De farmaceutische sector ontkent collectief het bestaan van informatierisico´s, blijkt uit onderzoek van PwC, in opdracht van Iron Mountain. Weliswaar heeft 90 procent van de bedrijven informatiebeleid ontwikkeld, maar slechts 47 procent neemt de moeite om te controleren of dit werkt en wordt nageleefd. Datalekken brengen hoge kosten met zich mee en vormen daardoor een groot risico voor de branche.
Voor het onderzoek ondervroeg PwC senior managers bij zeshonderd Europese bedrijven van 250 tot 2500 medewerkers in Nederland, Duitsland, Frankrijk, Hongarije, Spanje en het Verenigd Koninkrijk. Naast de farmaceutische sector komen de respondenten uit de juridische, productie-, verzekerings- en technologiesector.
Kostenpost
Datalekken zijn een kostbare aangelegenheid. Uit recent onderzoek naar datalekken blijkt dat de kosten die een datalek met zich meebrengt in zwaar gereguleerde sectoren zoals de farmaceutische sector, aanzienlijk hoger zijn dan in andere sectoren. Gemiddeld bedragen de kosten van een datalek in de farmaceutisch sector omgerekend 152 euro per hoofd van de bevolking. Gerekend over alle sectoren is dat honderd euro per hoofd van de bevolking. Het gaat om aanzienlijke kosten, zeker in de wetenschap dat het aantal datalekken met 50 procent per jaar toeneemt. In deze berekeningen wordt nog geen rekening gehouden met de gevolgen voor de bedrijfsreputatie, de concurrentiepositie en de klantentrouw.
Zorgwekkend is dat 35 procent van de farmaceutische bedrijven datalekken en dataverliezen beschouwt als een onvermijdelijk onderdeel van de dagelijkse bedrijfsvoering. Opmerkelijk is dat 54 procent beweert geen zaken te willen doen met organisaties die zijn getroffen door datalekken of dataverlies.
Onherroepelijk in gevaar
‘Kennis is van levensbelang in de farmaceutische sector’, zegt Jeroen Strik, commercieel directeur bij Iron Mountain. ‘Van ruwe data uit experimenten, tot complexe chemische formules; van zorgvuldig uitgevoerd geneesmiddelenonderzoek, tot intellectuele eigendomsrechten. Zonder deze informatie is de sector niet in staat te presteren. Het kost immers jaren om nieuwe geneesmiddelen te ontwikkelen en de kosten hiervan nemen alleen maar toe. Bij verlies of beschadiging van deze vertrouwelijke informatie, brengt een organisatie zichzelf en zijn klanten onherroepelijk in gevaar. Bewustwording en een verantwoord beheer van informatierisico’s zijn van vitaal belang voor het gezond functioneren van de Europese farmaceutische sector.’
Datalekken = iets onvermijdelijk, Bermuda Driehoek? Of toch de voorkeur voor “In control”?
Compliant zijn begint met een fundament, samengesteld uit de volgende ingrediënten: 1) Governance, 2) Informatie Risk Management (IRM) en 3) Informatiebeveiliging.
Op dit fundament kan, door risico’s af te wegen tegen de mogelijke schade en daarop de te nemen mitigerende maatregelen te baseren, kosteneffectief gebouwd worden aan een degelijk raamwerk, gericht op het nastreven van het beoogde (vereiste?)niveau voor Integriteit, Beveiliging en Beschikbaarheid van de data en vitale informatie. Een dergelijk fundament voldoet aan de set minimum eisen voor het “In control” zijn en blijven, en is tevens de basis ter voorkoming van oneigenlijk gebruik, misbruik en fraude ten gevolge van o.a. datalekken, begint binnen de eigen organisatie.
Gemakkelijk gezegd, maar zoals ook uit het artikel blijkt een complicerende factor in de dagelijkse praktijk. Datalekken en dataverliezen worden gezien als iets onvermijdelijks en als een onderdeel van de dagelijkse bedrijfsvoering. Is hier soms sprake van een nieuwe Bermuda Driehoek?
De driehoek Governance, Informatie Beveiliging en Informatie Risk Management wordt binnen organisaties vaak ervaren als een Bermuda Driehoek. Een legendarisch vaarwater vol met onvoorspelbare krachten, vreemde energieën en onverklaarbare gebeurtenissen. Ik merk vaak dat het Bermudamysterie parallellen heeft met wat zich binnen de organisaties afspeelt. Vooral daar waar de grip en het overzicht ontbreken.
Dit is volkomen onnodig! Voor relatief weinig kosten kan er een degelijk en betrouwbaar begin zijn om toezichthouders en externe accountants blijk te geven van het “In control” (en Compliant) willen (en kunnen) zijn. (NB. Dit geldt uiteraard niet alleen voor de farmaceutische sector!).
Het realiseren van het voornoemde fundament is niet zo kostbaar als vaak wordt gedacht en verwacht, mits kan worden beschikt over professionals die dit gebied (de Bermuda Driehoek) al eerder “bereist” en doorgrond hebben en ervaring hebben met het weer ‘In control’ komen (en blijven). Alle zijden van de driehoek worden in samenhang beheersbaar gemaakt met respect voor de startpositie, situatie en de ambitie van de organisatie. Waar het beoogde einddoel wordt voorgeschreven (denk aan beursgenoteerde ondernemingen of aan toezichthouders bij banken, verzekeringen, pensioenen, overheid of in de zorg) vergroten zij de beheersbaarheid en het richtingsgevoel.
Datalekken = iets onvermijdelijks, Bermuda Driehoek? Of toch de voorkeur voor “In control”?
Het is maar waar je voor wilt kiezen!
Iemand die er iets om geeft? Zelf willen ze zoveel mogelijk winst maken en zijn dit soort extra ‘onnodige’ kosten alleen maar lastig.
En als het een keer fout gaat dan hebben ze daar een leger advocaten voor (en niet te vergeten genoeg invloed) om de boel onder de mat te schuiven.