E-commerce op basis van minimaal gebruik van data biedt kansen voor kostenverlaging. Het maakt dat bedrijven structureel kunnen besparen op hun cybersecurity kosten, minder risico lopen op reputatieschade en op een groter digitaal vertrouwen van hun klanten mogen rekenen, schrijven Vincent Jansen, Leon Kluiters en Constantijn Molengraaf.
De voordelen van het verzamelen en delen van persoonsgegevens voor e-commerce bedrijven zijn evident. Doordat zij met data hun klanten beter van dienst kunnen zijn – bijvoorbeeld door het verbeteren van het gebruikersgemak – kan de omzet verder groeien. Echter, het verzamelen van persoonsgegevens heeft ook een prijs. Het beveiligen van deze gegevens is een groeiende kostenpost.
Desondanks lijken bedrijven de status quo in stand te houden door niet actief op zoek te gaan naar alternatieven die dezelfde functionaliteiten bieden, zonder dat zij daarvoor persoonsgegevens hoeven te verzamelen. Het gebrek aan ontwikkeling en gebruik van deze alternatieven is opmerkelijk, des te meer omdat er een passend alternatief binnen handbereik is, namelijk: near-zero knowledge (NZK), waarbij e-commerce minimaal gebruik maakt van persoonsgegevens.
Wij zijn ervan overtuigd dat NZK e-commerce bedrijven een structurele kostenbesparing op het gebied van informatiebeveiliging kan opleveren, reputatieschade als gevolg van een datalek minimaliseert en het digitaal vertrouwen vergroot. Tegelijkertijd kunnen deze bedrijven de gebruikerservaring en omzet potentie van vandaag behouden.
Datalekken
In 2013, resulteerde een cyberaanval op het Amerikaanse warenhuis Target tot het verlies van de creditcard- en persoonsgegevens van 110 miljoen consumenten (Global Trade magazine, 2020). Een recenter voorbeeld is het grootse datalek ooit in Nederland van eerder dit jaar, waarbij de persoonsgegevens van 3,6 miljoen Nederlandse en Belgische klanten van e-commerce bedrijf Allekabels op straat kwam liggen (Heliview, 2021).
Er zijn verschillende verklaringen (bijvoorbeeld gebrekkige beveiliging, slecht management of naïviteit) waarom juist Target en Allekabels slachtoffer werden van een cyberaanval. De belangrijkste reden is echter dat, omdat deze bedrijven persoonsgegevens verzamelen, ze een interessant doelwit zijn voor cybercriminelen. Gestolen bankgegevens worden via het Dark Web verkocht voor ongeveer 50 euro per account en een Gmail account levert al snel meer dan 130 euro op (Dark Web Price Index, 2020).
Target en Allekabels zijn niet de enige bedrijven zijn die persoonsgegevens opslaan van hun klanten. Het is een kwestie van tijd voordat de volgende datalek plaatsvindt.
Vrijwel alle e-commerce bedrijven, groot of klein, verzamelen persoonsgegevens (zie Figuur 1). Zij doen dat om diverse e-commerce functies te kunnen leveren en de risico’s die inherent zijn aan e-commerce te kunnen managen. Bijvoorbeeld: NAW-gegevens worden gebruikt om verzendingen te verwerken; betaalgegevens worden gebruikt om betalingen van bestaande klanten te versimpelen; en de geboortedatum van een klant wordt gebruikt om een cadeautje te sturen.
Daarnaast gebruiken zij persoonsgegevens om klantprofielen te bouwen voor marketing doeleinden, voor het aanbieden van diverse diensten, en voor het beheren van risico’s op het gebied van fraude en betaling.
Figuur 1: Persoonsgegevens worden verzameld om verschillende e-commerce functies te leveren.
Bovendien werken e-commerce bedrijven vaak met veel verschillende partners en leveranciers. En dat maakt dat persoonsgegevens vaak gedeeld en gekopieerd worden. Een voorbeeld is Bol.com, dat in principe persoonsgegevens kan delen met een heel netwerk van derde partijen (zie Figuur 2).
Figuur 2: Persoonsgegevens worden gedeeld met anderen (bol.com, 2021)
Informatiebeveiliging verhoogt de kosten van zakendoen
Hoewel de voordelen van het opslaan en delen van persoonsgegevens evident zijn, is het beschermen van diezelfde persoonsgegevens één van de belangrijkste oorzaken van de groeiende kosten die e-commerce bedrijven maken voor digitale beveiliging. Per slot van rekening kunnen bedrijven die persoonlijke gegevens verliezen als gevolg van een hack of datalek, reputatieschade oplopen en zwaar beboet worden door de regulerende instanties. Zo voorziet de GDPR in de EU in de mogelijkheid boetes op te leggen tot 4 procent van de wereldwijde omzet (IT Governance).
Een groeiende e-commerce markt, zowel in aantal bedrijven als in de omzet per bedrijf (zie Figuur 3), verhoogt zowel het risico op reputatieschade als de hoogte van de boete als geheel in de sector. Daarnaast maakt deze groei de e-commerce markt als geheel een aantrekkelijker doelwit voor cybercriminelen.
Figuur 3: De e-commerce markt groeit (e-commercenews, Thuiswinkel.org).
De informatiebeveiligingsmarkt laat dan ook een sterke groei zien. Dit geldt voor zowel de kosten gerelateerd aan datalekken en cybercriminaliteit, als voor de uitgaven die organisaties doen aan cybersecurity (Figuur 4).
Figuur 4: De markt voor cybersecurity groeit (Upguard 2021, Cybersecurity Ventures 2020).
Aangezien het huidige e-commerce systeem het verzamelen van persoonsgegevens stimuleert, lijken bedrijven niet in staat om de risico’s en kosten die hiermee gepaard gaan structureel te verlagen. Er wordt niet tot nauwelijks gebruik gemaakt van alternatieven die de verzameling van persoonsgegevens minimaliseren en omdat e-commerce bedrijven deze status quo niet uitdagen door op zoek te gaan naar oplossingen, worden er geen nieuwe alternatieven ontwikkeld.
Het alternatief: near-zero knowledge e-commerce
Wij geloven in de paradigmaverschuiving naar NZK e-commerce. Deze volstrekt nieuwe wijze van denken en werken die gebaseerd is op het verzamelen van veel minder persoonsgegevens verlaagt de beveiligingskosten drastisch maar biedt wel dezelfde voordelen voor klanten en bedrijven als voorheen. Bij NZK e-commerce verschuift het verzamelen en delen van persoonsgegevens van e-commerce bedrijven naar gespecialiseerde derde partijen, zogenaamde ‘identity serviceproviders’, die de digitale identiteiten van klanten beheren.
In het geval van NZK e-commerce, heeft ieder bedrijf in het e-commerce ecosysteem alleen toegang tot die data die nodig is voor het verlenen van zijn dienst. Dit zou als volgt kunnen werken: op verzoek van de klant maakt de identity serviceprovider een token die kan worden gebruikt in het e-commerce systeem. Deze token stelt e-commerce bedrijven en andere dienstverleners in staat om een klant te herkennen, zodat zij de benodigde persoonsgegevens voor hun dienstverlening op kunnen vragen bij de identity serviceprovider. Bedrijven maken uitsluitend gebruik van deze data voor het verlenen van de gevraagde dienst.
In bovenstaand scenario hoeft alleen de identity serviceprovider de persoonsgegevens te beveiligen en op te slaan, en dat resulteert in structureel lagere informatiebeveiligings-kosten voor e-commerce bedrijven en hun dienstverleners. Daarnaast neemt het digitaal vertrouwen van de klant in de e-commerce bedrijven toe omdat minder data gedeeld wordt, waardoor de klant minder risico loopt.
De identity serviceprovider zou een kleine, gespecialiseerde partij kunnen zijn, maar deze rol zou ook vervuld kunnen worden door de grote e-commerce bedrijven. In Nederland doet bijvoorbeeld Bol.com dit al deels door klanten de mogelijkheid te geven hun Bol.com inloggegevens te gebruiken om in te loggen bij de webwinkels van Albert Heijn en Waardijk.
De ingrediënten voor het ontwikkelen voor soortgelijke oplossingen zijn al wijdverbreid. Draag bij aan het verschuiven van het paradigma en sluit je bij ons aan om samen de mogelijkheden van NZK e-commerce verder te verkennen onder het motto: the less you know, the more you grow…
Door Vincent Jansen, partner (LinkedIn), Leon Kluiters, business analist (LinkedIn), en Constantijn Molengraaf, business analist (LinkedIn) bij INNOPAY.
