Accountant als anker

Overheden zijn in Europa het belangrijkste doelwit voor cyberaanvallen. Dat stelt het Europees Agentschap voor Digitale Veiligheid (ENISA) in haar Threat Landscape 2025‑rapport. De uitval van een overheid kan de samenleving ernstig ontwrichten.

Sebastiaan van 't Erveis een voorvechter voor een digitaal weerbare samenleving. Hij is verkozen tot IT-politicus van het jaar 2024. Tot 1 april was hij burgemeester van Lochem.Meer van deze auteur

Dat is geen theoretisch risico: het Openbaar Ministerie bleef tien weken offline nadat een ernstig beveiligingslek werd ontdekt. De herstelwerkzaamheden duurden lang en thuiswerken was onmogelijk. Niet alleen de arbeidsproductiviteit van medewerkers stond onder druk, ook de primaire processen waar de samenleving op vertrouwt, hebben ernstig geleden onder deze hack.

Er bestaan allerlei doordachte inhoudelijke kaders en normen voor digitale weerbaarheid: de Baseline Informatiebeveiliging Overheid (BIO) voor overheden, ISO 27001 voor iedereen die met vertrouwelijke informatie werkt, en NEN 7510 voor de zorg. Maar we werken in Nederland nog te vaak volgens het ‘pas toe of leg uit’-principe. Er is geen structurele verplichtende controle naar de opzet, bestaan en werking van de noodzakelijke maatregelen die uit die normen en kaders voorkomen. Het resultaat is een paradox: organisaties kunnen een onberispelijke jaarrekening presenteren, terwijl hun digitale infrastructuur al weken buiten werking kan staan.

De oplossing is heel simpel: bij iedere organisatie die draait op belastinggeld moet de accountant, voordat hij of zij een goedkeurende verklaring over de jaarrekening mag afgeven, de opzet, bestaan en werking verifiëren van de maatregelen die voortkomen uit de betreffende norm.

De NIS2-richtlijn maakt de bestuurder van een organisatie persoonlijk verantwoordelijk voor digitale veiligheid. Het gaat er niet om of ieder incident kan worden voorkomen, het gaat erom aan te tonen dat het huiswerk is gemaakt. De accountant is de meest onafhankelijke en objectieve toets of het huiswerk een voldoende krijgt. Daarmee is iedere juridische onzekerheid over de vraag wie draagt de verantwoordelijkheid voor de gevolgen van een hack direct beantwoord.

We hebben geen minister van Digitale Zaken nodig om de continuïteit van onze publieke organisaties te waarborgen. De minister van Financiën kan via een kleine wijziging op de Wet op het accountantsberoep, en een snelle doorvertaling in de beroepscode van de Nederlandse Beroepsorganisatie van Accountants het verschil maken. Iedere organisatie die belastinggeld uitgeeft moet aantonen dat de geldende digitale veiligheidsnorm gehaald wordt. Digitale weerbaarheid is geen technisch vraagstuk, maar een bestuurlijke keuze.