De veiligheid van klantgegevens: veel uitdagingen!

Ondanks actualiteit geen hoge prioriteit voor jonge fintech bedrijven

11 MEI 2015, AMSTERDAM - SCHIPHOL RIJK
Samenvatting
De veiligheid van klantgegevens is een actueel onderwerp dat steeds belangrijker wordt gevonden. Een rondvraag over deze veiligheid bij jonge fintech bedrijven geeft echter de indruk dat het niet altijd eerste prioriteit heeft. Er is bij een deel van de jonge bedrijven nog veel te doen, klinkt in de wandelgangen bij een bijeenkomst van netwerkorganisatie Holland FinTech. Een enkel bedrijf erkent dat het een punt van zorg is waaraan wordt gewerkt. Bij Holland FinTech zelf wil men het punt gaan agenderen, ook omdat er bijvoorbeeld in Londen door de sector zelf stappen worden gezet.

Indirect bewijs maakt duidelijk dat dataveiligheid voor elk bedrijf een zeer belangrijk punt moet zijn: persoonsgegevens zijn het belangrijkste doelwit bij inbraken in computersystemen. Favoriete sectoren voor hackers, stelt Breachlevel in zijn laatste jaarverslag, zijn vooral retail (meer dan 50%) van het totaal aan ontvreemde persoonsdossiers) en financiële instellingen. 

Deze diefstal van persoonsgegevens blijkt lonend. In Nederland had cybercrime vorig jaar een waarde 1,5% van het bbp, ofwel 8 miljard euro. Nederland scoort daarmee uitzonderlijk hoog, stelt een rapport van het Amerikaanse Center for Strategic and International Studies in samenwerking met internetbeveiliger McAfee. Van de grootste economieen ter wereld stak alleen Duitsland Nederland naar de kroon met 1,6% bbp. Dit zou deels verklaard kunnen worden door een grotere bereidheid tot het rapporteren van incidenten in vergelijking met elders, maar dat verandert niets aan het feit dat het bedrag fors is. 

Fintech bedrijven proberen zich onder meer een plaats te veroveren in het betaalverkeer dat traditioneel het domein van banken is. Maar banken liggen natuurlijk onder een vergrootglas als het gaat om klantgegevens: iedereen vertrouwt geld toe aan zijn of haar bank en dus wordt elk incident breed uitgemeten. Banken zijn dus gespitst op de bescherming van klantgegevens en beducht voor sommige ontwikkelingen in de jonge fintech sector. Zo zijn er nieuwe bedrijven die zich tussen bank en particulier plaatsen met apps die het betaalgemak vergroten - zogeheten data aggregators als bijvoorbeeld Trusty (GB) en Sofort in Duitsland. Om van zo'n dienst gebruik te kunnen maken, moet een particulier zijn bankgegevens delen en dat is volgens banken inbreuk op de contractvoorwaarden.

In Londen, waar de ontwikkelingen in fintech harder gaan dan enig ander Europees land, wil men het vertrouwensprobleem oplossen. De recent opgerichte belangenorganisatie FDATA (Financial Data and Technology Association) heeft proactief het onderwerp van regulering van dataveiligheid in de eigen sector opgepakt in een streven naar acceptatie van fintech door traditionele banken. De organisatie rekent erop dat de komende herziening van de Europese regelgeving over het betalingsverkeer (het zogeheten Payment Services Directive) zal leiden tot het 'openbreken van de sector' , zegt Andy Maciver, director van FDATA , per e-mail. 

Er zijn meer ontwikkelingen op dit vlak waar bedrijven rekening mee moeten houden, zoals de ontwikkeling van de Europese regelgeving. De EU werkt aan herziening van de Databeschermingsrichtlijn uit 1995 in de nieuwe General Data Protection Regulation (GDPR) die naar verwachting in 2017 van kracht zal worden. "Dat is een super belangrijk onderwerp aan het worden", zegt Douwe Lycklama van consultancy Innopay, "want in de toekomst moet bijvoorbeeld elke klant zijn eigen gegevens kunnen beheren en moeten bedrijven toestemming hebben om iets met die gegevens te kunnen doen. Ik zie dat bedrijven het steeds vaker uitbesteden."

Regelgevers én burgers bevinden zich in een spagaat. Zoals de EU het zelf formuleert: de klant heeft een fundamenteel recht op privacy, maar de vrije uitwisseling van informatie - het fundament van internet - is een "gemeenschappelijk goed". Sommige burgers vertellen zelf via apps als foursquare waar ze zijn, en anderen eisen het "recht om vergeten te worden".

Crux van de zaak is dat een bedrijf zijn databeheer op orde moet hebben, anders is overleven problematisch. Om als bedrijf te kunnen focussen op de corebusiness is de simpelste oplossing voor gegevensbeheer de uitbesteding aan een service provider die kennis, software en hardware in huis heeft, en continue datastromen monitort om te zien of ergens de veiligheid wordt gecompromitteerd en indien nodig direct actie onderneemt. 

Citaten
"Bij jonge bedrijven ligt de focus vaak op het in de markt zetten van hun product of dienst om de investering snel terug te verdienen. Security staat hierdoor dan lager op de agenda. " Marcel Ravenshorst, Country Manager Basefarm Nederland
"Wij willen ervoor zorgen, dat er een geaccepteerde industriestandaard komt. Als dat gerealiseerd is en alle bedrijven functioneren op een acceptabel niveau, dan kan de industrie zijn goede naam houden. " Andy Maciver, Director FDATA
Download PDF
Download PDF
Over Basefarm

Managed Service Provider Basefarm beheert voor haar klanten IT-systemen en online applicaties die noodzakelijk zijn om de bedrijfscontinuïteit te garanderen Tevens neemt Basefarm de zorg voor gerelateerde IT-zaken als infrastructuur, cloud computing en databeveiliging uit handen, zodat zij zich volledig kunnen richten op hun kernactiviteiten.

Basefarm is sinds juni 2013 lid van het vooraanstaande en exclusieve Forum of Incident Response and Security Teams (FIRST). FIRST is wereldwijd marktleider in Incident Response. Het lidmaatschap van FIRST stelt het Basefarm SIRT Team (Security Incident Response Team) in staat om effectief te reageren op incidenten en deze in de toekomst te voorkomen. Een wereldwijde samenwerking van SIRT teams van overheden, commerciële- en onderwijsorganisaties, waaronder NASA, Interpol en Apple, maken het mogelijk om snel informatie te ontvangen en daar vervolgens daadkrachtig op te reageren.

Basefarm heeft vestigingen in Nederland, Zweden en Noorwegen, maakt gebruik van eigen datacenters en beheert meer dan 35.000 diensten, die meer dan 40 miljoen eindgebruikers in 24 landen bereiken. Klanten van Basefarm zijn onder andere Schiphol, Ziggo, D-Reizen, Funda, Norwegian Airlines en Spotify.

berichten