Tweefactorauthenticatie: gids voor de boekhouding

Waarom tweefactorauthenticatie essentieel is in belastingadvisering

Belastingadviesbureaus verwerken dagelijks zeer vertrouwelijke financiële gegevens: aangiften, jaarrekeningen, loonstroken, bankgegevens van honderden klantbedrijven. In 2025 meldt het jaarverslag van de ANSSI dat phishing-aanvallen gericht op gereglementeerde beroepen met 37% zijn toegenomen in een jaar. Gezien deze bedreiging is tweefactorauthenticatie (2FA) — ook wel multifactorauthenticatie (MFA) genoemd — de aanbevolen eerste technische verdedigingslinie.

Tweefactorauthenticatie berust op een eenvoudig principe: om toegang tot een systeem te krijgen, moet de gebruiker zijn identiteit via twee verschillende elementen bewijzen. Het eerste is doorgaans "iets wat je weet" (een wachtwoord), het tweede is "iets wat je hebt" (een smartphone, een fysieke sleutel) of "iets wat je bent" (biometrische gegevens). Dit mechanisme maakt aanvallen door enkel wachtwoorddiefstal nagenoeg onmogelijk, die volgens het Verizon DBIR 2024-rapport nog steeds 81% van de datalekken veroorzaken.

Voor belastingadviseurs is naleving van de eIDAS-verordening en haar vereisten voor sterke identificatie niet langer optioneel: het is een regelgevings- en ethische noodzaak. Dit artikel leggen uit, stap voor stap, hoe u 2FA in uw kantoor configureert, welke hulpmiddelen u kiest en hoe u uw medewerkers in deze overgang begeleidt.

---

Tweefactorauthenticatiemethoden geschikt voor de accountantsector

Authenticatie-applicaties (TOTP)

De meest voorkomende methode in accountantskantoren is het gebruik van een applicatie die tijdelijke codes genereert (TOTP — Time-based One-Time Password). Oplossingen zoals Google Authenticator, Microsoft Authenticator of Authy genereren een 6-cijferige code die elke 30 seconden vernieuwd wordt. Deze code is gekoppeld aan een gedeeld geheim dat in de applicatie wordt opgeslagen tijdens de inschrijvingsfase (QR-code scannen).

Voordelen voor kantoren: geen extra kosten, werkt offline, compatibel met vrijwel alle accountingssoftware (Sage, Cegid, ACD, MyUnisoft). Nadeel: als de medewerker zijn telefoon verliest, moet de herstelprocedue van tevoren worden gepland (herstelcodes moeten op een veilige plaats worden bewaard).

Fysieke beveiligingssleutels (FIDO2/WebAuthn)

Voor kantoren die grote hoeveelheden gevoelige gegevens verwerken of onderworpen zijn aan frequente audits, bieden fysieke beveiligingssleutels (type YubiKey of Feitian) het hoogste beschermingsniveau. Gebaseerd op de standaarden FIDO2 en WebAuthn zijn zij phishing-bestendig van nature: de sleutel verifieert cryptografisch het domein van de website voordat deze authenticatie uitvoert, wat aanvallen van het type 'man-in-the-middle' neutraliseert.

Steeds meer belastingportals en verplichte indiening-platforms (DGFiP, infogreffe) accepteren deze standaarden. Een kantoor dat ongeveer honderd mandaten beheert, kan de aanschaf van sleutels (ongeveer 50-80 € per stuk) binnen enkele weken terugverdienen door de vermindering van de tijd besteed aan het beheer van beveiligingsincidenten.

SMS OTP: te vermijden voor gevoelige gegevens

Hoewel codes verzonden via SMS nog steeds een optie zijn in veel systemen, heeft het Amerikaanse NIST (National Institute of Standards and Technology) ze in 2016 uit de categorie sterke authenticatiemethoden gehaald. SIM-swap-aanvallen (frauduleus overdragen van een telefoonnummer naar een SIM-kaart beheerd door een aanvaller) hebben de afgelopen jaren verschillende Franse accountantskantoren getroffen. Voor toegang tot belastinggegevens of elektronische handtekeningen voor juridische en accountantskantoren, moet SMS OTP slechts als laatste redmiddel worden beschouwd.

---

Tweefactorauthenticatie configureren: stap-voor-stapgids

Stap 1 — Inventarisatie van applicaties en bepaling van het bereik

Alvorens tot technische implementatie over te gaan, maakt u een volledige inventarisatie van alle applicaties die in uw kantoor worden gebruikt:

• Accountingssoftware: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-mail en samenwerkingstools: Microsoft 365, Google Workspace, Slack
• Documentbeheer en handtekeningtools: indiening-platforms, werkstroomtools
• Externe toegang: VPN, RDP, virtuele bureaus
• Klantportalen: documentuitwisselingen met klanten

Controleer voor elke applicatie of 2FA beschikbaar is (sectie "Beveiliging" van de instellingen) en welke methode wordt ondersteund (TOTP, FIDO2, SMS). Rangschik de applicaties op basis van kriticaliteit, afhankelijk van de gevoeligheid van de toegankelijke gegevens.

Stap 2 — Technische implementatie en inschrijving van medewerkers

Voor Microsoft 365 vindt de configuratie plaats via de Azure Active Directory-portal (Entra ID). Activeer "Security Defaults" of configureer voor kantoren met meer dan 10 medewerkers beleid voor voorwaardelijke toegang (beschikbaar vanaf licentie Business Premium). Met deze beleidsregels kunt u 2FA alleen onder bepaalde omstandigheden verplicht stellen: toegang van buiten het kantoor, aanmelding vanaf een onbekend apparaat, ongebruikelijk moment.

Voor accountingssoftware varieert de procedure per uitgever:

• Cegid Loop: beveiligingsinstellingen > dubbelverificatie activeren > QR-codes voor elke gebruiker genereren
• MyUnisoft: beheer > beveiliging > sterke authenticatie > 2FA verplicht voor alle profielen
• Sage 100 Cloud: neem contact op met de Sage-beheerder of uw reseller om de MFA-module te activeren

Plan een inschrijvingssessie met elke medewerker in (15 tot 20 minuten per persoon). Deel aan elke gebruiker een samenvattingsformulier uit met zijn of haar herstelcodes, die op een veilige en fysieke plaats moeten worden bewaard (bijvoorbeeld in de kantoorkluis).

Stap 3 — Beheerbeleid en noodprocedures

Technische implementatie is slechts de helft van het werk. Een gedocumenteerd beveiligingsbeleid moet duidelijk aangeven:

• Wie kan 2FA tijdelijk uitschakelen (alleen de systeembeheerder, nooit de medewerker zelf)
• Procedure bij verlies van apparaat: onmiddellijke blokkering van het account, regeneratie van herstelcodes, onder toezicht opnieuw inschrijven
• Controleverenigde: halfjaarlijkse controle van toegangen en authenticatiemethoden
• Beheer van vertrekkende medewerkers: onmiddellijke intrekking van toegangen en 2FA-geheimen wanneer een medewerker vertrekt

Dit beleid integreren natuurlijk in uw continuïteitsplan (PCA) en in uw databehandelingen-register in het kader van de GDPR. Het Certyneo-helpcentrum kan u sjablonen voor beleidsregels geven die zijn aangepast aan kleine en middelgrote structuren.

---

2FA integreren met elektronische handtekeningtools

Geavanceerde of gekwalificeerde elektronische handtekeningen, zoals gedefinieerd in de eIDAS-verordening, vereisen sterke identificatie van de ondertekenaar. Praktisch gezegd, wanneer uw kantoor een opdrachtbevestiging of prestatieverklaring ter ondertekening naar een klant stuurt, moet het handtekeningplatform de identiteit van de ondertekenaar robuust verifiëren. Dit is precies waar 2FA een rol speelt.

Op handtekeningplatforms conform eIDAS (geavanceerd of gekwalificeerd niveau) ontvangt de ondertekenaar een link per e-mail en moet hij zijn identiteit vervolgens valideren via een tweede kanaal (SMS, authenticatie-applicatie of gekwalificeerd certificaat). Dit proces creëert een geverifieerde en cryptografisch verifieerbare audittrail, wat een onweerlegbaar bewijs in geval van geschil vormt — een cruciaal punt voor belastingadviseurs die hun persoonlijke professionele aansprakelijkheid bij elke opdracht op het spel zetten.

Voor meer inzicht in de verschillende handtekeningniveaus en het kiezen van wat geschikt is voor uw documentstromen, raden we u aan het volledige gids voor elektronische handtekeningen te lezen. Kantoren die Certyneo gebruiken, profiteren van native integratie van 2FA in het handtekeningsproces, wat de wrijving voor de ondertekenaar vermindert terwijl het nalevingsniveau behouden blijft.

Bijzondere aandacht moet worden besteed aan opdrachtbevestigingen (verplicht onder de beroepsnorm 2400 van de OCE) en commissarialsverslagen: deze documenten zetten de persoonlijke verantwoordelijkheid van de beroepsbeoefenaar op het spel en vereisen een onberispbare authenticatie-traceerbaarheid. U kunt bovendien een AI-contractgenerator gebruiken om het maken van deze documenten te automatiseren terwijl u reeds bij het ontwerp de vereisten voor sterke authenticatie integreert.

---

Medewerkers trainen en bewustmaken: de menselijke factor

De meest rigoureuze technische implementatie wordt ineffectief als medewerkers de risico's niet begrijpen of beveiligingsmaatregelen omzeilen. In de belastingadvisering bestaan teams uit zeer gevarieerde profielen: senior associés, junior-medewerkers, stagiaires, receptionist. De training moet op elk profiel afgestemd zijn.

Aanbevolen sensibiliseringsprogramma voor een kantoor met 5 tot 30 personen:

1. Lanceringssessie (1 uur): presentatie van concrete risico's (anonieme voorbeelden van incidenten uit de sector), live demonstratie van de configuratie, vragen/antwoorden
2. Korte videotutorials (3-5 minuten elk): een tutorial per kritieke applicatie, beschikbaar in het intrannet van het kantoor
3. Gesimuleerde phishing-oefening: verzending van een nep-phishing-email na 3 maanden om werkelijke waakzaamheid te meten en medewerkers te identificeren die extra begeleiding nodig hebben
4. Integratie in onboarding: elke nieuwe medewerker stelt 2FA in op zijn eerste dag, met een toegewezen begeleider

De Orde van Belastingadviseurs (OCE) biedt ook trainingsmiddelen over cybersecurity in het kader van verplichte jaarlijkse scholing (40 uren voor ingeschreven belastingadviseurs). Deze trainingen kunnen in uw kwaliteitsaanpak worden opgenomen als uw kantoor ISO 9001 gecertificeerd is of streeft naar cyberbeveiligingscertificatie (ANSSI ExpertCyber-label, bijvoorbeeld).

Toepasselijk wettelijk kader voor sterke authenticatie in belastingadvisering

De implementatie van tweefactorauthenticatie in een belastingadviesbureau past in een dicht regelgevingskader, opgebouwd uit verschillende fundamentele teksten.

De Verordening eIDAS nr. 910/2014 en haar herziening eIDAS 2.0 (Verordening EU 2024/1183) vormen de referentiebasis voor alles wat elektronische identificatie in Europa betreft. Artikel 8 bepaalt drie zekerheidsgraden voor middelen van elektronische identificatie: laag, aanmerkelijk en hoog. Voor handelingen die de professionele aansprakelijkheid van een belastingadviseur in gevaar brengen (ondertekening van verslagen, online validatie van aangiften), is zekerheidsgraad "aanmerkelijk" of "hoog" vereist, wat onvermijdelijk multifactorauthenticatie meebrengt.

De GDPR (Verordening EU 2016/679), in artikel 32, verplicht verwerkingsverantwoordelijken tot implementatie van "passende technische en organisatorische maatregelen" om de beveiliging van persoonsgegevens te waarborgen. Een belastingadviesbureau verwerkt gevoelige persoonsgegevens (financiële gegevens, gezondheidsgegevens via loonstroken met ziekteperiodes, enz.). De afwezigheid van 2FA bij toegang tot accountingssoftware vormt zeer waarschijnlijk een schending van dit artikel, waardoor het kantoor boetes tot 4% van de jaarlijkse mondiale omzet riskeert (artikel 83 GDPR).

Het Burgerlijk Wetboek, artikelen 1366 en 1367, regelen de juridische waarde van elektronische handtekeningen. Artikel 1367 bepaalt dat "de betrouwbaarheid van een elektronische handtekeningsprocedé wordt, tot het tegenbewijs, vermoed wanneer dit procédé een gekwalificeerde elektronische handtekening vormt". Sterke authenticatie is een essentieel onderdeel van deze vermoeden van betrouwbaarheid.

Richtlijn NIS2 (Richtlijn EU 2022/2555), omgezet in Frans recht door wet n°2024-449 van 21 mei 2024 en haar implementatiebesluiten, breidt cyberbeveiligingsverplichtingen uit naar een breed spectrum van entiteiten. Hoewel accountantskantoren niet rechtstreeks als essentiële entiteiten worden vermeld, kunnen zij die digitale diensten leveren aan essentiële of belangrijke entiteiten (gezondheidsvoorzieningen, plaatselijke overheden, ondernemingen met kritieke infrastructuur) via contractuele bepalingen indirect hieraan onderworpen zijn.

Beroepsnorm 2400 van de Orde van Belastingadviseurs stelt bovendien een versterkte inspanningsverplichting op het gebied van informatiesysteembeveiliging vast voor kantoren die wettelijke opdrachten uitvoeren. De ANSSI beveelt expliciet MFA aan als minimale maatregel in haar gids "Informatiesysteembeveiliging voor MKB's" (editie 2024).

Professionele aansprakelijkheidsverzekering: in geval van datalekken van klanten als gevolg van het ontbreken van 2FA, kan de RCP-verzekeraar van het kantoor een opzettelijk onrecht aanvoeren om zijn dekking te verminderen of te weigeren. Het wordt sterk aanbevolen de technische documentatie van 2FA-implementatie als bewijs van zorgvuldigheid te bewaren.

Gebruiksscenario's: 2FA in de praktijk in kantoren

Scenario 1 — Een middelgroot belastingadviesbureau

Een kantoor met ongeveer vijftien medewerkers dat ongeveer 400 actieve mandaten beheert, besloot 2FA op alle tools in te voeren na een phishing-incident dat bijna toegang tot zijn loonadministratiesoftware had compromitteerd. Het management koos Microsoft Authenticator voor Microsoft 365 (e-mail, SharePoint, Teams) en native TOTP-applicaties van zijn cloudbased accountingssoftware.

De implementatie duurde drie weken: een week voor inventarisatie en setup, een week voor inschrijving van medewerkers in groepen van vijf, een week voor monitoring en probleemoplossing. Resultaat: nul accountcompromitteringsincidenten in de volgende 12 maanden, tegen twee incidenten het jaar ervoor. De tijd besteed aan beheer van beveiligingsincidenten werd met ongeveer 70% verminderd. Het kantoor kon aan verschillende grote klanten (waaronder een industrieel MKB met een veiligheidscharter voor leveranciers) aantonen dat zijn systemen MFA-vereisten naleefden.

Scenario 2 — Een kantoor gespecialiseerd in wettelijke audit van MKB's

Een commissarial-adviesbureau dat ongeveer zestig wettelijke auditsmandaten beheert, werd geconfronteerd met een specifieke vereiste: steeds meer klanten vroegen GDPR-nalevingsbewijs bij verlenging van opdrachten. Het kantoor koos FIDO2-beveiligingssleutels voor associés (toegang tot meest gevoelige dossiers) en TOTP-applicaties voor senior medewerkers, terwijl SMS OTP slechts voor toegang met lage gevoeligheid werd behouden.

Tegelijkertijd integreerde het kantoor geavanceerde elektronische handtekeningen in zijn commissarialsrapportstromen, met sterke authenticatie van de ondertekenaar. Dankzij de gegenereerde audittrail konden twee potentiële geschillen met klanten die de effectieve indiendatum van een rapport betwistten, in het voordeel van het kantoor worden opgelost door de geverifieerde authenticatielogs in te dienen. De verkorting van rapportondertekeningen (van gemiddeld 5 dagen tot minder dan 24 uur) stroomde ook de facturering en verbeterde de kasstroom van het kantoor met ongeveer 15%.

Scenario 3 — Een kantoor in externe groeifase

Een regionaal netwerk van belastingadviesbureaus dat twee onafhankelijke structuren in twee jaar heeft geabsorbeerd, zag aanzienlijke heterogeniteit in systemen: sommige opgenomen kantoren hadden geen 2FA-beleid, anderen gebruikten SMS OTP. Het netwerk maakte gebruik van deze integratie om op een geïntegreerde identiteitsbeheeroplossing (IAM — Identity and Access Management) met verplichte 2FA in te stellen.

De initiële investering (IAM-licenties, training, ondersteuning) werd geschat op ongeveer 8.000 € voor het gehele netwerk (ongeveer 45 medewerkers). Ter compensatie werd de vermindering van beveiligingsincidentkosten (IT-serviceprovider-interventies, crisisbeheer) geschat op 15.000-20.000 € in het eerste jaar. Het netwerk kon ook onderhandelen over een verlaging van zijn cyberverzekeringspremie van ongeveer 20% door zijn verzekeraar de 2FA-implementatiedocumentatie in te dienen.

Conclusie

Tweefactorauthenticatie is niet langer een luxe voorbehouden aan grote structuren: het is een beveiligings- en nalevingsverplichting voor elk belastingadviesbureau, ongeacht grootte. Met GDPR-vereisten, ANSSI-aanbevelingen, eIDAS-vereisten voor elektronische handtekeningen en toenemende druk van klanten op beveiligingsnormen van serviceleveranciers, is 2FA een onmisbare standard in de sector geworden.

Het goede nieuws: de implementatie is vandaag toegankelijk, snel en goedkoop. Door de in dit artikel beschreven stappen te volgen — inventarisatie van applicaties, keuze van de geschikte methode, inschrijving van medewerkers, opstelling van gedocumenteerd beleid — kan uw kantoor binnen enkele weken een robuust beveiligingsniveau bereiken.

Certyneo integreert sterke authenticatie nativ in zijn elektronische handtekeningsstromen, waarmee u eIDAS-naleving en MFA-beveiliging zonder extra complexiteit kunt combineren. Ontdek onze aanbiedingen en tarieven of neem contact op met ons team voor persoonlijke ondersteuning bij naleving van uw kantoor.