“Security is geen belofte. Het is een ontwerpkeuze.”
In gesprek met Marcel de Brauwer, directeur van HR2day, over beveiliging, vertrouwen en waarom datasoevereiniteit vaak de verkeerde discussie is.
Jullie werken met gevoelige persoonsgegevens. Hoe zorgen jullie dat die echt veilig is?
“Dat begint bij een fundamentele keuze: wij bouwen niet alles zelf maar op een platform dat security als kerncompetentie heeft. Voor ons is dat Salesforce. Dat betekent dat we vanaf dag één gebruik maken van een infrastructuur waarin miljarden per jaar worden geïnvesteerd in beveiliging, monitoring en dreigingsdetectie. Dat is geen feature, dat is de basis van het platform. Daarbovenop maken wij hele bewuste keuzes hoe we toegang regelen, hoe data wordt gebruikt en hoe koppelingen zijn ingericht. “Security is bij ons dus niet achteraf ingebouwd, maar in de architectuur zelf.”
Wat maakt die aanpak sterker dan zelf bouwen en beheren?
“Wij hebben HR2day gebouwd binnen de architectuur van het Salesforce-platform. Dat betekent dat fundamentele security principes zoals identity management, toegangscontrole, logging, encryptie en beveiligde integraties, al diep in het platform verankerd zijn. Dat was voor ons vanaf het begin een bewuste keuze. We werken met gevoelige persoonsgegevens dus security moest niet iets zijn dat je achteraf toevoegt maar iets dat structureel onderdeel is van de technologie waarop je bouwt.
Daarnaast maken wij zelf uiteraard ook bewuste keuzes in hoe processen, autorisaties en koppelingen voor klanten worden ingericht. Maar altijd binnen een platform architectuur die security en compliance als uitgangspunt heeft.”
Tegelijk zien we dat incidenten vaak via gebruikers ontstaan, zoals bij Odido. Hoe kijk jij daarnaar?
“Dat incident laat precies zien waar het echte risico zit: niet in het platform, maar in menselijk gedrag. Daarom is het belangrijk dat je niet alleen vertrouwt op technologie maar ook kiest voor een platform dat gebruikersrisico’s actief verkleint.”
“Salesforce liep hierin voorop en stelde als één van de eerste grote leveranciers van bedrijfssoftware multi-factor authenticatie verplicht. Toen wij dat aan onze gebruikers voorlegden vroegen velen zich af waarom dat nodig was en zeiden dat het vooral ‘gedoe’ was. Inmiddels vindt iedereen dit normaal en gaat Salesforce alweer verder met maatregelen die phishing en social engineering nog moeilijker maken.”
“Bij HR2day trekken we die lijn door: we schalen momenteel intern op naar phishing-resistente authenticatie. Hiermee maken we het type aanval dat je bij Odido zag nagenoeg onmogelijk. Juist door deze stap nu al te zetten, leggen we de basis waar onze klanten straks direct op mee kunnen liften dankzij de infrastructuur van een grote wereldspeler Security is dus niet één maatregel maar een combinatie van platformkeuze én hoe je die gebruikt.”
Veel organisaties hebben het nu over datasoevereiniteit. Hoe kijk jij naar die discussie?
“Het is goed dat organisaties kritischer kijken naar hun data. Maar ik zie dat de discussie vaak te simplistisch wordt. Wij zijn een Nederlandse onderneming en krijgen daarom veel vertrouwen. Maar ook wij maken gebruik van een Amerikaanse partner. De belangrijkste vraag is hoe de beveiliging, continuïteit en schaalbaarheid geregeld zijn. Daarbij hoort: waar staat mijn data, onder welke wetgeving valt die, hoe zijn contracten ingericht en wie kan er onder welke voorwaarden bij? Als je dat goed regelt, heb je feitelijke controle. Nationaliteit alleen zegt daar weinig over.”
Jullie bouwen op een Amerikaans platform. Is dat geen risico?
“Die vraag is logisch, en daarbij hoort ook de discussie rondom de Amerikaanse Cloud Act. Die wet geeft Amerikaanse autoriteiten onder voorwaarden de mogelijkheid om data op te vragen bij Amerikaanse technologiebedrijven. Dat is een reëel juridisch vraagstuk en organisaties moeten zich daar bewust van zijn. Maar het antwoord zit uiteindelijk in de details, niet in de vlag.”
“Zo’n inzageverzoek betekent niet dat een overheid zomaar toegang krijgt tot klantdata. Dit soort verzoeken is zwaar geprotocolleerd en partijen als Salesforce investeren al jaren in juridische en technische maatregelen om klantdata daartegen te beschermen en verzoeken actief aan te vechten waar dat kan.”
“Daarnaast bestaan er aanvullende beschermingsmaatregelen voor organisaties die maximale controle willen, zoals eigen sleutelbeheer waarbij organisaties zelf de encryptiesleutels beheren. Daarmee kun je feitelijk uitsluiten dat een platformleverancier zonder toestemming toegang kan geven tot data.
Uiteindelijk gaat het niet om de nationaliteit van een leverancier, maar om de vraag: welke technische, contractuele en organisatorische maatregelen zijn daadwerkelijk genomen om data te beschermen?”
Wat moeten organisaties volgens jou vooral wel en niet doen in deze discussie?
“Stel betere vragen. Niet alleen: ‘Waar komt deze leverancier vandaan?’ Maar ook:
- Waar staat mijn data precies?
- Wie heeft er toegang tot de data?
- Hoe is de toegang technisch en organisatorisch geregeld?
- Wat gebeurt er met de data bij een overstap (exit-strategie)?
- Hoe zijn de back-ups en het herstel geregeld?
- Welke technische en contractuele waarborgen zijn vastgelegd?
- Wat staat er op de security roadmap voor de toekomst?
En wees eerlijk over de afweging.
Absolute datasoevereiniteit bestaat niet. En wie daar maximaal op stuurt, levert vaak in op betrouwbaarheid en beveiligingsniveau. De echte keuze is niet tussen ‘Amerikaans’ of ‘Nederlands’. De echte keuze is: “Ga je voor een gevoel van controle of voor aantoonbare controle?”
Tot slot: waar staan jullie zelf voor?
“Wij werken met de meest gevoelige data die er is: persoonsgegevens. Daarom hebben we vanaf het begin gekozen voor een aanpak waarin security, privacy en betrouwbaarheid leidend zijn. Niet als marketingterm, maar als ontwerpprincipe. Datasoevereiniteit is daar een onderdeel van. Maar nooit het uitgangspunt. Vertrouwen verdien je niet met woorden maar met hoe je je systeem inricht.”
