Het verlenen van rechten aan een accountant op (delen van) een Exact Online administratie brengt specifieke risico’s met zich mee. Een “zelfboekende ondernemer” die zijn accountant toegang geeft tot een administratie vertrouwt op de integriteit en zorgvuldigheid van de accountant en diens medewerkers.
Echter, de huidige beperkingen en structuren binnen Exact Online creëren aanzienlijke risico’s, vooral op het gebied van datalekken en de controle vooraf en controleerbaarheid achteraf over wie er wanneer en hoe toegang heeft (gehad) tot gevoelige bedrijfsgegevens.
Risico’s van toegang door accountants
Wanneer een ondernemer rechten verleent aan een accountant op een administratie, krijgen niet alleen de door de ondernemer aangewezen medewerkers toegang tot de administratie, maar elke medewerker van het accountantskantoor die bevoegd is binnen dat kantoor.
Hoewel het in Exact Online zelf onmogelijk is voor een medewerker van de ondernemer of accountant om die rechten door te geven aan andere gebruikers binnen Exact Online, is er wel een mogelijkheid dat derden via apps toegang verkrijgen zonder voorafgaande toestemming door degene die rechten aan de medewerker heeft verleend.
Dit brengt twee grote risico’s met zich mee:
Gebruik van apps als proxy
In Exact Online kunnen apps gekoppeld worden aan een administratie met bepaalde rechten. Afhankelijk van de verleende rechten, kan een app toegang krijgen tot een breed scala aan gegevens. Dit wordt problematisch omdat een app als “proxy” fungeert, waarmee verschillende personen – niet alleen degenen die direct door de ondernemer zijn gemachtigd – toegang kunnen krijgen tot de gegevens via de app.
Hierdoor kan de ondernemer de controle verliezen over wie er werkelijk toegang heeft tot zijn administratie.
Dit creëert een aanzienlijke beveiligingskloof, omdat deze externe app-gebruikers mogelijk geen directe relevante relatie hebben met de accountant of de ondernemer, maar wel toegang hebben tot gevoelige gegevens.
Gebrek aan controle en controleerbaarheid
Een ander belangrijk risico is het gebrek aan inzicht en controle voor de ondernemer.
Exact Online biedt momenteel niet een eenvoudige mogelijkheid voor een ondernemer om een gedetailleerd overzicht op te vragen van wie er toegang heeft gehad tot de administratie en wat die personen precies hebben gedaan.
Dit betekent dat de ondernemer niet kan achterhalen of de gegevens zijn bekeken door een directe medewerker van de accountant, of door een persoon die toegang heeft verkregen via een app als proxy.
Dit gebrek aan traceerbaarheid vergroot het risico op ongeautoriseerde toegang en potentieel misbruik van gegevens zonder dat de ondernemer hiervan op de hoogte is.
Mogelijke datalekken
De beschreven risico’s brengen een reëel gevaar voor datalekken met zich mee. In het huidige digitale tijdperk is data een van de meest waardevolle activa van een onderneming, en het ongeautoriseerd verkrijgen van deze gegevens kan leiden tot ernstige gevolgen, zoals reputatieschade, financiële verliezen en juridische aansprakelijkheid. De mogelijkheid dat meerdere personen toegang kunnen krijgen tot bedrijfsgegevens zonder dat de ondernemer daar controle over heeft, vergroot de kans op datalekken aanzienlijk. Als bijvoorbeeld een app wordt gehackt of misbruikt, kan dit leiden tot een grootschalige inbreuk op vertrouwelijke bedrijfsinformatie.
Aanbevolen verbeteringen voor Exact Online
Exact Online zou enkele maatregelen kunnen nemen om deze risico’s te beperken en de veiligheid van bedrijfsdata te waarborgen. Suggesties voor verbeteringen zijn:
Granulaire toegang en machtigingsbeheer
Exact Online zou de ondernemer meer controle kunnen geven over de rechten die aan apps en derden worden verleend (zoals ook in SQL “with grant option” bestaat). Dit zou kunnen door gedetailleerdere rechten toe te staan, waarbij de ondernemer per gebruiker of app specifiek kan aangeven welke gegevens toegankelijk zijn en welke niet. Dit voorkomt dat een app te brede toegang krijgt en fungeert als proxy voor onbedoelde gebruikers.
De bijbehorende standaarden waaruit blijkt dat Exact Online momenteel niet voldoet staan beschreven in A.9.2 van ISO/IEC 27001 (minimale rechten: “least access”) en 9.2.3 van ISO/IEC 27002 (formeel proces voor toegangsrechten). Voor bestuursorganen is dit geformaliseerd in afdeling 10.1.1 waarbij een mandaatgever kan bepalen dat degene aan wie mandaat is verleend het mandaat wel/niet verder mag doorgeven (submandaat verlenen).
Verbeterde logging en monitoring
Een essentieel verbeterpunt is het bieden van uitgebreide logging- en auditmogelijkheden. De ondernemer zou ten allen tijde eenvoudig moeten kunnen opvragen wie er toegang heeft gehad tot de administratie, welke gegevens zijn geraadpleegd en welke handelingen er zijn uitgevoerd. Dit verhoogt niet alleen de transparantie, maar fungeert ook als afschrikmiddel voor ongeautoriseerd gebruik.
Ook hiervoor gelden de genoemde standaarden.
Notificaties en alerts
Ondernemers zouden meldingen moeten ontvangen wanneer nieuwe gebruikers toegang krijgen tot hun administratie en/of hiervan gebruik maken, vooral als dit via een app gebeurt. Dit stelt hen in staat om onmiddellijk actie te ondernemen indien er sprake is van ongeautoriseerde toegang.
Ook hiervoor gelden de genoemde standaarden.
Conclusie
Het verlenen van bedrijfsbrede rechten aan een accountant in Exact Online brengt risico’s met zich mee, vooral door het gebruik van apps als proxy en het gebrek aan controle over wie er toegang heeft tot de gegevens. Exact Online zou verbeteringen moeten doorvoeren in het toegang- en machtigingsbeheer, logging en monitoring, om ondernemers beter te beschermen tegen mogelijke datalekken en ongeautoriseerde toegang.
Zeker in tijden van een oorlog op het Europees continent en hybridge oorlogsvoering is het wenselijk om te voorkomen dat persoonsgegevens en transactiehistorie onnodig eenvoudig toegankelijk zijn.
Het waarborgen van dataveiligheid zou prioriteit moeten hebben in het huidige digitale tijdperk, waarin vertrouwelijkheid en integriteit van bedrijfsgegevens cruciaal zijn.