Vandaag trok het onderstaande bericht mijn aandacht
Lees verder
Een paradigmaverschuiving in e-commerce: Near-Zero-Knowledge
10 augustus 2021 Consultancy.nl 7 min. leestijd
E-commerce op basis van minimaal gebruik van data biedt kansen voor kostenverlaging. Bedrijven kunnen structureel besparen op hun cybersecuritykosten, lopen minder risico op reputatieschade en mogen rekenen op meer vertrouwen van hun klanten. Vincent Jansen, Leon Kluiters en Constantijn Molengraaf van Innopay leggen uit.
De voordelen van het verzamelen en delen van persoonsgegevens voor e-commerce bedrijven zijn evident. Doordat zij met data hun klanten beter van dienst kunnen zijn – bijvoorbeeld door het verbeteren van het gebruikersgemak – kan de omzet verder groeien. Echter, het verzamelen van persoonsgegevens heeft ook een prijs. Het beveiligen van deze gegevens is een groeiende kostenpost.
Desondanks lijken bedrijven de status-quo in stand te houden door niet actief op zoek te gaan naar alternatieven die dezelfde functionaliteiten bieden, zonder dat zij daarvoor persoonsgegevens hoeven te verzamelen. Het gebrek aan ontwikkeling en gebruik van deze alternatieven is opmerkelijk, des te meer omdat er een passend alternatief binnen handbereik is, namelijk: ‘Near-Zero-Knowledge’ (NZK) waarbij e-commerce minimaal gebruikmaakt van persoonsgegevens.
Bij Innopay zijn wij ervan overtuigd dat NZK e-commerce bedrijven een structurele kostenbesparing op het gebied van informatiebeveiliging kan opleveren, reputatieschade als gevolg van een datalek minimaliseert en het digitaal vertrouwen vergroot. Tegelijkertijd kunnen deze bedrijven de gebruikerservaring en omzetpotentie van vandaag behouden.
Datalekken
In 2013 resulteerde een cyberaanval op het Amerikaanse warenhuis Target tot het verlies van de creditcard- en persoonsgegevens van 110 miljoen consumenten. Een recenter voorbeeld is het grootse datalek ooit in Nederland van eerder dit jaar, waarbij de persoonsgegevens van 3,6 miljoen Nederlandse en Belgische klanten van e-commercebedrijf Allekabels op straat kwamen te liggen.
Er zijn verschillende verklaringen (bijvoorbeeld gebrekkige beveiliging, slecht management of naïviteit) waarom juist Target en Allekabels slachtoffer werden van een cyberaanval. De belangrijkste reden is echter dat, omdat deze bedrijven persoonsgegevens verzamelen, ze een interessant doelwit zijn voor cybercriminelen. Gestolen bankgegevens worden via het dark web verkocht voor ongeveer €50 per account en een Gmail-account levert al snel meer dan €130 op.
Target en Allekabels zijn uiteraard niet de enige bedrijven die persoonsgegevens opslaan van hun klanten. Het is een kwestie van tijd voordat de volgende datalek plaatsvindt.
Vrijwel alle e-commerce bedrijven, groot of klein, verzamelen persoonsgegevens:
Zij doen dat om diverse e-commercefuncties te kunnen leveren en de risico’s die inherent zijn aan e-commerce te kunnen managen. Bijvoorbeeld: NAW-gegevens worden gebruikt om verzendingen te verwerken, betaalgegevens worden gebruikt om betalingen van bestaande klanten te versimpelen en de geboortedatum van een klant wordt gebruikt om een cadeautje te sturen.
Daarnaast gebruiken zij persoonsgegevens om klantprofielen te bouwen voor marketingdoeleinden, voor het aanbieden van diverse diensten en voor het beheren van risico’s op het gebied van fraude en betaling.
Bovendien werken e-commercebedrijven vaak met veel verschillende partners en leveranciers. En dat maakt dat persoonsgegevens vaak gedeeld en gekopieerd worden. Een voorbeeld is Bol.com, dat in principe persoonsgegevens kan delen met een heel netwerk van derde partijen:
IT-beveiliging verhoogt de kosten
Hoewel de voordelen van het opslaan en delen van persoonsgegevens evident zijn, is het beschermen van diezelfde persoonsgegevens één van de belangrijkste oorzaken van de groeiende kosten die e-commercebedrijven maken voor digitale beveiliging. Per slot van rekening kunnen bedrijven die als gevolg van een hack of datalek persoonlijke gegevens verliezen reputatieschade oplopen en zwaar beboet worden door de regulerende instanties.
Zo voorziet de GDPR in de EU in de mogelijkheid boetes op te leggen tot 4% van de wereldwijde omzet. Een groeiende e-commercemarkt, zowel in aantal bedrijven als in de omzet per bedrijf, verhoogt zowel het risico op reputatieschade als de hoogte van de boete als geheel in de sector. Daarnaast maakt deze groei de e-commercemarkt als geheel een aantrekkelijker doelwit voor cybercriminelen.
De informatiebeveiligingsmarkt laat dan ook een sterke groei zien. Dit geldt voor zowel de kosten gerelateerd aan datalekken en cybercriminaliteit, als voor de uitgaven die organisaties doen aan cybersecurity:
Aangezien het huidige e-commercesysteem het verzamelen van persoonsgegevens stimuleert, lijken bedrijven niet in staat om de risico’s en kosten die hiermee gepaard gaan structureel te verlagen. Er wordt niet tot nauwelijks gebruikgemaakt van alternatieven die de verzameling van persoonsgegevens minimaliseren en omdat e-commercebedrijven deze status quo niet uitdagen door op zoek te gaan naar oplossingen worden er geen nieuwe alternatieven ontwikkeld.
Het alternatief: Near-Zero-Knowledge
Innopay gelooft in de paradigmaverschuiving naar Near-Zero-Knowledge e-commerce. Deze volstrekt nieuwe wijze van denken en werken die gebaseerd is op het verzamelen van veel minder persoonsgegevens verlaagt de beveiligingskosten drastisch maar biedt wel dezelfde voordelen voor klanten en bedrijven als voorheen.
Bij NZK e-commerce verschuift het verzamelen en delen van persoonsgegevens van e-commercebedrijven naar gespecialiseerde derde partijen, zogenaamde ‘identity serviceproviders’, die de digitale identiteiten van klanten beheren.
In het geval van NZK e-commerce heeft ieder bedrijf in het e-commerce-ecosysteem alleen toegang tot die data die nodig is voor het verlenen van zijn dienst. Dit zou als volgt kunnen werken: op verzoek van de klant maakt de identity serviceprovider een token die kan worden gebruikt in het e-commercesysteem.
Deze token stelt e-commercebedrijven en andere dienstverleners in staat om een klant te herkennen, zodat zij de benodigde persoonsgegevens voor hun dienstverlening kunnen opvragen bij de identity serviceprovider. Bedrijven maken uitsluitend gebruik van deze data voor het verlenen van de gevraagde dienst.
In dit scenario hoeft alleen de identity serviceprovider de persoonsgegevens te beveiligen en op te slaan, en dat resulteert in structureel lagere informatiebeveiligingskosten voor e-commercebedrijven en hun dienstverleners. Daarnaast neemt het digitaal vertrouwen van de klant in de e-commercebedrijven toe omdat minder data gedeeld wordt, waardoor de klant minder risico loopt.
De identity serviceprovider zou een kleine, gespecialiseerde partij kunnen zijn, maar deze rol zou ook vervuld kunnen worden door de grote e-commercebedrijven. In Nederland doet bijvoorbeeld Bol.com dit al deels door klanten de mogelijkheid te geven hun Bol.com-inloggegevens te gebruiken om in te loggen bij de webwinkels van Albert Heijn en Waardijk.
De ingrediënten voor het ontwikkelen voor soortgelijke oplossingen zijn al wijdverbreid. Draag bij aan het verschuiven van het paradigma en sluit je bij ons aan om samen de mogelijkheden van NZK e-commerce verder te verkennen onder het motto: the less you know, the more you grow…
Dit artikel is natuurlijk een promotie voor het genoemde consultancybureau, maar als ik dit gegeven omwille van de discussie even naast me neerleg en deze situatie vanuit een privacy-oogpunt ga bekijken dan roept deze ontwikkeling in de Ad-tech sector wel de nodige vragen op.
In de huidige situatie zijn bedrijven zelf verantwoordelijk voor het beheer van persoonsgegevens. De kosten en eventuele boete bij het schenden van de AVG/verwijtbaar datalek nemen toe, net als de mogelijke reputatieschade.
Met het beschreven Near-Zero-Knowledge principe (NZK) zou je kunnen zeggen dat het uitgangspunt om minder persoonsgegevens te verzamelen door bedrijf X een nobel streven is voor de consument en bedrijf X hiermee mooie sier kan maken door bij haar klanten vertrouwen en indruk te wekken alsof zij de klantgegevens niet verzameld. Maar is dat ook zo?
Door de verwerking van de persoonsgegevens bij zogeheten Service Identity Providers (SIP) neer te leggen en dus uitbesteden kan bedrijf X aanzienlijk besparen op de kosten, online risico’s en imagoschade drastisch beperken. Vanuit privacy-oogpunt kan de werkwijze transparant lijken, maar hoe zit dat met het verhaalsrecht dat wij als consument hebben?
Zoals ik het bekijk worden in deze mooi uitgedachte constructie het risico en de aansprakelijkheid (dataverzameling, juridische entiteit, melding AP, etc) weggehaald bij de dienstverlener waar wij als consument ons recht kunnen halen en wordt een eerste poging gedaan om in te springen op het gapende gat dat binnen het ondernemersrisico dreigt te ontstaan door de immer dreigende onzichtbare cyberrisico dat steeds meer ondernemers niet kennen en van zich af willen schudden, de data-verzamelende graaiende handen in onschuld te wassen om te kunnen (ver)wijzen naar een derde partij als Service Identity Providers.
Commercieel gezien is zo’n NZK voor de ondernemer een mooie manier om het hele ‘cybergedoe’ af te kopen als een soort ‘verzekering’ en daarmee een interessant product. Maar zijn wij als consument door het onvermogen en winstmaximalisatie van diezelfde ondernemer - die er tot nu toe geen enkel probleem van heeft gemaakt om persoonsgegeven te verzamelen en uit te buiten - niet degene die deze kosten alsnog krijgen doorgerekend in het eindproduct?