Een paradigmaverschuiving in e-commerce: Near-Zero-Knowledge

10 augustus 2021 Consultancy.nl 7 min. leestijd

E-commerce op basis van minimaal gebruik van data biedt kansen voor kostenverlaging. Bedrijven kunnen structureel besparen op hun cybersecuritykosten, lopen minder risico op reputatieschade en mogen rekenen op meer vertrouwen van hun klanten. Vincent Jansen, Leon Kluiters en Constantijn Molengraaf van Innopay leggen uit. 

De voordelen van het verzamelen en delen van persoonsgegevens voor e-commerce bedrijven zijn evident. Doordat zij met data hun klanten beter van dienst kunnen zijn – bijvoorbeeld door het verbeteren van het gebruikersgemak – kan de omzet verder groeien. Echter, het verzamelen van persoonsgegevens heeft ook een prijs. Het beveiligen van deze gegevens is een groeiende kostenpost. 

Desondanks lijken bedrijven de status-quo in stand te houden door niet actief op zoek te gaan naar alternatieven die dezelfde functionaliteiten bieden, zonder dat zij daarvoor persoonsgegevens hoeven te verzamelen. Het gebrek aan ontwikkeling en gebruik van deze alternatieven is opmerkelijk, des te meer omdat er een passend alternatief binnen handbereik is, namelijk: ‘Near-Zero-Knowledge’ (NZK) waarbij e-commerce minimaal gebruikmaakt van persoonsgegevens.De e-commerce markt groeit

Bij Innopay zijn wij ervan overtuigd dat NZK e-commerce bedrijven een structurele kostenbesparing op het gebied van informatiebeveiliging kan opleveren, reputatieschade als gevolg van een datalek minimaliseert en het digitaal vertrouwen vergroot. Tegelijkertijd kunnen deze bedrijven de gebruikerservaring en omzetpotentie van vandaag behouden. 

Datalekken

In 2013 resulteerde een cyberaanval op het Amerikaanse warenhuis Target tot het verlies van de creditcard- en persoonsgegevens van 110 miljoen consumenten. Een recenter voorbeeld is het grootse datalek ooit in Nederland van eerder dit jaar, waarbij de persoonsgegevens van 3,6 miljoen Nederlandse en Belgische klanten van e-commercebedrijf Allekabels op straat kwamen te liggen.

Er zijn verschillende verklaringen (bijvoorbeeld gebrekkige beveiliging, slecht management of naïviteit) waarom juist Target en Allekabels slachtoffer werden van een cyberaanval. De belangrijkste reden is echter dat, omdat deze bedrijven persoonsgegevens verzamelen, ze een interessant doelwit zijn voor cybercriminelen. Gestolen bankgegevens worden via het dark web verkocht voor ongeveer €50 per account en een Gmail-account levert al snel meer dan €130 op.

Target en Allekabels zijn uiteraard niet de enige bedrijven die persoonsgegevens opslaan van hun klanten. Het is een kwestie van tijd voordat de volgende datalek plaatsvindt. 

Vrijwel alle e-commerce bedrijven, groot of klein, verzamelen persoonsgegevens:

Persoonsgegevens worden verzameld om verschillende e-commerce functies te leveren

Zij doen dat om diverse e-commercefuncties te kunnen leveren en de risico’s die inherent zijn aan e-commerce te kunnen managen. Bijvoorbeeld: NAW-gegevens worden gebruikt om verzendingen te verwerken, betaalgegevens worden gebruikt om betalingen van bestaande klanten te versimpelen en de geboortedatum van een klant wordt gebruikt om een cadeautje te sturen.

Daarnaast gebruiken zij persoonsgegevens om klantprofielen te bouwen voor marketingdoeleinden, voor het aanbieden van diverse diensten en voor het beheren van risico’s op het gebied van fraude en betaling.

Bovendien werken e-commercebedrijven vaak met veel verschillende partners en leveranciers. En dat maakt dat persoonsgegevens vaak gedeeld en gekopieerd worden. Een voorbeeld is Bol.com, dat in principe persoonsgegevens kan delen met een heel netwerk van derde partijen:

Persoonsgegevens worden gedeeld met anderen

IT-beveiliging verhoogt de kosten

Hoewel de voordelen van het opslaan en delen van persoonsgegevens evident zijn, is het beschermen van diezelfde persoonsgegevens één van de belangrijkste oorzaken van de groeiende kosten die e-commercebedrijven maken voor digitale beveiliging. Per slot van rekening kunnen bedrijven die als gevolg van een hack of datalek persoonlijke gegevens verliezen reputatieschade oplopen en zwaar beboet worden door de regulerende instanties. 

Zo voorziet de GDPR in de EU in de mogelijkheid boetes op te leggen tot 4% van de wereldwijde omzet. Een groeiende e-commercemarkt, zowel in aantal bedrijven als in de omzet per bedrijf, verhoogt zowel het risico op reputatieschade als de hoogte van de boete als geheel in de sector. Daarnaast maakt deze groei de e-commercemarkt als geheel een aantrekkelijker doelwit voor cybercriminelen.

De informatiebeveiligingsmarkt laat dan ook een sterke groei zien. Dit geldt voor zowel de kosten gerelateerd aan datalekken en cybercriminaliteit, als voor de uitgaven die organisaties doen aan cybersecurity: 

De markt voor cybersecurity groeit

Aangezien het huidige e-commercesysteem het verzamelen van persoonsgegevens stimuleert, lijken bedrijven niet in staat om de risico’s en kosten die hiermee gepaard gaan structureel te verlagen. Er wordt niet tot nauwelijks gebruikgemaakt van alternatieven die de verzameling van persoonsgegevens minimaliseren en omdat e-commercebedrijven deze status quo niet uitdagen door op zoek te gaan naar oplossingen worden er geen nieuwe alternatieven ontwikkeld.

Het alternatief: Near-Zero-Knowledge

Innopay gelooft in de paradigmaverschuiving naar Near-Zero-Knowledge e-commerce. Deze volstrekt nieuwe wijze van denken en werken die gebaseerd is op het verzamelen van veel minder persoonsgegevens verlaagt de beveiligingskosten drastisch maar biedt wel dezelfde voordelen voor klanten en bedrijven als voorheen.

Bij NZK e-commerce verschuift het verzamelen en delen van persoonsgegevens van e-commercebedrijven naar gespecialiseerde derde partijen, zogenaamde ‘identity serviceproviders’, die de digitale identiteiten van klanten beheren. 

In het geval van NZK e-commerce heeft ieder bedrijf in het e-commerce-ecosysteem alleen toegang tot die data die nodig is voor het verlenen van zijn dienst. Dit zou als volgt kunnen werken: op verzoek van de klant maakt de identity serviceprovider een token die kan worden gebruikt in het e-commercesysteem. 

Deze token stelt e-commercebedrijven en andere dienstverleners in staat om een klant te herkennen, zodat zij de benodigde persoonsgegevens voor hun dienstverlening kunnen opvragen bij de identity serviceprovider. Bedrijven maken uitsluitend gebruik van deze data voor het verlenen van de gevraagde dienst.

In dit scenario hoeft alleen de identity serviceprovider de persoonsgegevens te beveiligen en op te slaan, en dat resulteert in structureel lagere informatiebeveiligingskosten voor e-commercebedrijven en hun dienstverleners. Daarnaast neemt het digitaal vertrouwen van de klant in de e-commercebedrijven toe omdat minder data gedeeld wordt, waardoor de klant minder risico loopt. 

De identity serviceprovider zou een kleine, gespecialiseerde partij kunnen zijn, maar deze rol zou ook vervuld kunnen worden door de grote e-commercebedrijven. In Nederland doet bijvoorbeeld Bol.com dit al deels door klanten de mogelijkheid te geven hun Bol.com-inloggegevens te gebruiken om in te loggen bij de webwinkels van Albert Heijn en Waardijk.

De ingrediënten voor het ontwikkelen voor soortgelijke oplossingen zijn al wijdverbreid. Draag bij aan het verschuiven van het paradigma en sluit je bij ons aan om samen de mogelijkheden van NZK e-commerce verder te verkennen onder het motto: the less you know, the more you grow…

Innopay brengt geïnteresseerde organisaties graag samen om dit onderwerp verder te verkennen. Wie belangstelling heeft om bij te dragen aan de discussie of wie op de hoogte wil blijven, kan contact opnemen met Innopay.