‘De opvatting dat bedrijven niets met moraliteit te maken hebben, is irrelevant’

  1. 27 okt 2016
  2. 0 reacties

Nu steeds meer bedrijven data verzamelen en daar op vertrouwen voor het nemen van beslissingen, neemt het belang van veiligheid met de dag toe. Maar bij het beveiligen van informatie houden organisaties nog te weinig rekening met menselijk gedrag, vindt Frank Buytendijk van Gartner. Hij stelt bovendien dat het geloof in data dogmatische vormen begint aan te nemen. Een ontwikkeling waar hij voor waarschuwt in zijn sessie op de vakbeurzen Infosecurity.nl, Storage Expo en The Tooling Event, die 2 en 3 november 2016 plaatsvinden in Jaarbeurs in Utrecht. “Veel bedrijven denken dat ze losstaan van ethiek, maar daar denkt de maatschappij anders over.”

Buytendijk werkt bij onderzoeksbureau Gartner als Research Fellow en houdt zich bezig met digitale ethiek, en met data en analytics. In die rol adviseert hij bedrijven op het gebied van technologie en moraal, en helpt hij ze bij het opstellen van een data- en analytics-strategie. Ook richt hij zich op scenarioplanning en de impact die technologie heeft op onze maatschappij. “Een interessante ontwikkeling die je nu ziet, is dat sommige ziektekostenverzekeraars klanten gaan voorzien van smartwatches”, zegt hij. “Die houden dan bij hoeveel je op een dag beweegt, hoeveel groenten je koopt – hoe gezond je leeft, dus. Op basis van die informatie kunnen verzekeraars hun klanten voorzien van beloningen of van een korting op de premie. De verzekeraar dekt zo geen risico meer af, maar voorkomt het.”

frankinaction2 Frank Buytendijk van Gartner

Gevoelig punt

Dat dit een onderwerp is dat gevoelig ligt, blijkt volgens Buytendijk wel uit de commotie die is ontstaan nu de Tweede Kamer zorgverzekeraars toestaat om bij fraudeonderzoek de medische gegevens van patiënten in te zien. “Uit al die ophef wordt duidelijk hoe gevoelig het punt ligt, ook vanuit ethisch standpunt. En nu data steeds belangrijker worden voor bedrijven, is digitale ethiek een onderwerp waar ze steeds vaker mee te maken gaan krijgen. Hoe zorg je ervoor dat er met al die informatie geen gekke dingen gebeuren?”

Om daarvoor te zorgen, moeten bedrijven allereerst zelf de juiste morele keuzes maken, vindt Buytendijk. “Dat zal bij sommige bedrijven dan wel om een aanpassing vragen van hun manier van denken. In de Angelsaksische zakelijke cultuur is het een veelvoorkomende mening dat bedrijven amoreel zijn en losstaan van ethiek. Dat kun je misschien wel vinden, maar klanten – en de maatschappij – denken daar anders over. Die beoordelen een bedrijf wel met een morele lens. De opvatting dat je als bedrijf niets met moraliteit te maken hebt, is dus irrelevant.”

Rekening houden met menselijk gedrag

Daarnaast is het belangrijk dat bedrijven hun veiligheid op orde hebben. “Wat daar vaak misgaat, is dat bedrijven te weinig rekening houden met menselijk gedrag”, stelt Buytendijk. “Stel dat een bankmedewerker voor het afhandelen van transacties van meer dan 2.500 euro toestemming van een leidinggevende nodig heeft als vangnet om fraude met hoge bedragen te voorkomen. Als je te veel vertrouwt op de werking van zo'n protocol en te weinig let op ongebruikelijk gedrag, merk je het dus niet als die medewerker elke dag 2.499 euro naar zijn eigen rekening overmaakt. Want alles gaat dan toch volgens de regels!”

Beter is het volgens Buytendijk dan ook om te werk te gaan als het Amerikaanse Amazon. “De zoon van een vriend van me kwam er bij het retourneren van een gekocht artikel achter dat je, als je een klacht indient, niet alleen je geld terugkrijgt – maar als goedmakertje ook een tegoedbon krijgt. Die dacht dus heel handig een stuk of acht keer iets te bestellen en weer terug te sturen, zodat hij met al die tegoedbonnen vervolgens gratis spullen kon bestellen. Amazon heeft echter algoritmes die aanslaan op dit soort ongebruikelijk gedrag, en die ingrepen door niet alleen zijn account te blokkeren, maar ook leveringen naar zijn adres.”

Kritisch blijven denken

Als een ander voorbeeld van het belang om beveiliging vooral te baseren op gedrag, noemt Buytendijk een ziekenhuis. “Daar staan veel gevoelige patiëntgegevens opgeslagen. Daar moet je niet zomaar bij kunnen. Behalve wanneer een arts op de spoedafdeling snel gegevens moet kunnen opvragen, zonder daarbij eerst allemaal protocollen te doorlopen. Beter is het dan om iedereen op zo’n afdeling vrije toegang te geven tot alle patiëntinformatie, maar wel in de gaten te houden welke informatie ze opvragen. Op het moment dat je ziet dat iemand twaalf dossiers opvraagt terwijl er geen spoedoperaties waren, kun je daarop aanslaan, omdat het ongebruikelijk gedrag is.”

Maar ook met deze manier van werken moeten bedrijven kritisch blijven, waarschuwt Buytendijk. Daarbij wijst hij op een voorval dat onlangs plaatsvond in Amerika. “Daar was een man met twee hobby’s: wandelen en koken. Dan is het niet heel gek dat in je Google-geschiedenis zoekopdrachten naar zowel een rugzak als een snelkookpan voorkomen. Maar in een tijd waarin die twee voorwerpen werden gebruikt bij aanslagen, is het ook een combinatie die alarmbellen doet rinkelen. Die man kreeg dus de FBI op bezoek, omdat een IT’er op het werk ze had ingelicht. Dat is wat in de wetenschap een ‘false positive’ wordt genoemd. En een voorbeeld van hoe het blind afgaan op gebeurtenissen die aan een patroon voldoen, verkeerd kan uitpakken.”

Data en de waarheid

Volgens Buytendijk is het dan ook vooral belangrijk dat bedrijven zich realiseren dat data en de waarheid niet altijd hetzelfde zijn. “Data zijn nooit objectief. Je kunt ze altijd op verschillende manieren meten, interpreteren en aan een ander uitleggen. Veel bedrijven zien data als de olie van de 21e eeuw en duiken er bovenop zonder na te denken over wat er fout kan gaan. Niemand stelt het geloof in data meer ter discussie, het begint bijna dogmatische vormen aan te nemen. Dat kan volledig verkeerd uitpakken.”