-
Financiële administratie & outsourcing
Hoe weet ik of mijn onderneming goed loopt? Een accurate financiële administratie geeft u de informatie die u nodig heeft om de juiste beslissingen te nemen.
-
Financieel inzicht
U wilt de juiste financiële beslissingen nemen op basis van betrouwbare en overzichtelijke managementinformatie. U wilt op ieder moment weten hoe u ervoor staat en waar u moet bijsturen.
-
Financial compliance
Is uw onderneming internationaal actief? Dan wilt en moet u voldoen aan de (financiële) wet- en regelgeving in de verschillende landen waar u actief bent. Maar hoe houdt u financieel overzicht?
-
Duurzaamheid in het mkb
In een wereld waar duurzaamheid steeds meer centraal staat, is het essentieel voor mkb-ondernemers om hun bedrijfsvoering aan te passen aan de eisen van de toekomst.
-
Impact House
Hoe kunt u verduurzamen en maatschappelijke impact maken in de wereld van stakeholders, regelgeving en de vraag vanuit klanten en de maatschappij?
-
Business risk services
Ken ik mijn risico’s? Neem ik de juiste maatregelen? Ben ik effectief daarin, ook met IT-tools? Als u met dergelijke vragen worstelt, kunnen wij u helpen met onze reeks van business risk diensten.
-
Cyber risk services
Welke cyberdreigingen zijn relevant voor mijn organisatie? Heb ik de goede voorzorgsmaatregelen genomen om mijn data te beschermen? Realistisch vragen! Wij helpen die te beantwoorden.
-
Deal advisory
Hoe krijg ik het (ver)koopproces van mijn bedrijf voor elkaar zonder al teveel kopzorgen? Wij zorgen voor een stevig fundament voor beslissingen bij de aan- en verkoop van bedrijven.
-
Forensic & integrity services
Hoe kunt u op verantwoorde wijze risico’s beheersen indien sprake is van integriteitinbreuken of bedrijfsfraude? De Forensic & integrity services specialisten van Grant Thornton helpen.
-
Valuations
Verkoopt u uw aandelen, koopt u een andere aandeelhouder uit of laat u nieuwe investeerders toetreden? Werkt u aan een juridische of fiscale herstructurering? Bent u in gesprek met de fiscus voor de overdracht naar uw kinderen of medewerkers? Zit u met een geschil? Of wilt u voldoen aan uw verslaggevingsvereisten, zoals Purchase Price Allocation en Impairment Testing? Allemaal situaties waarbij de waarde van uw onderneming belangrijk is. De dynamiek kan per situatie echter heel verschillend zijn: waarde is namelijk altijd contextgevoelig.
-
Controle jaarrekening
U moet zich financieel verantwoorden, bijvoorbeeld aan aandeelhouders en andere stakeholders. Financiële informatie moet dus betrouwbaar zijn.
-
IFRS services
Financiële verslaglegging volgens IFRS is ingewikkeld. Inmiddels kennen steeds meer internationale ondernemingen de regels. Hoe past u ze echter concreet toe?
-
ISAE & SOC Reporting
Zakelijk Nederland is de afgelopen jaren flink veranderd. De overheid confronteert organisaties met toenemende regulering en compliance vereisten.
-
Pre-audit services
Pre-audit services staat voor het ‘controlegereed’ maken van de gehele financiële administratie voordat de externe accountant start met de controle van de jaarrekening.
-
Sarbanes Oxley controle en advies
De SOx wetgeving schrijft voor dat management structureel verantwoording af moet leggen over de interne controle met betrekking tot de financial statements. Dit moet bewezen worden door een verklaring van een onafhankelijke accountant.
-
Subsidieverklaringen
Is uw onderneming niet wettelijk verplicht tot controle, maar wilt u toch zekerheid verkrijgen over de getrouwheid van de cijfers?
-
Belastingadvies voor het mkb in Nederland
Hoe kan ik gebruikmaken van de innovatiebox? Kan ik die steeds terugkerende belastingaangiftes uitbesteden? Wat kost het als ik morgen wegval? Hoe regel ik mijn oudedagvoorziening? Voldoe ik wel aan alle nieuwe regelgeving? Zal ik NOW3 aanvragen? Allemaal goede vragen. Wij helpen met de antwoorden.
-
Belastingadvies voor Nederlandse multinationals
Als ik die interessante Head of sales in Frankrijk wil aannemen, hoe zit dat dan fiscaal? Welke vennootschap kan het beste een overname doen? Hoeveel scheelt het, als ik al onze belastingaanslagen wereldwijd bij één partij neerleg? Voor wie kan ik gebruikmaken van de 30%-regeling? En hoe? De boete van ‘niet melden’ 830.000 euro? Wat moet ik precies wél melden bij grensoverschrijdende fiscale constructies? Goede vragen. Wij beantwoorden er dagelijks honderden wereldwijd. Scherp en met aandacht voor uw situatie. In welk land dan ook.
-
Btw-advies
Als ondernemer heeft u te maken met btw-wetgeving, zowel als u nationaal als internationaal onderneemt. Die wetgeving is vaak complex. Een juiste toepassing en optimale benutting van de mogelijkheden van de btw-wetgeving vraagt specialistische kennis. Kennis die wij u kunnen bieden.
-
Douaneadvies
Ons internationale netwerk van douanespecialisten wijst u op de mogelijkheden die de douanewetgeving kan bieden. Dat bespaart u heel wat kosten en moeite.
-
Human Capital Services
Human Capital services van Grant Thornton helpt u om uw zakelijke doelstellingen te bereiken en de loonkosten in bedwang te houden.
-
Innovatie & subsidieadvies
Gaat u met uw organisatie risicovolle projecten aan? De overheid stelt financiële middelen beschikbaar, door middel van het stimuleringsbeleid, voor ondernemers. De subsidieadviseurs van Grant Thornton adviseren en assisteren u graag bij uw subsidieaanvraag.
-
Tax technology
Weet u wat uw belangrijkste fiscale risico’s zijn? En weet u hoe u deze risico’s identificeert en beheerst? Heeft u voldoende tijd om u te focussen op de fiscale zaken die ertoe doen?
-
Transfer pricing
Transfer pricing (interne verrekenprijzen) raakt de meeste multinationale bedrijven. Voldoet uw organisatie aan de transfer pricing-documentatieverplichtingen?
-
Sustainable Tax
In deze veranderende wereld wordt het steeds belangrijker om niet alleen naar de financiële prikkels te kijken, maar ook naar de impact op het milieu. Multinationale ondernemingen moeten hun belastingstrategie herzien, in lijn met het ESG-gedachtegoed.
-
Cryptocurrency en digitale activa
In de afgelopen jaren heeft de blockchain zichzelf bewezen om veranderingen teweeg te brengen in de financiële sector. Deze opkomende industrie heeft de noodzaak om aan regelgeving te voldoen, vergroot. In dit dynamische landschap passen onze specialisten zich hierop aan en geven zij voorrang aan de naleving en toezicht van de steeds veranderende regelgeving.
-
Uitbreiden naar andere markten
Zoekt u naar kansen om internationaal uit te breiden? Of u nu op het punt staat een nieuw kantoor te openen in het buitenland of een internationale overname overweegt, u heeft zekerheid nodig bij het maken van de juiste keuzes voor uw onderneming. Wereldwijde uitbreiding is niet altijd zo eenvoudig als het klinkt. Het goede nieuws is dat wij er zijn om u te helpen!
-
Internationale contactpersonen
Waar u ook kiest om zaken te doen, u wilt toegang tot mensen met de beste ideeën en kritisch denkvermogen waarmee u uw onderneming in binnen- en buitenland kunt laten groeien. Grant Thornton heeft een netwerk van kantoren in meer dan 140 landen. Waar u ook wilt uitbreiden, de kans is groot dat onze specialisten ook daar zijn gevestigd.
-
Ondernemingsrecht
Van algemene voorwaarden tot juridische strategie, het moet waterdicht in elkaar zitten. Dat geeft zekerheid en dus rust en ruimte voor groei. Wij denken pro-actief en pragmatisch met u mee. We kijken vooruit en zetten graag dat stapje extra.
-
Arbeidsrecht
Kleine onderneming of grote multinational: uw mensen zijn de spil van uw bedrijf. Arbeid is verweven met diverse belangen en heeft vaak juridische consequenties. Voor grote strategische én alledaagse vragen over arbeidsrecht staan onze juristen voor u klaar. Óók voor internationale arbeidsrechtvragen. Een eigen HR-afdeling? Die assisteren we graag. Wij leveren service op maat en zijn er als u ons nodig heeft.
-
Sustainable legal
Duurzaamheid is meer dan een buzzword - het vormt de kern van onze juridische begeleiding naar duurzaam succes. Van het opstellen van duurzame contracten, integreren van duurzaam HR-beleid en ESG-Due Diligence binnen onze M&A praktijk tot het adviseren over ESG en andere (nationale en internationale) wetgeving: Wij denken graag pragmatisch en proactief met u mee.
-
Opleiding: Duurzaamheidsrapportage en sturing
Toekomstbestendig zijn, risico’s beheersen, kansen pakken en maatschappelijke impact creëren; duurzaamheid staat inmiddels hoog op de agenda van de meeste bedrijven.
-
Opleiding: Impactmanagement
Als maatschappelijke organisatie wil je wel zeker weten dat je het goede doet. En je wilt je impact ook kunnen communiceren naar je stakeholders.
-
Opleiding: Expeditie Impactmeten
Uw maatschappelijke missie staat voorop, dat maakt u een sociaal ondernemer of maatschappelijk initiatief. Het is dan ook logisch dat u graag wilt weten in hoeverre u uw maatschappelijke missie realiseert. Oftewel: wat uw impact is.
-
Incompany opleidingen impactmanagement
De incompany opleiding Sturen op impact is een traject van 4 - 5 dagen verspreid over een half jaar waarin jouw team kennismaakt met de verschillende onderdelen van impactmanagement én deze direct praktisch integreert in jouw organisatie.
-
Gratis sessie: Sturen op Impact
Hoe bepaal je wat jouw impact is? En hoe meet jouw die vervolgens? In deze sessie nemen we je mee in de wereld van impactmanagement en in het bijzonder het meten van jouw maatschappelijke bijdrage.
-
E-Learning: Meer impact in 6 weken
Deze online opleiding is een laagdrempelige manier om kennis te maken met impact denken en doen.
-
Impactmanagement @ work
Impactmanagement @ work is er voor iedereen die een verdiepingsslag zoekt op het gebied van impactmanagement.
-
Eigenaarschap
Aan het hoofd staan van een familiebedrijf is een flinke opgave. Het brengt veel verschillende verantwoordelijkheden met zich mee. Hoe is het eigendom geregeld? Wie heeft welk belang in het bedrijf? Zijn er familieleden die u liever niet aan het roer ziet staan van de onderneming?
-
Duurzaamheid
Duurzaamheid gaat verder dan alleen het behalen van (milieu)doelen, het anticiperen op klimaatrisico’s en het inspelen op kansen. Duurzaamheid is breder en bij uitstek een onderwerp dat bij familiebedrijven past.
-
Opvolging
Ook voor u als dga komt het moment waarop u serieus aandacht moet besteden aan bedrijfsopvolging. Het is geen wonder dat bedrijfsopvolging binnen het familiebedrijf bijzonder complex is.
-
Vermogen
Het onderwerp 'vermogen' binnen familiebedrijven is een belangrijk maar complex onderwerp, dat vele aspecten omvat. Goed plannen en goede afspraken maken voor de continuïteit van het aanwezige vermogen is dus cruciaal.
-
Het Goede Gesprek
Dagelijkse bezigheden (ook in het bedrijf) maken het vaak moeilijk om prioriteit te geven aan échte reflectie. Even uit de day-to-day business stappen om kritisch na te denken over wat u als eigenaar wilt bereiken
-
Estate planning
Wilt u uw vermogen optimaal overhevelen naar uw volgende generatie zonder te veel erf- en schenkbelasting? Dat kan via bedrijfsoverdracht, schenken of via uw testament.
-
Vermogensbeheer
U hebt inmiddels vermogen opgebouwd of u hebt een goed salaris en pensioen. En daarnaast hebt u een aantal wensen. U wilt bijvoorbeeld uw kinderen helpen bij de aankoop van hun eerste woning en hen een bedrag schenken. Of een camper aanschaffen om door Europa te trekken tijdens uw pensioen. Kan dat?
-
Fiscaal advies en aangifte inkomstenbelasting
Is de aangifte inkomstenbelasting voor u jaarlijks een frustrerend proces? Klopt de vooraf ingevulde aangifte en wat moet u nog meer invullen? Onze specialisten nemen u deze zorg uit handen en adviseren u bij het optimaliseren van uw fiscale positie.
-
Pensioen en andere oudedagsvoorzieningen
Heeft u zich al goed voorbereid op uw oude dag? Het pensioenstelsel in Nederland bestaat uit 3 pijlers: AOW, pensioenopbouw via een werkgever en individuele pensioenverzekeringen. Daarnaast kunt u ook zelf sparen voor uw oude dag: de 4e pijler. Wat betekent deze optelsom voor het totaal van uw oudedagsvoorziening straks?
-
Maritiem
Hoe blijft u aan de wereldtop in de maritieme sector? Nederland moet het hebben van innovatie. Onze kennis brengt de maritieme cluster aan de wereldtop.
Ontvang inzichten om jouw cyberweerbaarheid te vergroten
Welke trends op het gebied van cyber zijn relevant voor jouw organisatie? Hoe ziet cybercriminaliteit er vandaag de dag uit? Hoe kun je de cyberweerbaarheid van jouw organisatie verhogen? Wij geven je de antwoorden en helpen je graag verder.
Is een datalek een IT of boardroom probleem?
Het komt maar al te vaak voor dat de mogelijkheid van een cyberincident als een IT-probleem wordt beschouwd, en niet als een organisatie breed probleem, dat op boardroomniveau besproken moet worden. Een ernstig cyberincident kan catastrofale gevolgen hebben: het beschadigt het vertrouwen van klanten, kan leiden tot sancties van overheidswege, verstoort de bedrijfsvoering en veroorzaakt langdurige financiële schade. In de praktijk zien wij nog vaak genoeg dat ondernemingen cyberrisico’s niet serieus genoeg nemen, of dit te laat inzien. Met alle gevolgen van dien.
Datalek na cyberincident
Een cyberincident vindt plaats. Er is data uit uw systemen verwijderd, gelekt , versleuteld of gestolen. Of er is hardware verloren, denk aan een vergeten USB stick, harde schijf of laptop. Op het moment dat er persoonsgegevens tussen die data zit, spreken we van een datalek.
Als cybercriminelen bedrijfsgegevens buit maken, via wat voor manier dan ook, dan valt dat niet direct in de categorie datalek. Tussen uw bedrijfsgegevens zijn namelijk niet altijd persoonsgegevens te vinden. Echter, vaak is dit wel het geval. Als een cyberincident of datalek optreedt, of u heeft het vermoeden ervan. Bel ons incident response team 24/7 op +31 (0)88 676 9999.
Welke risico’s creëren (cyber-)criminelen met gestolen data?
Het in bezit hebben van gestolen data verhoogt de kans op identiteitsfraude. Bij identiteitsfraude kan iemand anders zich uitgeven onder uw namen uitgeven. De kwaadwillende beschikt immers over voldoende persoonlijke data over u.
Ook is er een verhoogde kans op phishing. Phishing is een vorm van cybercriminaliteit waarin de kwaadwillende zich voordoet als een bedrijf. Bijvoorbeeld een bank. Om zo weer andere informatie te bemachtigen, of financiële transacties te bewerkstelligen.
En er is verhoogde kans op fraude. Incidenten die veel voorkomen hebben te maken met Whatsapp fraude. Door je als kwaadwillende voor te doen als een bekende, via Whatsapp, wordt bijvoorbeeld gevraagd om een bepaald bedrag over te maken. Zo kan iemand al snel opgelicht worden.
Hoe voorkom ik datadiefstal of -verlies?
De belangrijkste data-gerelateerde risico’s kunnen ook geïdentificeerd worden door te denken als een hacker en de maximale schade te bepalen die zij kunnen veroorzaken. Hoe vindt u uw kroonjuwelen; uw belangrijkste en meest gevoelige data tussen al uw bytes? Wat maakt data een hoog, laag of gemiddeld risico?
Bij de risico’s rond data geldt bij veel bedrijven het Pareto-principe. Dat wil zeggen dat 20% van de bedrijfsgegevens zorgt voor 80% van het risico. Alle gegevens beschermen is onbegonnen werk. Bedrijven kunnen zich beter richten op data waarvan de beveiliging echt essentieel is voor het bedrijf en voor de klanten.
Het is niet realistisch om te proberen alle spreadsheets, gearchiveerde e-mails of databestanden van uw organisatie te categoriseren. Het kan ook niet volledig worden geautomatiseerd - er zijn tools die helpen bij databeheer - maar er is altijd een menselijk oordeel nodig. Uiteindelijk komt het erop neer dat uw personeel actief moet nadenken over de verschillende soorten data in hun beheer. Zo kunnen ze de middelen die verdere aandacht vereisen eruit halen.
Het Digital trust center van de Rijksoverheid stelt voor om datadiefstal tegen te gaan door:
- Harde schijf encryptie toe te passen
Zorg dat de data op de harde schijf van devices versleuteld is. Dit maakt het voor cybercriminelen lastiger om deze data in te zien. - Maak gebruik van tweestapsverificatie
Als digitale accounts het toelaten, maak dan gebruik van tweestapsverificatie of multifactor authenticatie voor uw loginprocedure. Dit houdt in dat u naast een gebruikersnaam en wachtwoord een extra veiligheidsstap moet nemen voordat u kunt inloggen. Dit kan bijvoorbeeld door gebruik te maken van tokens, waarbij bijvoorbeeld een code continu wisselt. Lees ook meer tips voor het versterken van wachtwoorden. - De mogelijkheid om devices op afstand te blokkeren
Een mobiel apparaat op afstand blokkeren en data eventueel wissen is mogelijk middels Mobile device management (MDM). Er zijn hier verschillende mogelijkheden voor in omloop. Afhankelijk van bijvoorbeeld het type apparaat. - Stel een databeleid op
Veel organisaties laten het niet toe om data lokaal op laptops en apparaten op te slaan. Door beleid toe te passen via netwerk en machine policies kunt u afdwingen dat medewerkers een en ander niet lokaal op kunnen slaan.
Veelvoorkomende situaties van datalekken
In veel gevallen van een datalek zijn medewerkers de zwakste schakel.
- Verkeerde ontvanger bij het verzenden van een e-mail
Het kan ‘de beste’ overkomen. U verstuurt per e-mail een bestand met daarin persoonsgegevens. Per abuis verzendt u dit aan verkeerde ontvanger. Dit is al een datalek te noemen. - Een gegevensdrager kwijtraken
Een smartphone die vergeten wordt, een USB-stick die uit een tas valt, of een laptop die gestolen wordt. Allemaal situaties waarin een gegevensdrager kwijtraakt en daarmee ook (gevoelige) data. - Ransomware, phishing, malware
Er is ransomware geplaatst op uw computer. Cybercriminelen blokkeren uw computer, of nog erger uw bedrijfsnetwerk. U kunt pas weer bij uw systemen komen na het betalen van losgeld. Bescherm uw onderneming tegen ransomware aanvallen.
Bij phishing wordt een valse e-mail aan u of uw medewerkers verzonden. Klikt u op een link, dan wordt u vaak naar een nagebootste website geleid, bijvoorbeeld die van uw bank. Met alle gevolgen van dien. Zorg dat u en uw personeel phishing herkennen om datarisico’s te beperken en datalekken te voorkomen. - CEO-fraude
Uw medewerker van de financiële administratie krijgt een e-mail namens u, de CEO of CFO. Terwijl u deze e-mail niet heeft verzonden. In die e-mail wordt opgedragen een fors bedrag (in één keer of in stapjes) over te maken. Op een listige wijze wordt uw controller of administrateur door cybercriminelen erin geluisd. In 2018 werd bioscoopketen Pathé slachtoffer van CEO-fraude. - Fraude met lekken van persoonsgegevens
In het voorbeeld van CEO-fraude ging het om een onbewuste keuze van de medewerker. Dit jaar is er sprake van een voorval bij de GGD waar medewerkers bewust data lekten. Persoonsgegevens van burgers die zich lieten testen op corona werden online te koop aangeboden. Zo kwamen namen, adressen, Burgerservicenummers en andere persoonsgegevens ‘op straat te liggen’. Bekijk onze animatievideo waarin zes fraudetypes worden besproken.
Reputatieschade na datalek
Een datalek kan een flinke kostenpost voor een bedrijf veroorzaken. Er ligt namelijk reputatieschade op de loer. Een ernstig datalek kan:
- klantvertrouwen beschadigen;
- wettelijk toezicht teweegbrengen;
- bedrijfsvoering verstoren;
- langdurige financiële schade veroorzaken.
Klantverlies is een risico. Uiteraard zal de omvang van het datalek hiertoe bepalend zijn, evenals de sector waarin het bedrijf actief is. En ook al zou het om het verlies van enkele klanten gaan… het winnen van nieuwe klanten in combinatie met reputatieschade wordt des te lastiger.
Stappenplan bij een datalek (uw incident response plan)
U kunt niet alles voorkomen. Goed in staat zijn te reageren op een cyberincident is minstens zo belangrijk. Snel handelen helpt om de gevolgen te beheersen bij een cyberaanval, fraude, datalek of andere incidenten om schade aan uw organisatie te voorkomen en uw reputatie te beschermen.
Betrek de juiste mensen
De afweging wie te betrekken bij een incident kunt u vooraf maken en scheelt tijd. Gaat het om een cyberincident? Betrek dan de CIO of het hoofd systeembeheer, hoofd IT, de CEO, CFO of directie, een jurist en communicatie. Reputatieschade is snel opgelopen, daarom is ‘hoe’ u het nieuws naar buiten brengt een belangrijke afweging. Is de organisatie onderdeel van een keten? Laat een jurist dan de verantwoordelijkheden en dus aansprakelijkheden ten aanzien van de keten onderzoeken.
Het stappenplan
- U constateert dat er persoonsgegevens gestolen of verloren zijn.
- Rol uw incident response plan (zie paragraaf hierna wat daar in moet staan) uit. Dit incident response plan moet bestaan uit:
- Uit wie bestaat het incident response team? Dit moeten beslissingsbevoegde medewerkers zijn met kennis van zaken.
- Wie doet wat, wie neemt welke beslissingen en welke (externe) specialisten kunnen gebeld worden als er assistentie nodig is.
- Welke informatie moet verzameld worden, door wie en hoe worden beslissingen vastgelegd. Welke stakeholders worden geïnformeerd door wie.
- Bepaal of u een melding moet maken bij de Autoriteit Persoonsgegevens. Zo ja, wie meldt een datalek indien relevant? En maak melding via het meldloket datalekken.
- Hoe wordt het incident geëvalueerd en voorkomen dat dit nogmaals gebeurt?
- Hoe is de vervanging geregeld? Wie vervangt de IT-manager wanneer diegene met vakantie is, etc.
- Los de oorzaak van het datalek op, indien dit kan.
- Bereid u en uw bedrijf voor op juridische consequenties
Wanneer schakelt u een cyber security specialist of incident response team in?
Als u beslissingen hebt genomen die onomkeerbaar zijn, is het te laat om een specialist in te schakelen. Bijvoorbeeld wanneer u bitcoins hebt betaald om de gijzeling van uw systemen en data op te lossen. Wanneer u alle back-ups al terug hebt gezet, maar niet precies weet waar het fout ging en misschien dus ook uw back-ups aan het besmetten bent. Wanneer u logfiles hebt overschreven waardoor toekomstig onderzoek niet meer mogelijk is. Onze cyber security specialisten hebben het liefst een ‘schone crime scene’, waar iedereen overal vanaf gebleven is.
Een grote uitdaging voor een incident response team is vaak inzicht krijgen in de organisatie en de processen en systemen bij gegevensverzameling. Ook bij incident response is het van belang te weten hoe de digitale infrastructuur eruit ziet. Waar staat wat? En wat is met elkaar verbonden? Organisaties die dit inzicht hebben en aan de preventiekant privacy en cybersecurity met elkaar combineren, hebben een voorspong bij incident response.
De toekomst: drie stappen om data beter te begrijpen
Drie stappen om bedrijven te helpen het belang van data te erkennen – en uiteindelijk een beter ontwikkelde benadering van informatierisicobeheersing te creëren.
Stap 1: Maak eigenaarschap duidelijk – systeembreed en dataspecifiek
Informatiebeveiliging moet een organisatie breed, consequent toegepaste risicobeheersingskwestie zijn. Wijs een eigenaar aan op managementniveau – vaak de Chief Financial Officer, de Chief Revenue Officer of meer specifiek de Chief Information Security Officer – en ook een eigenaar op operationeel niveau. Maak duidelijk dat data een strategisch bezit zijn die een risicocategorie toegewezen dienen te krijgen en opgenomen moeten worden in een risicoregister. Een van de voordelen van het toewijzen van eigenaarschap is dat data-eigenaren zich meer verantwoordelijk voelen en het vergroot de efficiency binnen een organisatie.
Stap 2: Informatierisicobeheer standaard opnemen
Het aanstellen van een eigenaar van informatierisico-beheersing op managementniveau maakt het ook makkelijker om te garanderen dat effectieve data-categorisatie of -beoordeling al bij aanvang in projecten wordt verwerkt en duidelijk is aan welke privacy verplichtingen (bijvoorbeeld het uitvoeren van een data protection impact assessment) moet worden voldaan.
“Beveiliging en privacy moeten standaard zijn,” zegt Nick Oldham, databeveiliging en privacy advocaat bij het internationale advocatenkantoor King & Spalding. “Beveiliging en privacy zijn een laag die organisaties pas aan het eind van een nieuw initiatief toevoegen. Dit zorgt later voor problemen.”
Stap 3: Meer ‘menselijke’ communicatie en training
Om ervoor te zorgen dat uw medewerkers de realiteit van privacy- en cyberrisico’s beter begrijpen, moet u de risico’s vertalen naar de dagelijkse praktijk en technisch jargon vermijden. Het gaat om eenvoudige menselijke interactie.
Voor Ross Anderson van de University of Cambridge draait succesvolle communicatie om betere storytelling. “Organisaties moeten niet over data praten,” zegt hij. “Ze moeten praten over wat er mis kan gaan op menselijk niveau. Onze hersenen zijn geoptimaliseerd voor het vertellen van verhalen. Zodra u dus praat over datacategorieën haken mensen af.”
Vraag een willekeurige hacker wat het zwakste punt in een systeem is, en het antwoord is altijd de mensen. Daarom is het belangrijk te focussen op training. Er zijn echter grenzen aan wat met een training bereikt kan worden. Ons advies is om niet op training alleen in te zetten. Bedenk ook welke technische oplossingen kunnen helpen om zoveel mogelijk risicofactoren weg te nemen.
Uw belangrijkste data
Uiteindelijk komt het erop neer dat u moet weten wat uw belangrijkste data is (afhankelijk van uw sector, risicoprofiel en bedrijfsdoelstellingen) en specifieke organisatorische, juridische en technische maatregelen neemt. Dit is niet altijd even makkelijk en is een continu proces, maar het is een essentieel onderdeel van risicobeheer in ons digitale tijdperk.
Wij geven je graag nieuwe (internationale) inzichten op het gebied van financiën, bedrijfsvoering, strategie, governance, risk, compliance en meer.