Ik heb een vraag! neem contact op
De digitale revolutie is in volle gang. Het aantal ondernemingen dat digitale gegevens van klanten inzet om effectiever te ondernemen, groeit in gestaag tempo. Ondernemingen gebruiken data om aanbiedingen nauwkeurig af te stemmen op de wensen van individuele klanten. Ze gebruiken ook data voor het monitoren van medewerkers en voor het verbeteren van de samenwerking met leveranciers. En zo zijn er tal van andere toepassingen waardoor digitale gegevens ondernemingen helpen om succesvoller te zijn.
Maar er is een keerzijde. Digitale gegevens vormen een aantrekkelijk doelwit voor cyber criminelen. Daardoor ontstaan voor ondernemingen nieuwe risico’s en combinaties van risico’s die tot voor kort niet bestonden. Cyber security oftewel het beschermen van digitale systemen is al langer een punt van aandacht bij ondernemingen. Maar daar komt nu de bescherming bij van de digitale gegevensbestanden. Onvoldoende aandacht voor dit soort risico’s kan leiden tot diefstal van klantgegevens en tot schendingen van de privacy van klanten, medewerkers en leveranciers. Via de media bereiken ons daarover regelmatig berichten.
Ondernemingen ervaren dat zulke incidenten geld kosten. Dat komt onder andere door de invoering van de Algemene verordening gegevensbescherming (AVG) en andere internationale regels rond de privacy en de bescherming van klantgegevens. Het is daarom volstrekt begrijpelijk dat de bescherming van digitale klantdata steeds meer aandacht krijgt in de top van ondernemingen.
Grant Thornton heeft onderzoek gedaan onder 4500 topbestuurders van internationale ondernemingen. Hieruit bleek dat van elke drie bestuurders er twee instemmen met de stelling dat de nieuwe regelgeving rond de bescherming van klantgegevens heeft geleid tot meer aandacht voor privacy dan er de afgelopen jaren was voor cyber security.
De toenemende aandacht voor klantgegevens en voor privacy is goed maar mag niet ten koste gaan van de aandacht voor andere digitale risico’s vinden we bij Grant Thornton. Het aantal cyberaanvallen dat schade veroorzaakt van een miljoen dollar of meer is de afgelopen drie jaar met 63% gestegen.i
Vishal Chawla is Global head cyber security bij Grant Thornton. Hij benadrukt dat gegevensbescherming en cyber security niet eerder zo nauw met elkaar verbonden waren. “In een wereld waarin het gebruik van digitale gegevens zo belangrijk is, kun je gegevensbescherming en cyber security niet meer los van elkaar zien”, zegt hij. "Je moet beide zien als onderdeel van een groter aandachtsgebied, dat van digitaal risico."
Onder digitaal risico verstaan we alle zakelijke risico’s die te maken hebben met het gebruik van digitale gegevens in bedrijfsprocessen, in samenhang met factoren als cyber security, privacy, regelgeving, automatisering en ethiek.
Het is belangrijk om integraal naar digitaal risico te kijken. “Met alle aspecten moet rekening worden gehouden als wij het digitale risicoprofiel van een onderneming willen bepalen,” zegt Vishal Chawla. “Zakelijke risico’s moeten integraal worden beoordeeld, beheerd en gemanaged. Alleen dan is het mogelijk om deze risico’s daadwerkelijk beheersbaar te maken.
Deze integrale aanpak is een belangrijk element in de Algemene Verordening Gegevensbescherming (AVG). Daarin staat dat ondernemingen moeten zorgen voor privacy by design en privacy by default.[ii] De Autoriteit Persoonsgegevens stelt dat “bedrijven gegevensbescherming dienen te integreren in de bedrijfsvoering, vanaf het ontwerpproces tot aan het einde van de levenscyclus”.[iii]
Dat kan alleen met een aanpak waarbij privacy maatregelen worden geïntegreerd in alle onderdelen van de onderneming. Veel ondernemingen vinden dat moeilijk. Dit komt doordat verschillende teams vaak verantwoordelijk zijn voor respectievelijk de gegevensbescherming en voor de cyberbeveiliging. Vaak zorgt de Chief Privacy Officer (CPO) voor de gegevensbescherming en is de Chief Information Security Officer (CIO) verantwoordelijk voor de cyber security.
Het is efficiënter als één team voor beide terreinen verantwoordelijk is. Of als een geïntegreerd team een governance-model heeft waarbij rechtstreeks aan de Chief Executive Officer (CEO) en de Chief Risk Officer (CRO) wordt gerapporteerd en waarbij een raad toezicht houdt. Veel werk dat wordt gedaan om te zorgen voor gegevensbescherming komt ook de cyber security ten goede. Andersom geldt hetzelfde. Een integrale aanpak is niet alleen zinvol voor het beheersbaar maken van digitale risico’s maar ook voor het realiseren van digitale transformaties.
Als één team verantwoordelijk is voor digitaal risico dan heeft dat extra voordelen. Zo’n team zorgt dat de hele onderneming één systeem gebruikt voor het classificeren van gegevens. Onder gegevensclassificatie verstaan we: weten wat voor gegevens een onderneming bezit, weten bij welke processen de gegevens horen en weten wie de gegevens beheert. Het op deze wijze kennen en beheren van data is belangrijk voor de naleving van de AVG. Daarnaast draagt het bij aan de cyber security. Met een goed gestructureerd proces rond data kunnen ondernemingen een betere beveiliging organiseren.
Vishal Chawla: “Bij de risico’s rond data geldt bij veel ondernemingen het Pareto-principe. Dat wil zeggen dat 20% van de bedrijfsgegevens zorgt voor 80% van het risico. Alle gegevens beschermen is onbegonnen werk. Ondernemingen kunnen zich beter richten op data waarvan de beveiliging echt essentieel is voor de onderneming en voor de klanten.”
Hans Bootsma is partner Cyber risk services bij Grant Thornton Nederland. Hij is het met Chawla eens. “Een goed classificatieproces helpt bij de geïntegreerde aanpak van privacybescherming en cyber security”, zegt hij.
Bootsma: “De meeste ondernemingen hadden voor de AVG nog nooit gegevens geclassificeerd. Ze zijn er nu mee begonnen om aan de nieuwe regelgeving te voldoen. Ze hebben de plicht om gegevens die herleidbaar zijn naar personen te classificeren. Dat proces is vrij eenvoudig uit te breiden naar en te combineren met andere gegevensbestanden. Als men de belangrijkste gegevens (de zogenaamde kroonjuwelen) identificeert kan men ze vervolgens koppelen aan het cyber securitprogramma.”
Als gegevensbescherming en cyber security niet worden gecoördineerd, ontstaan er geïsoleerde classificatieprocessen waardoor het digitaal risico onbeheersbaar blijft.
Na een gegevensinbreuk ontstaat bij de getroffen onderneming meestal direct het inzicht dat gegevensbescherming en cyber security met direct met elkaar in verband staan. Men wil weten hoe het incident heeft kunnen gebeuren. Welke beveiliging heeft gefaald? Ook moet worden vastgesteld welke gegevens gecompromitteerd zijn en of het om gevoelige gegevens gaat. Als dit zo is dan zal de onderneming dit openbaar moeten maken.
De meeste ondernemingen zijn hier niet op voorbereid. Maar 28% van de ondervraagde ondernemingen in het onderzoek van Grant Thornton liet weten ‘zeer tevreden’ te zijn met de eigen bescherming tegen een inbreuk. Slechts 26% antwoordde ‘zeer tevreden’ te zijn met het eigen vermogen om overal binnen de onderneming consistent te reageren op een ernstige inbreuk, ongeacht waar of op welk moment de inbreuk plaatsvindt.
Op het moment dat ondernemingen privacy en cyber security in één functie samenbrengen, zullen zij door een beter totaalbeeld van de bedreiging en de concentratie van middelen effectiever kunnen reageren op gegevensinbreuken.
“Privacy en cyberbeveiliging zijn complex omdat ze in de echte wereld botsen”, zegt Mike Harris, partner Cyber security services bij Grant Thornton Ierland. “Een gegevensinbreuk kan beginnen als iets technisch in een ‘cloud’ waarvan het beheer aan een provider is uitbesteed. Maar bij het reageren op het incident moet men weten of het om persoonlijke gegevens gaat en of de toezichthouder moet worden geïnformeerd.”
“En plotseling blijkt dan dat de twee met elkaar verbonden zijn. In plaats van dat je twee aparte cyber- en privacy functies hebt die reageren op een inbreuk, is het veel logischer om één geïntegreerde functie te hebben met gespecialiseerde vaardigheden in het beheren van het proces zodat er niets over het hoofd wordt gezien.”
De samenhang tussen cyber security en privacy heeft ook zijn invloed op het beheer van risico’s van derden. De AVG eist onder meer dat ondernemingen garanties krijgen van leveranciers die in hun opdracht data verwerken.
“Het ligt voor de hand om cyber security rond het risicobeheer door derden te combineren met privacy controles”, zegt Harris. “Het enige wat je moet doen, is gelijktijdig naar beide aspecten kijken. Dat lijkt simpel en eigenlijk is het dat ook. En toch gebeurt het nog te weinig. Cyber securityteams en privacy teams werken nog vaak langs elkaar heen.”
Met een ‘one-stop-beheer’ van de risico’s rond de inzet van derden voorkom je dat je dezelfde inspanningen twee keer moet leveren. Dat maakt het allemaal veel efficiënter. Een ander voordeel is dat een gezamenlijk begrip ontstaat over digitaal risico.
Een integrale aanpak van digitaal risico levert ondernemingen diverse voordelen op.
Ten eerste maakt het bij ondernemingen een professionele en beheersbare digitale transformatie mogelijk. Dit komt onder meer door de aandacht voor een integrale naleving van regelgeving en een integrale gegevensclassificatie.
Ten tweede zorgt een integrale aanpak van digitaal risico voor een vergroting van het risicobewustzijn bij ondernemingen. Dit komt doordat niet alleen naar de interne digitale risico’s wordt gekeken maar ook naar die in de supply chain en bij andere externe partijen met wie wordt samengewerkt.
Ten derde is een geïntegreerde digitale risicofunctie beter in staat om nieuwe digitale technologieën te evalueren. We zien dat ondernemingen nieuwe technologie inzetten om effectiever te zijn. Een goed voorbeeld daarvan is blockchain. Dat betekent dat zij hun bescherming van data en cyber security parallel daaraan moeten verbeteren.
“Een enkele digitale risicofunctie helpt ondernemingen bij hun digitale transformatie. Bijvoorbeeld doordat bij de beoordeling van leveranciers ook wordt gekeken naar hun digitale risicoprofiel”, zegt James Arthur, partner en Head of Cyber consulting bij Grant Thornton UK. “Met een enkele digitale risicofunctie die actief cyber security en privacy-risico’s onderzoekt, is dit een stuk makkelijker.”
“Het is noodzakelijk dat risicoteams betrokken worden bij het risicobeheer, liefst in een zo vroeg mogelijk stadium. Elke database kan het doelwit worden van criminelen”, zegt Michel Besner, General Manager van Catallaxy, een blockchain-dochterbedrijf van Raymond Chabot Grant Thornton. “Risicoteams kunnen zorgen voor de juiste governance-structuren voor het implementeren, beheren en ondersteunen van blockchain. Doe je dit vanaf het begin dan voorkom je problemen en het risico van inbraken in je database."
De integrale aanpak van digitaal risico levert de beste resultaten op weten we bij Grant Thornton. Maar wie moet binnen een onderneming toezicht houden en wie moet het beheer uitvoeren? Bij veel ondernemingen bestaat onduidelijkheid over deze vragen. Er is verwarring over de eindverantwoordelijkheid. Dit schaadt het beheer van digitaal risico.
Grant Thornton heeft dit bij ondernemingen onderzocht. Ondernemingen geven aan dat er een gebrek aan duidelijkheid is over welke personen en teams verantwoordelijk zijn voor welke risico’s. Ze melden dat dit hun ‘op-een-na-grootste’ kwetsbaarheid is.
Allereerst moet men bepalen wie het dagelijkse beheer van digitaal risico op zich neemt. Wij zien dat de meeste ondernemingen dit toewijzen aan de Chief Risk Officer of de Chief Technology Officer. Beide functies zijn hiervoor eigenlijk niet toegerust. In de visie van Grant Thornton berust effectief beheer van digitaal risico op meer dan alleen technologie. U leest hierover meer in het artikel ‘Digitaal risico. Technologie is geen wondermiddel’. Een Chief Risk Officer rapporteert op een meer algemeen risiconiveau: strategisch, financieel en operationeel. Geen van beide functies dekt dus de lading.
Een oplossing kan zijn om een nieuwe functie in het leven te roepen: de Chief Digital Risk Officer. “Steeds meer ondernemingen benoemen een Chief Digital Risk Officer die eindverantwoordelijk is voor het beheersbaar houden van digitaal risico”, zegt Arthur. “En dit is ook waar deze verantwoordelijkheid thuishoort. Maar bij de meeste ondernemingen is men nog niet zo ver.”
Zodra het dagelijkse digitaal risicobeheer geregeld is, is het belangrijk te bepalen wie toezicht houdt. De grote impact van digitaal risico en de grote schade die het gevolg is als er iets mis gaat, betekenen dat het bestuur van een onderneming actief betrokken moet zijn bij digitaal risico. Op eenzelfde manier als dat met financieel risico het geval is.
Alhoewel een bestuur toezicht moet houden, ontbreekt wellicht de expertise om digitale dreigingen echt te doorgronden. Het bestuur kan een eigen digitaal-risico-commissie met experts in het leven roepen die toezicht houdt op digitale risico.
“Het toezicht op digitaal risico hoort thuis op bestuursniveau”, zegt Christos Makedonas, Technology risk leader bij Grant Thornton Cyprus. “Daarnaast moet er een bestuurscommissie met experts zijn waar digitaal risico wordt besproken.”
“Het beheersbaar houden van digitaal risico is complex en heeft veel kanten. Daarom moet een beroep worden gedaan op de deskundigheid van specialisten. Dat zien we op dit moment vooral bij grote ondernemingen die onder toezicht staan en gereguleerd worden, voornamelijk in de financiële sector
[i] Linklaters, Global cyber-incidents soar by 63% in the last three years - January 2019.
[ii] Eur-Lex - General Data Protection Act.
[iii] Information Commissioner’s Office - Data protection by design and default.
Het aantal ondernemingen dat digitale gegevens van klanten inzet om effectiever te ondernemen, groeit in gestaag tempo. De keerzijde is dat digitale gegevens een aantrekkelijk doelwit vormen voor cyber criminelen. Daardoor ontstaan voor ondernemingen nieuwe risico’s en combinaties van risico’s die tot voor kort niet bestonden.
Uit ons International Business Report (IBR) blijkt dat ondernemers zich richten op het beperken van privacyrisico's. Dat is geen verrassing, gezien de aandacht die er is voor de beperking van privacyrisico's van (persoons)gegevens. Echter, de kans op cyberdreigingen blijft toenemen.
Maar waar begint u? Download ons rapport 'Defining digital risk' met onze bevindingen en aanbevelingen voor het versterken van uw digitale risicobeheersing.
