Onze Chief Information Officer (CIO) Henk Bothof gaat in het komende nummer van magazine Inzichtelijk dieper in op het essentiële belang van een goede beveiliging van de bij Stichting BKR geregistreerde data. De primaire taak van BKR is tenslotte het veilig ontvangen, ordenen en ontsluiten van data en signalen op het gebied van kredieten, betalingsachterstanden en schuldhulp. Essentieel, omdat het gaat om betrouwbaarheid en geloofwaardigheid. Een kleine vooruitblik.
Veilige data zijn een halszaak voor vele bedrijven en organisaties, zo ook voor Stichting BKR. Het stelsel van kredietregistratie en de complete dienstverlening van BKR is immers gebaseerd op veilige en betrouwbare data. In deze tijd is dat nog geen sinecure.
Henk Bothof stipt aan dat kwaliteit van data een eerste belangrijke zaak is. Zo moeten bijvoorbeeld kredietverstrekkers voor de beoordeling van het al dan niet verstrekken van een krediet kunnen vertrouwen op de juistheid en volledigheid van de data in het door BKR beheerde kredietregister. Een tweede belangrijk punt is dat deze data zeer privacygevoelig zijn. En als derde is het van belang dat de data veilig zijn. Deze drie punten zijn uiteraard nauw met elkaar verbonden.
Hoe hou je het veilig?
De werkwijze die BKR hanteert, is afgeleid van een ISO-norm, ISO 27001. “Deze norm beschrijft de eisen waar een zogenoemd ‘Information Security System Management System’ (ISMS) aan moet voldoen. Dit ISMS helpt BKR om continu in controle te blijven over de risico’s voor informatiebeveiliging.”
Nog meer!
Maar daar houdt het niet mee op. Door transformatie van het complete systeem - inclusief data - naar de Cloud, wordt het beveiligingsniveau verder opgeschroefd. Bothof: “De informatiebeveiliging die Microsoft biedt, met alle investeringen die zij doen in security, meer zekerheden. Dit bovenop onze eigen maatregelen, want we blijven wel zelf verantwoordelijk voor de veiligheid van de data. ”
Ontvangen, ordenen, ontsluiten
Voor het veilig ontvangen van data bestaan er afspraken met alle deelnemende organisaties aan het kredietregistratiestelsel. Deze afspraken moeten ervoor zorgen dat er eenduidigheid is met en tussen de klanten en deelnemers over de interpretatie van de bij BKR geregistreerde data. “In het kredietregister zou matchen en ordenen efficiënter en effectiever gaan met een burger- servicenummer (BSN), maar niet alle deelnemers beschikken over het BSN-nummer van hun klanten. Daarnaast mag BKR er in het kredietregister ook geen gebruik van maken. BKR heeft daarom veel geïnvesteerd in zogenoemde ‘matchingstechnologie”.
En nog meer!
Regelmatig maakt BKR gebruik van ethische hackers. “We laten onze systemen hacken, dat doen we bij iedere grote wijziging. Dit heet ook wel PEN-testen of penetratietesten. De bedoeling is om erachter te komen of onze systemen goed zijn beveiligd en niet kunnen worden binnengedrongen door hackers. Dat doen we niet zelf. Onze software wordt nog eens extra gecheckt op kwetsbaarheden.”
Verantwoordelijkheid
Bothof onderkent de verantwoordelijkheid die hij en zijn team hebben. Beveiliging van data en systemen is een groot punt. Een hack zorgt voor een directe bedreiging van de dienstverlening, de betrouwbaarheid en geloofwaardigheid van de organisatie. “En daarmee is het existentieel. Het is zaak om voortdurend, elke dag weer, alert te zijn. Dat zijn we dan ook.”
