back

Accountancy & financieel advies
Advisory
Audit & assurance
Belastingadvies
Internationaal ondernemen
Legal services
Impact Campus

Bij Grant Thornton vindt u accountants die meer doen dan alleen de noodzakelijke controles achteraf. Onze accountants denken met u mee.

Naar overzicht

Financiële administratie & outsourcing
Hoe weet ik of mijn onderneming goed loopt? Een accurate financiële administratie geeft u de informatie die u nodig heeft om de juiste beslissingen te nemen.
Financieel inzicht
U wilt de juiste financiële beslissingen nemen op basis van betrouwbare en overzichtelijke managementinformatie. U wilt op ieder moment weten hoe u ervoor staat en waar u moet bijsturen.
Financial compliance
Is uw onderneming internationaal actief? Dan wilt en moet u voldoen aan de (financiële) wet- en regelgeving in de verschillende landen waar u actief bent. Maar hoe houdt u financieel overzicht?

Advisory

Grant Thornton biedt u een breed pakket aan specialistische adviesdiensten als cyber risk, sustainability & impact, corporate finance en meer.

Naar overzicht

Business risk services
Ken ik mijn risico’s? Neem ik de juiste maatregelen? Ben ik effectief daarin, ook met IT-tools? Als u met dergelijke vragen worstelt, kunnen wij u helpen met onze reeks van business risk diensten.
Corporate finance
Hoe sluit ik een goede deal als ik mijn bedrijf ga verkopen – of als ik een ander bedrijf koop?
Cyber risk services
Welke cyberdreigingen zijn relevant voor mijn organisatie? Heb ik de goede voorzorgsmaatregelen genomen om mijn data te beschermen? Realistisch vragen! Wij helpen die te beantwoorden.
Impact House
Hoe kunt u verduurzamen en maatschappelijke impact maken in de wereld van stakeholders, regelgeving en de vraag vanuit klanten en de maatschappij?
Transaction services
Hoe krijg ik het (ver)koopproces van mijn bedrijf voor elkaar zonder al teveel kopzorgen? Wij zorgen voor een stevig fundament voor beslissingen bij de aan- en verkoop van bedrijven.
Forensic & integrity services
Hoe kunt u op verantwoorde wijze risico’s beheersen indien sprake is van integriteitinbreuken of bedrijfsfraude? De Forensic & integrity services specialisten van Grant Thornton helpen.
Valuations
Verkoopt u uw aandelen, koopt u een andere aandeelhouder uit of laat u nieuwe investeerders toetreden? Werkt u aan een juridische of fiscale herstructurering? Bent u in gesprek met de fiscus voor de overdracht naar uw kinderen of medewerkers? Zit u met een geschil? Of wilt u voldoen aan uw verslaggevingsvereisten, zoals Purchase Price Allocation en Impairment Testing? Allemaal situaties waarbij de waarde van uw onderneming belangrijk is. De dynamiek kan per situatie echter heel verschillend zijn: waarde is namelijk altijd contextgevoelig.
Academy
Cursussen aan advocaten, vanuit aanvullende kennisgebieden aan de juridische dienstverlening van de advocatuur, brengen een kennisuitwisseling tot stand in het voordeel van de klant.

Audit & assurance

U moet kunnen vertrouwen op uw cijfers. De adviseurs van Grant Thornton waarborgen de onafhankelijkheid van onze rapportages en verslaglegging.

Naar overzicht

Controle jaarrekening
U moet zich financieel verantwoorden, bijvoorbeeld aan aandeelhouders en andere stakeholders. Financiële informatie moet dus betrouwbaar zijn.
IFRS services
Financiële verslaglegging volgens IFRS is ingewikkeld. Inmiddels kennen steeds meer internationale ondernemingen de regels. Hoe past u ze echter concreet toe?
ISAE & SOC Reporting
Zakelijk Nederland is de afgelopen jaren flink veranderd. De overheid confronteert organisaties met toenemende regulering en compliance vereisten.
Pre-audit services
Pre-audit services staat voor het ‘controlegereed’ maken van de gehele financiële administratie voordat de externe accountant start met de controle van de jaarrekening.
Sarbanes Oxley controle en advies
De SOx wetgeving schrijft voor dat management structureel verantwoording af moet leggen over de interne controle met betrekking tot de financial statements. Dit moet bewezen worden door een verklaring van een onafhankelijke accountant.
Subsidieverklaringen
Is uw onderneming niet wettelijk verplicht tot controle, maar wilt u toch zekerheid verkrijgen over de getrouwheid van de cijfers?

Belastingadvies

Wij helpen ondernemers met ons belastingadvies. In Nederland en wereldwijd, van mkb tot multinational en van beursgenoteerd tot familiebedrijf.

Naar overzicht

Belastingadvies voor het mkb in Nederland
Hoe kan ik gebruikmaken van de innovatiebox? Kan ik die steeds terugkerende belastingaangiftes uitbesteden? Wat kost het als ik morgen wegval? Hoe regel ik mijn oudedagvoorziening? Voldoe ik wel aan alle nieuwe regelgeving? Zal ik NOW3 aanvragen? Allemaal goede vragen. Wij helpen met de antwoorden.
Belastingadvies voor Nederlandse multinationals
Als ik die interessante Head of sales in Frankrijk wil aannemen, hoe zit dat dan fiscaal? Welke vennootschap kan het beste een overname doen? Hoeveel scheelt het, als ik al onze belastingaanslagen wereldwijd bij één partij neerleg? Voor wie kan ik gebruikmaken van de 30%-regeling? En hoe? De boete van ‘niet melden’ 830.000 euro? Wat moet ik precies wél melden bij grensoverschrijdende fiscale constructies? Goede vragen. Wij beantwoorden er dagelijks honderden wereldwijd. Scherp en met aandacht voor uw situatie. In welk land dan ook.
Btw-advies
Als ondernemer heeft u te maken met btw-wetgeving, zowel als u nationaal als internationaal onderneemt. Die wetgeving is vaak complex. Een juiste toepassing en optimale benutting van de mogelijkheden van de btw-wetgeving vraagt specialistische kennis. Kennis die wij u kunnen bieden.
Douaneadvies
Ons internationale netwerk van douanespecialisten wijst u op de mogelijkheden die de douanewetgeving kan bieden. Dat bespaart u heel wat kosten en moeite.
HR services
Human resources services van Grant Thornton helpt u om uw zakelijke doelstellingen te bereiken en de loonkosten in bedwang te houden.
Innovatie & subsidieadvies
Gaat u met uw organisatie risicovolle projecten aan? De overheid stelt financiële middelen beschikbaar, door middel van het stimuleringsbeleid, voor ondernemers. De subsidieadviseurs van Grant Thornton adviseren en assisteren u graag bij uw subsidieaanvraag.
Tax technology
Weet u wat uw belangrijkste fiscale risico’s zijn? En weet u hoe u deze risico’s identificeert en beheerst? Heeft u voldoende tijd om u te focussen op de fiscale zaken die ertoe doen?
Transfer pricing
Transfer pricing (interne verrekenprijzen) raakt de meeste multinationale bedrijven. Voldoet uw organisatie aan de transfer pricing-documentatieverplichtingen?
Sustainable tax
In deze veranderende wereld wordt het steeds belangrijker om niet alleen naar de financiële prikkels te kijken, maar ook naar de impact op het milieu. Multinationale ondernemingen moeten hun belastingstrategie herzien, in lijn met het ESG-gedachtegoed.

Internationaal ondernemen

Internationaal zakendoen is voor u mogelijk de volgende stap voor de uitbreiding van uw onderneming. Hoe benut u de kansen voor internationale uitbreiding?

Naar overzicht

Uitbreiden naar andere markten
Zoekt u naar kansen om internationaal uit te breiden? Of u nu op het punt staat een nieuw kantoor te openen in het buitenland of een internationale overname overweegt, u heeft zekerheid nodig bij het maken van de juiste keuzes voor uw onderneming. Wereldwijde uitbreiding is niet altijd zo eenvoudig als het klinkt. Het goede nieuws is dat wij er zijn om u te helpen!
Internationale contactpersonen
Waar u ook kiest om zaken te doen, u wilt toegang tot mensen met de beste ideeën en kritisch denkvermogen waarmee u uw onderneming in binnen- en buitenland kunt laten groeien. Grant Thornton heeft een netwerk van kantoren in meer dan 140 landen. Waar u ook wilt uitbreiden, de kans is groot dat onze specialisten ook daar zijn gevestigd.

Legal services

Legal services adviseert en begeleidt u op juridisch gebied. Onze geïntegreerde dienstverlening kent een gedegen maar oplossingsgerichte benadering.

Naar overzicht

Ondernemingsrecht
Van algemene voorwaarden tot juridische strategie, het moet waterdicht in elkaar zitten. Dat geeft zekerheid en dus rust en ruimte voor groei. Wij denken pro-actief en pragmatisch met u mee. We kijken vooruit en zetten graag dat stapje extra.
Arbeidsrecht
Kleine onderneming of grote multinational: uw mensen zijn de spil van uw bedrijf. Arbeid is verweven met diverse belangen en heeft vaak juridische consequenties. Voor grote strategische én alledaagse vragen over arbeidsrecht staan onze juristen voor u klaar. Óók voor internationale arbeidsrechtvragen. Een eigen HR-afdeling? Die assisteren we graag. Wij leveren service op maat en zijn er als u ons nodig heeft.
Specialismen
Naast onze focus op arbeids- en ondernemingsrecht adviseren wij ondernemers ook op uiteenlopende (specialistische) juridische vraagstukken. Een bedrijfsovername, uw vennootschapsadministratie, ingewikkelde zorgvraagstukken: u bent bij ons aan het juiste adres.
Reorganiseren
Reorganiseren, meestal niet de leukste kant van ondernemen. Er kunnen verschillende redenen zijn om te moeten reorganiseren. Wat die reden ook is, bij reorganiseren komt veel kijken. Denk aan het indienen van een ontslagverzoek, het opstellen van een sociaal plan en het voeren van exitgesprekken. Wij helpen u graag bij de inrichting van het reorganisatietraject. Zo kunt u snel weer koers zetten naar betere tijden.

Impact Campus

Via onze Impact Campus bieden we uzelf of uw medewerkers workshops, cursussen en opleidingen in duurzaamheid en impact aan.

Naar overzicht

Opleiding: Duurzaamheidsrapportage en sturing
Toekomstbestendig zijn, risico’s beheersen, kansen pakken en maatschappelijke impact creëren; duurzaamheid staat inmiddels hoog op de agenda van de meeste bedrijven.
Opleiding: Impactmanagement
Als impact driven organisatie wil je wel zeker weten dat je het goede doet. En je wilt je impact ook kunnen communiceren naar je stakeholders.
Opleiding: Expeditie Impactmeten
Uw maatschappelijke missie staat voorop, dat maakt u een sociaal ondernemer of maatschappelijk initiatief. Het is dan ook logisch dat u graag wilt weten in hoeverre u uw maatschappelijke missie realiseert. Oftewel: wat uw impact is.
Incompany opleidingen impactmanagement
De incompany opleiding Sturen op impact is een traject van 4 - 5 dagen verspreid over een half jaar waarin uw team kennismaakt met de verschillende onderdelen van impactmanagement én deze direct praktisch integreert in uw organisatie.
Gratis sessie: Sturen op Impact
Hoe bepaalt u wat uw impact is? En hoe meet uw die vervolgens? In deze sessie nemen we u mee in de wereld van impactmanagement en in het bijzonder het meten van uw maatschappelijke bijdrage.
E-Learning: Meer impact in 6 weken
Deze online opleiding is een laagdrempelige manier om kennis te maken met impact denken en doen.
Impactmanagement @ work
Impactmanagement @ work is er voor iedereen die een verdiepingsslag zoekt op het gebied van impactmanagement.

Bouw & vastgoed
Business support services
Financiële dienstverlening
Gezondheidszorg
Technologie
Transport & logistiek
Tuinbouw
Woningcorporaties

Bouw & vastgoed

Bouw- en vastgoedondernemers bevinden zich in een lastige markt. Reorganisaties, teruglopende marges en zorgen over het op peil houden van de portefeuille zijn...

Naar overzicht

Business support services

Naar overzicht

Advocatuur
Grant Thornton werkt intensief samen met advocatenkantoren op tal van gebieden. De specialistische dienstverlening van Grant Thornton op het gebied van Accountancy en Forensic services is complementair aan de juridische dienstverlening door de betrokken advocatenkantoren.
Gerechtsdeurwaarders
Gerechtsdeurwaarders vervullen veelal wettelijke taken en zijn daarmee gebonden aan specifieke wetregeling. Eén van de consequentie hiervan is dat het toetreden in deze markt moeizamer is. In de afgelopen jaren is de concurrentie verhevigd en hebben forse schaalvergrotingen plaatsgevonden.
Incassobureaus
Incassobureaus opereren in een open markt. U bent niet gebonden aan specifieke wetgeving rondom toetreding in de markt. Hierdoor is de concurrentie relatief hoog.

Financiële dienstverlening

Wij geloven dat klantfocus, vertrouwen en innovatie de sleutelwoorden zijn om kansen te benutten in de financiële sector.

Naar overzicht

Gezondheidszorg

De gezondheidszorg is dynamisch en onderhevig aan wijzigende regelgeving en budgetten. Al jaren (met uitzondering van 2013) groeit de omzet in de...

Naar overzicht

Medisch specialistische zorg
Als bestuurder in de zorg of als medisch specialist wilt u de kwaliteit van uw zorg zo hoog en efficiënt mogelijk houden. Hoe biedt u de juiste zorg aan uw patiënt tegen een gezonde prijs?
Eerstelijnszorg
Als eerstelijnshulpverlener wilt u de kwaliteit van uw zorg zo hoog mogelijk houden. Terwijl uw zorgaanbod verandert en de vraag naar zorg toeneemt. Bijvoorbeeld doordat de overheid meer zorg bij eerstelijnshulpverleners neer wil leggen. Oftewel hoe biedt u de juiste zorg voor uw patiënt en hoe houdt u uw praktijk gezond?
Cure & care
De diverse trends en ontwikkelingen binnen de cure en care sector hebben een financiële impact op uw zorginstelling of ontstaan als gevolg van nieuwe wet- en regelgeving.
Biotech & life sciences
Hoe krijgt u als ondernemer in bio life sciences sector voldoende financiering voor uw R&D-activiteiten?
Apothekers
De apotheekbranche is continu aan veranderingen onderhevig, dalende bruto marges, de toenemende macht van de zorgverzekeraars, strengere eisen door banken.

Technologie

Kan uw organisatie groeien door digitalisering? Binnen het internationale netwerk van Grant Thornton werken diverse specialisten in de technologiesector.

Naar overzicht

E-Commerce
Onze btw-, douane- en ICT-experts hebben ruime ervaring in de e-commerce en maken graag een efficiëntieslag in uw administratieve lasten.
Digital marketing
De ontwikkeling van de digital marketing branche gaat hard. De concurrentie is hevig. En de aantrekkende economie zorgt voor een groeiende vraag naar digital marketing diensten. Hoe creatief bent u als digital marketing organisatie als het gaat om het verzilveren van uw kansen?

Transport & logistiek

De Nederlandse Maritieme cluster is actief op alle continenten. En de gehele transport & logistieksector groeit. Vraagt u zich weleens af welke logistieke...

Naar overzicht

Maritiem
Hoe blijft u aan de wereldtop in de maritieme sector? Nederland moet het hebben van innovatie. Onze kennis brengt de maritieme cluster aan de wereldtop.

Tuinbouw

De productiecijfers van de tuinbouwbranche zijn snel opgelopen. Terwijl de oppervlakte van tuinbouwgrond nagenoeg hetzelfde bleef. De verwachting voor de...

Naar overzicht

Woningcorporaties

Hoe zorg ik dat mijn woningcorporatie sterk staat in veranderende tijden? Diverse ontwikkelingen zoals verscherping van de regelgeving, de politieke wens om...

Naar overzicht

Familiebedrijven
Private clients
Commissarissen

Familiebedrijven

Familiebedrijven nemen een unieke positie in, in Nederland en wereldwijd. Ze worden gezien als een (stabiele) motor van de economie. Dit kenmerkt zich onder...

Naar overzicht

Eigenaarschap
Aan het hoofd staan van een familiebedrijf is een flinke opgave. Het brengt veel verschillende verantwoordelijkheden met zich mee. Hoe is het eigendom geregeld? Wie heeft welk belang in het bedrijf? Zijn er familieleden die u liever niet aan het roer ziet staan van de onderneming?
Duurzaamheid
Duurzaamheid gaat verder dan alleen het behalen van (milieu)doelen, het anticiperen op klimaatrisico’s en het inspelen op kansen. Duurzaamheid is breder en bij uitstek een onderwerp dat bij familiebedrijven past.
Opvolging
Ook voor u als dga komt het moment waarop u serieus aandacht moet besteden aan bedrijfsopvolging. Het is geen wonder dat bedrijfsopvolging binnen het familiebedrijf bijzonder complex is.
Vermogen
Het onderwerp 'vermogen' binnen familiebedrijven is een belangrijk maar complex onderwerp, dat vele aspecten omvat. Goed plannen en goede afspraken maken voor de continuïteit van het aanwezige vermogen is dus cruciaal.
Het Goede Gesprek
Dagelijkse bezigheden (ook in het bedrijf) maken het vaak moeilijk om prioriteit te geven aan échte reflectie. Even uit de day-to-day business stappen om kritisch na te denken over wat u als eigenaar wilt bereiken

Private clients

Heeft u behoefte aan persoonlijk advies voor uw vermogen, zodat u dit ook juist kunt nalaten aan uw familie? Onze private clients specialisten helpen graag.

Naar overzicht

Estate planning
Wilt u uw vermogen optimaal overhevelen naar uw volgende generatie zonder te veel erf- en schenkbelasting? Dat kan via bedrijfsoverdracht, schenken of via uw testament.
Vermogensbeheer
U hebt inmiddels vermogen opgebouwd of u hebt een goed salaris en pensioen. En daarnaast hebt u een aantal wensen. U wilt bijvoorbeeld uw kinderen helpen bij de aankoop van hun eerste woning en hen een bedrag schenken. Of een camper aanschaffen om door Europa te trekken tijdens uw pensioen. Kan dat?
Fiscaal advies en aangifte inkomstenbelasting
Is de aangifte inkomstenbelasting voor u jaarlijks een frustrerend proces? Klopt de vooraf ingevulde aangifte en wat moet u nog meer invullen? Onze specialisten nemen u deze zorg uit handen en adviseren u bij het optimaliseren van uw fiscale positie.
Pensioen en andere oudedagsvoorzieningen
Heeft u zich al goed voorbereid op uw oude dag? Het pensioenstelsel in Nederland bestaat uit 3 pijlers: AOW, pensioenopbouw via een werkgever en individuele pensioenverzekeringen. Daarnaast kunt u ook zelf sparen voor uw oude dag: de 4e pijler. Wat betekent deze optelsom voor het totaal van uw oudedagsvoorziening straks?

Commissarissen

De ontwikkelingen met betrekking tot digitalisering, met zowel bedreigingen als kansen, gaan snel. Het is de vraag welke rol de commissaris daarin speelt of...

Naar overzicht

Carrière

Werken bij Grant Thornton
Verhalen van collega's
Jouw carrière
Contact
Bekijk onze vacatures

Werken bij Grant Thornton

Hoe is het om te werken bij Grant Thornton? Ontdek waarin wij het verschil maken en hoe jij kunt groeien door jezelf en je collega' s uit te dagen.

Naar overzicht

Over Grant Thornton
Grant Thornton biedt een plek waar jouw talent telt. Waar we nieuwsgierig zijn naar wat jíj kunt bijdragen. Een omgeving vol dynamiek en scherpte. Dat is Grant Thornton.
Diversiteit & Inclusie
Wij sturen op de gender verdeling binnen ons bedrijf, wetende dat ook andere dimensies van diversiteit belangrijk zijn. In 2021 is het percentage vrouwelijke partners bijna 20%, waarvan 20% ook een eigendomsrecht heeft. Onze raad van commissarissen bestaat voor 66% uit vrouwen.

Verhalen van collega's

Hoe is het nu écht om voor Grant Thornton te werken? Bekijk hier de verhalen van onze collega's.

Naar overzicht

Aliriza
"Zo zat ik ineens met de CFO van een groot scheepvaartbedrijf met verschillende entiteiten aan tafel."
Jasmine
"Ik kreeg na een jaar werken al de vrijheid en het vertrouwen kreeg om remote te gaan werken in het buitenland waar Grant Thornton memberfirms heeft."
Kelly
“Ik krijg er energie van om bij klanten langs te gaan. Ze waarderen dat ook enorm.”
Lilly
"Ik word dus niet in een hokje gestopt, maar mag mezelf ontwikkelen in wat ik leuk vind. Je krijgt de ruimte om dingen te doen waar je energie van krijgt."
Werner
“Als je hier een goed idee hebt, krijg je de ruimte en hulp om dat tot een succes te maken.”

Jouw carrière

Of je nu een starters, medior of zeer ervaren professional bent, bij ons word jij op waarde geschat.

Naar overzicht

Studenten & starters
Je bent ambitieus. Je wilt naast je studie al ervaring opdoen of je bent net afgestudeerd. Je wilt deskundige worden binnen jouw vakgebied, maar je wilt je ook breed ontwikkelen.
Persoonlijke ontwikkeling
Wij kijken naar de mensen achter de cijfers, naar de drive achter organisaties. In welke rol je ook actief bent, je werkt vaak intensief samen met ambitieuze cliënten, voor wie alleen het beste advies telt.
Solliciteer nu
Ben jij klaar om te beginnen met het echte werk?

Contact

Neem contact op met Grant Thornton.

Naar overzicht

Onze recruiters
Onze recruiters staan je graag te woord over jouw (groei)mogelijkheden en carrière bij Grant Thornton.
Onze vestigingen
Onze vestigingen
Veelgestelde vragen
Je bent geïnteresseerd in een carrière bij Grant Thornton en je hebt nog wat vragen. Lees antwoorden op de meest gestelde vragen.

Bekijk onze vacatures

Naar overzicht

Mijn Grant Thornton

Maakt u nog geen gebruik van onze klantenportal (Mijn Grant Thornton) en wilt u weten wat voor u de voordelen zijn? Neem dan contact op met uw adviseur bij...

Naar overzicht

Grant Thornton Sonar

Behoud controle en overzicht in continu veranderende markten, met steeds complexere (fiscale) wetgeving. Vraag een demo aan.

Naar overzicht

Digital risk

Pak cyber security en bescherming van data integraal aan

15 jan. 2020

De digitale revolutie is in volle gang. Het aantal ondernemingen dat digitale gegevens van klanten inzet om effectiever te ondernemen, groeit in gestaag tempo. Ondernemingen gebruiken data om aanbiedingen nauwkeurig af te stemmen op de wensen van individuele klanten. Ze gebruiken ook data voor het monitoren van medewerkers en voor het verbeteren van de samenwerking met leveranciers. En zo zijn er tal van andere toepassingen waardoor digitale gegevens ondernemingen helpen om succesvoller te zijn.

In dit artikel leest u:

Maar er is een keerzijde. Digitale gegevens vormen een aantrekkelijk doelwit voor cyber criminelen. Daardoor ontstaan voor ondernemingen nieuwe risico’s en combinaties van risico’s die tot voor kort niet bestonden. Cyber security oftewel het beschermen van digitale systemen is al langer een punt van aandacht bij ondernemingen. Maar daar komt nu de bescherming bij van de digitale gegevensbestanden. Onvoldoende aandacht voor dit soort risico’s kan leiden tot diefstal van klantgegevens en tot schendingen van de privacy van klanten, medewerkers en leveranciers. Via de media bereiken ons daarover regelmatig berichten.

Ondernemingen ervaren dat zulke incidenten geld kosten. Dat komt onder andere door de invoering van de Algemene verordening gegevensbescherming (AVG) en andere internationale regels rond de privacy en de bescherming van klantgegevens. Het is daarom volstrekt begrijpelijk dat de bescherming van digitale klantdata steeds meer aandacht krijgt in de top van ondernemingen.

Grant Thornton heeft onderzoek gedaan onder 4500 topbestuurders van internationale ondernemingen. Hieruit bleek dat van elke drie bestuurders er twee instemmen met de stelling dat de nieuwe regelgeving rond de bescherming van klantgegevens heeft geleid tot meer aandacht voor privacy dan er de afgelopen jaren was voor cyber security.

De toenemende aandacht voor klantgegevens en voor privacy is goed maar mag niet ten koste gaan van de aandacht voor andere digitale risico’s vinden we bij Grant Thornton. Het aantal cyberaanvallen dat schade veroorzaakt van een miljoen dollar of meer is de afgelopen drie jaar met 63% gestegen.ⁱ

Vishal Chawla is Global head cyber security bij Grant Thornton. Hij benadrukt dat gegevensbescherming en cyber security niet eerder zo nauw met elkaar verbonden waren. “In een wereld waarin het gebruik van digitale gegevens zo belangrijk is, kun je gegevensbescherming en cyber security niet meer los van elkaar zien”, zegt hij. "Je moet beide zien als onderdeel van een groter aandachtsgebied, dat van digitaal risico."

Door naar hoofdstuk

Wat is digitaal risico?

Onder digitaal risico verstaan we alle zakelijke risico’s die te maken hebben met het gebruik van digitale gegevens in bedrijfsprocessen, in samenhang met factoren als cyber security, privacy, regelgeving, automatisering en ethiek.

Het is belangrijk om integraal naar digitaal risico te kijken. “Met alle aspecten moet rekening worden gehouden als wij het digitale risicoprofiel van een onderneming willen bepalen,” zegt Vishal Chawla. “Zakelijke risico’s moeten integraal worden beoordeeld, beheerd en gemanaged. Alleen dan is het mogelijk om deze risico’s daadwerkelijk beheersbaar te maken.

Deze integrale aanpak is een belangrijk element in de Algemene Verordening Gegevensbescherming (AVG). Daarin staat dat ondernemingen moeten zorgen voor privacy by design en privacy by default.[ii] De Autoriteit Persoonsgegevens stelt dat “bedrijven gegevensbescherming dienen te integreren in de bedrijfsvoering, vanaf het ontwerpproces tot aan het einde van de levenscyclus”.[iii]

Dat kan alleen met een aanpak waarbij privacy maatregelen worden geïntegreerd in alle onderdelen van de onderneming. Veel ondernemingen vinden dat moeilijk. Dit komt doordat verschillende teams vaak verantwoordelijk zijn voor respectievelijk de gegevensbescherming en voor de cyberbeveiliging. Vaak zorgt de Chief Privacy Officer (CPO) voor de gegevensbescherming en is de Chief Information Security Officer (CIO) verantwoordelijk voor de cyber security.

Het is efficiënter als één team voor beide terreinen verantwoordelijk is. Of als een geïntegreerd team een governance-model heeft waarbij rechtstreeks aan de Chief Executive Officer (CEO) en de Chief Risk Officer (CRO) wordt gerapporteerd en waarbij een raad toezicht houdt. Veel werk dat wordt gedaan om te zorgen voor gegevensbescherming komt ook de cyber security ten goede. Andersom geldt hetzelfde. Een integrale aanpak is niet alleen zinvol voor het beheersbaar maken van digitale risico’s maar ook voor het realiseren van digitale transformaties.

Terug naar inhoudsopgave >>

Het goed classificeren van gegevens

Als één team verantwoordelijk is voor digitaal risico dan heeft dat extra voordelen. Zo’n team zorgt dat de hele onderneming één systeem gebruikt voor het classificeren van gegevens. Onder gegevensclassificatie verstaan we: weten wat voor gegevens een onderneming bezit, weten bij welke processen de gegevens horen en weten wie de gegevens beheert. Het op deze wijze kennen en beheren van data is belangrijk voor de naleving van de AVG. Daarnaast draagt het bij aan de cyber security. Met een goed gestructureerd proces rond data kunnen ondernemingen een betere beveiliging organiseren.

Vishal Chawla: “Bij de risico’s rond data geldt bij veel ondernemingen het Pareto-principe. Dat wil zeggen dat 20% van de bedrijfsgegevens zorgt voor 80% van het risico. Alle gegevens beschermen is onbegonnen werk. Ondernemingen kunnen zich beter richten op data waarvan de beveiliging echt essentieel is voor de onderneming en voor de klanten.”

Hans Bootsma is partner Cyber risk services bij Grant Thornton Nederland. Hij is het met Chawla eens. “Een goed classificatieproces helpt bij de geïntegreerde aanpak van privacybescherming en cyber security”, zegt hij.

Bootsma: “De meeste ondernemingen hadden voor de AVG nog nooit gegevens geclassificeerd. Ze zijn er nu mee begonnen om aan de nieuwe regelgeving te voldoen. Ze hebben de plicht om gegevens die herleidbaar zijn naar personen te classificeren. Dat proces is vrij eenvoudig uit te breiden naar en te combineren met andere gegevensbestanden. Als men de belangrijkste gegevens (de zogenaamde kroonjuwelen) identificeert kan men ze vervolgens koppelen aan het cyber securitprogramma.”

Als gegevensbescherming en cyber security niet worden gecoördineerd, ontstaan er geïsoleerde classificatieprocessen waardoor het digitaal risico onbeheersbaar blijft.

Een integraal antwoord op inbreuken

Na een gegevensinbreuk ontstaat bij de getroffen onderneming meestal direct het inzicht dat gegevensbescherming en cyber security met direct met elkaar in verband staan. Men wil weten hoe het incident heeft kunnen gebeuren. Welke beveiliging heeft gefaald? Ook moet worden vastgesteld welke gegevens gecompromitteerd zijn en of het om gevoelige gegevens gaat. Als dit zo is dan zal de onderneming dit openbaar moeten maken.

De meeste ondernemingen zijn hier niet op voorbereid. Maar 28% van de ondervraagde ondernemingen in het onderzoek van Grant Thornton liet weten ‘zeer tevreden’ te zijn met de eigen bescherming tegen een inbreuk. Slechts 26% antwoordde ‘zeer tevreden’ te zijn met het eigen vermogen om overal binnen de onderneming consistent te reageren op een ernstige inbreuk, ongeacht waar of op welk moment de inbreuk plaatsvindt.

Op het moment dat ondernemingen privacy en cyber security in één functie samenbrengen, zullen zij door een beter totaalbeeld van de bedreiging en de concentratie van middelen effectiever kunnen reageren op gegevensinbreuken.

“Privacy en cyberbeveiliging zijn complex omdat ze in de echte wereld botsen”, zegt Mike Harris, partner Cyber security services bij Grant Thornton Ierland. “Een gegevensinbreuk kan beginnen als iets technisch in een ‘cloud’ waarvan het beheer aan een provider is uitbesteed. Maar bij het reageren op het incident moet men weten of het om persoonlijke gegevens gaat en of de toezichthouder moet worden geïnformeerd.”

“En plotseling blijkt dan dat de twee met elkaar verbonden zijn. In plaats van dat je twee aparte cyber- en privacy functies hebt die reageren op een inbreuk, is het veel logischer om één geïntegreerde functie te hebben met gespecialiseerde vaardigheden in het beheren van het proces zodat er niets over het hoofd wordt gezien.”

Beheer van digitaal risico in de supply chain en bij derden

De samenhang tussen cyber security en privacy heeft ook zijn invloed op het beheer van risico’s van derden. De AVG eist onder meer dat ondernemingen garanties krijgen van leveranciers die in hun opdracht data verwerken.

“Het ligt voor de hand om cyber security rond het risicobeheer door derden te combineren met privacy controles”, zegt Harris. “Het enige wat je moet doen, is gelijktijdig naar beide aspecten kijken. Dat lijkt simpel en eigenlijk is het dat ook. En toch gebeurt het nog te weinig. Cyber securityteams en privacy teams werken nog vaak langs elkaar heen.”

Met een ‘one-stop-beheer’ van de risico’s rond de inzet van derden voorkom je dat je dezelfde inspanningen twee keer moet leveren. Dat maakt het allemaal veel efficiënter. Een ander voordeel is dat een gezamenlijk begrip ontstaat over digitaal risico.

Terug naar inhoudsopgave

Pluspunten van een integrale aanpak van digitaal risico

Een integrale aanpak van digitaal risico levert ondernemingen diverse voordelen op.

Ten eerste maakt het bij ondernemingen een professionele en beheersbare digitale transformatie mogelijk. Dit komt onder meer door de aandacht voor een integrale naleving van regelgeving en een integrale gegevensclassificatie.

Ten tweede zorgt een integrale aanpak van digitaal risico voor een vergroting van het risicobewustzijn bij ondernemingen. Dit komt doordat niet alleen naar de interne digitale risico’s wordt gekeken maar ook naar die in de supply chain en bij andere externe partijen met wie wordt samengewerkt.

Ten derde is een geïntegreerde digitale risicofunctie beter in staat om nieuwe digitale technologieën te evalueren. We zien dat ondernemingen nieuwe technologie inzetten om effectiever te zijn. Een goed voorbeeld daarvan is blockchain. Dat betekent dat zij hun bescherming van data en cyber security parallel daaraan moeten verbeteren.

“Een enkele digitale risicofunctie helpt ondernemingen bij hun digitale transformatie. Bijvoorbeeld doordat bij de beoordeling van leveranciers ook wordt gekeken naar hun digitale risicoprofiel”, zegt James Arthur, partner en Head of Cyber consulting bij Grant Thornton UK. “Met een enkele digitale risicofunctie die actief cyber security en privacy-risico’s onderzoekt, is dit een stuk makkelijker.”

“Het is noodzakelijk dat risicoteams betrokken worden bij het risicobeheer, liefst in een zo vroeg mogelijk stadium. Elke database kan het doelwit worden van criminelen”, zegt Michel Besner, General Manager van Catallaxy, een blockchain-dochterbedrijf van Raymond Chabot Grant Thornton. “Risicoteams kunnen zorgen voor de juiste governance-structuren voor het implementeren, beheren en ondersteunen van blockchain. Doe je dit vanaf het begin dan voorkom je problemen en het risico van inbraken in je database."

Benoem een Chief Digital Risk Officer en een bestuurscommissie

De integrale aanpak van digitaal risico levert de beste resultaten op weten we bij Grant Thornton. Maar wie moet binnen een onderneming toezicht houden en wie moet het beheer uitvoeren? Bij veel ondernemingen bestaat onduidelijkheid over deze vragen. Er is verwarring over de eindverantwoordelijkheid. Dit schaadt het beheer van digitaal risico.

Grant Thornton heeft dit bij ondernemingen onderzocht. Ondernemingen geven aan dat er een gebrek aan duidelijkheid is over welke personen en teams verantwoordelijk zijn voor welke risico’s. Ze melden dat dit hun ‘op-een-na-grootste’ kwetsbaarheid is.

Wat kunnen ondernemers hieraan doen?

Allereerst moet men bepalen wie het dagelijkse beheer van digitaal risico op zich neemt. Wij zien dat de meeste ondernemingen dit toewijzen aan de Chief Risk Officer of de Chief Technology Officer. Beide functies zijn hiervoor eigenlijk niet toegerust. In de visie van Grant Thornton berust effectief beheer van digitaal risico op meer dan alleen technologie. U leest hierover meer in het artikel ‘Digitaal risico. Technologie is geen wondermiddel’. Een Chief Risk Officer rapporteert op een meer algemeen risiconiveau: strategisch, financieel en operationeel. Geen van beide functies dekt dus de lading.

Een oplossing kan zijn om een nieuwe functie in het leven te roepen: de Chief Digital Risk Officer. “Steeds meer ondernemingen benoemen een Chief Digital Risk Officer die eindverantwoordelijk is voor het beheersbaar houden van digitaal risico”, zegt Arthur. “En dit is ook waar deze verantwoordelijkheid thuishoort. Maar bij de meeste ondernemingen is men nog niet zo ver.”

Zodra het dagelijkse digitaal risicobeheer geregeld is, is het belangrijk te bepalen wie toezicht houdt. De grote impact van digitaal risico en de grote schade die het gevolg is als er iets mis gaat, betekenen dat het bestuur van een onderneming actief betrokken moet zijn bij digitaal risico. Op eenzelfde manier als dat met financieel risico het geval is.

Alhoewel een bestuur toezicht moet houden, ontbreekt wellicht de expertise om digitale dreigingen echt te doorgronden. Het bestuur kan een eigen digitaal-risico-commissie met experts in het leven roepen die toezicht houdt op digitale risico.

“Het toezicht op digitaal risico hoort thuis op bestuursniveau”, zegt Christos Makedonas, Technology risk leader bij Grant Thornton Cyprus. “Daarnaast moet er een bestuurscommissie met experts zijn waar digitaal risico wordt besproken.”

“Het beheersbaar houden van digitaal risico is complex en heeft veel kanten. Daarom moet een beroep worden gedaan op de deskundigheid van specialisten. Dat zien we op dit moment vooral bij grote ondernemingen die onder toezicht staan en gereguleerd worden, voornamelijk in de financiële sector

In drie stappen naar integraal beheer van digitaal risico

Breng de bescherming van data en cyber security onder in één functie voor het beheer van digitaal risico. Het digitaal risico-team dient één governance-model te hebben en te werken met uniforme processen, doelen en werkwijzen, die de commerciële doelen van de onderneming ondersteunen en daarmee verbonden zijn.
Stel vast wie er verantwoordelijk is voor het beheren van digitaal risico en wie toezicht houdt op digitaal risico. Breng hun activiteiten en dagelijkse workflow in kaart. En stel vast of er overlap is. Identificeer synergiën en schrap dubbele processen.
Zorg dat digitaal risico-processen end-to-end beheerd worden. Cyber security en bescherming van data moeten altijd in combinatie beoordeeld worden. Bij de classificatie van data moet men met beide rekening houden.

[i] Linklaters, Global cyber-incidents soar by 63% in the last three years - January 2019.

[ii] Eur-Lex - General Data Protection Act.

[iii] Information Commissioner’s Office - Data protection by design and default.

Hoe versterk ik mijn digitale risicobeheersing?

Het aantal ondernemingen dat digitale gegevens van klanten inzet om effectiever te ondernemen, groeit in gestaag tempo. De keerzijde is dat digitale gegevens een aantrekkelijk doelwit vormen voor cyber criminelen. Daardoor ontstaan voor ondernemingen nieuwe risico’s en combinaties van risico’s die tot voor kort niet bestonden.

Uit ons International Business Report (IBR) blijkt dat ondernemers zich richten op het beperken van privacyrisico's. Dat is geen verrassing, gezien de aandacht die er is voor de beperking van privacyrisico's van (persoons)gegevens. Echter, de kans op cyberdreigingen blijft toenemen.

Maar waar begint u? Download ons rapport 'Defining digital risk' met onze bevindingen en aanbevelingen voor het versterken van uw digitale risicobeheersing.

Download het rapport