SOX en GDPR zijn ook moneymakers

0

Zowel bedrijven als overheidsorganisaties zijn in toenemende mate het slachtoffer van hac­kers die ongeoorloofd toegang proberen te krijgen tot opgeslagen data.

In de Verenigde Staten wordt 2016 al be­titeld als een recordjaar, met 1.100 geregistreerde datalekken, een toename van veertig procent ten opzichte van het voor­ afgaande jaar. Hacks kosten bedrijven niet alleen geld, maar vaak is ook sprake van een beschadigd imago, met alle gevolgen van dien.

De reactie op de groeiende bedreiging bestaat voor een belangrijk deel uit extra en aangescherpte wet- en regelgeving. Voorbeelden van de toenemende regulering zijn GDPR, 2 Basel III, Solvency II en de Meldplicht datalekken. Terwijl organisaties de noodzaak van regelgeving vaak wel inzien, zien ze een extra kostenpost ontstaan die niet meer verdwijnt en in de loop van de tijd vermoedelijk alleen maar zal toenemen.

Geen wonder dat de associatie met dataprotectie en dataprivacy een negatieve is. Extra kosten en ook nog eens afgedwongen. Echter, datasecurity en dataprivacy hoeven niet alleen een kostenpost te zijn. Een korte verkenning laat zien dat er ook goed geld mee te verdienen valt.

Bedrijfstak

De wereld van hackers en databreaches is inmiddels een bedrijfstak geworden. Het beeld van de geniale hacker die toegang probeert te krijgen tot syste­men ‘alleen om te proberen of het kan’ is even romantisch als onrealistisch. Met buitgemaakte data kan grof geld worden verdiend. Geen wonder dat de aanpak ook steeds professioneler is geworden zoals regelmatig uit bericht­geving blijkt.

Tabel 1 geeft een overzicht van een aantal van de grotere databreaches. Niet alleen online organisaties zijn slachtof­fer. JP Morgan Chase, Target, UPS en Home Depot zijn willekeurige andere voorbeelden van organisaties waar data werden weggesluisd.

GDPR

In veel gevallen zijn databreaches gericht op persoonsgegevens. Geen wonder daarom dat er verschillende initiatieven zijn ontwikkeld om juist dit soort databreaches te voorkomen. Een voorbeeld hiervan is GDPR, de Euro­pese wetgeving die aangeeft hoe organi­saties moeten omgaan met de gegevens van ‘data subjects’. Het voorkomen van databreaches (en het melden daarvan als het is voorgekomen) is slechts één aspect. Daarnaast wordt ook aangegeven hoe organisaties (‘controllers’ en ‘pro­cessors’ ) met de aan hen toevertrouwde data moeten omgaan.

Het gaat hierbij onder andere om het volgende:

  • Organisaties mogen alleen data op­ slaan die noodzakelijk is.
  • Zodra data niet meer nodig is, moeten de data worden verwijderd.
  • Personen moeten toestemming (’consent’) geven voor bepaalde toepassingen.
  • Alle data kunnen alleen worden opge­slagen en gebruikt als daar een ‘legal ground’ voor bestaat.
  • Het moet mogelijk zijn om op verzoek alle data over een betreffende persoon te verwijderen (‘right to be forgotten’ en het ‘right to erasure’).

Hoe kun je er beter van worden? Naast alle verplichtingen die op organisaties afkomen, zijn er tegelijkertijd ook ver­schillende manieren waarop organisaties kunnen profiteren van de investeringen die ze moeten doen in datasecurity en -privacy teneinde compliant te zijn.

Directe voordelen

Lessons learned van de SOX6 -wetgeving in de VS laten zien dat organisaties vanaf jaar twee (na de invoering van SOX) de volgende voordelen hadden gerealiseerd:

  • versterking van de beheeromgeving;
  • verbeterde documentatie;
  • meer betrokkenheid van het audit committee;
  • combineren inspanningen verschillende compliance-vereisten;
  • standaardiseren processen;
  • verminderen complexiteit;
  • versterking verbanden binnen de ’extended enterprise’;
  • vermindering menselijke fouten;
  • hogere datakwaliteit.

Uit een evaluatie van verschillende studies die zijn gedaan naar de effecten van SOX blijkt dat de wetgeving met grote waarschijnlijkheid heeft geleid tot een betere en meer betrouwbare financiële rapportage.

Indirecte voordelen

Behalve de directe voordelen die datasecu­rity en -privacy opleveren (alleen geoor­loofde toegang tot de data en toegestaan gebruik van data in processen), is er ook een reeks indirecte voordelen te noemen.

1. Betere informatiehuishouding

Het verminderen van de complexi­teit, door het elimineren van redundante informatiesystemen, het reduceren van processtappen en samenvoegen van platformen, leidt tot een verbeterde datakwaliteit. Hetzelfde geldt voor het versterken van het beheer (standaardi­seren en consolideren van processen, bredere verantwoordelijkheid voor controls en het elimineren van overbo­dige controls en het automatiseren van handmatige taken). Het zal duidelijk zijn dat een betere, gereguleerde informatie­ huishouding leidt tot lagere kosten van beheer, verandering, et cetera en een verminderd risico van inconsistentie, inbraak, enzovoorts.

2. Omgaan met databreaches

In een gereguleerde omgeving worden inbraakpogingen eerder gesig­naleerd en is de aard van de inbraak ook eerder bekend. Dat betekent dat organisaties sneller de juiste actie kun­nen inzetten. Het negatieve effect van een databreach is daardoor ook geringer vergeleken met een inbraak in een onge­reguleerde omgeving. Mogelijke effec­ten van een (geslaagde) databreach zijn imagoverlies en (indirect) verlies aan inkomsten, doordat (potentiële) klanten zich van de organisatie afkeren. Uit een KPMG-studie blijkt dat 19 procent van de bezoekers van een retail-organisatie waar een hack heeft plaatsgevonden stopt om daar te shoppen, zelfs nadat gepaste maatregelen zijn genomen om dit voortaan te voorkomen. Daarnaast geeft 33 procent van de ondervraagden aan gedurende een periode van drie maanden niet meer te shoppen bij de getroffen retailer.

3. Analytics – meer en betere inzichten

Een consistente en geïntegreerde data­set betekent niet alleen lagere kosten, maar vormt ook een vruchtbare basis voor analytics. De integratie van data is (deels) al vanwege dataprivacy-ver­eisten gerealiseerd. Dit leidt tot een snellere en goedkopere analyse van gegevens. Deze data kan op verschil­lende manieren en vanuit verschillende gezichtspunten worden gebruikt.
Voorbeelden hiervan zijn:

  • bepalen van klantsegmenten die signi­ficant meer besteden dan gemiddeld;
  • berekenen van de waarde die klanten vertegenwoordigen (lifetime value);
  • bepalen van het tijdstip waarop machines onderhoud moeten krijgen (predictive asset maintenance);
  • berekenen van de waarschijnlijkheid dat klanten de organisatie gaan verla­ten (churn analysis);
  • vaststellen hoe klanten de organisatie en haar producten zien en waarderen (sentiment analysis);
  • bestrijden van fraude door detectie van ongewone handelingen en transacties;
  • identificeren van factoren die bepalen of iemand vatbaar is voor bepaalde ziekten.

Het aantal toepassingen is legio. Dit veronderstelt wel de aanwezigheid van kwalitatief (voldoende) goede data die, ongeacht hoe en waar deze is opgesla­gen, in de analyse kan worden betrokken. Implementatie van wetten zoals SOX of GDPR legt hiervoor een solide basis.

4. Dataprivacy als USP

De investering in bescherming van persoonsgegevens kan organisaties ook voordeel opleveren. Hierbij worden dataprivacy en -security als assets ge­zien – en niet als een belasting. Zo heeft een Europese telecomonderneming de in 2016 geïntroduceerde GDPR-wetgeving aangegrepen om zich te positioneren als ‘data privacy champion’. Wellicht vanuit de oprechte overtuiging dat dataprivacy in alle landen van de Europese Unie goed geregeld moet zijn, maar misschien ook vanuit het via analytics verkregen inzicht dat daarmee geld is te verdie­nen.

Bedrijven die goed zorgen voor de persoonlijke gegevens van hun klanten boezemen eerder vertrouwen in. Ze gaan integer om met klantgegevens en doen niets zonder eerst een duidelijke uitleg te geven aan hun klanten. De GDPR schrijft voor dat klanten uitdrukkelijk en expliciet hun toestemming (consent) moeten geven voordat hun gegevens in bijvoorbeeld een marketingcampagne of ‘profiling’ mogen worden meegenomen.

Uit analyse van historische gegevens waarover de bovengenoemde Europese telco beschikt, blijkt dat klanten die worden meegenomen in marketingcam­pagnes een beduidend hoger bedrag be­steden vergeleken met klanten die geen onderdeel zijn van de campagne. Het is dus belangrijk om zoveel mogelijk con­sents te verzamelen. En positionering als data privacy champion helpt daarbij. Het is een duidelijk praktijkvoorbeeld dat aantoont hoe dataprivacy ook additio­nele omzet kan opleveren.

Tot slot

Een waarschuwing is op zijn plaats. Organisaties die ervan overtuigd zijn dat beveiliging en privacy alleen tot kosten leiden, hebben gelijk. Wie overtuigd is dat het alleen maar om kosten gaat, zoekt immers niet verder, waardoor de verwachting zichzelf realiseert. Dat geldt niet voor organisaties die van mening zijn dat je dankzij regelgeving ook geld kunt verdienen. Die groep gaat namelijk actief op zoek naar interessante marktkansen. Wie zoekt, zal vinden.

Conclusie

Datasecurity en dataprivacy staan volop in de belangstelling. Door de verknoping van organisaties (‘extended enterprise’) en het internet is het aantal bedreigingen en daadwerkelijke hacks en databreaches toegenomen. De reactie in de vorm van extra, dwingende regelgeving zoals GDPR wordt door veel bedrijven als een extra belasting en kostenpost gezien.

De medaille heeft echter ook een andere kant. Het implementeren van de voorschriften leidt tot een betere informatiehuishouding met lagere kosten en gereduceerde risico’s. De ervaring met SOX toont aan dat de kwaliteit van de data door het doorvoeren van de voorschriften is toegenomen. Ge­ïntegreerde data van goede kwaliteit biedt ook een uitstekende basis voor analytics, leidend tot verbeterde en nieuwe inzichten.