Gegevens zijn onmisbaar als je de perfecte zakenreis wilt samenstellen die op de voorkeuren van de reiziger is afgestemd. En die gegevens – die gekoppeld zijn aan mensen, bedrijven en transacties – moeten worden beschermd. Vice President of Technology, Products & Innovation Russel Howell en Chief Information Officer Sherron Burgess van BCD Travel leggen uit hoe het travel management-bedrijf alle gegevens beschermt die aan bod komen bij een zakenreis.
Wat kenmerkt de inspanningen van BCD Travel op het gebied van gegevensbescherming?
HOWELL: Investeringen. Het gegevensbeschermingsteam van BCD is in de afgelopen tien jaar flink uitgebreid. Dat komt doordat de technologieën steeds gepaard blijven gaan met nieuwe veranderingen en risico’s, maar ook omdat de directie bereid is om wereldwijd tijd en middelen te investeren in datgene wat belangrijk is voor onze klanten en het succes van ons bedrijf.
Hoe kun je gegevensbescherming waarborgen terwijl er zoveel verandert?
BURGESS: Wij gaan consistent te werk op basis van een strategie en volgens bepaalde methoden. We kennen onze beweegredenen. Dat wil zeggen: we weten waarom we bepaalde maatregelen treffen of investeringen doen.
Wat betekent ‘consistent te werk gaan op basis van een strategie en volgens bepaalde methoden’ concreet?
BURGESS: Onze gegevensbeschermingsstrategie is gebaseerd op vier basisprincipes: Het eerste principe is prioriteiten stellen. Concreet betekent dit dat we tijd en middelen investeren in zaken die waarschijnlijk de grootste positieve impact hebben op de koers en de behoeften van ons bedrijf. We zijn grote liefhebbers van gegevens, dus we berekenen de mogelijke impact aan de hand van prioriteitencijfers. Ten tweede zorgen we ervoor dat de basis klopt. We passen beleidsregels, naleving, training en technologische maatregelen dus altijd consistent toe.
Ons derde principe noemen we ook wel ‘slimme verbeteringen’. We gebruiken de resultaten van onze regelmatige en uitgebreide audits als leidraad voor onze verbeterpunten. Ten slotte beheren we mogelijke bedreigingen door te focussen op GRC:governance, risk and compliance, oftewel bestuur, risico’s en naleving. Dat is een gestructureerde aanpak waarbij we de informatietechnologie afstemmen op de bedrijfsdoelen en zo de risico’s beperken.
HOWELL: Via onze vier principes helpen we onze klanten om ook hun eigen prioriteiten op het gebied van technologie en gegevensbescherming te beoordelen. Wanneer we zien dat er in bepaalde markten specifieke risico’s veel voorkomen, delen we die informatie met de klant en leggen we uit waarom het verstandig is om hun beveiligingsmaatregelen aan te scherpen.
Welke rol spelen ISO-certificeringen en audits in jullie aanpak op het gebied van gegevensbescherming?
HOWELL: Wij schakelen onafhankelijke auditors en beoordelaars in om te waarborgen dat we de beste methoden toepassen en voortdurend blijven verbeteren. We voldoen aan de gangbare normen. Dergelijke beoordelingen zijn dus geen momentopnamen.
Welke hoofdaudits laat BCD uitvoeren en over welke certificaten beschikken jullie?
BURGESS: Het ISO 27001:2013-certificaat voor Information Security Management System [ISMS] toont aan dat BCD de best practices op het gebied van informatiebeveiliging volgt. Onze datacenters zijn ISO 9001:2008- en ISO 27001:2013-gecertificeerd voor beveiligings-, redundantie- en rampherstelmaatregelen.
De SSAE18 SOC 1-audit type 2 is voornamelijk van toepassing op de financiële afdelingen in de VS, maar omdat informatiebeveiliging een onderdeel is van de beheersingswerkzaamheden, valt dit hier ook onder.
Met het Payment Card Industry Data Security Standard-certificaat [PCI DSS] wordt bevestigd dat we aan alle vereisten voldoen op het vlak van de bescherming van kaarthoudergegevens en dat onze netwerken worden gescand op kwetsbaarheden. Met het ISO 14001:2015-certificaat voor het milieumanagementsysteem [MMS] erkent onze inspanningen om onze duurzaamheidsdoelen te halen.
Met het ISO 9001:2008-certificaat voor kwaliteitsmanagementsystemen [KMS] wordt verklaard dat de gegevenskwaliteit van BCD bij de hoogste in de branche is. De certificering heeft betrekking op boekingen en reserveringen en ook op de klantgegevens die wij verzamelen, waaronder die van derden. We werken met een eigen, zelfstandige Global Data Quality Tool die alle inkomende gegevens controleert voordat ze in de database worden opgeslagen. Als de gegevens niet voldoen aan de kwaliteitsnormen die wij en onze klanten hebben gesteld, worden ze ter correctie teruggestuurd naar de persoon die ze heeft ingediend. Dankzij onze kwaliteitscontrole weten we zeker dat we correcte gegevens invoeren en dat er dus ook betrouwbare rapporten aan de andere kant worden gegenereerd.
Waarom is gegevenskwaliteit zo belangrijk voor BCD en jullie klanten?
HOWELL: De kernwoorden van onze waardepropositie zijn innovatie, samenwerking en eenvoud. Zonder gegevens kunnen we al deze beloften aan onze klanten niet waarmaken. Onze klanten gebruiken de door ons verstrekte gegevens voor belangrijke zakelijke beslissingen, en daarom moet de kwaliteit van de gegevens zo hoog mogelijk zijn. Klanten moeten op basis van deze gegevens betrouwbare inzichten kunnen verwerven, zodat ze vol overtuiging kunnen handelen. De ISO9001-certificering van onze gegevenskwaliteitsprocessen is een weerspiegeling van onze belofte op het gebied van gegevenskwaliteit. We hebben vernomen dat BCD Travel het enige travel management-bedrijf is dat over dit certificaat beschikt.
Is de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie van invloed geweest op de manier waarop BCD omgaat met de gegevensbeveiliging en de privacy van personen?
BURGESS: Privacy is een zeer complexe kwestie, maar geen nieuwe. Ons bedrijf is in Europese handen en al jarenlang stellen wij gegevensbeschermingsnormen op aan de hand van de strenge privacywetgeving. De AVG zien we gewoon weer als iets nieuws waar we rekening mee moeten houden.
Wat zijn de grootste uitdagingen op het gebied van gegevensbescherming waar de zakenreisbranche tegenwoordig mee te maken heeft?
HOWELL: Social engineering is een probleem voor alle travel management-bedrijven en zakenreisprogramma’s. Hierbij gebruiken oplichters zwendeltrucs – en zelfs de technisch minst vernuftige manieren – om informatie te verkrijgen. Deze mensen hebben het gemunt op de reisbranche, omdat we veel processen hebben en onze bedrijfsactiviteiten complex zijn. Daarom vinden we het ook zo belangrijk om consistent te werken volgens bepaalde methoden. Wanneer je de dingen altijd op een vaste manier doet, kun je veel makkelijker inconsistenties en non-conformiteiten opmerken.
