Partner van Unive
Partner van Unive

Data in de keten van leverancier tot eindklant

Iedere ondernemer heeft te maken met leveranciers en afnemers. Samen vormen ze een keten waarin gegevens worden gedeeld. In dit Cyberthema kijken we naar het proces en hoe je dit kan controleren.

Data in de keten van leverancier tot eindklant

Data in de keten van leverancier tot eindklant

Een bakker kan geen brood bakken zonder bloem

Wat is een keten?

Het begrip keten wordt veel gebruikt om het proces te beschrijven dat begint met de winning van grondstoffen en eindigt bij de koop van een eindproduct door de klant. Grondstoffen kunnen mineralen zijn zoals ijzererts, maar ook graan. De grondstoffen worden geleverd aan een verwerker, dat is bij deze twee voorbeelden een hoogoven en een graanmolen. Vandaar gaat het verwerkte product naar een metaalbewerker of een bakker. De metaalbewerker maakt een onderdeel voor de fietsenmaker en de bakker bakt een brood. Beiden worden gekocht door de eindgebruikers. Zij vormen de laatste schakel in de keten.

In de praktijk zijn ketens veel complexer en altijd langer dan in deze twee voorbeelden. Zo is het transport tussen de partijen eigenlijk ook elke keer weer een aparte schakel. Verder is het onvermijdelijk dat meerdere grondstoffen worden gecombineerd om er een halffabricaat of eindproduct van te maken. De voorbeelden gaan over tastbare zaken, maar het verhaal gaat ook op voor diensten.

Wanneer komt het bloem aan en wat kost het?

Data binnen een keten

Of het nu gaat om producten of diensten er wordt data vergaard, bewerkt en opgeslagen. Niet iedereen in de keten heeft dezelfde hoeveelheid informatie nodig om zijn werk te kunnen doen.

Daarmee komt direct de eerste vraag aan de orde: wie heeft er zicht op, of toegang tot, die data- en informatiestromen? Direct daarop volgt de vraag hoe belangrijk die data is en welke bescherming daarvoor nodig is. In het Cyberthema over kroonjuwelen hebben we dat al voor een deel beschreven.

De eerder genoemde fietsenmaker krijgt de bestelling voor een fiets of onderdeel binnen. Hij noteert daarbij de gegevens van de klant. Het gaat daarbij om persoonsgegevens, zoals naam,  adres, telefoonnummer en mogelijk ook bankgegevens als er vooraf is betaald. Die data is alleen voor de fietsenmaker van belang. De bestelling zet hij door naar zijn groothandel, die heeft de persoonsgegevens echt niet nodig. De fietsenmaker mag de data niet eens verstrekken, zonder nadrukkelijk toestemming van zijn klant. Mogelijk moet de groothandel het onderdeel of de fiets bij de fabrikant bestellen. Ook dan zijn er geen gegevens van de eindklant nodig en het is zelfs nog maar de vraag of de fabrikant moet weten van welke fietsenmaker de opdracht bij de groothandel afkomstig is.

Maar deze drie schakels, de fietsenmaker, de groothandel en de fabrikant, moeten wel een hoop andere data delen. Naam van het onderdeel, de specificaties, de methode van verzenden en data voor de chauffeurs. Dat is data die voor de eindklant niet relevant is. Voor de andere partijen in de keten is het essentiële informatie. Als er iets niet goed is met die data hebben ze er direct last van en aan het einde van de keten is er dan een ontevreden klant. Onze fietsenmaker heeft er dus alle belang bij dat er niets raars gebeurt. Met de data die hij in de keten aanlevert en de data die de partijen elders in de keten leveren. Maar wat kan hij daaraan controleren?

 

Data in de keten van leverancier tot eindklant
Data in de keten van leverancier tot eindklant

Hoe controleer ik mijn data in de keten?

Het controleren of partijen waarmee men zaken doet zich aan de regels houden wordt vaak een audit genoemd. Het woord compliance komt ook veel voor. Dat laatste betekent ongeveer “Zeg wat je doet, en doe wat je zegt”. Een audit is een ander verhaal. Dat gaat een externe deskundige, de auditor, na of de leverancier zich aan de contractuele afspraken houdt. De kans dat onze fietsenmaker een auditor naar al zijn leveranciers stuurt is minimaal.

Maar toch is er wel een procedure nodig om vast te stellen of iedereen in de keten de nodige maatregelen treft om het ontvangen en versturen van data veilig te houden. Hoe kan jij dat doen?

Inventarisatie eigen processen

Het meest praktische is te beginnen aan de eigen kant. De eerdere werkpakketten hebben het al een paar genoemd: maak periodiek een inventarisatie van je eigen processen, datastromen en de veiligheidsprocedures die daar bij horen, zoals MFA. Uit die lijst zal ook blijken met wie je data deelt.

Van alle informatie die je deelt met de leveranciers kun je vervolgens per software pakket of applicatie navragen of dat op een veilige manier in ontvangst wordt genomen en opgeslagen. Als een leverancier voor jou belangrijke data via een onbeveiligde webpagina (zonder het groene slotje) ontvangt en deelt zou je hem daar best op mogen wijzen. Het omgekeerde geldt ook, want jij vergaart natuurlijk zelf ook data.

Calamiteit

Als je met de partijen in de keten zicht hebt hoe wat en hoe veilig de datastromen zijn kun je gaan kijken naar een andere belangrijk vraagstuk. Wat er gebeurt bij een calamiteit?

Denk eens aan de vrachtbrief voor een bestelling. Als die om welke reden dan ook niet uit de printer rolt, kan de groothandel dan wel het fietsonderdeel bij de fietsenmaker door de koeriersdienst laten bezorgen? Ander herkenbaar voorbeeld is het uitvallen van de internet- en telefoonverbinding. Als de groothandel door storing niet bereikbaar is, wat ga je dan doen?

In beide gevallen is de kans groot dat in zeer korte tijd bij meerdere schakels in de keten vertragingen ontstaan. Daar zal dan terecht de meeste aandacht naar uitgaan. Wat echter niet over het hoofd gezien mag worden is dat bij dergelijke calamiteiten ook data in het spel is. Wat gebeurt daar mee als er geen bestellingen geplaatst kunnen worden?

Begrijpen met welke ketens je te maken hebt en waar de afhankelijkheden en kwetsbaarheden zitten wordt steeds belangrijker. Grote ondernemingen lossen dat op met omvangrijke audits. Bij die audits worden de data en datastromen serieus onder de loep genomen.

Het MKB moet ook vaker en beter naar de datastromen gaan kijken, want zonder data staat het bedrijf en de keten waar men deel van uitmaakt stil. Men zal met eigen inventarisaties aan de slag moeten gaan. Dat klinkt complex, maar dat valt mee, helemaal omdat de voorgaande werkpakketten daar goed op aansluiten.

 

Vermoeden van Cybercrime?

Univé Cyberhulp voor ondernemers

Bij urgente problemen kunnen klanten van Univé met een schade- of zorgverzekering gratis gebruik maken van de Cyberhelpdesk.

Vermoeden van cybercrime?

Bel direct 0592 74 22 22
Wij staan 24/7 voor je klaar