Veiligheid van gebruikersdata e-learning ondergeschoven kindje

In een tijd dat de bescherming van onze privacy volop in de aandacht staat, zou het veilig kunnen uitwisselen van informatie zeker bij ICT-bedrijven vóór op het netvlies moeten staan . Bij veel van onze collega-bedrijven maar zeker ook hun opdrachtgevers is dat helaas niet het geval. Sterker nog: in de wereld van e-learning lijkt dataveiligheid een ondergeschoven kindje. 

Creapolis Media ontwikkelt online producten voor persoonlijke groei en organisatieontwikkeling. Recent hebben we voor het tweede achtereenvolgende jaar het ISO 27001 certificaat behaald. Daarmee geven we formeel de garantie dat alle informatie die via onze instrumenten wordt verzameld veilig is voor vreemde ogen.  

Het is niet eenvoudig om dit certificaat te behalen, want er worden strenge eisen aan onze systemen en programma's gesteld. Maar het is wel erg noodzakelijk. 

Want stelt u zich eens voor wat er gebeurt als bekend wordt dat u drie keer bent gezakt voor het behalen voor een certificaat in een vakgebied waarin u als specialist te boek staat? Of u maakt via een e-learning module een digitale beroepskeuzetest, waarbij u zo eerlijk mogelijk uw sterke maar ook uw zwakke kanten benoemt. Hoe zou u het vinden als die zeer persoonlijke gegevens op straat komen te liggen? 

Met name voor tools, waarvan de gebruiker gevraagd wordt zeer gevoelige informatie uit te wisselen, geldt dat de veiligheid van de data tot op het hoogste niveau moet kunnen worden gegarandeerd. Datalekken, falende systemen, hacks en erger: wij zijn het aan onze opdrachtgevers en hun klanten verplicht om er alles aan te doen om dit soort incidenten te voorkomen.

Hoe anders is de praktijk. Veiligheid blijkt voor velen een marginaal aspect te zijn. Anders valt niet te verklaren waarom Creápolis een van de weinige specialisten in e-learning blijkt zijn, die ISO 27001 gecertificeerd is. Dat op zichzelf is al een teken aan de wand. 

Maar welhaast nog verbazingwekkender is het dat opdrachtgevers die een e-learning tool laten ontwikkelen, verzuimen om dataveiligheid als voorwaarde in hun tenders mee te nemen. Zij laten zich o.a. door lage prijzen, verleiden om in zee te gaan met binnen- maar vooral ook buitenlandse bedrijven, waarvan volstrekt onduidelijk is hoe deze omgaan met dataveiligheid. Als er van een veiligheidsbeleid überhaupt al sprake is.

Veiligheid raakt de kwaliteit van e-learning modules. Hoe slechter de veiligheid van gebruikersdata kan worden gegarandeerd, hoe groter de kans op incidenten. En hoe groter de kans op incidenten, des te groter is de kans dat gebruikers het vertrouwen in e-learning verliezen.

Het bedrijfsleven zal daarom op veel grotere schaal dan nu het geval is het bewijs moeten leveren dat zij dataveiligheid hoog in het vaandel heeft staan. Opdrachtgevers op hun beurt zouden in elke aanbesteding op zijn minst moeten eisen dat de veiligheid van via e-learning modules verzamelde en opgeslagen gegevens gegarandeerd is. Bijvoorbeeld door van hun leveranciers een ISO 27001 certificaat te verlangen. 

We zullen er samen voor moeten zorgen dat de gebruikers van onze tools onbezorgd hun leer- en lesprogramma's kunnen doorlopen. Want zij zijn het die het meeste gevaar lopen en zich daar tegelijkertijd het minst bewust van zijn. Dat maakt de verantwoordelijkheid van opdrachtnemers en opdrachtnemers om serieus werk te maken van veiligheid alleen maar groter.

Peter Heijnsdijk, directeur en mede-oprichter Creapolis Media