Het bedrijfsleven leunt de laatste decennia steeds meer op datagedreven technologie, maar naast efficiëntie kent dit ook gevaren. Als bedrijfsgevoelige informatie in verkeerde handen valt kan dit namelijk enorm veel schade opleveren. Om je bedrijf hiertegen te beschermen volstaat alleen een hard- of softwareoplossing niet.

Dit weten ook Sales Manager Armando dos Santos Gomes en Business Consultant Victor Meerloo van i³ groep, een bedrijf dat zich specialiseert in verschillende facetten van dataopslag en -beveiliging. Dos Santos Gomes: “Data is het nieuwe goud geworden, en niemand wil zijn goud op een bank stallen waarvan je niet zeker weet dat het veilig is.”

Bij i³ groep geloven ze erin om databeveiliging via een multidisciplinaire benadering te realiseren. De focus ligt niet alleen op de systemen die de data veilig moeten opslaan, maar ook op de organisatie en de waakzaamheid van medewerkers. “Er zijn verschillende perspectieven van waaruit je naar databeveiliging moet kijken: de organisatie, menselijk handelen en systemen. Op elke as moet je weten welke maatregelen je kan gebruiken om de beveiliging nog verder dicht te timmeren.”

IT-beveiliging

Een belangrijk uitgangspunt van een complete databeveiliging is natuurlijk de IT-beveiliging. “Je moet eerst weten wat voor data je binnen je organisatie hebt en hoe dat aan de techniekkant beveiligd is. Als je bijvoorbeeld veel met persoonsgegevens werkt dan is het ook wel handig om die gegevens te versleutelen,” zegt Meerloo.

Dit is echter slechts één kant van de oplossing, het menselijke en organisatorische aspect van databeveiliging wordt nog weleens over het hoofd gezien. “Er moet ook gekeken worden naar hoe bepaalde gegevens de organisatie verlaten, of dit dus gewenst of ongewenst gebeurt. Dat zie je natuurlijk veel in organisaties waar met BSN-nummers wordt gewerkt, of in de zorg.”

Menselijk handelen

De gedachte dat het menselijk handelen van werknemers meespeelt bij databeveiliging komt niet uit de lucht vallen. Uit onderzoek van een partner van i³ groep blijkt namelijk dat slecht 50 procent van alle datalekken binnen het Nederlandse bedrijfsleven voorkomen kan worden via de IT. De andere helft ligt in handen van de werknemers, waarvan 70 procent onbewust data lekt. “Mensen posten van alles op Facebook of LinkedIn zonder dat ze erbij stilstaan wat ze precies plaatsen,” stelt Dos Santos Gomes.

Het is dus zaak om de waakzaamheid van de medewerkers te verhogen, oftewel “weerbaarheid door waakzaamheid.” Meerloo: “Je moet mensen bewust maken van hoe ze met privacygevoelige informatie moeten omgaan. Iedereen maakt weleens een stomme fout dus het is goed om je medewerkers daar periodiek op te wijzen.” Door de kracht van herhaling worden werknemers meer waakzaam en risicobewust en dit vertaalt zich door naar een weerbaardere organisatie.

Het belang van organisatie

De keuzes die organisaties maken hebben ook belangrijke consequenties voor de databeveiliging. Bijvoorbeeld bij het delegeren van datamanagement naar externe partijen, iets wat volgens Meerloo niet altijd even secuur gaat:

“Veel bedrijven neigen naar cloud services. Waar je vroeger binnen de slotgracht van je eigen bedrijf alles helemaal dichtgetimmerd had, wordt er nu met een soort naïviteit allerlei gevoelige informatie bij externe Cloudpartijen neergezet. Hierbij kijken bedrijven niet altijd expliciet hoe het met de beveiliging geregeld is.”

De specialiteit van i³ groep

Het is voor organisaties erg verstandig om te kijken welke stappen ze moeten nemen om te voldoen aan de Algemene Vordering Gegevensbescherming (AVG). En de negatieve drijfveer, de boetes die de Autoriteit Persoonsgegevens (AP) kan opleggen, is volgens Dos Santos Gomes niet de enige reden daarvoor: “De positieve drijfveer is dat je je organisatie veiliger maakt en daardoor concurrentievoordeel weet te creëren ten opzichte van andere organisaties. Zeker als je redeneert vanuit de gedachte dat data het nieuwe goud is. Om hierbij te helpen hebben wij de Privacy Impact Analyse ontwikkeld.”

Dos Santos Gomes besluit: “Als je kijkt naar de markt en naar i³ groep dan zijn wij de enige op de markt die op alle vlakken acteren. Dat is zowel het IT-component, de mens en uiteraard ook de organisatie. We komen geen andere partij tegen die dat op alle drie de vlakken doet. Daarom springen wij ertussenuit.”