Persoonlijke gegevens delen met een bedrijf lijkt misschien onschuldig genoeg. Voor Cindy Wubben, Information Security Officer, VismaBenelux, delen we te veel. Veel ervan is nutteloos.
Cyberaanvallen en datalekken zijn bijna dagelijkse kost. De scenario’s zijn vaak hetzelfde. De gevolgen ook. De oplossing ligt niet alleen in de beveiliging die organisaties zelf bieden, maar ook in de manier waarop ze omgaan met de gegevens van hun klanten. Hebben we al die gegevens echt nodig?
Zelden wordt zo’n vraag gesteld. En toch… Een paar maanden geleden werden ongeveer 35 miljoen klanten getroffen door een datalek bij VF Corporation, het moederbedrijf van kledingmerk The North Face. De buit bestond uit persoonlijke gegevens zoals e-mailadressen, namen, telefoonnummers en afleveradressen. Gelukkig kregen de hackers de bank- en creditcardgegevens van de klanten niet te zien. Niettemin.
Dit soort verhalen horen we steeds vaker,” zegt Cindy Wubben, Information Security Officer bij Visma Benelux. Cyberaanvallers kunnen immers veel geld verdienen met het stelen van persoonlijke gegevens. Ze kunnen de gegevens bijvoorbeeld via het dark web verkopen aan andere cybercriminelen, die er op hun beurt misbruik van maken.” Denk hierbij aan het versturen van zeer realistische en geloofwaardige phishingmails. Of ze kunnen de gegevens gebruiken om toegang te krijgen tot andere accounts. In het ergste geval kunnen hackers zelfs de identiteit overnemen of artikelen bestellen op naam van de gebruiker.
Veel persoonlijke gegevens zijn onnodig
Op het eerste gezicht lijkt het delen van persoonlijke gegevens met een bedrijf misschien onschuldig, maar het kan verstrekkende gevolgen hebben. Als dat bedrijf niet de laatste beveiligingsupdate heeft geïnstalleerd, is het voor cybercriminelen niet zo moeilijk om toegang te krijgen tot die gevoelige gegevens.
“Allereerst is het cruciaal dat bedrijven hun beveiliging op orde hebben om het risico op een datalek te minimaliseren. Maar ze zouden er ook goed aan doen zich af te vragen welke gegevens ze echt nodig hebben om een klant van dienst te zijn”, zegt Cindy Wubben.
Vooral in een online omgeving is het logisch dat bedrijven informatie moeten vragen om te bepalen wie een klant is. Denk aan gegevens zoals de naam, het adres en de woonplaats van een klant – bekend als NAW-gegevens. “Maar daar blijft het vaak niet bij. Bedrijven vragen om meer informatie, zoals telefoonnummer, geslacht, beroep, geboortedatum of nationaliteit.”
De meeste van deze informatie is nuttig voor bedrijven, vooral in de context van marketing. “Als je de geboortedatum van een klant weet, kun je op zijn verjaardag een gepersonaliseerde e-mail sturen. Deze informatie is echter verre van noodzakelijk om een goede service te garanderen, dus waarom beperken we ons niet tot de basisinformatie die voldoende is om business te genereren?
Denk na over de informatie die je vraagt/geeft
Bedrijven moeten daarom stoppen met het vragen naar persoonlijke gegevens die ze niet per se nodig hebben. Als deze informatie buiten het bedrijf terechtkomt, is dat niet alleen vervelend voor de consument, maar ook voor de bedrijven zelf, waarvan de reputatie kan worden aangetast.
Consumenten moeten ook kritischer zijn en meer vragen stellen over de informatie die een bedrijf vraagt,” zegt Cindy Wubben. Vul bijvoorbeeld alleen de verplichte velden in als je een betaling doet of een account aanmaakt.
Als we een gezonde digitale omgeving willen creëren, moeten we ons bewust zijn van onze privacyrechten en weloverwogen keuzes maken over de persoonlijke gegevens die we delen.