Hoe is de omgang met uw data?

Gaat uw organisatie wel op een veilige manier om met financiële data?

BLOG – Cybercriminaliteit, fraude en datalekken, hoe groot zijn nu eigenlijk de risico’s voor je organisatie? Of concreter nog, hoe groot is het risico voor je eigen afdeling en datgene waar jij verantwoordelijk voor bent? Maak je je daar wel eens zorgen over? Het lijkt een ver-van-je-bed-show; je laat je immers niet zo gemakkelijk in de luren leggen. Je bent niet iemand die zomaar een pincode doorgeeft aan ‘iemand van de bank’ die daar om vraagt. Toch?

Door Jan Willem ter Steege. Hij is algemeen directeur van EasySystems.

En dáár gaat het mis: de opvatting dat je het écht wel door hebt als je opgelicht wordt. Want als je ook maar een klein beetje een idee hebt van hoe gemakkelijk het is om je voor te doen als een ander, dan ga je toch anders nadenken over hoe veilig je processen zijn ingericht.

Als financieel professional heb je een grote verantwoordelijkheid. Alle geldstromen binnen de organisatie komen voorbij. Als je je werk zorgvuldig doet, ga je er niet vanuit dat de directie bij je aanklopt omdat er iets mis is gegaan.

Wat zijn dan specifiek de risico’s die je loopt? Dat is voor elke organisatie anders en hangt ervan af hoe veilig je afdeling te werk gaat en hoe je systemen zijn ingericht. Beschouw onderstaande risico’s daarom vooral als een kans om je processen eens onder de loep te nemen.

Fraude

CEO-fraude en factuurfraude is een serieus probleem. Volgens de FBI levert dit criminelen wereldwijd maar liefst 1,2 miljard op. Denk hierbij aan vormen van fraude waarbij vanuit de naam van een directeur op het hoofdkantoor een e-mail wordt gestuurd met het verzoek om geld over te maken om een overname te bekostigen. Pathé raakte op die manier ruim 19 miljoen kwijt! Ook maken criminelen wel eens misbruik van echte interne e-mailadressen van een organisatie (spoofing). Denk aan het sturen van facturen met de opmerking dat een rekeningnummer is gewijzigd.

Een Belgisch consultancybureau deed onderzoek naar fraude en concludeerde dat in 37% van de gevallen een personeelslid betrokken was. Een recent voorbeeld van eigen bodem is de miljoenenfraude bij Rijkswaterstaat waarbij een medewerker voor ruim 2,3 miljoen euro aan valse facturen had ingediend.

Voordat ze aankomen bij de ontvanger kunnen papieren facturen onderweg simpel worden onderschept en aangepast. Bijvoorbeeld wanneer een brievenbus wordt leeggehaald. Het vervelende hiervan is dat je als organisatie denkt aan de betaling te hebben voldaan, terwijl de echte leverancier zijn geld niet heeft ontvangen en nog steeds recht op betaling heeft. Ook als je kunt aantonen dat je slachtoffer bent geworden van fraude moet je nog een keer betalen. 

Dan heb je ook nog facturen die ‘op goed geluk’ verstuurd worden voor een bestelling die nooit gedaan is of een dienst die nooit geleverd is, hopende dat het bedrijf wel betaalt. Dergelijke ‘spookfacturen’ zien er vaak heel geloofwaardig uit, bijvoorbeeld omdat ze een logo bevatten die je van andere facturen herkent. Een extra factuur valt zo niet heel erg op.

Ook acquisitiefraude vindt regelmatig plaats. Dan staat er in de kleine lettertjes dat het gaat om een offerte totdat je betaalt. Het gaat dan meestal om kleinere bedragen zodat het binnen toleranties valt of in een minder gecontroleerd proces terecht komt. Voor kleinere bedragen is het dan vaak te veel gedoe om uit te zoeken wie de inkoper was – die uiteraard nooit gevonden wordt – en is het sneller en goedkoper om gewoon te betalen.

Dan zijn er ook nog facturen waarbij je niet zeker weet of het gaat om fraude of niet. Denk aan een factuur waarvan de betalingstermijn al geruime tijd verstreken is met als gevolg dat het factuurbedrag is verhoogd. Ook al heb je die eerste factuur niet ontvangen, je kunt dit nooit bewijzen. Vaak wordt uit gemak of met het oog op de relatie die tweede factuur alsnog betaald.

AVG

Heb je te maken met facturen waar persoonsgegevens op staan, dan heb je als organisatie te maken met de Algemene Verordening Gegevensbescherming (AVG) en dus de verantwoordelijkheid om zorgvuldig om te gaan met die gegevens. Stuur je een factuur per e-mail, dan is een typefout zo gemaakt en komen die gegevens bij de verkeerde persoon terecht.

Ook als je een ontvangen factuur ter controle doorstuurt, loop je het risico dat de e-mail bij de verkeerde persoon uitkomt. Natuurlijk hangt de impact van een dergelijk datalek af van de gevoeligheid van die gegevens. Denk aan een zorginstelling die patiëntgegevens op de factuur vermeldt. Die factuurgegevens zijn niet openbaar en je wilt dus niet dat ze op straat komen te liggen. Zowel de verzender als de ontvanger van facturen hebben daar een verantwoordelijkheid in.

Hebben onbevoegde personen toegang tot gegevens? Of het nu gaat om persoonsgegevens of (kritische) bedrijfsgegevens, je wilt niet dat deze zomaar in te zien zijn. Of dat nou onbevoegde personen extern of intern zijn.

Kun je dat voorkomen? Misschien niet 100 %, want er ontstaan altijd nieuwe manieren om te frauderen. Als gegevens echter goed zijn beschermd en iedereen in de organisatie zich bewust is van de risico’s, kun je fraude wel tot het minimum beperken. Zijn je systemen goed beveiligd? Heb je een policy voor wachtwoorden? Is iedereen er alert op om niet zomaar op links in e-mails te klikken?

Bangmakerij?

Nee, bewustmaking. Wees je bewust van de risico’s en denk met dát in je achterhoofd nog eens na over je processen. Gaat jouw afdeling op een veilige manier om met – financiële – data of valt er nog werk te doen?

Lees ook: Sterke toename van privacyklachten

Gerelateerde artikelen