons van cruciaal belang. Vandaag hebben we gezorgd voor een A+ rating van het platform.

Het was verrassend om te zien dat een recente publicatie van het Committee of Sponsoring Organizations of the Treadway Commission (COSO) over het beheersen van frauderisico’s nadrukkelijk verwijst naar de rol die data-analyse in het kader van fraudebeheersing kan spelen.

De nieuwe COSO Fraud Risk Management Guide (klik voor executive summary) bevat vijf elementen voor het beheersen van frauderisico’s en koppelt deze aan het uit 2013 stammende Framework for Internal Controls.

Deze vijf elementen geven richting en inhoud aan het opzetten van een samenhangend ‘Fraud Risk Management Program’:

  1. Vaststellen beleid voor het beheersen van frauderisico’s
  2. Uitvoeren van een fraude-risicoanalyse
  3. Ontwerpen en implementeren van maatregelen voor fraudepreventie en -detectie
  4. Uitvoeren van fraudeonderzoeken
  5. Monitoren en evalueren van het gehele frauderisico beheersingsprogramma

De rol van data-analyse bij het beheersen van frauderisico’s

Het inzetten van data-analyse speelt tenminste een rol in het tweede, derde en vierde element.

Fraude-risicoanalyse

Met data-analyse kunnen grote hoeveelheden gegevens en activiteiten binnen de bedrijfsprocessen worden onderzocht om frauderisico’s in beeld te krijgen en te indiceren waar het risico op fraude het grootst is.

Fraudedetectie

Data-analyse kan daarnaast worden gebruikt om transacties te detecteren waarbij maatregelen voor fraudepreventie zijn omzeild of hebben gefaald, dan wel om frauduleuze transacties op te sporen waarvoor geen beheersingsmaatregelen zijn getroffen. In het geval dat de analyses worden uitgevoerd op het moment dat een transactie wordt verwerkt, kan data-analyse zelfs fraude voorkomen. Inzet van data-analyse kan eenmalig – op het moment dat er noodzaak toe bestaat – worden uitgevoerd of als onderdeel van een doorlopend continue monitoring en risicobeheersingsproces. Het feit dat er continue wordt gemonitord kan op zichzelf al een preventieve rol spelen bij het voorkomen van fraude; managers of personeelsleden denken wel twee keer na alvorens te frauderen als ze weten dat dit gebeurd.

Fraudeonderzoeken

Data-analyse kan tenslotte zeer nuttig zijn bij uitvoeren van fraudeonderzoeken om fraudepatronen bloot te leggen of om bewijs te vergaren over concrete fraudegevallen.

Wie is verantwoordelijk voor toepassing van data-analyse voor fraudebeheersing?

Het bestuur en het management draagt uiteraard de primaire verantwoordelijkheid voor fraudepreventie en -detectie. Dit is de eerste ‘line of defense’. Binnen bepaalde organisaties is fraudedetectie en het naleven van frauderichtlijnen belegd bij een specifieke afdeling of groep medewerkers, in de ‘second line of defense’. In andere organisaties valt het onder de interne auditafdeling. Los van waar de verantwoordelijk ligt: van belang is dat data-analyse wordt ingezet om frauderisico’s te monitoren en de schadelijke effecten van fraude in te dammen.

Ondanks de ontwikkeling en op het vlak van data-analyse heeft het lang geduurd voordat COSO het belang van data-analyse voor het beheersen van fraude nadrukkelijk erkent. Maar beter laat dan nooit, wat mij betreft. Het opnemen van data-analyse in de Fraud Risk Management Guide is voor mij een positief teken.

Veel ondernemers erkennen het belang van Data & Analytics (D&A). Het levert heel wat informatie en dus strategisch inzicht. Toch zijn bestuurders wereldwijd nog lang niet altijd overtuigd van de waarde van de analyses. Het klinkt tegenstrijdig, maar toch is het zo. Uit internationaal onderzoek van KPMG blijkt dat bijna de helft van de bestuurders de strategie op het gebied van Data & Analytics niet volledig ondersteunen.

Verkeerde inzichten leiden tot verkeerde beslissingen

Zo’n 70% van de ondernemingen vindt zelfs dat het gebruik van D&A het bedrijf blootstelt aan risico’s voor wat betreft de bedrijfsreputatie. Dit heeft alles te maken met de mate waarin zij de resultaten vertrouwen. Mochten deze niet kloppen, dan kunnen ze immers leiden tot verkeerde beslissingen en dus tot imagoverlies. Minder dan de helft (40%) van de ondernemingen vertrouwt de analyses volledig als het gaat om risicomanagement en het inzicht dat ze in hun klanten bieden. Voor het managen van de operationele bedrijfsvoering is dat nog minder (30%).

Waarde

De meeste bedrijven zijn zich er bewust van dat er met D&A concurrentievoordeel behaald kan worden. Zo’n 70% van de onderzochte ondernemingen geeft aan dat er waardevolle inzichten verkregen kunnen worden over bijvoorbeeld het bestaande klantenbestand, of het productgebruik.

Kwaliteit, effectiviteit, integriteit, veerkracht

Ondernemers zien dus wel de waarde, maar het ontbreekt hen nog aan vertrouwen. Hoe nauwkeurig zijn de gegevens? Minder dan 20% vindt dit voldoende. Slechts 13% van de bedrijven is bovendien van mening dat hun D&A-analysen en het gebruik ervan voldoen op het gebied van integriteit en privacy. En hoe staat het met het ingaan op veranderingen? Minder dan 20% vindt dat zij hiervoor beschikken over de noodzakelijke kaders. Data & Analytics kan dus zeker nuttig zijn. Er valt echter nog veel winst te behalen.

Bron: KPMG

Bedrijven die slachtoffer zijn geworden van een digitaal misdrijf, kiezen er vaak om goede redenen voor het incident binnenskamers op te lossen. Dat zegt Aldo Verbruggen, partner bij het internationaal opererende advocatenkantoor Jones Day in een gesprek met het FD. Het doen van aangifte of voldoen aan de wettelijke verplichting het verlies aan persoonsgegevens te melden, kan tot grote materiële schade leiden. Bovendien is door het grensoverschrijdende karakter van cybercrime de kans op vervolging en veroordeling minimaal.

Verbruggen informeert bedrijven die zijn diensten inroepen dan ook nadrukkelijk over de nadelen van het doen van een melding. ‘De overheid kan mij niet duidelijk maken wat het mijn cliënten brengt om zaken aan te kaarten met het gevaar dat ze in de openbaarheid komen. De redenering blijft steken in de formulering dat het bijdraagt aan het algemeen belang. Ik betwijfel dat zeer. Recht en justitie lopen hopeloos achter op techniek.’Volgens Verbruggen, ex-officier van justitie, is het voor bedrijven in veel gevallen lonend het risico te lopen mogelijk later betrapt te worden en de eventuele boete te betalen.

Haaks op de wet

Met deze opstelling gaan bedrijven lijnrecht in tegen de wet Datalekken die sinds januari van dit jaar bedrijven verplicht om een hack of digitale aanval te melden bij de Autoriteit Persoonsgegevens. Verbruggen denkt dat steeds meer bedrijven het melden achterwege zullen laten: ‘Ik voorspel dat de verplichting tot melden op substantiële schaal niet gaat worden nageleefd.’

Hij baseert zich onder meer op ervaringen uit landen waar al langer een meldplicht bestaat. Ter ondersteuning van zijn voorspelling noemt Verbruggen voorbeelden van cyberincidenten die pas na vele jaren in de openbaarheid komen. ‘Een van de grootste computerinbraken uit de geschiedenis vond plaats bij Yahoo. Dat kwam onlangs naar buiten, maar de hack met datalek dateert uit 2014. Dit voorbeeld zegt genoeg, lijkt me.’

‘Verontrustend signaal’

De Autoriteit Persoonsgegevens, die toezicht houdt op het gebruik van persoonsgegevens door organisaties, noemt de uitspraken van Verbruggen ‘een zeer verontrustend signaal’. Deze maand maakte de toezichthouder bekend bijna 4000 meldingen te hebben gekregen. De Autoriteit noemt dit aantal ‘bemoedigend’, maar geeft toe dat het nog gering is, aangezien Nederland 130.000 organisaties telt die op de een of andere manier met privacygevoelige informatie werken.De Autoriteit Persoonsgegevens kan niet zeggen of bedrijven niet melden uit onbekendheid met de verplichting, of dat er sprake is van een weloverwogen keuze.Naar aanleiding van de meldingen die tot nu zijn gedaan, is de toezichthouder tientallen onderzoeken gestart waar hoogstwaarschijnlijk ook boetes uit zullen voortkomen.

Bron: FD 24-10-2016

Per 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen, oftewel de mensen van wie de persoonsgegevens zijn gelekt. Ondanks dat het onderwerp al veel aandacht in de pers heeft gekregen, is de meldplicht aan veel bedrijven voorbijgegaan.

Een datalek hoeft niet altijd gemeld te worden bij de Autoriteit Persoonsgegevens. Dit moet alleen als het betreffende lek leidt tot ernstige gevolgen voor de bescherming van persoonsgegevens, of wanneer een aanzienlijke kans bestaat dat die gevolgen inderdaad realiteit worden. De Autoriteit Persoonsgegevens heeft beleidsregels gepubliceerd die u kunnen helpen om te bepalen of er inderdaad sprake is van ernstige nadelige gevolgen.

Wanneer spreken we van een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Het gaat dus niet alleen om het vrijkomen (lekken) van gegevens, maar ook bijvoorbeeld om onrechtmatige verwerking van gegevens. Voorbeelden zijn een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Daarnaast is er sprake van een datalek wanneer er een inbreuk is op de beveiliging van persoonsgegevens, zoals beschreven in artikel 13 van de Wet bescherming persoonsgegevens. Kortom, persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking, en dat is precies de beveiligingsmaatregelen hen tegen moest beschermen.

Wat kunt u doen?

U kunt onder andere de volgende stappen ondernemen:

  • Inventariseer en classificeer de vertrouwelijkheid van de informatie die binnen uw organisatie wordt gebruikt en leg vast wie welke informatie mag zien en/of bewerken. Een hulpmiddel hierbij is de handreiking dataclassificatie die door de Nederlandse gemeenten wordt gehanteerd. De onderscheiden niveaus van vertrouwelijkheid zijn:
    • Openbaar: Alle informatie die algemeen toegankelijk is voor eenieder. Er is geen schending van deze classificatie mogelijk.
    • Bedrijfsvertrouwelijk: Informatie die toegankelijk mag of moet zijn voor alle medewerkers van de eigen organisatie(s). Vertrouwelijkheid is gering. Schending van deze classificatie kan enige (in)directe schade toebrengen.
    • Vertrouwelijk: Informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers. De informatie wordt ter beschikking gesteld op basis van vertrouwen. Schending van deze classificatie kan serieuze (in)directe schade toebrengen.
    • Geheim: Dit betreft gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Schending van deze classificatie kan zeer grote schade toebrengen.
  • Stel een plan op over hoe u omgaat met een datalek, gekoppeld aan bovenstaande classificaties. Leg hierin vast wie welke rollen en verantwoordelijkheden heeft, en welke procedures er gevolgd dienen te worden.
  • Beslis wie binnen uw organisatie datalekken beoordeelt en meldt bij de Autoriteit Persoonsgegevens.
  • Denk na en leg vast hoe u betrokkenen informeert in het geval van een datalek.
  • Denk na over hoe u omgaat met signalen uit de buitenwereld over mogelijke datalekken, tweederde van de hacks wordt door iemand van buiten de organisatie gemeld.
  • Controleer afspraken met de partijen die data voor u bewerken: heeft u de juiste overeenkomst met hen gesloten (zgn. bewerkersovereenkomsten)?
  • Laat doorlopend uw IT-omgeving controleren op kwetsbaarheden die bijvoorbeeld door achterstallig beheer zijn ontstaan. Zorg ervoor dat deze controles aantoonbaar geschieden (goede dossiervorming).
  • Zorg voor een adequate opvolging van datalekken of zelfs signalen in de richting van een datalek. Aanpassing van uw beveiligingsmaatregelen voorkomt immers toekomstige datalekken.
  • Maak niet de fout door te denken dat het enkel een IT-gerelateerd probleem is: de juiste cultuur binnen uw organisatie en de houding en het gedrag van uw medewerkers vormen de basis voor een afdoende bescherming tegen datalekken.

Het begint met een goed gesprek

Het meest belangrijk is dat het onderwerp informatiebeveiliging binnen uw organisatie op de agenda komt te staan. Maak uw organisatie bewust van het belang van een goede beveiliging en wees daarbij pragmatisch; inspelen op angst zorgt voor een verkeerde motivatie. Omdat niet iedereen het budget heeft van een grote bank is het belangrijk te bekijken hoe de ‘kroonjuwelen’ van een bedrijf het beste kunnen worden beschermd. De hiervoor genoemde stappen vormen een goed startpunt.

Contact

Neem contact op met Wil Peters of Dennis Verhaert als u ondersteuning zoekt bij het voldoen aan de eisen voor gegevensbescherming

Een boete van € 820.000 of 10% van de jaaromzet en mogelijke schadeclaims. De Wet bescherming persoonsgegevens, die 1 januari 2016 ingaat, kan grote gevolgen hebben voor het midden- en kleinbedrijf. Pijnpunt is de meldplicht datalekken — een verplichting om direct een melding te doen bij het College bescherming persoonsgegevens (CBP) als er sprake is van een ernstig datalek waarbij persoonsgegevens zijn verloren of gestolen. Het gaat niet om alleen computerkrakers, ook het onrechtmatig verwerken van gegevens, een kwijtgeraakte usb-stick, of een gestolen laptop vallen onder het richtsnoer.

Tot nu toe was gehackt worden pijnlijk en zorgde de computerkraak voor reputatieschade, maar bleef deze veelal zonder verdere gevolgen. In de nieuwe wet moeten ondernemers, het bedrijfsleven en de overheid aantonen dat ze niet nalatig zijn geweest. Wie ernstig blundert of verzuimt om een datalek te melden, kan rekenen op een boete van maximaal € 820.000 of 10% van de jaaromzet. ‘Die boete is de grootste vernieuwing in de wet’, aldus ICT-jurist Arnoud Engelfriet. ‘Je was altijd al verplicht om gegevens adequaat te beschermen.’

Daar stopt de richtlijn niet. Liggen klantgegevens op straat, dan zit daar een extra meldingsplicht aan vast. Het bedrijf moet dan ook zijn afnemers op de hoogte stellen, wat mogelijk tot extra schadeclaims kan leiden. En niet onbelangrijk: binnen 72 uur moet een ondernemer, organisatie of overheidsinstantie laten zien dat ze voldoende actie ondernomen hebben om zwaktes in het systeem te dichten.

Hackers

Henk Krol van de partij 50Plus kreeg in 2013 een boete opgelegd omdat hij met een kinderlijk eenvoudige ingreep bij patiëntendossiers van het Brabantse medisch laboratorium Diagnostiek voor U kwam. Een hack, concludeerde het Openbaar Ministerie. Het kostte Krol, die tot dan toe weinig bekendheid genoot als computerkraker, € 750. ‘Dat kan dus straks niet meer’, vertelt Bastiaan Bakker van internetbeveiliger Motiv.

De schuldvraag ligt straks niet meer bij de hacker, de aanbieder van de serverruimte of zelfs het beveiligingsbedrijf dat een mkb’er of instantie inhuurt. De eindverantwoordelijke voor gevoelige data, is ook eindverantwoordelijk voor de beveiliging daarvan. Dat legt een nieuwe uitdaging bij kleine bedrijven waar de IT-kennis vaak schraal is. Hoe bepaalt een ondernemer of de beveiliging door derden afdoende is? Juist op dat punt wordt de richtlijn vaag. De meldplicht datalekken is een zogenoemde open norm, de overheid schrijft niet voor wat de minimale eisen zijn.

Omdat voor een ondernemer niet te doorgronden is of de partijen waarmee hij samenwerkt de juiste maatregelen getroffen hebben, raadt ICT-jurist Engelfriet ze aan om een bewerkersovereenkomst op te stellen. Dat is een wettelijk verplicht document voor ondernemers die het verwerken van persoonsgegevens bij een andere partij willen uitbesteden. Het biedt de mogelijkheid om partijen vooraf verantwoordelijk te stellen bij mogelijke nalatigheid. ‘De vraag daarnaar neemt enorm toe’, aldus de ICT-jurist.

Risico’s

Marc Welters, partner bij EY, is daar juist geen voorstander van. ‘Je kunt je verantwoordelijkheid niet wegmanagen met een bewerkersovereenkomst.’ Het accountants- en consultancykantoor ziet door de komst van de nieuwe richtlijn een sterke toename van ondernemers die een ‘IT-audit’ (een robuustheidstest) laten uitvoeren.

‘Dat is geen garantie dat het veilig genoeg is, maar brengt wel de risico’s in kaart.’ Volgens Welters is voor de meeste ondernemers reputatieschade de belangrijkste reden om zo’n onderzoek uit te laten voeren. ‘Als creditcardgegevens op straat liggen, dan brengt dat de continuïteit van je bedrijf in gevaar.’

Datadiefstalfilters

Om aan de richtlijn te voldoen moeten ondernemers drie punten in acht nemen. Een bedrijf moet voldoende maatregelen genomen hebben om ervoor te zorgen dat data veilig zijn. Denk bijvoorbeeld aan encryptie. Daarnaast moet het systeem goed beveiligd zijn tegen malware. ‘In de praktijk zien we dat negen van de tien bedrijven websurfen en downloaden niet scannen op malware’, aldus Bakker van internetbeveiliger Motiv. Dat scannen van internetgedrag is om de juiste redenen niet populair. Wie wil meekijken met inkomend verkeer, kan dat niet zonder ook de inhoud te bekijken, dan dringt zich al snel het privacyvraagstuk op. In de huidige tijd kan een bedrijf echter niet zonder, aldus Bakker. ‘Er is een enorme toename van malwarebesmettingen (een verzamelnaam voor boosaardige software, red.) en phishing (nepberichten waarmee getracht wordt persoonlijke gegevens van ontvangers te ontfutselen, red.) vanuit bijvoorbeeld Gmail. Bedrijven nemen daar te weinig actie op.’

Ten slotte raad Bakker ondernemers aan om ‘datadiefstalfilters’ te installeren. Deze controleren niet het inkomende verkeer, maar juist het uitgaande verkeer.

Bron: Rutger Betlem, FD Krantentitel: ‘Bedrijf moet veilige opslag data regelen’