Je boekhouding in de cloud. Hoe veilig is dat?
Waar moet je op letten?
Steeds meer zzp’ers gaan voor de gemakken van het online boekhouden. Ze delen hun gegevens met hun accountant in de cloud. Maar hoe veilig is die cloud nu eigenlijk?
Veiligheid is voor veel ondernemers de voornaamste reden om in de cloud te gaan werken. Het maakt het leven bovendien een stuk makkelijker als je altijd en overal bij je gegevens kunt. Toch weet 50 procent van de ondernemers die in de cloud zit, helemaal niet waar de data dan zijn opgeslagen. Driekwart van hen denkt dat dat in Nederland gebeurt, maar nog niet eens de helft van de data is hier opgeslagen.
Transparantie
De cloud blijft een abstract begrip. En dat geldt helemaal voor de veiligheid. Hoe kun je nu oordelen of de cloud waarin jij werkt met je online boekhoudprogramma veilig genoeg is? Welke veiligheidsmaatregelen neemt de cloudaanbieder? Hoe zit het met de privacy? Het vaak om honderden technische, maar ook juridische en organisatorische maatregelen. Die wil je toch niet allemaal uitpluizen? Eigenlijk wil je dus dat jouw cloudleverancier duidelijk communiceert over hoe hij zijn beveiliging heeft geregeld en hoe hij deze dagelijks bewaakt, laat controleren en hier verantwoording over aflegt. Gelukkig zijn daar veiligheidsstandaarden voor, die worden gecontroleerd door externe accountants, maar ze zeggen de gemiddelde gebruiker niet heel veel.
Zelf op zoek gaan naar de veiligheid
Toch is het belangrijk beter op deze standaarden te letten, stelt André Salomons, CIO van Financial Suite, die twee jaar geleden onderzoek deed naar hoe transparant cloudaanbieders zijn over hun security. “Een betrouwbare cloudleverancier, heeft geïnvesteerd in deze certificaten. Je moet de communicatie over die certificaten terug kunnen vinden op hun website, bijvoorbeeld in de vorm van een pdf.”
Uit zijn onderzoek kwam naar voren dat maar één van de onderzochte cloudleveranciers de informatie over de wijze waarop de klantendata is veiliggesteld op orde had. Salomons: “Zoek daarom voordat je in zee gaat met een cloudaanbieder altijd op zijn website of je hierover iets kunt terugvinden. Neem geen genoegen met loze kreten als ‘Wij zijn 100 procent veilig’, als daar geen verdere uitleg bij zit. Is er verder niks over te vinden, zoek dan een andere aanbieder.”
Toch is de cloud veiliger dan wanneer je je gegevens op de thuiscomputer bij je boekhouder hebt staan. “Ik heb tien jaar gewerkt als zzp’er en vind het ideaal om de boekhouding in de cloud te doen. De cloud voldoet aan allerlei securityregels, mechanismen en regels. Je koopt een stuk veiligheid. Maar die moet je dus wel zelf toetsen.”
Keurmerk
Gelukkig is er een initiatief om je wat meer inzicht te geven: het Keurmerk Zeker-OnLine. Door online leveranciers van administratieve diensten te certificeren, hoopt de stichting Zeker-OnLine de betrouwbaarheid en veiligheid in de cloud beter zichtbaar te maken voor ondernemers. Om het keurmerk te verkrijgen moeten de leveranciers voldoen aan allerlei eisen op het gebied van veiligheid, betrouwbaarheid, functionaliteit, uitwisselbaarheid van gegevens en juridische aspecten als privacy en continuïteit. Het initiatief is opgezet door accountants, het Platform voor de Informatiesamenleving (ECP), de Belastingdienst en een groep leveranciers van online boekhoudpakketten.
Zo moet de aanbieder bijvoorbeeld de gegevens van een ondernemer minimaal een half jaar bewaren als de overeenkomst door faillissement van de ondernemer wordt beëindigd. Als hij failliet gaat moet de dienstaanbieder voorzieningen treffen om de dienst nog een maand beschikbaar te stellen om zo de gegevens naar een andere provider over te zetten. Verder moet de ondernemer eigenaar blijven van alle door hem ingevoerde data en wanneer de aanbieder privacy gevoelige gegevens opslaat in de cloud, moet deze zich daarbij houden aan wettelijke eisen.
7 tips voor veilig werken in de cloud
- Zorg dat je internetverbinding betrouwbaar is en voldoende bandbreedte heeft
Niet alleen omdat je anders niet bij je bestanden kan, maar ook omdat je via je cloudprovider met je klanten kunt communiceren. Het staat een beetje knullig als de verbinding wegvalt tijdens een videoconferentie, telefoongesprek of webinar. Wat je kunt doen is de risico’s verspreiden door meerdere verbindingen op basis van verschillende technologieën te regelen.
- Weet welke apparaten toegang hebben tot de cloud en beveilig die
Niet alleen je computer, ook je tablet, smartphone of PDA kan inloggen op de cloud. Net als die van collega’s met wie je (tijdelijk) samenwerkt. Inventariseer wie en wat bij je gegevens kan (vergeet ook privéapparatuur niet) en zorg dat die apparaten voorzien zijn van virusscans, wachtwoorden, versleuteling en specifieke persoonsgebonden permissies.
- Zoek je data van tevoren uit
Bekijk al je bestanden eens goed. Wat kan er veilig in de cloud en wat niet? En onder welke voorwaarden of in welke vorm mag het online? Zo is je informatiewolk veilig en optimaal ingericht, wat je later ook tijd bespaart.
- Houd gevoelige privégegevens in Nederland
Er is wel een richtlijn van de EU wat betreft het beveiligen van persoonsgegevens, maar die wordt door elk land anders uitgelegd. Hoewel er een voorstel is gedaan voor een algemene, bindende cloudwet, is het voorlopig beter je persoonlijke informatie binnen de grenzen te houden. Zorg dat je cloudaanbieder hiervan op de hoogte is, zo’n restrictie is technisch eenvoudig te regelen.
- Kies een cloud die bij je past
Er zijn zo’n vier soorten clouds:
- Public cloud: de infrastructuur is helemaal in handen van de provider. Waar je gegevens (‘ergens ter wereld’) precies worden opgeslagen is onbekend en er zijn ook geen afspraken over.
- Private cloud: deze is exclusief voor jou bestemd. Jij bepaalt waar je gegevens zich bevinden.
- Hybrid cloud: deels openbaar, deel privé. Gevoelige data kun je gescheiden onderbrengen in een afgeschermde omgeving.
- Community cloud: gedeeld met een paar vergelijkbare organisaties of zzp’ers.
Voor gevoelige data is een publieke cloud natuurlijk niet geschikt. Over een private cloud heb je de controle, maar die kost dan ook meer. Vraag je cloudaanbieder om raad.
- Kies alleen gecertificeerde cloudaanbieders
Certificaten geven natuurlijk geen keiharde garanties, maar ze vormen wel een leidraad bij het vinden van een betrouwbare cloudaanbieder. Het zegt op z’n minst iets over de instelling van het bedrijf. Let vooral op de volgende certificaten:
- PCI DSS (Payment Card Industry Data Security Standards). Een pakket met maar liefst 297 voorschriften, opgelegd door de internationale creditcardorganisaties.
- ISO 27001, een belangrijke ISO-standaard voor informatiebeveiliging.
- ISO 9001, een norm die eisen stelt aan het kwaliteitsbeleid van organisaties.
- ISAE 3402, een nieuwe standaard voor ‘third party reporting’.
Kies voor een certificaat dat bij jouw gegevens en wensen past, anders heeft het certificaat voor jou weinig waarde.
- Maak duidelijke afspraken met je provider
Leg de afspraken met je cloudaanbieder ook altijd schriftelijk vast. Gebruik hiervoor een SLA (Service Level Agreement). Omdat een SLA niet officieel een formeel contract is en betrokken partijen het de status kunnen geven die ze willen, moet je het als zodanig betitelen. Weet wel dat jij verantwoordelijk blijft voor je data, al mag je natuurlijk best wat van je cloudprovider terugverwachten. Betrouwbaarheid is in die business natuurlijk van groot belang, dus spreek ze daarop aan.