Hoe je wél met data omgaat: 5 lessen uit het Facebook-schandaal

Iedereen weet dat het slecht is om de controle over je klantgegevens te verliezen. Maar waarom gebeurt het dan nog steeds? De afgelopen weken waren Facebook en Cambridge Analytics veel in het nieuws, en terwijl dit verhaal zich verder ontwikkelt, komt alweer een nieuw lek voorbij van 880.000 betaalkaarten van online reissite Orbitz. Wat gaan we er tegen doen?

Vorige maand alleen al waren er 39 inbreuken op gegevens in de gezondheidszorg, met meer dan 350.000 gelekte patiëntdossiers. En in diezelfde maand werden ook nog de gegevens van 12.000 FedEx-klanten gelekt.

Facebook wil ons nu graag doen geloven dat hun recente datalek minder belangrijk is, omdat het strikt genomen geen beveiligingslek is. Maar zo makkelijk kun je het misbruik van de persoonsgegevens van 50 miljoen Facebook-gebruikers natuurlijk niet afdoen. Het is hoog tijd om eens een stap terug te nemen en te bekijken hoe we als organisatie omgaan met de gegevens die aan ons worden toevertrouwd. Hier zijn vijf lessen uit het Facebook/Cambridge Analytica-debacle die elke organisatie in acht zouden moeten nemen.

Les 1: Beheer is meer dan security

We horen voortdurend over beveiligingslekken en de groeiende dreiging ervan. De gemiddelde kosten van een datalek liggen op 3,62 miljoen dollar, en naar schatting zal ongeveer een derde van de organisaties wereldwijd in de komende 24 maanden het slachtoffer worden van ten minste een datalek met meer dan 10.000 persoonsgegevens.

De Chief Security Officer van Facebook sprak zich in een serie inmiddels verwijderde tweets uit over de situatie: “De recente verhalen van Cambridge Analytica in de NY Times en The Guardian zijn belangrijk en krachtig. Maar het is incorrect om dit een ‘breach’ te noemen, onder elke redelijke definitie van de term.” Daarin heeft hij gelijk. Het was weliswaar geen inbreuk op beveiliging, maar wel een vorm van misbruik van het beleid en een ernstige vertrouwensbreuk. Vanuit het perspectief van de Facebook-gebruiker is het zelfs nog erger dan een beveiligingslek, omdat Cambridge Analytica niet eens de moeite hoefde te doen om Facebook te hacken om aan de gegevens te komen.

Organisaties die klantgegevens worden toevertrouwd, hebben de verplichting om deze goed te beheren. En dat is meer dan alleen gegevensbeveiliging. Het betekent dat een doordacht en alomvattend beleid moet worden ontwikkeld over de manier waarop gegevens worden beheerd en er moeten controles komen om dit beleid te handhaven en te controleren.

Les 2: Bruikbaarheid van data gaat over meer dan datakwaliteit

Datakwaliteit is een enorm probleem voor databeheer. Binnen de informatica is GIGO een bekend fenomeen: garbage in, garbage out. Het betekent dat het gebruik van gegevens van slechte kwaliteit slechte resultaten oplevert. Het is bijvoorbeeld slechte datakwaliteit die zorgt voor onnodige overlast van vliegverkeer. Door de belabberde kwaliteit van data staan Nederlanders onterecht geregistreerd als wanbetaler. Maar datakwaliteit is niet alles of niets. Gegevens die geschikt zijn voor het ene doel kunnen van te lage kwaliteit zijn voor het andere. Vandaag de dag zijn we als industrie nog maar net zover dat we over datakwaliteit kunnen denken in termen van bruikbaarheid, niet alleen in termen van betrouwbaarheid. Eigenlijk moeten we veel verder gaan dan dat. De Facebook-data die Cambridge Analytica gebruikte waren weliswaar van voldoende kwaliteit om hun doel te bereiken, maar was het wel legaal om ze te gebruiken? Was het ethisch verantwoord? Organisaties moeten ‘doelmatig geschikt’ breder definiëren dan ‘is het mogelijk om deze gegevens hiervoor te gebruiken.’ Geschikt voor het doel moet ook vragen omvatten als “is het legaal, ethisch, en passend om deze gegevens te gebruiken voor dit doel?” Als uw organisatie gegevens beheert die door anderen aan u zijn toevertrouwd, bent u verplicht hier expliciet over na te denken. De meest volwassen organisaties nemen deze beslissing buiten de business om en stellen deze voor aan een organisatie op het gebied van ethiek of om conflicten te voorkomen. De kern van de zaak is: omdat iets kan betekent dat nog niet dat je het ook moet doen.

Les 3: Als de gegevens eenmaal beschikbaar zijn, kunt u ze niet meer terugkrijgen

Data zijn het enige goed dat gestolen kan worden en toch in je bezit blijft. En in tegenstelling tot iets fysieks: zelfs als je de dief vangt kun je er nooit zeker van zijn dat je het terugkrijgt. Dat geldt zowel voor weggegeven als ontvreemde gegevens. Net als bij elke andere grondstof zit de waarde van data in wat je er mee doet. Data worden gecombineerd met andere data om nieuwe data te produceren, die vervolgens elders worden gedeeld en gebruikt. In dit geval zijn de ruwe profielgegevens van Facebook gebruikt om psychologische profielen van mensen aan te maken. Zelfs als die gegevens worden teruggegeven of verwijderd, bestaan ze nog steeds. Wie bezit ze? Deze profielen zijn verder gebruikt als basis voor beslissingen, als basis voor persuasieve content die gericht is op een bepaalde doelgroep. Kunnen die acties worden teruggedraaid? Data bewegen zich snel, en zodra de geest uit de fles is, kan hij er niet terug in.
Net zoals organisaties de bronnen van hun gegevens moeten evalueren om te bepalen of ze geschikt zijn voor een bepaald doel, moeten ze ook heel zorgvuldig nadenken over hoe ze die gegevens gebruiken. Vooral ook als het resultaat van die gegevens met anderen wordt gedeeld. Sommige dingen kunnen namelijk niet ‘ontdeeld’ worden.

Les 4: Jij bent verantwoordelijk voor jouw gegevens, zelfs als iemand anders verantwoordelijk is voor de inbreuk

Of je nou zelf misbruik maakt van de gegevens van anderen of gegevens deelt die vervolgens worden misbruikt: uiteindelijk wordt het platform waar de gegevens aan zijn toevertrouwd verantwoordelijk gesteld. Dat klinkt misschien onredelijk, maar het is de realiteit. Het maakt de gebruikers van Facebook niet uit of iemand de gebruiksvoorwaarden van Facebook heeft geschonden. Zij zien alleen dat hun gegevens zijn misbruikt en beschuldigen daarom de organisatie die hun gegevens heeft verzameld en beheerd.

Vorige maand hoorden we voor het eerst over de 112.000 paspoorten en andere identiteitsgegevens die op het web terecht waren gekomen. De gegeven stamden uit de periode van 2009 tot 2012 en behoorden toe aan Bongo International. Dat bedrijf werd in 2014 door FedEx gekocht en in 2017 opgeheven. Wie is er nu verantwoordelijk voor dit lek? Bongo International? Hoewel het lek plaatsvond voor de overname is de publieke opinie duidelijk. De koppen in de kranten luidden: “FedEx-klantgegevens gelekt.”

Als een organisatie klantgegevens verwerk, draagt die organisatie in de ogen van de klant de verantwoordelijk. Of die gegevens nou zelf zijn verzameld of van iemand anders verkregen. Denk hier goed over na bij het plannen van een datastrategie en het selecteren van partners.

Les 5: Beheer is belangrijk

Tot slot, een les die we steeds opnieuw lijken te moeten leren als dergelijke situaties zich voordoen: databeheer is belangrijk. Echt belangrijk. Het gaat over het toepassen van een databeleid. Het gaat over het hebben van structuur kopen, beheren en gebruiken van gegevens. En het gaat om het expliciet communiceren van dat beleid, en het handhaven en controleren van dat beleid.

Veel organisaties zien databeheer als extra belasting. Maar dat is de verkeerde manier om ernaar te kijken. Beschouw het als een soort verzekeringspolis. Door nu een relatief klein bedrag te investeren in databeheer, kun je later een uiterst kostbaar datalek en de bijkomende reputatieschade voorkomen. Dat klinkt mij in de oren als slim zakendoen.