Ondernemers, opgelet
Recent stonden de kranten vol berichten over het vertrouwensschandaal van Facebook. Nadat ik er over in het FD had gelezen, kwam bij mij het effect pas echt binnen.
Je eigen data ligt op straat, Messengerberichten zijn te lezen, hele adres- en telefoonnummerlijsten zijn bekend. En dat geldt voor 87 miljoen mensen. Nu blijkt dat de veiligheid van data al vanaf de oprichting van Facebook een probleem is, is de reactie van Mark Zuckerberg er telkens weer een van het beloven van beterschap. Maar nakomen? Zelfs zijn excuses over zijn gedrag zijn moeilijk. Dus zal hij maatregelen nemen? Ik betwijfel het.
En dan realitysoapster Samantha de Jong, ofwel Barbie. Haar medische gegevens lagen bijna op straat. Na intern onderzoek van het ziekenhuis bleek dat heel veel medewerkers in haar dossier hadden gekeken, terwijl de interne policy is 'bij fout volgt ontslag'. Maar ja, wat schiet je op met controle achteraf, als je gegevens op straat liggen. Op het eerste gezicht zijn het twee afzonderlijke verhalen. Maar ze hebben ons iets te leren.
Gezond boerenverstand
Elke onderneming heeft zijn eigen bedrijfsgeheimen. Ondernemers en accountants, opgelet. Zijn jouw gegevens veilig, of loop je ook het risico dat ze op straat komen te liggen? Zijn je belangrijkste bedrijfsgegevens voldoende beschermd?
De afgelopen jaren is het gebruik van Software as a Service (SaaS) toegenomen; je betaalt voor het functioneel gebruik van innovatieve oplossingen. Dit ondersteunt het ondernemerschap en ook nog eens tegen de laagste kosten. Er wordt maandelijks een vaste fee betaald en de ondernemer kan zijn energie richten op het ondernemerschap. Voor veel ondernemers is dit een zeer interessant model en dat blijft het voorlopig ook.
Maar alles heeft een keerzijde. Terug naar de vraag: zijn je bedrijfsgeheimen voldoende veilig? Kan jou hetzelfde overkomen als alle gebruikers van Facebook? In goed vertrouwen sla je alle klantgegevens op, de IT-leverancier maakt deze service mogelijk. Maar loop je ook het risico dat jouw adres- en telefoonlijst op straat komt te liggen? Of misschien wel ernstiger: dat je intellectueel eigendom door onbevoegde personen is te raadplegen, net zoals het medisch dossier van Barbie.
Helaas merk ik dat veel ondernemers, maar ook accountants, te weinig kritische vragen stellen. Op zich begrijpelijk, want het zijn twee gescheiden werelden die soms moeilijk zijn te begrijpen. Maar daarom is het nog wel zinvol en ook nodig. Gezond boerenverstand helpt je al een stuk op weg.
- Waar staat de data? En hoe weet de ondernemer zeker dat de concurrent niet de beschikking krijgt/heeft over de belangrijkste gegevens van het bedrijf?
- Hoe kan de ondernemer de bedrijfsdata naar binnen halen? Stel dat de verbinding wordt verbroken (ongeacht de reden), heeft de ondernemer dan de beschikking over zijn eigen data?
- Hoe weet de ondernemer zeker dat zijn eigen data niet wordt verkocht aan derden, zonder dat hij kan ingrijpen?
Nachtmerrie
In de afgelopen jaren heb ik een paar keer meegemaakt hoe het gruwelijk mis kan gaan. De ondernemer heeft blind vertrouwen en spreekt dat ook zo uit. Nog steeds vind ik dat erg mooi om te zien maar toch: vertrouwen is goed, controle is beter.
Elke ondernemer zal zich realiseren dat hij maatregelen moet kunnen nemen bij calamiteiten, of het nu gaat om opzet of toeval. Maar als het gaat om de beschikkingsmacht over eigen online data, zijn er weinigen die daarover hebben nagedacht. Heb je bij calamiteiten voldoende grip op je eigen bedrijfsgegevens? Heb je dat niet, dan loop je het risico dat het voortbestaan van je bedrijf in gevaar komt. Als ondernemer is dat je grootste nachtmerrie. Je bedrijf is 'je kindje' en dat wil je toch goed beschermen.
Een paar eigen praktijkvoorbeelden, die hopelijk tot nadenken stemmen.
Voorbeeld 1: De auditfile
In gesprekken met ondernemers en accountants wordt vaak aangegeven dat een auditfile kan worden gemaakt. Dus aan de bewaarplicht en toegankelijkheid van data wordt voldaan. Maar mijn tegenvraag is altijd "Welke data zit er in de auditfile?"
Als je met een ondernemer praat over de belangrijkste assets van zijn bedrijf, dan gaat het vaak over de operationele bedrijfsdata. Denk aan omloopsnelheid van artikelen, belangrijkste verkoopstatistieken van afnemers, bedrijfsnormen; de bedrijfsdata. De financiële data zijn in de ogen van vele ondernemers wel belangrijk, maar niet het belangrijkste.
Welke data zit in de auditfile? Mijn ervaring is dat die vaak alleen uit financiële data bestaat, de operationele bedrijfsdata ontbreekt. Dus bij een mogelijke overstap verliest de ondernemer zijn eigen bedrijfsdata.
(PS: controleer wel even of er uberhaupt een auditfile beschikbaar wordt gesteld. In de praktijk heb ik ook meegemaakt dat er in de algemene voorwaarden stond vermeld dat er geen auditfile beschikbaar is. Dat werd een vervelende situatie. De ondernemer wilde stoppen met het gebruik van de software, maar kon operationeel geen afscheid nemen.)
Voorbeeld 2: Gedwongen relatie
Een gedwongen relatie voelt niet goed, maar toch worden bedrijven steeds meer gegijzeld door IT-leveranciers. Bij veel bedrijven worden werkprocessen geïntegreerd in software oplossingen, waardoor overstappen naar een ander platform vaak een zeer lastige en bijna onmogelijke zaak is. De IT-bedrijven weten dat. Dus kan het gebeuren dat een softwareleverancier het tarief met dertig procent verhoogt.
Zulke leveranciers weten door het beschikbaar hebben van jouw bedrijfsdata precies hoever ze kunnen gaan met tariefstellingen. En ja, de kleine lettertjes geven ook deze mogelijkheid. Dus een vrije relatie... Dat denk ik niet.
En wat nu?
Innovatieve automatiseringsoplossingen bieden ondernemers vele kansen, maar alles heeft een keerzijde. Door onbekendheid van vele ondernemers, maar ook accountants, met een wereld die moeilijk te doorgronden is lopen ze meer risico dan je zou willen. Het slechtste wat je kan doen, is berusten. Het beste is gewoon gezond boerenverstand gebruiken. En dat hebben wij allemaal.
We gaan ook weer terug naar het basisprincipe van vroeger. Dus start met een bewuste keuze met wie je zaken doet. Hoe betrouwbaar is je leverancier? Hoe bewaakt hij jouw data en garandeert hij de veiligheid? Zijn er interne procedures? Heb je die wel eens opgevraagd? Wat doen ze bij calamiteiten? Krijg je dan alle gegevens tot je beschikking?
Mijn boodschap voor de NBA: volgens mij is dit het hoofdthema voor de komende jaren. Of het nu gaat om de mkb-ondernemer of de grote beursgenoteerde bedrijven. We krijgen een verschuiving in machten en we staan aan de vooravond ervan. Ondernemers, opgelet. Wees kritisch, gebruik je boerenverstand en zorg goed voor je 'kindje'.
Gerelateerd
AP geeft hoge boete aan Ierse multinational
De Autoriteit Persoonsgegevens heeft de Ierse multinational Experian eind 2023 een hoge boete en sancties opgelegd vanwege het overtreden van de privacywet.
Nemen we al afscheid van de oude kopie ID?
De witwas- en privacywetgeving zitten elkaar soms in de weg, aldus John Weerdenburg. Daardoor belanden accountants in de praktijk mogelijk in een spagaat.
LinkedIn krijgt Ierse boete van 310 miljoen euro
LinkedIn krijgt een boete van 310 miljoen euro van de Ierse toezichthouder DPC (Data Protection Commission). Het netwerkplatform zou de persoonlijke gegevens van...
KVK schermt nummers ondernemers af om misbruik tegen te gaan
Om onder andere misbruik tegen te gaan worden telefoonnummers van ondernemers vanaf woensdag afgeschermd in het Handelsregister. De Kamer van Koophandel (KVK) heeft...
Corporate privacy?
De data van privépersonen wordt gretig verhandeld. Maar hoe zit dat met de data van bedrijven, vraagt Joris Joppe zich af.