Recente ontwikkelingen zetten leveranciersmanagement op scherp
Sinds de Schrems II uitspraak van het Europese Gerechtshof in 2020 is de uitwisseling van data tussen de Europese Unie en de Verenigde Staten beperkt, waardoor het belangrijker dan ooit is geworden om te weten waar en bij welke leveranciers jouw data zich bevindt [1]. Het Hof kwam tot deze uitspraak doordat het rechtssysteem van de Verenigde Staten toestaat dat inlichtingendiensten de data van bedrijven binnen hun jurisdictie mogen opvragen en gebruiken op een manier die niet in lijn is met de Algemene Verordening Gegevensbescherming. (AVG). Dit geldt niet alleen voor data die leveranciers die zich in de V.S. bevinden, ook andere landen kunnen te risicovol zijn. Sinds deze uitspraak is het meer dan ooit van belang om te weten a) welke externe partijen/leveranciers jouw data verwerken, b) met wie zij deze data op hun beurt weer delen om de service te kunnen leveren, en c) wat de locatie is waar de data verwerkt wordt.
De rol van leveranciers in een data-gedreven wereld
Derde partijen leveren vaak een service waarbij zij ook (persoons)gegevens van de organisatie gebruiken. Organisaties hebben in sommige situaties een gebrek aan inzicht in de werkwijze van deze partijen, en missen procedures om hier wel inzicht in te krijgen. Met name de overheid, en specifiek het veiligheidsdomein, beschikt veelvuldig over gevoelige data van burgers (denk aan Defensie, de Politie maar ook het RIVM). Het risico voor deze sector kan gemitigeerd worden door middel van een duidelijke risicomanagementstrategie, waarbij een goede samenwerking met leveranciers essentieel is. Het veiligheidsdomein heeft, net zoals andere organisaties, een groeiend aantal leveranciers waar het op steunt. Dit is niet vreemd als je kijkt naar de algemene ontwikkelingen in de (technologische) wereld. Door vooraanstaande onderzoeksbureaus wordt dit geïdentificeerd als “de nieuwe manier waarop organisaties derde partijen gebruiken”[2]. Een vooraanstaand onderzoeksbureau, Gartner, geeft aan steeds vaker organisaties te identificeren die kansen in het gebruik van nieuwe technologieën zien. Deze trend leidt soms tot het verlenen van diensten buiten het core-businessmodel van de organisatie. Zij zijn daardoor in toenemende mate afhankelijk van leveranciers die vernieuwende diensten leveren. Deze veranderingen vragen om een fundamenteel andere benadering van risico-identificatie en controle. Aldus Chris Audet, directeur, Gartner Research & Advisory[3].
Digitale innovatie in het veiligheidsdomein: Een wereld aan leveranciers
Het is een race tegen de klok: enerzijds willen (veiligheids-)organisaties snelheid houden in de ontwikkelingen en meegaan in de vooruitgang van de technologie. Jaarlijks worden er miljoenen geïnvesteerd door organisaties en overheden om mee te gaan in innovatieve trends en om te voldoen aan de toenemende digitale behoeften van het veiligheidsdomein. Om doorlopend de veiligheid te borgen is het nodig dat het veiligheidsdomein investeert in nieuwe technologieën. Anderzijds brengen deze ontwikkelingen ook risico’s met zich mee.
Wanneer we denken aan leveranciers (derde partijen), dan wordt dit het best zo breed mogelijk geïnterpreteerd. Derde partijen kunnen leveranciers zijn die digitale diensten verlenen waarbij zij persoonlijke data van werknemers verwerken zoals in HR-systemen of tools. Ook zijn er leveranciers die weliswaar geen persoonlijke data, maar wel metadata of telemetrische data van werknemers verzamelen, bijvoorbeeld bij het gebruik van (communicatie) diensten. In het veiligheidsdomein zijn deze data al snel cruciaal in het beschermen van de activiteiten en/of operaties van de organisatie in kwestie.
Enkel de huidige leveranciers en hun datagebruik in kaart brengen, is niet voldoende. Het vermijden van risico’s die leveranciers en derden met zich meebrengen, begint vaak bij de keuze voor bepaalde leveranciers. Het meenemen van het juiste afwegingskader in het aanbestedingsproces zou daarbij een preventieve maatregel zijn waarbij onnodige risico’s aan de voorkant al worden geadresseerd. De veiligheidssector loopt gevaar op het oneigenlijk gebruik (misbruik) van haar data waarbij deze gebruikt worden voor cyberintelligence, spionage, of het de mogelijkheid op spionage vergemakkelijkt. Dit vormt uiteindelijk een risico voor de staatsveiligheid. Een afwegingskader is een goede preventieve maatregel, maar de keuze van leveranciers heeft ook te maken met het niveau van bewustzijn/awareness van medewerkers binnen de eigen organisatie.
Awareness is onder andere belangrijk als we denken aan het gebruik van privé-apps door medewerkers, waarbij zij, onbedoeld, gevoelige of organisatie-kritieke data (zoals locatiedata) kunnen delen. Een goed voorbeeld hiervan is het gebruik van Strava door militairen.[4] Ook zijn organisaties steeds vaker bezig met het in gebruik nemen van handige tools die hun in staat stelt om data op een makkelijke manier te analyseren, en eventueel te delen. Hiervoor wordt data geüpload in tools zoals ‘Tableau’. Waar de medewerkers ook over na moeten denken is: waar komt de data terecht die ik in deze handige tool stop? Oftewel het menselijke gedrag kan nog steeds bepalend zijn in het beveiligen van data. Medewerkers kunnen onbewust door het gebruik van ‘gratis’ apps cruciale data verstrekken die impact heeft op de beveiliging in het veiligheidsdomein.
Denk bij het in kaart brengen van leveranciers ook aan missies van Defensie over landsgrenzen waarbij een afhankelijkheid van derde partijen (in dat land) vaak onvermijdelijk is. Een goed voorbeeld hiervan is het gebruik van vehicle tracking. Humanitaire organisaties en NGOs, maar ook organisaties binnen het veiligheidsdomein kunnen hier gebruik van maken. Vaak maakt dit deel uit van een service die geleverd wordt door een leverancier. Deze voorbeelden laten goed zien hoe data bij derden terecht kan komen. Metadata kan echter ook op indirecte manieren bij derden terechtkomen. Denk hierbij aan mobiele telefonie/netwerkproviders die, hoewel zij geen direct identificerende persoonlijke data bijhouden van cliënten/werknemers, wel metadata van deze werknemers verwerken.
Een doeltreffende strategie
Het staat buiten kijf dat er energie moet worden gestoken in het onderzoeken welke data uw leveranciers daadwerkelijk verwerken, en welke derden vanuit die leveranciers op hun beurt weer uw data verwerken. Alleen op die manier kan men de risico’s collectief in kaart brengen. Echter, om dit te realiseren, is het zaak dat dat leveranciers niet enkel gecontroleerd en gemanaged worden maar dat zij actief meedenken/meevechten in uw taak om data te beschermen. Samen optrekken maakt immers sterker in de strijd tegen indringers.
De strategie om het risico te managen, is een duidelijk voorbeeld van een goed werkende formule die, met de juiste gealloceerde resources en capaciteit, snel en efficiënt in gebruik genomen kan worden. Het is belangrijk om te melden dat dit geen eenmalige exercitie is. Het gebruik van derde partijen zal blijven groeien en verandert constant. De aangewezen business zal hierin mee moeten blijven bewegen. De strategie ziet er als volgt uit:
- Inventarisatie
Allereerst dient er in kaart te worden gebracht met welke leveranciers en derden de organisatie samenwerkt. Het is van belang dat er in kaart wordt gebracht van welke aard deze derden zijn (wat voor service leveren zij?). Het is niet altijd duidelijk omschreven maar veel leveranciers gebruiken ook zelf derde partijen wanneer zij een service aanbieden. Zo kan er een specifieke dienst afgenomen worden van een leverancier maar om die dienst te kunnen leveren, schakelen zij op hun beurt weer derden in om een deel van deze service te kunnen leveren. Denk hierbij aan technische middelen om in te loggen zoals e-Herkenning of multi-factor authenticatie mogelijkheden waarbij een derde partij wordt ingeschakeld om een deel van het proces uit te voeren, zoals een SMS-controle of een ander identificatiemiddel of uniek gegeven.
- Data-mapping
Bij het in kaart brengen van deze leveranciers en derde partijen, dient te worden nagegaan tot welke data deze partijen precies toegang hebben en welke zij daadwerkelijk nodig hebben voor het uitvoeren van de afspraken die in het contract zijn vastgelegd. Er kan dan een mapping-exercise uitgevoerd worden, waarbij naast de verschillende leveranciers ook het type data inzichtelijk wordt gemaakt.
- Risico-inschatting
Wanneer deze leveranciers en derde partijen in kaart zijn gebracht, dient men een risico-inschatting te maken. Dit kan op verschillende manieren, afhankelijk van de grootte en het karakter van de organisatie. Zo kan het ontzettend verschillen hoeveel risico een organisatie realistisch gezien kan dragen of hoeveel risico de organisatie loopt op het gebied van reputatieschade of financiën. Er bestaan tools waarmee deze risico assessments geautomatiseerd uitgevoerd kunnen worden. Als alternatief kan er ook een gepersonaliseerd risico-raamwerk gecreëerd worden. Het creëren van een gepersonaliseerd raamwerk voor de risico-assessment stap in de strategie is iets eenmaligs waarmee je een base-level creëert op basis van uw inschatting van het risico. Essentieel in deze stap is de medewerking van uw leveranciers. Zij dienen u transparantie te geven in de derden die zij gebruiken om hun service te kunnen leveren, en inzicht geven in wat de risico’s zijn aan hun kant.
- Mitigatie
De voorlaatste stap is om de risico’s, die nu inzichtelijk en meetbaar gemaakt zijn =, te mitigeren op een manier waarop het zo min mogelijk negatieve effecten heeft op de operationele werkelijkheid. Dit is uiteraard onderhevig aan de aard van de organisatie, de geïdentificeerde risico’s en het daarbij passend gemaakte risicoprofiel in de vorige stap. Behalve transparantie te geven in de derden die zij gebruiken om hun service te kunnen leveren, wat de risico’s zijn aan hun kant, dienen leveranciers daarnaast mee te werken aan een oplossing om de (onnodige) risico’s te verkleinen.
- Langetermijndenken
Om te zorgen dat er een continuïteit wordt gecreëerd in het managen van de risico’s dienen de voorgaande stappen geworteld te zitten in de cultuur van de medewerkers. Dit begint allereerst bij het creëren van awareness bij de werknemers, daarom staat in deze stap het trainen van de werknemers die verantwoordelijkheden hebben in het proces, centraal. Integratie van de verantwoordelijkheden in het takenpakket en in de langetermijnstrategie en governance van de organisatie zijn essentieel voor de continuïteit van risicomanagement van derde partijen. Deze laatste stap is dan ook onmisbaar in een correcte ingebruikname van deze strategie.
Bereid u voor op de toekomst
In het verleden waren organisaties afhankelijk van een beperkt aantal contractanten en leveranciers waarmee een organisatie verbonden was. Nu zijn er grote én kleine organisaties die zelf ook weer meerdere derde partijen kunnen hanteren. Het is onmogelijk om een goed idee te krijgen van het risico wat een organisatie op dit moment loopt via haar leveranciers, op de wijze waarop risicomanagement in het verleden uitgevoerd werd.
Conclusie
Uiteindelijk is het doel een blijvende cultuurverandering teweeg te brengen. Niet enkel binnen de eigen organisatie, maar ook bij derde partijen en gebruikers. Hierbij is het van belang dat de voorgaande stappen volledig opgenomen zijn in de operationele werkelijkheid van de organisatie. Meer in het algemeen betekent dit dat er een baseline van bewustzijn is binnen de organisatie voor de risico’s die leveranciers met zich meebrengen voor de organisatie, haar werknemers en uiteindelijk in veel gevallen ook voor de burger. Het betekent ook dat leveranciers betrokken worden in het nadenken over hoe de risico gemitigeerd kunnen worden, en hoe zij meer bewust kunnen worden over hoe hun werkwijze onbewust een averechts effect kan hebben op een organisatie. Op deze wijze worden zij niet enkel alert, maar kunnen zij ook actief bijdragen aan het veilig houden van Nederland en haar burgers.
Ten slotte is het risicomanagement van derde partijen niet alleen gelimiteerd tot zakelijke leveranciers en (hun) derden. Werknemers moeten zich ervan bewust zijn dat privé-gebruik van services invloed kan hebben op het risicoprofiel van de organisatie. Het hebben van een duidelijke strategie en awareness, waarbij er binnen de organisatie ook openheid is tegenover haar werknemers over de risico’s die zich kunnen manifesteren, speelt hier een grote rol.
