Dossier ICT & Datamanagement | nieuwe regels stellen branche voor uitdaging
ICT is de backbone van een bedrijf en bedrijven bezitten meer klantdata dan ooit. Maar die datarijkdom kent ook een keerzijde: wie zijn data niet goed beveiligt, opslaat en verwerkt, loopt grote risico’s. Op 25 mei 2018 treedt namelijk de GDPR in werking, die de Europese databeschermingsrichtlijn uit 1995 en de Nederlandse Wet bescherming persoonsgegevens (wbp) vervangt. Wie niet aan de eisen voldoet, riskeert een boete die kan oplopen tot maximaal 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet, indien deze hoger is. Singewald sprak op de Automotive ICT Day over de General Data Protection Regulation (GDPR), in het Nederlands vertaald naar de Algemene verordening gegevensbescherming (avg). De automotive it’ers in de zaal kregen een stoomcursus wat wel en niet mag met persoonsgegevens. Volgens Singewald is de autobranche al goed op weg: zo’n 60 procent van wat in de GDPR staat, is volgens hem gelijk aan wat al verplicht is in de wbp. Binnen een bedrijf moet bijvoorbeeld een verwerkingsverantwoordelijke worden benoemd, richtlijnen voor de processen van verwerking van persoonsgegevens moeten worden opgesteld, medewerkers moeten worden voorgelicht en er moet worden gecontroleerd of medewerkers die regels ook naleven. Of in mei 2018 alles 100 procent is geregeld is in de branche? “Vast niet, maar dat verwacht ik voor geen enkele branche.”
Bel-me-niet
Hoewel alle ogen nu op 25 mei zijn gericht, komt er volgens Singewald een nog veel belangrijkere verordening aan. “Er wordt in Brussel gewerkt aan de e-privacywet, een Europese verordening die voorschrijft hoe we cookies in mogen zetten, e-mail commercieel mogen gebruiken en of we ongevraagd mensen mogen bellen. Het ‘bel-me-niet-register’ wordt naar verwachting nog strenger, waardoor je zelfs bestaande klanten niet meer zou mogen bellen voor een commercieel doel. Er is ook sprake van een dreigend verbod op b2b-bellen. Het verschil tussen de twee verordeningen is: GDPR schrijft voor hoe je persoonsgegevens mag opslaan, beveiligen en bewerken, de e-privacy verordening gaat over het gebruik van die persoonsgegevens om een commerciële boodschap te sturen.
Dataportabiliteit
We leven en werken in een digitale wereld, waarin het normaal is geworden om te whatsappen met bedrijven en waar de hoeveelheid ‘likes’ op social media belangrijker lijkt dan je regionale naamsbekendheid. Ook de auto speelt steeds vaker in op het berijdersgedrag. De auto wordt onderdeel van je digital life, bijvoorbeeld door diensten onderweg aan te bieden. Volgens experts gaan zelfrijdende auto’s zo’n 4 terabytes (4.000 gigabytes) per dag aan data genereren. Auto’s stoten niet alleen veel data uit, connected cars, of dat nou via een dongel is of een 4g-modem in de auto, leggen ook informatie vast over de activiteiten van de bestuurder. “We kunnen een bibliotheek vullen met de gegevens die we hebben over onze klanten, maar mogen we over twee jaar een klant nog wel telefonisch benaderen als zijn auto toe is aan vervanging? En het gebruik van social media, dat is ook een vorm van gegevensverwerking. Het is afwachten waar daar mee gebeurt. Ik maak me vooral zorgen over dataportabiliteit.” Volgens die dataportabiliteit zijn bedrijven verplicht om persoonsgegevens van hun klanten, als zij daar om vragen, door te geven aan andere bedrijven. “Zo kan, hypothetisch gezien, een onafhankelijk autobedrijf aan de klantgegevens van de merkdealer komen. Met medewerking van de klant, bijvoorbeeld in ruil voor een tientje korting op de werkplaatsfactuur”, aldus Singewald.
Datalek
Hoewel het doel van de GDPR is om persoonsgegevens veilig te stellen, lopen bedrijven die dat niet doen ook nog eens meer risico op een datalek, of om gehackt te worden. “Wat je niet hebt, kun je ook niet lekken”, stelt Singewald. Zijn advies is dan ook: ruim op. Dankzij de komst van de GDPR is er volgens Marc de Jong Luneau, commercieel directeur van het ict-beveiligingsbedrijf Northwave, meer aandacht voor informatiebeveiliging. “Ik vind het opvallend dat er wetten en boetes nodig zijn om ondernemers aan te sporen om beveiliging serieuzer te nemen. Behalve een boete lopen bedrijven namelijk meer risico’s”, stelt De Jong Luneau. “Fouten in je beveiliging zijn namelijk de toegangspoort voor hackers. Elk incident leidt tot schade en productiviteitsverlies, of er nu wel of geen datalek was in de zin van de wet.”
E-mail is een wapen
De kennis over informatiebeveiliging is in kleinere organisaties volgens De Jong Luneau vaak beperkt. “Het bewustzijn bij het personeel is bijvoorbeeld vaak erg laag. Uit onderzoek blijkt dat bijna de helft van de medewerkers te verleiden is tot het openen van een mail met onvriendelijke bedoelingen.” Beveiliging is volgens hem gelaagdheid aanbrengen. “Stap 1 is medewerkers te laten weten dat een e-mail een makkelijk wapen is van hackers.” Bedrijven doen er goed aan om advies in te winnen, zegt hij. “Natuurlijk, dat kost geld. Bedrijven moeten beslissen of zij het waard vinden om te betalen om de risico’s van een datalek of cyberaanval te verkleinen.
Als je eenmaal gehackt bent, lopen de kosten snel op. En elk jaar heb je als bedrijf 25 procent kans op een serieuze cyberaanval.”
Ook al is bij een bedrijf alles geregeld volgens de GDPR, een datalek kan altijd optreden. Maar als je aan kunt tonen dat je er alles aan hebt gedaan om het te voorkomen, blijft je de boete bespaard. “De GDPR schrijft voor: privacy by design. Uitgangspunt is dataprotectie”, vertelt De Jong Luneau. “Tegenwoordig bouwt iedereen apps om klanten te servicen. Dat gebeurt in rap tempo. Vaak is er weinig oog de beveiliging. Terwijl dat wel de verantwoordelijkheid is van degene die de app uitbrengt. In berijder-apps bijvoorbeeld zit ontzettend veel interessante data. Persoonsgegevens zijn erg waardevol voor hackers. Een profiel dat uit een berijdersapp gehaald kan worden, levert al gauw een paar dollar op.” Het verbaast hem dan ook hoe vaak directies nog de andere kant op kijken. “Ik kom nog altijd bestuurders tegen van grote ondernemingen die denken: wat valt er bij mij nou te halen? Het inschatten van het risico is een ondernemersbeslissing. De bedrijfscontinuïteit staat op het spel. Als bestuurder ben je verantwoordelijk voor die beslissing. Deze juridische druk is tastbaar genoeg om ze wakker te schudden.”
Knuffel de hacker
Edwin van Andel, ’s lands bekendste hacker, introduceerde op de Automotive ICT Day op 31 oktober de knuffelhacker. Hij vindt namelijk dat hackers onterecht een veel te slecht imago hebben. “En we dragen geen bivakmuts achter de computer”, stelt hij met een knipoog naar alle media die hackers afbeelden als nachtdieven. “Hackers maken geen gaten in je systemen, ze vinden juist gaten die er al zijn.” Toch is dat slechte imago niet helemaal onterecht: slechts 5 procent van de hackers wil bedrijven helpen door ze te wijzen op hun zwakke plekken. Van die overige 95 procent is 30 procent spionage, 15 procent is hacktivisme, waarbij bijvoorbeeld de inhoud van een site wordt vervangen door een politieke boodschap, 10 procent zijn scriptkiddies, mensen (vaak pubers) die zich misdragen op het internet, en 40 procent hackt om daar vervolgens geld voor te vragen. Die laatste groep, de hackers die data gijzelen in ruil voor geld, wil Van Andel aanpakken. Dat kan volgens hem door juist hackers in te zetten die je wijzen op je hackbaarheid, voordat de criminele hackers dat doen. Net als Marc de Jong Luneau wijst hij naar bedrijven die zo snel mogelijk een nieuwe app of dienst online uitbrengen. “Alles gaat om snelheid. Pas later wordt er nagedacht over de veiligheid en mogelijke updates ervan. Dat zijn zwakke plekken en via die ingangen kunnen enorme hacks gepleegd worden.”
ICT Day: meer aandacht voor systemen
De impact van ict op de bedrijfsvoering is groot; zowel door de steeds hoger wordende eisen van consumenten, als door de uitgebreidere mogelijkheden van de ict-systemen zelf en de veelheid aan kanalen die data vergaren. Daarom organiseerde Automotive op 31 oktober 2017 een speciale ICT Day, in Innstyle in Maarssen. “Mede dankzij de connected car komt er veel meer data beschikbaar voor autobedrijven en de uitdaging om die data op een goede manier op te slaan voor verwerking, wordt daarmee ook groter”, vertelde spreker en salesmanager Hein Balesar van informatieleverancier RDC tijdens het evenement. “Daarnaast worden interne processen ook complexer: een dealer met een schadebedrijf en leasingactiviteiten, kan één klant op drie plekken tegenkomen. Maar er wordt nog te vaak met drie aparte databases gewerkt die niet met elkaar communiceren. Je moet toe naar een overkoepelend datawarehouse. ICT moet in de organisatie een centrale rol krijgen en een plek in de directie.” Ook de sponsoren van het evenement constateren dat ict-management hoger op de agenda moet. “Over het algemeen is ict een ondergeschoven kindje”, zegt Derksen bijvoorbeeld in het videoverslag van het evenement. “Het is belangrijk om er iemand verantwoordelijk voor maken. De toenemende complexiteit vraagt om een goede strategie en een serieus budget om in ict te investeren.” Ed Fhijnbeen, projectmanager bij Carwise ICT, ziet dat ook de beveiliging van data vaak onderbelicht is. “Het is zaak om de updates van de softwareleveranciers te volgen en ervoor te zorgen dat je op de hoogte bent van de lifecycle van de producten die je gebruikt. De grootste valkuil is het gebrek aan kennis.” Bedrijven beseffen de noodzaak wel, weet Balesar. “Uit onderzoek dat wij hebben gedaan blijkt dat 80 procent van de autobedrijven vindt dat het bedrijf datadriven moet worden; maar 70 procent zegt niet bezig te zijn met het futureproof maken van de data. Er is dus nog wel een wereld te winnen.”