Als in een zorginstelling de IT-systemen falen, dan kan in de praktijk nauwelijks meer behandeld worden. De sector is immers vergaand geautomatiseerd. “We zijn geworden tot een IT-bedrijf dat zorgdiensten levert”, verzuchtte een CISO van een groot ziekenhuis onlangs. Dit beeld gaat niet alleen op voor de medische sector. Zo zijn regelmatig financiële transacties niet mogelijk door storingen in de digitale systemen van banken.
Ransomware
Het grote aantal ransomware-aanvallen dat dit jaar al in het nieuws kwam maakt nog eens extra duidelijk hoe kwetsbaar digitale omgevingen van bedrijven en instellingen inmiddels zijn geworden. Daarom wordt al langer gepleit de kwaliteit van de ICT-omgeving (zowel in de bedrijven als de externe omgevingen zoals datacenters en de omgang met cloud-diensten) te laten auditten door accountants. En de resultaten van de IT-audit op te nemen in het jaarverslag.
Uitbreiding DPIA
In feite komt een dergelijke verplichting neer op een uitbreiding van de DPIA, wat staat voor Data Protection Impact Assessment. Dit is een verplicht aandachtspunt bij de verwerkingen van persoonsgegevens met waarschijnlijk een hoog risico voor de betrokken personen (artikel 35 AVG).
Om te bepalen of het risico hoog is, moet je volgens de AVG kijken naar “de aard, de omvang, de context en de doeleinden” van de verwerking. Hieronder valt onder meer heimelijk onderzoek van personeel door werkgevers en grootschalige fraudebestrijding. Denk bij dat laatste aan bijvoorbeeld AI-analyse van het klantenbestand. Maar ook aan het grootschalig monitoren van personeel of klanten. En aan het stelselmatig monitoren van dataverkeer anders dan voor security.
Eis bij kredietverlening
Dat een DPIA verplicht is in het kader van de AVG is niet verwonderlijk. Bedrijven kunnen tegen forse boetes aanlopen als ze deze regelgeving schenden. Steeds vaker echter stellen nu ook financiële instellingen eisen aan de verslaggeving over de toestand van de IT-systemen. Dit bijvoorbeeld in het geval van het verlenen van kredieten of het verzekeren van risico’s.
Een toetsing van de IT krijgt daarom steeds meer aandacht. Het model hiervoor is ontwikkeld door Norea, de beroepsvereniging van IT-auditors. Het initiatief wordt gesteund door bedrijven, banken en investeerders. Volgens de Norea groeit in de bestuurs-/directiekamers van Nederlandse organisaties en hun stakeholders de behoefte aan een onafhankelijk oordeel over de inrichting en beheersing van IT. Is deze toekomstbestendig? Loopt de organisatie risico’s als gevolg van bijvoorbeeld cyberbedreigingen of privacy issues?
Afwachtende houding
In de praktijk blijkt dat de wens de IT-organisatie te laten beoordelen vooral afkomstig lijkt vanuit de gecontroleerden zelf. Dat blijkt ook uit Noors onderzoek. De grote accountancy kantoren nemen vooralsnog een afwachtende houding aan. Ze zien onderzoek naar de IT-prestaties vaak als niet meer dan een toevoeging op de ‘standaard’-audit.
Duidelijke kaders
Vreemd is die houding op het eerste gezicht niet. Het is immers, tenzij sprake is van schending van de AVG-bepalingen, op dit moment onduidelijk of het oordeel over de kwaliteit van de IT-audit rechtsgeldig is en bewijskracht heeft, maakt Jan Bouwens, hoogleraar accounting aan de UvA en research fellow University of Cambridge, duidelijk in een column. Het zou volgens hem daarom goed zijn als toezichthouders een dergelijke IT-audit stimuleren en de wetgever met duidelijke kaders komt.
