Tweeledige authenticatie: gids voor boekhoudkantoren

Waarom tweeledige authenticatie essentieel is in boekhoudkunde

Boekhoudkantoren verwerken dagelijks zeer vertrouwelijke financiële gegevens: belastingdossiers, jaarrekeningen, salarisbrieven, bankcoördinaten van honderden klantenbedrijven. In 2025 zijn volgens het jaarrapport van ANSSI de phishing-aanvallen gericht op gereglementeerde beroepen met 37% gestegen in een jaar. Gezien deze dreiging vormt tweeledige authenticatie (2FA) — ook wel multifactor-authenticatie (MFA) genoemd — de eerste aanbevolen technische verdedigingslinie.

Tweeledige authenticatie is gebaseerd op een eenvoudig principe: om toegang te krijgen tot een systeem moet de gebruiker zijn identiteit bewijzen via twee verschillende elementen. Het eerste is meestal 'iets wat je weet' (een wachtwoord), het tweede is 'iets wat je bezit' (een smartphone, een fysieke sleutel) of 'iets wat je bent' (biometrische gegevens). Dit mechanisme maakt aanvallen via wachtwoorddiefstal praktisch onmogelijk, die nog steeds 81% van de datalekken vertegenwoordigen volgens het Verizon DBIR 2024-rapport.

Voor boekhoudexperts is naleving van de eIDAS-verordening en de vereisten voor sterke identificatie niet langer optioneel: het is een wettelijke en ethische noodzaak. Dit artikel legt u stap voor stap uit hoe u 2FA in uw kantoor configureert, welke hulpmiddelen u moet kiezen en hoe u uw medewerkers bij deze overgang begeleidt.

---

Tweeledige verificatiemethoden die geschikt zijn voor de boekhoudingsector

Authenticatie-applicaties (TOTP)

De meest voorkomende methode in boekhoudkantoren is het gebruik van een applicatie die tijdgebaseerde codes genereert (TOTP — Time-based One-Time Password). Oplossingen zoals Google Authenticator, Microsoft Authenticator of Authy genereren een code van 6 cijfers die elke 30 seconden wordt vernieuwd. Deze code is gekoppeld aan een gedeeld geheim dat tijdens de inschrijvingsfase in de applicatie is opgeslagen (scannen van een QR-code).

Voordelen voor kantoren: gratis implementatie, werkt offline, compatibel met vrijwel alle boekhoudprogramma's (Sage, Cegid, ACD, MyUnisoft). Nadeel: als de medewerker zijn telefoon verliest, moet de herstelingsprocedure vooraf worden gepland (noodcodes moeten op een veilige plaats worden opgeslagen).

Fysieke beveiligingssleutels (FIDO2/WebAuthn)

Voor kantoren die grote volumes gevoelige gegevens verwerken of frequent worden gecontroleerd, bieden hardwaresleutels (type YubiKey of Feitian) het hoogste beschermingsniveau. Gebaseerd op de FIDO2- en WebAuthn-standaarden zijn zij phishing-bestendig door hun ontwerp: de sleutel verifieert cryptografisch het domein van de site voordat deze zich verifieert, waarmee man-in-the-middle-aanvallen worden geneutraliseerd.

Een steeds groter aantal belastingportals en verplichte inzendingsplatforms (DGFiP, infogreffe) aanvaarden deze standaarden. Een kantoor dat ongeveer honderd mandaten beheert, kan de aanschaf van sleutels (ongeveer 50-80 € per stuk) binnen enkele weken terugverdienen door de vermindering van veiligheidsbeheerkosten.

SMS OTP: vermijden voor gevoelige gegevens

Hoewel codes per SMS in veel systemen nog steeds een mogelijkheid zijn, heeft het Amerikaanse NIST (National Institute of Standards and Technology) deze in 2016 uit de categorie van sterke verificatiemethoden verwijderd. SIM swapping-aanvallen (frauduleus overbrengen van een telefoonnummer naar een SIM-kaart die door een aanvaller wordt beheerd) hebben in de afgelopen jaren enkele Franse boekhoudkantoren getroffen. Voor toegang tot belastinggegevens of tot elektronische handtekeningen voor juridische kantoren en boekhoudkantoren, mag SMS OTP slechts als laatste redmiddel worden beschouwd.

---

Hoe u tweeledige authenticatie configureert: stap-voor-stap gids

Stap 1 — Inventaris van applicaties en definitie van het bereik

Voordat u overgaat tot technische implementatie, maakt u een volledig inventaris van alle applicaties die in uw kantoor worden gebruikt:

• Boekhoudprogramma's: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Mailboxen en samenwerkingshulpmiddelen: Microsoft 365, Google Workspace, Slack
• Documentbeheers- en handtekeningshulpmiddelen: inzendingsplatforms, workflowtools
• Externe toegang: VPN, RDP, virtueel bureaublad
• Klantportals: gegevensdeelings- en documentuitwisselingsspaces

Voor elke applicatie controleert u of 2FA beschikbaar is (sectie 'Beveiliging' van de instellingen) en welke methode wordt ondersteund (TOTP, FIDO2, SMS). Classificeer de applicaties naar kritieke waarde op basis van de gevoeligheid van de toegankelijke gegevens.

Stap 2 — Technische implementatie en inschrijving van medewerkers

Voor Microsoft 365 vindt de configuratie plaats via de Azure Active Directory-portal (Entra ID). Activeer de 'Veiligheidsstandaardinstellingen' of, voor kantoren met meer dan 10 medewerkers, configureer beleid voor voorwaardelijke toegang (beschikbaar vanaf de Business Premium-licentie). Met deze beleidsregels kunt u 2FA alleen in bepaalde gevallen verplicht stellen: toegang van buiten het kantoor, inloggen vanaf een onbekend apparaat, ongewone tijd.

Voor boekhoudprogramma's varieert de procedure per uitgever:

• Cegid Loop: beveiligingsinstellingen > dubbele authenticatie activeren > QR-codes genereren voor elke gebruiker
• MyUnisoft: beheer > beveiliging > sterke authenticatie > 2FA verplicht stellen voor alle profielen
• Sage 100 Cloud: contact opnemen met Sage-beheerder of uw reseller om de MFA-module te activeren

Plan een inschrijvingssessie met elke medewerker in (15 tot 20 minuten per persoon). Geef elke gebruiker een samenvattingskaart met zijn of haar herstelcodes, die op een veilige fysieke plaats (bijv. kantoorkluisje) moeten worden bewaard.

Stap 3 — Beheerbeleid en noodprocedures

Technische implementatie is slechts de helft van het werk. Een gedocumenteerd veiligheidsbeleid moet het volgende verduidelijken:

• Wie kan 2FA tijdelijk uitschakelen (alleen systeembeheerder, nooit de medewerker zelf)
• Procedure bij apparaatverlies: onmiddellijke accountblokkering, regeneratie van herstelcodes, gecontroleerde opnieuw inschrijving
• Controlefrequentie: halfjaarlijkse controle van toegang en verificatiemethoden
• Beheer van vertrekkende medewerkers: onmiddellijke intrekking van toegang en 2FA-geheimen bij vertrek van medewerkers

Dit beleid integreert natuurlijk in uw bedrijfscontinuïteitsplan (BCP) en in uw register van gegevensverwerkingsactiviteiten in de zin van de GDPR. Raadplegen van het Certyneo-hulpcentrum kan u sjablonen voor beleidsregels bieden die geschikt zijn voor kleine en middelgrote structuren.

---

Integratie van 2FA met elektronische handtekeningshulpmiddelen

Geavanceerde of gekwalificeerde elektronische handtekening, zoals gedefinieerd in de eIDAS-verordening, vereist sterke verificatie van de ondertekenaar. In praktische termen: wanneer uw kantoor een volmacht- of servicedocument voor ondertekening naar een klant stuurt, moet het handtekeningsplatform de identiteit van de ondertekenaar op robuuste wijze verifiëren. Dit is precies waar 2FA een rol speelt.

Op eIDAS-conforme handtekeningsplatforms (geavanceerd of gekwalificeerd niveau) ontvangt de ondertekenaar een link via e-mail en moet vervolgens zijn identiteit via een ander kanaal valideren (SMS, authenticatie-app of gekwalificeerd certificaat). Dit proces creëert een audit trail met tijdstempel en cryptografische verificatie, wat onweerlegbaar bewijs oplevert in geval van geschil — een cruciaal belang voor boekhoudexperts die hun beroepsaansprakelijkheid op elke opdracht engageren.

Voor het begrijpen van de verschillende handtekeningniveaus en het kiezen van het juiste niveau voor uw documentflows, is het lezen van de volledige gids voor elektronische handtekeningen aanbevolen. Kantoren die Certyneo gebruiken, profiteren van ingebouwde integratie van 2FA in het handtekeningsproces, wat wrijving voor de ondertekenaar vermindert terwijl het nalevingsniveau behouden blijft.

Bijzondere aandacht moet worden besteed aan volmachtbrieven (verplicht volgens de beroepsnorm 2400 van de OEC) en aan commissarisbevindingen: deze documenten leggen de persoonlijke aansprakelijkheid van de professional vast en vereisen een onberispbare authenticatietraceerbaarheid. U kunt trouwens een AI-contractgenerator gebruiken om de creatie van deze documenten te automatiseren terwijl u tegelijkertijd de vereisten voor sterke authenticatie in het ontwerp integreert.

---

Medewerkers trainen en sensibiliseren: de menselijke factor

De meest grondige technische implementatie wordt onwerkzaam als medewerkers de risico's niet begrijpen of beveiligingsmaatregelen omzeilen. In boekhoudkunde bestaan teams vaak uit zeer uiteenlopende profielen: ervaren partners, jonge medewerkers, stagiairs, directiesecretaressen. De training moet op elk profiel worden afgestemd.

Aanbevolen sensibilisatieprogramma voor een kantoor van 5 tot 30 personen:

1. Lanceringssessie (1 uur): presentatie van concrete risico's (anonieme voorbeelden van incidenten in de sector), live demonstratie van de configuratie, vragen/antwoorden
2. Korte instructievideos (3-5 minuten elk): één video per kritieke toepassing, beschikbaar op het intranet van het kantoor
3. Gesimuleerde phishing-oefening: verzending van een nepfishingbericht na 3 maanden implementatie om daadwerkelijke waakzaamheid te meten en medewerkers te identificeren die aanvullende begeleiding nodig hebben
4. Integratie in inwerking: elke nieuwe medewerker configureert op zijn eerste dag 2FA, met een toegewezen referent

De Orde van Accountants (OEC) biedt ook trainingsresources op het gebied van cybersecurity in het kader van jaarlijkse vervolgingsverplichtingen (40 uur voor geregistreerde accountants). Deze trainingen kunnen in uw kwaliteitsbenadering worden meegeteld als uw kantoor ISO 9001-gecertificeerd is of naar cybersecurity-certificering streeft (ANSSI ExpertCyber-label, bijvoorbeeld).

Wettelijk kader van toepassing op sterke authenticatie in boekhoudkunde

De implementatie van tweeledige authenticatie in een boekhoudkantoor past in een dicht regelgevingskader, gestructureerd rond verschillende fundamentele teksten.

De eIDAS-verordening nr. 910/2014 en de herziene eIDAS 2.0 (EU-verordening 2024/1183) vormen het referentiekader voor alles wat betrekking heeft op elektronische identificatie in Europa. Artikel 8 definieert drie verzekeringsniveaus voor elektronische identificatiemiddelen: laag, substantieel en hoog. Voor handelingen die de beroepsaansprakelijkheid van een boekhoudexpert vastleggen (ondertekening van rapporten, validatie van belastingdossiers online), is het verzekeringsniveau 'substantieel' of 'hoog' vereist, wat multifactor-authenticatie verplicht maakt.

De GDPR (EU-verordening 2016/679), in artikel 32, verplicht verwerkingsverantwoordelijken om 'passende technische en organisatorische maatregelen' in te voeren om de veiligheid van persoonsgegevens te garanderen. Een boekhoudkantoor verwerkt gevoelige persoonsgegevens (financiële gegevens, gezondheidsgegevens via salarisbrieven met ziekteuitkering, enz.). Het ontbreken van 2FA op toegang tot boekhoudprogramma's vormt waarschijnlijk een schending van dit artikel, wat het kantoor blootstelt aan sancties van maximaal 4% van de jaarlijkse wereldwijde omzet (artikel 83 GDPR).

Het Burgerlijk Wetboek, artikelen 1366 en 1367, bepalen de juridische waarde van elektronische handtekeningen. Artikel 1367 bepaalt dat 'de betrouwbaarheid van een elektronisch handtekeningsprocédé tot het tegenbewijs wordt vermoed wanneer dit procédé een gekwalificeerde elektronische handtekening toepast'. Sterke authenticatie is een essentieel onderdeel van deze vermoeden van betrouwbaarheid.

De NIS2-richtlijn (EU-richtlijn 2022/2555), omgezet in Frans recht bij wet nr. 2024-449 van 21 mei 2024 en de uitvoeringsbesluiten daarvan, breidt cybersecurity-verplichtingen uit tot een breed scala van entiteiten. Hoewel boekhoudkantoren niet direct als essentiële entiteiten staan vermeld, kunnen zij die digitale diensten verlenen aan essentiële of belangrijke entiteiten (zorginstellingen, lokale overheden, bedrijven van kritieke infrastructuur) indirect via hun dienstencontracten onder verplichtingen vallen.

Beroepsnorm 2400 van de Orde van Accountants legt voorts een versterkte inspanningsverplichting op het gebied van informatiebeveiliging voor kantoren die wettelijke opdrachten uitvoeren. De ANSSI beveelt MFA expliciet aan als minimale maatregel in haar gids 'Informatiebeveiliging voor MKB/KMO's' (editie 2024).

Beroepsaansprakelijkheidsverzekering: in geval van inbreuk op klantgegevens als gevolg van afwezigheid van 2FA, kan de RCP-verzekeraar van het kantoor een gegronde schuld inroepen om de dekking te verminderen of af te wijzen. Het wordt sterk aanbevolen om de technische implementatiedocumentatie van 2FA als bewijs van zorgvuldigheid te bewaren.

Gebruiksscenario's: 2FA in de praktijk in boekhoudkantoren

Scenario 1 — Een middelgroot boekhoudkantoor

Een kantoor met ongeveer vijftien medewerkers en ongeveer 400 actieve mandaten heeft besloten 2FA op alle hulpmiddelen in te voeren na een phishing-incident dat de toegang tot zijn salarisprogramma bijna had gecompromitteerd. De directie koos voor Microsoft Authenticator op Microsoft 365 (e-mail, SharePoint, Teams) en voor de eigen TOTP-applicaties van zijn cloudboekhoudprogramma.

De implementatie is in drie weken afgerond: één week voor inventaris en configuratie, één week voor inschrijving van medewerkers in groepen van vijf, één week voor opvolging en probleemoplossing. Resultaat: nul compramitteringsincidenten in de volgende 12 maanden, tegenover twee incidenten het voorgaande jaar. De tijd die aan veiligheidsbeheer wordt besteed, is met ongeveer 70% afgenomen. Het kantoor kon ook tegenover verschillende grote klanten (waaronder een industrieel MKB-klant met een leverancierseveiligingscharter) aantonen dat het systeem voldeed aan MFA-vereisten.

Scenario 2 — Een kantoor dat zich specialiseert in controleopdrachten voor MKB's

Een commissariskantoor dat ongeveer zestig controleopdrachten beheert, werd geconfronteerd met een specifieke eis: steeds meer klanten vragen GDPR-nalevingsbewijs bij verlenging van opdrachten. Het kantoor koos ervoor FIDO2-beveiligingssleutels voor partners (toegang tot gevoeligste dossiers) en TOTP-applicaties voor senior medewerkers in te voeren, terwijl SMS OTP slechts voor laag-gevoelige toegang beschikbaar bleef.

Tegelijktijd integreerde het kantoor geavanceerde elektronische handtekeningen in zijn controlerapportworkflows, met systematische sterke verificatie van de ondertekenaar. Met behulp van het gegenereerde audit log konden twee potentiële geschillen met klanten die de effectieve rapportafleveringsdatum betwistten, in het voordeel van het kantoor worden opgelost door de gehorodateerde verificatielogboeken in te dienen. De vermindering van rapportondertekentijd (van gemiddeld 5 dagen naar minder dan 24 uur) vereenvoudigde ook de factuurstelling en verbeterde de kasstroomstelling van het kantoor met ongeveer 15%.

Scenario 3 — Een kantoor in externe groeifase

Een regionaal netwerk van boekhoudkantoren dat in twee jaar drie onafhankelijke structuren heeft opgenomen, zag aanzienlijke heterogeniteit ontstaan: sommige geabsorbeerde kantoren hadden geen 2FA-beleid, anderen gebruikten SMS OTP. De groep benutte deze integratie om een uniforme identiteitsbeheeroplossing (IAM — Identity and Access Management) met verplichte 2FA in te voeren.

De initiële investering (IAM-licenties, training, begeleiding) werd geschat op ongeveer 8.000 € voor de hele groep (ongeveer 45 medewerkers). Daartegenover stond de vermindering van kosten voor beveiligingsincidenten (IT-dienstverlenerinterventies, crisismanagement) op ongeveer 15.000-20.000 € in het eerste jaar. De groep kon ook onderhandelen over een verlaging van de cyberverzekeringspremie van ongeveer 20% door de IAM-implementatiedocumentatie aan haar verzekeraar voor te leggen.

Conclusie

Tweeledige authenticatie is niet langer een luxe voor grote structuren: het is een veiligheids- en nalevingsvereiste voor elk boekhoudkantoor, ongeacht grootte. Met de GDPR-vereisten, aanbevelingen van ANSSI, eIDAS-verplichtingen voor elektronische handtekeningen en toenemende druk van klanten op veiligheidsnormen van dienstverleners is 2FA een onmisbare standaard in de sector geworden.

Het goed nieuws: implementatie is tegenwoordig toegankelijk, snel en goedkoop. Door de stappen in dit artikel te volgen — inventaris van applicaties, keuze van geschikte methode, inschrijving van medewerkers, vaststelling van gedocumenteerd beleid — kan uw kantoor binnen enkele weken een robuust beveiligingsniveau bereiken.

Certyneo integreert native sterke authenticatie in de elektronische handtekeningen-workflows, waardoor u eIDAS-conformiteit en MFA-veiligheid zonder extra complexiteit kunt combineren. Ontdek onze aanbiedingen en tarieve of neem contact op met ons team voor persoonlijke begeleiding bij de nalevingstransformatie van uw kantoor.