Michel Klompmaker
We spraken onlangs met de Managing Director van Lucom Benelux, Jan van Buren, op zijn kantoor in het Zuid-Hollandse Groot Ammers, ten zuidoosten van Gouda. Lucom Benelux is de Nederlandse vestiging van het Duitse softwarehuis Lucom GmbH en levert digitaliseringsapplicaties voor bedrijfsprocessen, documenten en transacties. Het toepassingsgebied is zeer breed, niet gerelateerd aan een bepaalde branche. We spraken met Jan van Buren in het landelijke Groot-Ammers over digitalisering, de uitdagingen en over de oplossingen die hij ter plaatse proefondervindelijk liet zien. Het gesprek verliep vlotjes en wat opviel was de passie voor zijn werk die eraf vloog …
Jullie zijn onderdeel van een Duits softwarehuis uit Erkrath. Duits staat voor degelijkheid en betrouwbaar. Zo te zien past dat goed bij jullie, toch?
Jan van Buren: “Daar klopt helemaal. Binnen onze oplossingen integreren we namelijk een maximaal veilige digitale uitwisseling, verzegeling en ondertekening van documenten en transacties. We zijn daarbij bovendien volledig compliant met eIDAS, dat is de Europese wet- en regelgeving voor digitale ondertekening en identiteit. ”
Maar hoe veilig kan het zijn?
Jan van Buren: “Als we over digitale transformatie spreken is het duidelijk, geen enkele organisatie ontkomt eraan, of ze nu klein of groot is, digitaliseren moet. Maar het moet ook veilig en dat kan alleen maar als de risico’s bekend zijn. Eén aspect krijgt meestal volop de aandacht en dat is de beveiliging van de ICT infrastructuur en computers. Met andere woorden; zorg ervoor dat hackers niet bij de data kunnen komen of het systeem plat kunnen leggen. Dit laatste wordt geregeld door een goede back-up procedure en maatregelen tegen onbevoegde toegang tot data. Bij veel organisaties worden kosten noch moeite gespaard om gevrijwaard te zijn en te blijven van indringers. Het is daarom opvallend dat diezelfde organisaties zich wel beschermen tegen de gevaren van buitenaf, maar tegelijkertijd diezelfde data bij transacties en documenten zonder enige bescherming naar buiten sturen en / of delen met derden die geen enkele toegevoegde waarde bieden voor de inhoud en doelstelling van deze transacties.”
Waar ligt dat dan aan, hoe kan dat?
Jan van Buren: “Dat dit op grote schaal voorkomt, is eigenlijk aan de drie factoren te wijten. Ik noem ze even. Ten eerste zijn organisaties zich niet bewust van de gevaren en risico’s op dit gebied, ten tweede is de wetgeving in veel opzichten te vrijblijvend en te weinig sturend en ten derde ontstaat er gemakzucht op basis van onbewustheid en de ‘vrije wetgeving’. Zolang je zelf niet bewust bent geconfronteerd met identiteitsfraude, documentfraude of ongewenste inkijkjes is het niet vreemd dat je zakelijke en persoonlijke documenten onbeschermd verstuurt per e-mail of beschikbaar stelt via andere digitale media. Dat een organisatie voor zichzelf dit risico neemt, of niet kent, is een keuze, maar bij alle persoonlijke of bedrijfsmatige transacties zijn er ook andere partijen zoals medewerkers, leveranciers, klanten, overheidsinstellingen, etc… betrokken en die lopen dus ook risico’s door die eenzijdige keuze.”
Praten over risico in het algemeen is erg makkelijk. Geef eens wat voorbeelden uit de praktijk.
Jan van Buren: “Laat ik met iets alledaags beginnen. Verreweg de meeste organisaties versturen hun facturen als standaard pdf via e-mail. Maar wat zijn de risico’s in dat geval? Standaard pdf facturen zijn zeer eenvoudig na te maken, maar dan met verandering van banknummer, gegevens, bedragen, etc… Fraudeurs aan de verzendkant, bij de ontvanger of via onderschepping, zorgen door manipulatie dat facturen aan de verkeerde crediteur, de fraudeur dus, worden betaald. De door de fraudeurs aangemaakte facturen worden toegezonden en er wordt bovendien belasting ontdoken. En dan minstens zo belangrijk, er treedt schade op in de relatie. Deze is in de regel niet meer weg te poetsen. Beide partijen zijn dan eigenlijk slachtoffer, waarbij soms de rechter bepaalt of de schade gedeeld dient te worden. De directe financiële schade is dan secundair en die bedraagt in de regel minder dan de gevolgen van vertrouwensbreuk en / of reputatieschade.”
Maar wat zou dan een oplossing moeten zijn volgens jou in dit concrete geval bij het versturen van facturen?
Jan van Buren: “Door facturen te verzegelen met een eigen bedrijfszegel compliant op basis van de eIDAS Europese wetgeving. kan de ontvanger de afkomst controleren en er zeker van zijn dat het een officiële factuur is. Dit betekent dat de identiteit van de verzender vaststaat en dat de inhoud van de factuur niet is gewijzigd. In Adobe Reader is dit in één oogopslag zichtbaar. De verzender bericht de klant dat alleen facturen die verzegeld zijn, betaald hoeven te worden. Laat de ontvanger na om dit te verifiëren, dan is deze zelf verantwoordelijk voor de gevolgen. Maar in ieder geval geeft de verzender de fraudeurs geen kans en biedt men de ontvangers zekerheid.”
Tot zover de facturen, maar er zijn meer documenten in omloop zoals overeenkomsten. Hoe zit het daar mee?
Jan van Buren: “De laatste jaren willen meer en meer partijen hun zakelijke overeenkomsten via internet bekrachtigen. Maar hoe doe je dat op een veilige manier? Daar zijn een aantal dienstverleners handig op ingesprongen. Zij bieden aan dat de initiator de overeenkomst naar hen toestuurt, via hun applicatie dus, inclusief alle gegevens van de benodigde ondertekenaars. De dienstverlener stuurt een e-mail met een link en verifieert via 2-factor authenticatie de identiteit en legt de acties van de ondertekenaar vast. Het document wordt verzegeld met een certificaat van diezelfde dienstverlener. Juridisch gezien heeft de initiator hiermee een geldige, digitaal afgesloten overeenkomst, maar het is en blijft op zijn minst heel vreemd dat een derde commerciële partij jouw vertrouwelijke documenten ondertekent en verzegelt.”
Maar wat zijn dan de specifieke risico’s in dit geval waar je op doelt?
Jan van Buren: “Kijk, het is namelijk zo dat er in veel contracten een geheimhoudingsclausule beschreven wordt, waarin het beide partijen niet is toegestaan om zonder toestemming van de andere partij informatie of documenten te delen. Raar eigenlijk, want de eerste actie van de partij die uitbesteedt is nota bene het sturen van de overeenkomst naar een derde partij. Met deze partij is dan wel een ‘verwerkersovereenkomst’ afgesloten, maar dit regelt niets anders dan eventuele sancties als blijkt dat de dienstverlener oneigenlijk handelt. De initiator geeft vrijwel altijd ongevraagd zomaar data van de wederpartij aan de dienstverlener. Het risico is er dus dat de wederpartij contractbreuk claimt. In een overeenkomst staat immers wat men doet of moet doen en tegen welke condities. En dat is vaak vertrouwelijke bedrijfsinformatie of persoonlijke informatie. Soms is er eerst een ‘non disclosure’ overeenkomst aan voorafgegaan. Dan nog los van de vraag hoe verleidelijk het is voor een dienstverlener om te weten welke zaken er door partijen worden gedaan en wat kan men met die kennis doen. Het blijft mijns inziens erg merkwaardig dat een derde, commerciële, partij verantwoordelijk wordt gemaakt voor het bekrachtigen van overeenkomsten.”
Maar wat is dan de oplossing?
Jan van Buren: “Overeenkomsten en het versturen van facturen vormen de basis van elke organisatie en dat hoeft niet te worden uitbesteed vanwege rechtsgeldige ondertekening. Dit kan eenvoudig, digitaal, juridisch compliant en maximaal vertrouwelijk worden uitgevoerd binnen en vanuit het eigen ICT domein. Zonder inschakeling van externe dienstverleners of derde partijen die daarmee toegang tot de overeenkomsten en bijbehorende gegevens krijgen. Binnen de wet- en regelgeving wordt niet zozeer bepaald hoe organisaties hun gegevens moeten beveiligen als het gaat om documenten en transacties, maar wel waar ze aan moeten voldoen. En als het dan fout gaat, dan pas blijkt dat documenten of overeenkomsten niet compliant zijn en / of niet voldoen aan authenticiteit en integriteit. En dan is de wet qua sancties veelal wel duidelijk en onontkoombaar. De wetgeving is gebaseerd op regels, maar organisaties moeten het zelf regelen.”
Dan graag nog een laatste advies…
Jan van Buren: “Ik zou willen zeggen, richt u niet alleen op wat verplicht is, maar juist ook op wat mogelijk is met de huidige techniek en functionaliteit om uzelf en uw relaties te borgen tegen schade en problemen. Het is begrijpelijk dat organisaties zich niet bewust zijn van de risico’s als zij in contact komen met dienstverleners. Binnen ICT wordt er enorm op SaaS gehypet en het ‘aantrekkelijke’ (maar eenzijdige) verhaal van dienstverleners, wordt door marketing versterkt en die verleiding leidt tot gemakzucht. Ook blijkt dat dan alleen maar pijnpunten en wettelijk verplichte zaken worden uitbesteed. En dat veel aspecten die eveneens aandacht verdienen niet worden verbeterd of aangepakt.”