De veiligheid van klantgegevens: veel uitdagingen!

Indirect bewijs maakt duidelijk dat dataveiligheid voor elk bedrijf een zeer belangrijk punt moet zijn: persoonsgegevens zijn het belangrijkste doelwit bij inbraken in computersystemen. Favoriete sectoren voor hackers, stelt Breachlevel in zijn laatste jaarverslag, zijn vooral retail (meer dan 50%) van het totaal aan ontvreemde persoonsdossiers) en financiële instellingen.

Deze diefstal van persoonsgegevens blijkt lonend. In Nederland had cybercrime vorig jaar een waarde 1,5% van het bbp, ofwel 8 miljard euro. Nederland scoort daarmee uitzonderlijk hoog, stelt een rapport van het Amerikaanse Center for Strategic and International Studies in samenwerking met internetbeveiliger McAfee. Van de grootste economieen ter wereld stak alleen Duitsland Nederland naar de kroon met 1,6% bbp. Dit zou deels verklaard kunnen worden door een grotere bereidheid tot het rapporteren van incidenten in vergelijking met elders, maar dat verandert niets aan het feit dat het bedrag fors is.

Fintech bedrijven proberen zich onder meer een plaats te veroveren in het betaalverkeer dat traditioneel het domein van banken is. Maar banken liggen natuurlijk onder een vergrootglas als het gaat om klantgegevens: iedereen vertrouwt geld toe aan zijn of haar bank en dus wordt elk incident breed uitgemeten. Banken zijn dus gespitst op de bescherming van klantgegevens en beducht voor sommige ontwikkelingen in de jonge fintech sector. Zo zijn er nieuwe bedrijven die zich tussen bank en particulier plaatsen met apps die het betaalgemak vergroten – zogeheten data aggregators als bijvoorbeeld Trusty (GB) en Sofort in Duitsland. Om van zo’n dienst gebruik te kunnen maken, moet een particulier zijn bankgegevens delen en dat is volgens banken inbreuk op de contractvoorwaarden.

In Londen, waar de ontwikkelingen in fintech harder gaan dan enig ander Europees land, wil men het vertrouwensprobleem oplossen. De recent opgerichte belangenorganisatie FDATA (Financial Data and Technology Association) heeft proactief het onderwerp van regulering van dataveiligheid in de eigen sector opgepakt in een streven naar acceptatie van fin-tech door traditionele banken. De organisatie rekent erop dat de komende herziening van de Europese regelgeving over het betalingsverkeer (het zogeheten Payment Services Directive) zal leiden tot het ‘openbreken van de sector’ , zegt Andy Maciver, director van FDATA , per e-mail.

Er zijn meer ontwikkelingen op dit vlak waar bedrijven rekening mee moeten houden, zoals de ontwikkeling van de Europese regelgeving. De EU werkt aan herziening van de Databeschermingsrichtlijn uit 1995 in de nieuwe General Data Protection Regulation (GDPR) die naar verwachting in 2017 van kracht zal worden. “Dat is een super belangrijk onderwerp aan het worden”, zegt Douwe Lycklama van consultancy Innopay, “want in de toekomst moet bijvoorbeeld elke klant zijn eigen gegevens kunnen beheren en moeten bedrijven toestemming hebben om iets met die gegevens te kunnen doen. Ik zie dat bedrijven het steeds vaker uitbesteden.”

Regelgevers én burgers bevinden zich in een spagaat. Zoals de EU het zelf formuleert: de klant heeft een fundamenteel recht op privacy, maar de vrije uitwisseling van informatie – het fundament van internet – is een “gemeenschappelijk goed”. Sommige burgers vertellen zelf via apps als foursquare waar ze zijn, en anderen eisen het “recht om vergeten te worden”.

Crux van de zaak is dat een bedrijf zijn databeheer op orde moet hebben, anders is overleven problematisch. Om als bedrijf te kunnen focussen op de eigen kernbusiness is de simpelste oplossing voor gegevensbeheer de uitbesteding aan een service provider die kennis, software en hardware in huis heeft, en continue datastromen monitort om te zien of ergens de veiligheid wordt gecompromitteerd en indien nodig direct actie onderneemt.