Ik ben toch niet lek?

Of het nu het zoveelste datalek is of het zoveelste onderzoeksrapport, elke dag is er nieuws over cyber security en privacy. Veel van dat nieuws is ‘meer van hetzelfde’; oud nieuws dus eigenlijk. Hoe kan dat? Lezen we de aanbevelingen van de experts niet? Leren we niet van andermans fouten?

Cyber security en privacy

“Klantgegevens zijn het nieuwe goud” en “cybercrime is de meest lucratieve misdaad met de laagste pakkans”. Voeg deze twee veelgehoorde stellingen samen en iedereen begrijpt dat de bescherming van de privacy van klanten in korte tijd uiterst belangrijk is geworden en de reputatie van elke retailer kan maken of breken.

Grote retailers kennen elke aankoop en elke muisklik van hun klanten. Ze profilen hun klanten, kunnen trends voorspellen en verleiden hun klanten met op maat gesneden aanbiedingen, die ze “niet mogen missen”. Er mag veel en dus zijn er veel kansen, maar er zijn ook strenge spelregels vastgelegd in de wet bescherming persoonsgegevens (WBP). Deze wet wordt in mei volgend jaar vervangen door de nog strengere Europese Algemene Verordening Gegevensverwerking (AVG), of in het Engels: General Data Protection Regulation (GDPR).

Wat zijn persoonsgegevens?

De wet (WBP) stelt:  “Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare persoon. Een persoon is identificeerbaar indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden”. Toestemming van de consument is nodig om persoonsgegevens te verzamelen en de gegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verzameld, de zogenaamde doelbinding. Het doorverkopen van persoonsgegevens zonder toestemming van de klant is dus verboden.

Cross- en up-selling

De mogelijkheden van het verzamelen en ‘tot nut maken’ van persoonlijke klantgegevens zijn weliswaar niet onbegrensd maar angst is een slechte raadgever. Op maat aangeboden cross- en up-selling zijn echt niet verboden. Koop ik een paar fietsschoenen, dan wil ik daar wellicht ook sokken bij, of een abonnement op een wielerblad, of de kalender van de plaatselijke wielerclub bekijken. Maar ik wil niet lezen welke fietskleding mijn buurman gisteren heeft besteld. Dat tast namelijk zijn privacy aan en datzelfde zal, na mijn aankoop, dus ook voor mijn eigen privacy gelden. De grens in dit voorbeeld is duidelijk maar er zijn uiteraard ook vele voorbeelden die grijzer zijn.

Digitaal goud

Al die klantgegevens zijn dus goud waard en goud moet je veilig opslaan, ook als het ‘digitaal goud’ is. Dat is helaas eenvoudiger gezegd dan gedaan. Zoals gezegd is cybercrime zeer lucratief en dus beschikken de cybercriminelen over veel geld en kennis. Een 100% waterdichte beveiliging bestaat niet en zelfs de Amerikaanse NSA kan worden gehackt. Maar met een aantal basismaatregelen maak je het de cybercriminelen in ieder geval niet makkelijk om binnen te komen en gegevens te stelen en blijf je uit het nieuws.

Vertrouwen komt te voet en gaat te paard

Als echter blijkt dat een retailer slordig omgaat met de persoonlijke informatie van zijn klanten en krant of tv haalt met (weer) een datalek, dan is het vertrouwen van de consument snel weg en lopen klanten eenvoudig over naar één van de vele (online) concurrenten. Wie wil er immers zaken doen met een bedrijf dat niet zorgvuldig met klantgegevens omgaat?

Weinig meldingen bij de AP

Sinds 1 januari 2016 geldt de meldplicht datalekken en is elk bedrijf en elke instelling in Nederland verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens (AP). In hun cijfers over 2016 wordt de retail-sector niet met naam genoemd, wat doet vermoeden dat retail onder de 10% overig valt.

Dat lijkt echter erg weinig gezien de omvang van de sector en de vele kantendata die in de sector omgaat. Elke Nederlander is immers geregistreerd klant van vele winkels maar lang niet elke Nederlander komt elk jaar in evenzoveel instellingen in de gezondheidszorg. Toch heeft de gezondheidszorg veel meer meldingen bij de AP gedaan (29% van het totaal). Dit kan inhouden dat er ofwel eerder wordt gemeld vanuit de gezondheidszorg ofwel dat dat informatiebeveiliging in de gezondheidszorg minder goed op orde is. Dat laatste lijkt onwaarschijnlijk gezien de jarenlange aandacht voor privacy en informatiebeveiliging in de zorg en de verplichting om informatiebeveiliging in te richten conform de NEN 7510 norm. Ook in de financiële sector heeft het toezicht van De Nederlandse Bank (DNB) ertoe geleid dat informatiebeveiliging al lang dagelijkse kost is voor eenieder die in de financiële sector werkzaam is.

Geen goede informatiebeveiliging

Er is nog nauwelijks aandacht (geweest) voor privacy en informatiebeveiliging in de retail sector. De koplopers als Bol.com, CoolBlue en Wehkamp hebben de beveiliging van hun webshops en dataopslag echt wel goed op orde, want voor deze bedrijven is dat inmiddels van levensbelang.

Maar voor het peloton is privacybescherming bij klantenbinding en informatiebeveiliging van bijvoorbeeld een nieuw kanaal als de webshop nog relatief nieuw. Nieuwe kansen die kunnen bijdragen aan groei en dus vooral rendabel moeten zijn om de marges niet verder onder druk te zetten. Grote investeringen in technische oplossingen zijn ongewenst. Maar zijn die wel nodig om te voldoen aan wet- en regelgeving? En andersom: wanneer geldt ‘goedkoop is duurkoop’?

Passende maatregelen

De wet (WBP) stelt dat “de verantwoordelijke passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking …. rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging … en gelet op de risico's …”.

De wet verplicht dus niet tot investeringen die ten koste gaan van de concurrentiepositie of zelfs tot een faillissement zouden kunnen leiden. De wet verplicht wel tot het uitvoeren van goed ondernemerschap waarbij de privacy en de rechten van de consument voorop staan. Pareto’s 80/20-regel is ook hierbij vaak goed toepasbaar: met 20% van de kosten, 80% van de risico’s mitigeren. Van ‘risico’s lopen’ naar ‘risico’s nemen’, zoals het hoort bij gezond ondernemerschap.

Wilt u graag nog meer weten over cyber security? Lees dan de artikelen in het magazine BDO Scope.



Tags: