Het Europese cijfer voor gegevensbescherming daalt dit jaar van 56,8 tot 56,1 punten op een schaal van honderd. Dit blijkt uit Risk Maturity Index van PwC. Het rapport ‘Beyond Good Intentions’, dat in samenwerking met Iron Mountain tot stand kwam, laat zien dat bedrijven lijden aan informatieverlamming. Het gaat volgens PwC dan vooral om de wijze waarop zij hun informatie beschermen. Zij lopen enerzijds onnodige risico’s en anderzijds zitten ze potdicht voor vitale kansen.
Op eigentijdse bedreigingen als het lekken en de diefstal van gegevens, reageren bedrijven met bedrijfsstrategieën, -plannen en -processen om misstanden te voorkomen. Maar tussen goede voornemens en feilloze uitvoering gaapt een enorme kloof die een grote bedreiging voor de informatieveiligheid en het bedrijfsresultaat vormt. Bovenal blijven door die kloof de mogelijkheden en kansen liggen om toegevoegde waarde en concurrentievoordeel met die informatie te boeken.
Het is de tijdgeest die volgens PwC deze bedrijven parten speelt: de verlamde houding in de omgang met waardevolle informatie doet in vergelijkbare hevigheid opgeld in alle onderzochte landen en marktsegmenten. Waar bedrijven protectionistisch en passief met hun informatie omgaan, zou dat volgens PwC innovatief en actief moeten zijn. Het ontbreekt Nederlandse en Europese bedrijven aan het vermogen om informatiebeleid om te zetten in informatieactiviteit.
Uitdaging voor iedereen
Er bestaat volgens het onderzoek een duidelijke correlatie tussen bedrijven die zich beramen op informatierisico’s en organisaties die waardevolle gegevens uit informatie filteren. Maar het daadwerkelijk ontsluiten van de waarde van informatie blijkt een uitdaging voor iedereen. De ondervraagden stellen dat informatie helpt om de bedrijfsvoering en besluitvorming te verbeteren, beter klantinzicht te verkrijgen en de omzet te verhogen. Zij zien echter ook dat potentiële waardevolle informatie die betrekking heeft op andere bedrijfsprocessen onbenut blijft.
Bijna de helft van de Nederlandse bedrijven (44 procent) benut informatie om product- of diensteninnovaties te stimuleren. Daarnaast maakt bijna een kwart van de Nederlandse ondervraagden (24 procent) gebruik van bedrijfsinformatie om de marktintroductietijd te verlagen. Opvallend daarbij is dat meer dan één op de tien organisaties (13 procent) in Nederland aangeeft dat informatie wel degelijk de ontwikkelingscyclus van een product of dienst versterkt.
Meerwaarde uit informatie
‘Uit de Information Risk Maturity Index van 2014 blijkt dat de meeste bedrijven nalaten informatie te benutten voor het ontwikkelen en introduceren van betere producten en diensten, het verbeteren van de klantenservice of het aanboren van meer markten’ zegt Christian Toon, hoofd Information Risk bij Iron Mountain. ‘De suggestie dringt zich op dat organisaties niet weten hoe zij dit moeten aanpakken. Het is cruciaal dat bedrijven greep krijgen op hun informatieprocessen, en kiezen voor een verantwoorde en actieve benadering van informatierisico’s en het creëren van meerwaarde uit informatie. Niet alleen om de bedrijfsbelangen veilig te stellen, maar juist om de onderneming te laten bloeien.’
‘Overal hebben bedrijven te maken met dezelfde uitdagingen’, zegt Claire Reid, PwC Risk Assurance-partner. ‘Ze opereren in een informatielandschap dat toeneemt in omvang, diversiteit en bewegingssnelheid waarbij de vele informatierisico’s evenredig toenemen. Tegelijkertijd is er voortschrijdend inzicht dat informatie benut moet worden om waarde te creëren. Veel bedrijven denken dat ze hun informatierisico’s en de informatiemeerwaarde begrijpen, maar komen erg traag daadwerkelijk in actie. Bedrijven zouden goed tot zich moeten laten doordringen dat informatie hun waardevolste bezit is.’
Ik ben geneigd hier te zeggen dat er klaarblijkelijk in zo’n tien jaar niet zo heel veel is veranderd. We moeten hier wel een onderscheid maken tussen Corporate Data, Generic Data en Personal Sensitive Data.
Corporate Data
Wat bedrijfsdata betreft, dat dan even ruim genomen, zie je door de huidige stand van zaken en handelen van de bedrijven en organisaties, een steeds groter probleem opdoemen. Immers, wanneer men in steeds toenemende mate gebruik gaat maken van tempkrachten, tijdelijke zzp opdrachten, en zulks, moet er vanuit gaan dat de integriteit van die data steeds verder te wensen over zal gaan laten.
Vaker heb ik geroepen dat wanneer er sec een relatie bestaat, gebaseerd op tijdelijk en korte inhuur, i.c.m. een zo laag mogelijk tarief, dat je dan zaken als betrouwbaarheid, kennis & ervaring, inzicht en inzet navenant zal moeten accepteren. Dat kwaliteit van je data dus ‘questionable’ word. Wil je namelijk met pinda’s betalen, dan krijg je aapjes met een trucje, en daar mag je dan weer niet teveel van verwachten.
Aansluitend hier is dan ook dat door winstbejag ingegeven de stroom aan die data, er steeds minder mensen zijn die de integriteit en kwaliteit van die data controleren en in het oog kunnen houden, en je kunt zelf het plaatje inkleuren. Natuurlijk zullen velen nu roepen dat dit bij ‘hen’ natuurlijk niet of nauwelijks het geval is.
Generic Data
Data, zoals het meeste van big data, had tien jaar geleden al niet zo’n grote voorrang, en het enige wat op dat vlak ietwat aan het veranderen is is dat men flink aan het hypen is dat je met ‘Big Data’ commercieel iets kan. Dat dat een mogelijkheid zou zijn onderschrijf k maar ten dele. Veel van ‘Big Data’ verontreinigd en moeilijk verifieerbaar waardoor he een stukje lastiger word uit te kunnen maken welke deel er betrouwbaar is en welke niet.
Personal Sensitive Data
Ook hier bekijk ik de ontwikkelingen met argusogen. Niet elk bedrijf blijkt inderdaad een goed en sluitend protocol en procedure te bezitten waar het het afschermen en…. vooral het verdelen… van persoonlijke data aan gaat. Al meer dan vijftien jaar hanteer en heilig ik de stelling dat je persoonlijke data gewoon verdeeld en separaat op moet slaan om misbruik bij eventuele inbraak zoveel mogelijk te voorkomen.
De voortgang van de ontwikkelingen op het vlak van hacken en beveiligen is al een tijdje dat er pas wat kan worden gedaan op het vlak van beveiligen, als men weer een ‘lek’ heeft weten te vinden. Opdelen luid het devies.
Ik heb zeker het idee dat met name op dit vlak het bedrijfsleven zeker flinke stappen heeft gezet maar dat dat bij de overheid nog steeds een heikel en moeilijk proces blijkt. Ik heb tenminste helemaal niet het idee dat dit laatste daar erg leeft of een hoge prioriteit heeft.
Hetgeen er dan nog aanstaande is stemt mij dan ook allerminst positief.
Goed stukje van PwC al was het alleen maar de bel aan binden voor dit vaak ondergeschoven onderwerp.