‘Exportvergunningen zijn vaak vergeten gat in informatiebeveiliging’

Bij informatiebeveiliging wordt vaak aangegeven dat het gaat om het bewust of onbewust lekken van gegevens. Eén aspect wordt daarbij nog wel eens over het hoofd gezien: exportvergunningen. Welke producten en bijbehorende informatie mag een bedrijf wel of niet aan bepaalde landen, bedrijven of personen leveren? “Dat onderwerp heeft te maken met zowel security als compliance en risk management”, zegt Richard Groenendijk,General  Manager van AEB Nederland. “Met name handelen op basis van de laatste stand van zaken is hierbij erg lastig. Wie dit niet goed aanpakt, kan tegen hoge boetes aanlopen en bovendien kan gevoelige informatie in verkeerde handen vallen.”

Richard Groenendijk is General Manager van AEB Nederland

De relatie tussen exportvergunningen en informatiebeveiliging zal niet voor iedereen direct duidelijk zijn. Toch is die er wel degelijk, meent Richard Groenendijk van AEB Nederland. Deze dochter van het Duitse softwarebedrijf AEB richt zich met name op grote SAP-gebruikers die veel producten leveren aan buitenlandse klanten.

“We hebben het hier heel nadrukkelijk over compliance en risk management. Lang niet ieder product of kennis of informatie van het product mag zomaar aan een buitenlandse afnemer worden geleverd. Daar bestaan duidelijke regels over. Op het overtreden van die regels staan vaak hele forse boetes. Overheden willen nu eenmaal voorkomen dat bepaalde producten in verkeerde handen kunnen vallen zijn.”

Actuele content

Of een product geleverd mag worden, is - in ieder geval in theorie - eenvoudig vast te stellen door te controleren of het te leveren product is geplaatst op een lijst met verboden goederen. Het kan hierbij gaan om bepaalde producten die niet geleverd mogen worden. Of om personen, bedrijven of landen waaraan niet mag worden geleverd. Groenendijk: “Het probleem is alleen dat dit soort lijsten erg uitgebreid zijn en bovendien regelmatig veranderen. Er moet dus continu worden gecheckt of een levering wel is toegestaan. Handmatig checken is door de lange lijsten en de frequente wijzigingen niet haalbaar. Bedrijven doen er dus goed aan om dit procesmatig en langs geautomatiseerde weg aan te pakken.”

De bekende leveranciers van enterprise-software - denk aan SAP, Oracle, Microsoft en dergelijke - leveren hiervoor weliswaar oplossingen, maar volgens Groenendijk voldoen die in de praktijk maar zeer ten dele. “Het gaat vaak om complexe oplossingen die duur in aanschaf zijn en die zich bovendien lastig laten implementeren. Ook is de software vaak niet voldoende flexibel. En een heel groot probleem is dat - zoals wij dat noemen - de content niet altijd even gemakkelijk kan worden geraadpleegd. Met andere woorden: heb je dan eenmaal die complexe software draaien, dan blijkt het nog heel lastig om vervolgens met de laatste lijsten met verboden goederen, personen en dergelijke te werken.”

Maatregelen

Wat hier duidelijk meespeelt, denkt Groenendijk, is dat voor de bekende aanbieders dit soort functionaliteit maar een van de vele modules is die in hun software zit. “Men heeft het wel, maar het heeft geen prioriteit.” AEB richt zich daarentegen nadrukkelijk op compliance en risk management in onder andere de wereld van supply chain management en heeft hierdoor in de loop van de jaren veel ervaring opgebouwd.

“Het is van cruciaal belang dat het controleren of een product aan een buitenlandse afnemer mag worden geleverd volledig is geïntegreerd in de werkprocessen van een bedrijf. Stel dat een verkoper op een beurs of aan de telefoon met een nieuwe en hem onbekende klant te maken krijgt. Dan dient al bij het aanmaken van die klant in een CRM- of verkoopsysteem een check plaats te vinden. Maar die check moet dus wel gedaan worden op een database die tot op de minuut wordt bijgehouden. Wij hebben software ontwikkeld die daadwerkelijk in het verkoopproces ingrijpt zodra blijkt dat een klant of een bedrijf wordt ingevoerd die op deze lijst staat. Of waarvan de naam of de omstandigheden verdacht zijn. We hebben een hele reeks van regels ontwikkeld die gezamenlijk een inschatting maken of een klant al of niet verdacht is. Vergeet hierbij niet dat de kans natuurlijk groot is dat men zal proberen om die verkoper om de tuin te leiden.  Levert die check een hit op, dan kunnen daar allerlei maatregelen aan worden gekoppeld. Dat kan variëren van een harde blokkering van het verkoopproces tot een escalatie naar het management of desnoods een juridische afdeling of een compliance officer.”

Onvoldoende urgentie

In de praktijk merkt Groenendijk dat grote bedrijven zich op zich wel bewust zijn van het feit dat zij op dit gebied duidelijke maatregelen moeten nemen, maar dat de urgentie nog wel eens ontbreekt. “Dat is niet verstandig. Met name voor bedrijven die ook in de Verenigde Staten actief zijn, kunnen de gevolgen van het overtreden van handelsrestricties enorm zijn. Het kan gaan om stevige boetes, maar ook om maatregelen als het intrekken van vergunningen en dergelijke.” Maar dit geldt ook voor bedrijven die geen zaken doen met Amerika, maar waarbij hun informatie wel via Amerikaanse servers loopt. Die vallen dan immers onder Amerikaans recht. Dit wordt veelal over het hoofd gezien, maar de Amerikaanse sanctiewetgeving heeft een extra extraterritoriale werking en dient ook in ogenschouw genomen te worden.

Overigens gaat het bij dit soort handelsmaatregelen niet alleen maar om het voorkomen dat bepaalde goederen in handen van verkeerde landen of personen komen. “Groene verf kan gebruikt worden voor decoratie, maar ook voor een militair doel. Het gaat echter nog veel verder. Denk bijvoorbeeld ook aan de ‘intellectual property’ en de technologische kennis die op die manier in handen van verkeerde personen of bedrijven kan vallen”, aldus Groenendijk.

Robbert Hoeffnagel