Privacy is de afgelopen jaren steeds belangrijker geworden voor bedrijven. Bedrijven brengen nu standaard databronnen in kaart, verbeteren het privacybeleid of installeren consent managers om beter te voldoen aan wetgeving zoals de AVG. Het beveiligen van privacygevoelige data is echter net zo belangrijk – in 2023 zijn er meer dan 25.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het AP schat dat er in totaal ongeveer 20 miljoen mensen slachtoffer van deze lekken zijn geworden. Er zijn gelukkig maatregelen die bedrijven kunnen nemen om zowel de privacy als de security van hun data analytics platform te waarborgen.
Security extra belangrijk voor web analytics platforms
Web analytics platforms verwerken grote hoeveelheden gevoelige gegevens zoals gebruikersgedrag, persoonlijke informatie en soms zelfs financiële gegevens. Het is belangrijk dat deze gevoelige data van klanten worden beschermd tegen datalekken, identiteitsdiefstal en andere cyberaanvallen. Een platform dat goed beveiligd is, voorkomt ongeautoriseerde toegang tot en misbruik van deze gevoelige data. Een bijkomend voordeel van een goede security, is dat het de relatie tussen een bedrijf en zijn klanten kan versterken. Robuuste securitymaatregelen versterken bij klanten het vertrouwen in het vermogen van het bedrijf om hun gevoelige data veilig te houden.
Naast het beschermen van gevoelige data en een sterkere relatie met klanten, wordt ook de bedrijfscontinuïteit gewaarborgd met goede security. Door het risico te verkleinen op security-incidenten, zoals ransomware-aanvallen, neemt de kans op downtime, dataverlies of grote financiële verliezen af. Daarnaast kunnen maatregelen zoals encryptie, een robuuste controle op wie er toegang hebben tot welke data en regelmatige audits ervoor zorgen dat verzamelde en geanalyseerde data correct zijn en blijven. Deze maatregelen helpen namelijk voorkomen dat data zonder toestemming worden gewijzigd, beschadigd of verloren gaan. Voor bedrijven die strategische beslissingen maken op basis van deze data is het waarborgen van de data-integriteit cruciaal.
Organisatorische security
Om na te gaan of een web analytics leverancier goede security standaarden hanteert, kunnen organisaties een aantal stappen nemen. De eerste en eenvoudigste stap is informeren naar de security certificaten van de leverancier, zoals ISO 27001 of SOC 2. Met zulke certificaten kunnen bedrijven aantonen dat ze voldoen aan internationale data security standaarden. Om een ISO 27001 certificering te krijgen moeten bedrijven een risicobeoordeling uitvoeren, security controls identificeren en implementeren en regelmatig de effectiviteit ervan beoordelen. Een SOC 2 certificering is flexibeler. Het bevat vijf Trust Services Principles: security, availability, processing integriteit, vertrouwelijkheid en privacy. Elke organisatie komt, afhankelijk van bedrijfspraktijken, met een eigen aanpak om te voldoen aan één of meer van deze principes. Externe auditors beoordelen vervolgens de mate waarin het bedrijf voldoet aan de principes, op basis van de gebruikte systemen en processen.
Als we vervolgens doorvragen dan is het belangrijk om te vragen naar de manier waarop access management is geregeld bij de leverancier. Sommige teams hebben minder of juist meer toegangsrechten nodig dan andere teams. Het support team moet bijvoorbeeld de configuratie van bepaalde accounts kunnen aanpassen, maar zou geen toegang mogen hebben tot alle data binnen deze accounts. Verder zouden analytics leveranciers robuuste authenticatiemethoden moeten ondersteunen, zoals single sign-on, multifactor authenticatie en tokengebaseerde authenticatie.
Gaan we nog iets dieper, dan gaan we kijken naar de maatregelen die het interne netwerk van de vendor beveiligen. Hierbij valt te denken aan firewalls, die inkomend en uitgaand netwerkverkeer monitoren, maar ook bijvoorbeeld aan een VPN, waarmee verbindingen van een endpoint naar een netwerk worden versleuteld. Nog beter is zero-trust beveiliging, dat sterke aanvullende controles biedt op de (externe) toegang van gebruikers tot applicaties en data. Deze maatregelen moeten regelmatig gecontroleerd worden door middel van externe security audits en penetratietesten. Dit zou vervolgens vastgelegd kunnen worden in een Service Level Agreement (SLA).
Data transfers
Voor web analytics is verder het veilig verzenden van data cruciaal. De juiste security garandeert dat alleen bevoegde personen toegang hebben tot de data en biedt bescherming tegen cyberaanvallen. Leveranciers kunnen verschillende methoden gebruiken voor veilige data overdracht, waaronder versleutelde verbindingen, HTTPS-protocollen en andere securitymaatregelen zoals SSH (Secure Shell; een protocol om veilig commando’s naar een computer te sturen over een onbeveiligd netwerk) of SSL (Secure Sockets Layer; een technologie die internetverbindingen beveiligt door data te versleutelen die worden verzonden tussen een website en een browser of tussen twee servers).
Data opslag in Europa
Waar en bij wie je als organisatie data opslaat is ook belangrijk. In de VS is bijvoorbeeld de CLOUD-act van toepassing. Hiermee kunnen Amerikaanse overheidsdiensten in sommige gevallen toegang krijgen tot alle data van (of opgeslagen bij) Amerikaanse bedrijven, ook als het gaat om data van Europese burgers. Als data worden opgeslagen bij Amerikaanse bedrijven, verliest een Europese burger dus eigenlijk een deel van zijn privacy.
Conclusie
Nu de zorg over privacy toeneemt en datalekken steeds vaker voorkomen, is het cruciaal voor bedrijven om zowel dataprivacy als -security prioriteit te geven in hun webanalyse platforms. Effectieve securitymaatregelen beschermen gevoelige klantgegevens tegen lekken, identiteitsdiefstal en cyberaanvallen en bevorderen tegelijkertijd het vertrouwen van consumenten in de organisatie. Door goed na te gaan of web analytics platforms voldoende maatregelen nemen, kunnen organisaties met een gerust hart zaken doen, in de wetenschap dat er zorgvuldig wordt omgegaan met de data van klanten.