WISP-naleving: Waarom elke belastingprofessional in 2026 een schriftelijk informatiebeveiligingsplan nodig heeft

14 min leestijdMike ThriftMike Thrift
WISP-naleving: Waarom elke belastingprofessional in 2026 een schriftelijk informatiebeveiligingsplan nodig heeft

Hier is een ongemakkelijk feit: als u het afgelopen seizoen ook maar één belastingaangifte voor een betalende klant hebt voorbereid en u geen schriftelijk informatiebeveiligingsplan (Written Information Security Plan of WISP) in uw dossier hebt, bent u technisch gezien in overtreding met de federale wetgeving. De Federal Trade Commission (FTC) kan u boetes opleggen tot $ 46.517 per overtreding per dag. De IRS kan uw PTIN intrekken. En uw beroepsaansprakelijkheidsverzekeraar kan een claim na een datalek afwijzen door te wijzen op het ontbrekende document.

De meeste belastingadviseurs en boekhouders hebben de afkorting "WISP" wel eens gehoord, maar behandelen het als het probleem van iemand anders — het soort ding waar grote kantoren met compliance-officers zich zorgen over maken. Die aanname is ongeveer vijf jaar verouderd. De gewijzigde FTC Safeguards Rule, die sinds juni 2023 volledig van kracht is, heeft solo-adviseurs, kleine CPA-praktijken en boekhoudkantoren rechtstreeks in hetzelfde regelgevingsregime getrokken dat geldt voor lokale banken. Elke betaalde belastingadviseur die een PTIN aanvraagt of verlengt, moet nu op Formulier W-12 Regel 11 verklaren dat hij zijn verplichtingen op het gebied van gegevensbeveiliging begrijpt.

Deze gids bespreekt wat een WISP eigenlijk is, de negen elementen die de FTC en IRS verwachten te zien, de technische controles die zijn verschoven van "best practice" naar "verplicht", en hoe u een plan bouwt dat standhoudt bij een echte audit in plaats van er alleen maar mooi uit te zien in een map.

De twee wetten die u hier hebben gebracht

Twee overlappende regelgevingstrajecten komen op hetzelfde resultaat uit: u heeft een schriftelijk plan nodig.

Gramm-Leach-Bliley Act (GLBA) en de FTC Safeguards Rule. Het Congres nam de GLBA in 1999 aan om te regelen hoe financiële instellingen omgaan met klantgegevens. De uitvoeringsregeling van de FTC — de Safeguards Rule (16 CFR Part 314) — definieert "financiële instelling" breed genoeg om elk bedrijf te omvatten dat "significant betrokken" is bij financiële activiteiten. De FTC stelt al lang dat belastingvoorbereiding, boekhouding en soortgelijke diensten hieronder vallen. De regel werd in december 2021 aanzienlijk gewijzigd, en de nieuwe technische vereisten (MFA, encryptie, gekwalificeerd persoon, schriftelijk programma) zijn op 9 juni 2023 volledig van kracht geworden.

IRS-publicatie 4557 en de PTIN-verklaring. Sectie 7216 en Sectie 6713 van de Internal Revenue Code legden al boetes op voor het ongeoorloofd openbaar maken van informatie uit belastingaangiften. De IRS voegde daar Publicatie 4557 ("Safeguarding Taxpayer Data") en Publicatie 5708 ("Creating a Written Information Security Plan for Your Tax & Accounting Practice") aan toe als praktische routekaart. De PTIN-verlengingscyclus van 2024 voegde een verplicht selectievakje toe: belastingadviseurs moeten hun WISP-naleving bevestigen op Formulier W-12 Regel 11. Liegen op die regel is een probleem op zich.

Het netto-effect: een eenmanszaak in een klein kantoorpand wordt aan dezelfde basisnormen gehouden als een regionaal accountantskantoor. De regel schaalt de controles naar uw omvang en complexiteit, maar de verplichting om een schriftelijk plan te hebben is binair — u heeft het wel of u heeft het niet.

Wie er werkelijk een moet hebben

U heeft een WISP nodig als u:

  • Federale belastingaangiften voorbereidt tegen vergoeding (inclusief incidenteel nevenwerk voor een betalende klant)
  • In het bezit bent van een PTIN, EFIN, of een geautoriseerde IRS e-File Provider bent
  • Boekhoudkundige, loonadministratie- of accountantsdiensten verleent waarbij financiële informatie van klanten betrokken is
  • Werkzaam bent als virtuele CFO, interim controller of externe accountant
  • Een Registered Investment Advisor (RIA), hypotheekadviseur, wisselkantoor of een andere onder de GLBA vallende entiteit exploiteert

Volume doet er niet toe. De regel geeft u geen vrijstelling omdat u minder dan X aangiften voorbereidt of minder dan Y aan honoraria verdient. Een solo Enrolled Agent die twintig aangiften per jaar voorbereidt, valt onder precies dezelfde regels als een kantoor met 200 personen — beiden moeten een schriftelijk, actueel en ondertekend plan hebben.

Er bestaat een beperkte vrijstelling in de Safeguards Rule voor instellingen die klantgegevens van minder dan 5.000 consumenten bijhouden, wat een handvol documentatie-eisen versoepelt (schriftelijke risicobeoordeling, incidentresponsplan, jaarverslag aan het bestuur). Maar de kernverplichting — het aanwijzen van een gekwalificeerd persoon, het implementeren van waarborgen en het hebben van een schriftelijk programma — geldt ongeacht de omvang.

De negen elementen die uw WISP moet bevatten

De gewijzigde Safeguards Rule specificeert negen vereiste componenten. Uw WISP hoeft niet exact deze koppen te gebruiken, maar elk van hen moet ergens in het document worden behandeld. Het sjabloon in IRS-publicatie 5708 volgt dezelfde structuur.

1. Wijs een gekwalificeerd persoon aan

U moet formeel één persoon benoemen die verantwoordelijk is voor het toezicht op het informatiebeveiligingsprogramma. Voor een solo-adviseur bent u dat zelf. Voor een kantoor is het meestal de beherend vennoot, een IT-verantwoordelijke of — in toenemende mate — een externe vCISO. De gekwalificeerde persoon hoeft geen beveiligingsexpert te zijn, maar moet wel de bevoegdheid hebben om beslissingen te nemen en te rapporteren aan de eigenaar of het bestuur.

Documenteer de aanstelling schriftelijk. Vermeld de startdatum, de reikwijdte van de bevoegdheden en de rapportagelijn.

2. Voer een schriftelijke risicobeoordeling uit

Identificeer welke klantinformatie u verzamelt, waar deze wordt opgeslagen, wie er toegang tot heeft en wat er mis kan gaan. De beoordeling moet schriftelijk zijn en periodiek worden bijgewerkt — ten minste jaarlijks en telkens wanneer uw omgeving wezenlijk verandert (nieuwe software, nieuw personeel, nieuw kantoor, datalek).

Minimale dekking:

  • Gegevensinventarisatie: Burgerservicenummers (BSN), geboortedata, financiële rekeningnummers, kopieën van W-2's en 1099's, bankafschriften, aangiften van voorgaande jaren, EIN-gegevens, K-1's
  • Opslaglocaties: databases van belastingsoftware, back-ups in de cloud, e-mailbijlagen, klantportalen, papieren dossiers, mobiele apparaten, USB-sticks
  • Dreigingsscenario's: phishing, ransomware, verloren laptop, kwaadwillende werknemer, inbreuk bij leverancier, fysieke inbraak
  • Waarschijnlijkheid en impact: rangschik elk scenario zodat uw beveiligingsmaatregelen proportioneel kunnen zijn

3. Ontwerp en implementeer beveiligingsmaatregelen

Dit is de kern van het WISP (schriftelijk informatiebeveiligingsplan). De Rule verwacht specifieke technische en administratieve controles, waarvan er verschillende niet langer optioneel zijn:

  • Toegangscontroles: beperk de toegang tot klantgegevens op basis van 'need-to-know'; trek de toegang onmiddellijk in wanneer een werknemer vertrekt
  • Versleuteling bij opslag en tijdens verzending: AES-256 (of gelijkwaardig) op alle apparaten, harde schijven, back-ups en verwisselbare media; TLS 1.2 of hoger voor gegevens in beweging; volledige schijfversleuteling op elke laptop en elk werkstation
  • Meerfactorauthenticatie (MFA): vereist voor iedereen die toegang heeft tot klantinformatie vanuit elk systeem — belastingsoftware, e-filing portalen, cloudopslag, e-mail, tools voor toegang op afstand. MFA via alleen sms wordt uitgefaseerd; gebruik waar mogelijk authenticator-apps of hardwarematige beveiligingssleutels
  • Veilige ontwikkeling en configuratie: als u software bouwt of aanpast, pas dan standaarden voor veilig programmeren toe; installeer patches volgens een vastgesteld schema
  • Inventarisatie en verwijdering: volg apparaten en vernietig media op een veilige manier (versnipperd of gewist volgens NIST 800-88-normen)
  • Wijzigingsbeheer: documenteer en accordeer wijzigingen aan systemen die klantgegevens verwerken

4. Controleer en test beveiligingsmaatregelen regelmatig

U moet verifiëren of de controles daadwerkelijk werken. De Rule biedt twee acceptabele paden:

  • Continue monitoring: tools zoals SIEM, EDR of managed detection-and-response diensten die verdachte activiteiten loggen en signaleren
  • Jaarlijkse penetratietesten plus halfjaarlijkse kwetsbaarheidsbeoordelingen: traditionele tests door derden als u geen continue monitoring heeft ingericht

Voor een zelfstandig adviseur kan "continue monitoring" een correct geconfigureerd product voor eindpuntbeveiliging betekenen dat waarschuwt bij afwijkingen. Voor een groter kantoor wordt verwacht dat u een externe testdienst inschakelt.

5. Train uw medewerkers

Jaarlijkse training op het gebied van beveiligingsbewustzijn is verplicht voor alle personeelsleden met toegang tot klantgegevens — inclusief aannemers en seizoensgebonden medewerkers. Onderwerpen moeten phishing-herkenning, wachtwoordhygiëne, apparaatbeveiliging, social engineering en incidentrapportage omvatten.

Houd presentielijsten bij. "Ik heb het ze verteld tijdens een teamvergadering" telt niet.

6. Houd toezicht op dienstverleners

Elke leverancier met toegang tot klantgegevens — belastingsoftware, cloudopslag, documentbeheer, IT-ondersteuning, loonadministratie, e-handtekeningtools, zelfs uw archiefvernietigingsbedrijf — moet:

  • Geselecteerd zijn met gepaste zorgvuldigheid (due diligence) ten aanzien van hun beveiligingspraktijken
  • Gebonden zijn aan een schriftelijk contract dat passende beveiligingsmaatregelen vereist
  • Periodiek opnieuw worden beoordeeld (meestal jaarlijks)

Vraag leveranciers om een SOC 2 Type II-rapport of gelijkwaardig. Het contract moet een clausule voor de melding van datalekken bevatten met een vastgestelde tijdlijn — de meeste kantoren vereisen een melding binnen 72 uur na ontdekking.

7. Houd het programma actueel

Evalueer en pas de WISP aan wanneer het dreigingslandschap verschuift of uw bedrijfsvoering verandert. Nieuw kantoor? Nieuwe software? Een kleine praktijk overgenomen? Werk het plan bij.

8. Stel een schriftelijk incidentresponsplan op

Het plan moet het volgende omvatten:

  • Interne escalatie: wie wordt op de hoogte gesteld van het incident, in welke volgorde
  • Beheersing en herstel: wie stopt de schade
  • Externe kennisgeving: klanten, procureurs-generaal van staten, de FTC en de IRS
  • Documentatie: bewaar logs, bewijsmateriaal en een tijdlijn
  • Geleerde lessen: evaluatie achteraf met gedocumenteerde corrigerende acties

De IRS verwacht dat belastingadviseurs diefstal van gegevens binnen 24 uur na ontdekking melden via de IRS Stakeholder Liaison en de Federation of Tax Administrators. Onder de wijzigingen in de Safeguards Rule die van kracht worden op 13 mei 2024, moet u de FTC ook uiterlijk 30 dagen na ontdekking op de hoogte stellen van elk beveiligingsincident dat 500 of meer consumenten treft — die melding is openbaar.

9. Rapporteer aan het bestuur (of de eigenaar)

De gekwalificeerde persoon moet ten minste jaarlijks een schriftelijk rapport indienen bij de raad van bestuur of, voor kleinere kantoren, bij de verantwoordelijke leidinggevende. Het rapport behandelt de algemene staat van het programma, de resultaten van risicobeoordelingen, belangrijke gebeurtenissen gedurende het jaar en eventuele aanbevolen wijzigingen.

Alleenwerkende adviseur? U schrijft het aan uzelf, ondertekent het en stopt het in het dossier. Ja, echt waar.

Boekhoudkundige registers: Het vergeten bewijsstuk voor naleving

Als er ooit een toezichthouder of auditor langskomt, is documentatie het eerste waar ze om vragen. Uw WISP zegt dat u het personeel in maart heeft getraind, een externe leverancier voor een penetratietest in juli hebt betaald, een werkstation in september hebt vervangen en uw cyberverzekering in november hebt verlengd — en u hebt kwitanties, facturen en grootboekmutaties nodig om elk van die beweringen te onderbouwen. Praktijken die beveiligingsuitgaven behandelen als een overige post op een creditcardafschrift, komen uiteindelijk in de problemen.

Stel een duidelijke segmentatie van het rekeningschema in voor beveiligingsgerelateerde kosten (training, software, audits, verzekering, hardware), zodat u op aanvraag een zuiver jaaroverzicht kunt genereren. Dezelfde plain-text records die uw accountant tevredenstellen tijdens de belastingperiode, worden uw bewijsdossier wanneer de FTC vraagt hoe u uw plan operationeel hebt gemaakt.

De technische controles waar mensen over struikelen

Twee vereisten zijn in de praktijk verantwoordelijk voor de meerderheid van de WISP-fouten.

Multi-factor authenticatie, overal. De Regel staat MFA "waar handig" niet toe. Het is van toepassing op iedereen die toegang heeft tot klantgegevens vanuit elk systeem. Dat geldt ook voor uw belastingsoftware, uw e-file portaal, uw cliëntenportaal, uw e-mail (die bijlagen met belastinggegevens bevat), cloudopslag, boekhoudsoftware en alle tools voor toegang op afstand. De IRS geeft sterk de voorkeur aan authenticator-apps of hardware tokens boven sms, wat kwetsbaar is voor sim-swap-aanvallen.

Een snelle zelfcontrole: log uit bij elke zakelijke applicatie die u gebruikt. Probeer opnieuw in te loggen. Als een van deze applicaties alleen een wachtwoord vereist, heeft u een tekortkoming geconstateerd.

Versleuteling van gegevens in rust. Volledige schijfversleuteling is vereist op elk apparaat waarop klantgegevens worden opgeslagen — inclusief de persoonlijke laptop die uw seizoensmedewerker meeneemt naar het thuiskantoor. BitLocker op Windows Pro en FileVault op macOS voldoen aan de vereiste mits correct geconfigureerd. Versleutel back-ups, USB-sticks en alle draagbare media. Versleutel e-mail wanneer deze klantgegevens bevat (een cliëntenportaal is meestal een betere oplossing dan versleutelde e-mail).

De andere veelgebruikte controle die vaak wordt gemist, is het toezicht op leveranciers. Veel kantoren hebben een SOC 2-rapport van hun belastingsoftwareleverancier, maar geen contract of beoordeling voor de specialistische cloudopslagtool waarvoor ze zich vorig jaar hebben aangemeld, de e-handtekening plug-in die ze hebben getest, of de IT-aannemer die over administrator-inloggegevens beschikt. Stel een leveranciersinventaris op en werk deze jaarlijks bij.

Wat er gebeurt als het misgaat

De sancties zijn niet theoretisch:

  • Civielrechtelijke boetes van de FTC tot $46.517 per overtreding per dag onder de gewijzigde Safeguards Rule
  • Boetes voor het niet melden van incidenten die in gepubliceerde zaken zijn opgelopen tot $500.000
  • PTIN-schorsing of intrekking door de IRS, wat effectief een einde maakt aan uw mogelijkheid om aangiften op te stellen
  • Acties van de procureur-generaal van de staat onder de wetten voor melding van datalekken (die in alle 50 staten bestaan)
  • Particuliere rechtszaken van getroffen cliënten, met wettelijke schadevergoedingen in sommige staten
  • Afwijzing van verzekeringsclaims wanneer een beroepsaansprakelijkheids- of cyberpolis claims uitsluit die voortvloeien uit niet-naleving
  • Reputatieschade, wat voor een belastingpraktijk vaak betekent dat binnen twaalf maanden een aanzienlijk deel van het klantenbestand verloren gaat

De IRS is expliciet geweest dat een ontbrekend WISP wordt behandeld als bewijs van een bredere tekortkoming in de naleving, en niet als een administratief probleem.

Een realistisch stappenplan voor een verdedigbaar WISP

Van nul naar een verdedigbaar plan gaan is een project van vier tot zes weken voor een solistische belastingadviseur en een inspanning van meerdere maanden voor een groter kantoor. Een realistische volgorde:

Week 1: Inventarisatie. Maak een lijst van elk systeem dat in aanraking komt met klantgegevens, elke werknemer of aannemer met toegang, elke leverancier in de gegevensketen en elk apparaat dat u bezit. Dit is uw basismateriaal.

Week 2: Risicobeoordeling. Loop door aannemelijke dreigingen tegen de inventaris. Scoor elk scenario. Identificeer uw top vijf blootstellingen.

Week 3: Gap-analyse. Vergelijk uw huidige controles met de negen vereiste elementen. Noteer elke gap. De grootste gaps voor kleine kantoren zijn doorgaans de MFA-dekking, leverancierscontracten en procedures voor incidentrespons.

Week 4: Remediëring. Schakel overal MFA in. Voer volledige schijfversleuteling in op elk apparaat. Teken schriftelijke overeenkomsten met belangrijke leveranciers. Plan trainingen. Documenteer alles.

Week 5: Schrijf het WISP. Gebruik het IRS Publication 5708-sjabloon als startpunt en pas het grondig aan — een gekopieerd plan is erger dan geen plan, omdat het kwade trouw aantoont. Laat de gekwalificeerde persoon het ondertekenen.

Week 6 (en jaarlijks): Testen, trainen, rapporteren. Voer een tabletop-oefening uit voor uw incidentresponsplan. Geef jaarlijkse trainingen. Genereer het jaarverslag voor de eigenaren. Plan de volgende beoordeling.

Stel agendaherinneringen in voor de jaarlijkse cyclus. De meest voorkomende fout bij naleving is niet het initiële WISP — het is het kantoor dat er in 2023 een schreef en er daarna nooit meer naar omkeek.

Enkele veelvoorkomende misvattingen

"Mijn belastingsoftware is SOC 2-gecertificeerd, dus ik ben gedekt." Nee. De naleving van de softwareleverancier dekt hun omgeving, niet de uwe. U heeft nog steeds een WISP nodig voor alles wat u buiten hun platform doet — e-mail, lokale bestanden, uw kantoornetwerk.

"Ik werk vanuit huis, dus de regels zijn anders." Dat zijn ze niet. Een praktijk aan huis heeft dezelfde WISP-verplichtingen als een kantoor. De controles zijn vaak zelfs lastiger omdat de grens tussen persoonlijke en zakelijke systemen vervaagt.

"Ik besteed de boekhouding uit aan een offshore team, dus zij regelen de beveiliging." Zij zijn uw leverancier onder de Regel. U bent verantwoordelijk voor het beoordelen van hen, het contracteren met hen en het toezicht houden op hun controles.

"Ik heb een cyberverzekering, dus ik ben beschermd." De meeste cyberpolissen vereisen tegenwoordig een WISP als voorwaarde voor dekking. Het lezen van de kleine lettertjes na een lek is een slecht moment om hierachter te komen.

Houd uw financiën georganiseerd vanaf de eerste dag

Een verdedigbaar WISP is gebouwd op documentatie — en dat geldt ook voor een verdedigbare boekhouding. Of u nu de abonnementen op beveiligingssoftware, trainingsfacturen en auditkosten bijhoudt die bewijzen dat uw nalevingsprogramma echt is, of simpelweg de boekhoudkundige gegevens bijhoudt die uw eigen klanten u toevertrouwen, plain-text accounting biedt u iets wat black-box software niet kan: volledige transparantie, versiebeheer en een audit trail die u daadwerkelijk zelf bezit. Beancount.io biedt plain-text accounting die transparant is, versiebeheerd en klaar voor AI — geen vendor lock-in, geen ondoorzichtige exports. Ga gratis aan de slag en ontdek waarom ontwikkelaars en financiële professionals overstappen op plain-text accounting.