Bij wendbaar ondernemen hoort het inzichtelijk krijgen van wensen en behoeften van de klant. Hierbij worden vaak gevoelige gegevens verzameld, die een beveiligingsrisico met zich meebrengen, legt Berend Tel uit. Hij is eigenaar van Axxemble, een bedrijf dat software biedt om de beveiliging op orde te krijgen.
Welke beveiligingsrisico’s lopen or-ganisaties bij het verzamelen van klantgegevens?
“Elke organisatie die gegevens verzamelt en verwerkt, is verantwoordelijk voor die gegevens. Wanneer deze misbruikt worden, wordt de organisatie verantwoordelijk gehouden. Dat kan imagoschade of een rechtszaak opleveren.
Organisaties die met een dergelijke zaak negatief in het nieuws komen, merken vaak een flinke dip in de omzet. Aan eigen bedrijfsgegevens kunnen eveneens risico’s kleven. Als strategische gegevens, of informatie over ontwikkeling van nieuwe producten, worden gelekt door eigen personeel, via hackers of een zoekgeraakte usb-stick, kan dat grote verliezen betekenen.”
Zijn organisaties zich voldoende bewust van de risico’s?
“Uit meerdere onderzoeken blijkt dit niet het geval te zijn. Slechts 10 à 20 procent meldt bewust maatregelen genomen te hebben tegen datalekken. Door de Wet meldplicht datalekken moeten organisaties melding maken bij een datalek.
Helaas werkt dit soms averechts: bedrijven zijn bang voor de mogelijke publiciteit die een melding momenteel genereert. Daarom wordt soms de afweging gemaakt: moeten we het melden en ons indekken, of houden we het onder de radar om negatieve publiciteit te vermijden? Dit is een groot risico wanneer dit later alsnog tot problemen leidt, iets wat organisaties nooit zouden moeten nemen.”
Hoe kunnen ondernemingen de informatiebeveiliging op orde krijgen?
“Organisaties moeten zich afvragen: welke informatie hebben we en welke waarde heeft het? Welke risico’s lopen we en hoe kunnen we die kosteneffectief verminderen? Bedrijven kijken doorgaans liever naar positieve doelstellingen in plaats van maatregelen om problemen te voorkomen.
Raar eigenlijk, je beschermt je immers wel tegen een normale inbraak, waarom dan niet tegen een digitale inbraak? Waarom de deur op slot doen maar niet de computer? Het is wellicht iets complexer, maar het principe blijft hetzelfde.”
Hoe bieden jullie ondersteuning op het gebied van informatiebeveiliging?
“Wij richten ons vooral op organisaties in het mkb. Deze organisaties kennen vaak een overzichtelijke structuur: onder andere sales, marketing, klanten-service en een financiële afdeling, waar allerhande gegevens worden verzameld. Ons raamwerk biedt concrete ondersteuning waarmee men leert omgaan met (klant-)gegevens en de bijbehorende risico’s.
We proberen bij organisaties common sense te ontwikkelen: bewustwording onder medewerkers, computers die na korte tijd op slot gaan, back-ups, etc. Ook bieden we de mogelijkheid voor controles op autorisaties. Dit alles wordt automatisch vastgelegd en daar kunnen bedrijven op teruggrijpen, mocht er toch iets misgaan.”
Organisaties zouden na implementatie van de beveiliging met jullie software klaar zijn voor certificering of audits. Wat houdt dat precies in?
“ISO27001 is een beveiligingsstandaard die wij toepassen waardoor men voldoet aan deze norm. Sommige klanten willen deze certificering, bijvoorbeeld omdat de markt hierom vraagt. In de zorg is een andere standaard wettelijk verplicht gesteld, de NEN7510, vergelijkbaar met ISO27001.
In mei 2018 wordt daarnaast een nieuwe wet van kracht, de AVG, die strenger zal zijn dan de huidige Wet bescherming persoonsgegevens. De trend is duidelijk: controles nemen toe en er worden steeds meer boetes uitgedeeld. Het vrijblijvende karakter voor beveiliging van gegevens is er echt af.”