Zowel bedrijven als overheidsorganisaties zijn in toenemende mate het slachtoffer van hackers die ongeoorloofd toegang proberen te krijgen tot opgeslagen data.
In de Verenigde Staten wordt 2016 al betiteld als een recordjaar, met 1.100 geregistreerde datalekken, een toename van veertig procent ten opzichte van het voor afgaande jaar. Hacks kosten bedrijven niet alleen geld, maar vaak is ook sprake van een beschadigd imago, met alle gevolgen van dien.
De reactie op de groeiende bedreiging bestaat voor een belangrijk deel uit extra en aangescherpte wet- en regelgeving. Voorbeelden van de toenemende regulering zijn GDPR, 2 Basel III, Solvency II en de Meldplicht datalekken. Terwijl organisaties de noodzaak van regelgeving vaak wel inzien, zien ze een extra kostenpost ontstaan die niet meer verdwijnt en in de loop van de tijd vermoedelijk alleen maar zal toenemen.
Geen wonder dat de associatie met dataprotectie en dataprivacy een negatieve is. Extra kosten en ook nog eens afgedwongen. Echter, datasecurity en dataprivacy hoeven niet alleen een kostenpost te zijn. Een korte verkenning laat zien dat er ook goed geld mee te verdienen valt.
Bedrijfstak
De wereld van hackers en databreaches is inmiddels een bedrijfstak geworden. Het beeld van de geniale hacker die toegang probeert te krijgen tot systemen ‘alleen om te proberen of het kan’ is even romantisch als onrealistisch. Met buitgemaakte data kan grof geld worden verdiend. Geen wonder dat de aanpak ook steeds professioneler is geworden zoals regelmatig uit berichtgeving blijkt.
Tabel 1 geeft een overzicht van een aantal van de grotere databreaches. Niet alleen online organisaties zijn slachtoffer. JP Morgan Chase, Target, UPS en Home Depot zijn willekeurige andere voorbeelden van organisaties waar data werden weggesluisd.
GDPR
In veel gevallen zijn databreaches gericht op persoonsgegevens. Geen wonder daarom dat er verschillende initiatieven zijn ontwikkeld om juist dit soort databreaches te voorkomen. Een voorbeeld hiervan is GDPR, de Europese wetgeving die aangeeft hoe organisaties moeten omgaan met de gegevens van ‘data subjects’. Het voorkomen van databreaches (en het melden daarvan als het is voorgekomen) is slechts één aspect. Daarnaast wordt ook aangegeven hoe organisaties (‘controllers’ en ‘processors’ ) met de aan hen toevertrouwde data moeten omgaan.
Het gaat hierbij onder andere om het volgende:
- Organisaties mogen alleen data op slaan die noodzakelijk is.
- Zodra data niet meer nodig is, moeten de data worden verwijderd.
- Personen moeten toestemming (’consent’) geven voor bepaalde toepassingen.
- Alle data kunnen alleen worden opgeslagen en gebruikt als daar een ‘legal ground’ voor bestaat.
- Het moet mogelijk zijn om op verzoek alle data over een betreffende persoon te verwijderen (‘right to be forgotten’ en het ‘right to erasure’).
Hoe kun je er beter van worden? Naast alle verplichtingen die op organisaties afkomen, zijn er tegelijkertijd ook verschillende manieren waarop organisaties kunnen profiteren van de investeringen die ze moeten doen in datasecurity en -privacy teneinde compliant te zijn.
Directe voordelen
Lessons learned van de SOX6 -wetgeving in de VS laten zien dat organisaties vanaf jaar twee (na de invoering van SOX) de volgende voordelen hadden gerealiseerd:
- versterking van de beheeromgeving;
- verbeterde documentatie;
- meer betrokkenheid van het audit committee;
- combineren inspanningen verschillende compliance-vereisten;
- standaardiseren processen;
- verminderen complexiteit;
- versterking verbanden binnen de ’extended enterprise’;
- vermindering menselijke fouten;
- hogere datakwaliteit.
Uit een evaluatie van verschillende studies die zijn gedaan naar de effecten van SOX blijkt dat de wetgeving met grote waarschijnlijkheid heeft geleid tot een betere en meer betrouwbare financiële rapportage.
Indirecte voordelen
Behalve de directe voordelen die datasecurity en -privacy opleveren (alleen geoorloofde toegang tot de data en toegestaan gebruik van data in processen), is er ook een reeks indirecte voordelen te noemen.
1. Betere informatiehuishouding
Het verminderen van de complexiteit, door het elimineren van redundante informatiesystemen, het reduceren van processtappen en samenvoegen van platformen, leidt tot een verbeterde datakwaliteit. Hetzelfde geldt voor het versterken van het beheer (standaardiseren en consolideren van processen, bredere verantwoordelijkheid voor controls en het elimineren van overbodige controls en het automatiseren van handmatige taken). Het zal duidelijk zijn dat een betere, gereguleerde informatie huishouding leidt tot lagere kosten van beheer, verandering, et cetera en een verminderd risico van inconsistentie, inbraak, enzovoorts.
2. Omgaan met databreaches
In een gereguleerde omgeving worden inbraakpogingen eerder gesignaleerd en is de aard van de inbraak ook eerder bekend. Dat betekent dat organisaties sneller de juiste actie kunnen inzetten. Het negatieve effect van een databreach is daardoor ook geringer vergeleken met een inbraak in een ongereguleerde omgeving. Mogelijke effecten van een (geslaagde) databreach zijn imagoverlies en (indirect) verlies aan inkomsten, doordat (potentiële) klanten zich van de organisatie afkeren. Uit een KPMG-studie blijkt dat 19 procent van de bezoekers van een retail-organisatie waar een hack heeft plaatsgevonden stopt om daar te shoppen, zelfs nadat gepaste maatregelen zijn genomen om dit voortaan te voorkomen. Daarnaast geeft 33 procent van de ondervraagden aan gedurende een periode van drie maanden niet meer te shoppen bij de getroffen retailer.
3. Analytics – meer en betere inzichten
Een consistente en geïntegreerde dataset betekent niet alleen lagere kosten, maar vormt ook een vruchtbare basis voor analytics. De integratie van data is (deels) al vanwege dataprivacy-vereisten gerealiseerd. Dit leidt tot een snellere en goedkopere analyse van gegevens. Deze data kan op verschillende manieren en vanuit verschillende gezichtspunten worden gebruikt.
Voorbeelden hiervan zijn:
- bepalen van klantsegmenten die significant meer besteden dan gemiddeld;
- berekenen van de waarde die klanten vertegenwoordigen (lifetime value);
- bepalen van het tijdstip waarop machines onderhoud moeten krijgen (predictive asset maintenance);
- berekenen van de waarschijnlijkheid dat klanten de organisatie gaan verlaten (churn analysis);
- vaststellen hoe klanten de organisatie en haar producten zien en waarderen (sentiment analysis);
- bestrijden van fraude door detectie van ongewone handelingen en transacties;
- identificeren van factoren die bepalen of iemand vatbaar is voor bepaalde ziekten.
Het aantal toepassingen is legio. Dit veronderstelt wel de aanwezigheid van kwalitatief (voldoende) goede data die, ongeacht hoe en waar deze is opgeslagen, in de analyse kan worden betrokken. Implementatie van wetten zoals SOX of GDPR legt hiervoor een solide basis.
4. Dataprivacy als USP
De investering in bescherming van persoonsgegevens kan organisaties ook voordeel opleveren. Hierbij worden dataprivacy en -security als assets gezien – en niet als een belasting. Zo heeft een Europese telecomonderneming de in 2016 geïntroduceerde GDPR-wetgeving aangegrepen om zich te positioneren als ‘data privacy champion’. Wellicht vanuit de oprechte overtuiging dat dataprivacy in alle landen van de Europese Unie goed geregeld moet zijn, maar misschien ook vanuit het via analytics verkregen inzicht dat daarmee geld is te verdienen.
Bedrijven die goed zorgen voor de persoonlijke gegevens van hun klanten boezemen eerder vertrouwen in. Ze gaan integer om met klantgegevens en doen niets zonder eerst een duidelijke uitleg te geven aan hun klanten. De GDPR schrijft voor dat klanten uitdrukkelijk en expliciet hun toestemming (consent) moeten geven voordat hun gegevens in bijvoorbeeld een marketingcampagne of ‘profiling’ mogen worden meegenomen.
Uit analyse van historische gegevens waarover de bovengenoemde Europese telco beschikt, blijkt dat klanten die worden meegenomen in marketingcampagnes een beduidend hoger bedrag besteden vergeleken met klanten die geen onderdeel zijn van de campagne. Het is dus belangrijk om zoveel mogelijk consents te verzamelen. En positionering als data privacy champion helpt daarbij. Het is een duidelijk praktijkvoorbeeld dat aantoont hoe dataprivacy ook additionele omzet kan opleveren.
Tot slot
Een waarschuwing is op zijn plaats. Organisaties die ervan overtuigd zijn dat beveiliging en privacy alleen tot kosten leiden, hebben gelijk. Wie overtuigd is dat het alleen maar om kosten gaat, zoekt immers niet verder, waardoor de verwachting zichzelf realiseert. Dat geldt niet voor organisaties die van mening zijn dat je dankzij regelgeving ook geld kunt verdienen. Die groep gaat namelijk actief op zoek naar interessante marktkansen. Wie zoekt, zal vinden.
Conclusie
Datasecurity en dataprivacy staan volop in de belangstelling. Door de verknoping van organisaties (‘extended enterprise’) en het internet is het aantal bedreigingen en daadwerkelijke hacks en databreaches toegenomen. De reactie in de vorm van extra, dwingende regelgeving zoals GDPR wordt door veel bedrijven als een extra belasting en kostenpost gezien.
De medaille heeft echter ook een andere kant. Het implementeren van de voorschriften leidt tot een betere informatiehuishouding met lagere kosten en gereduceerde risico’s. De ervaring met SOX toont aan dat de kwaliteit van de data door het doorvoeren van de voorschriften is toegenomen. Geïntegreerde data van goede kwaliteit biedt ook een uitstekende basis voor analytics, leidend tot verbeterde en nieuwe inzichten.