Uit de SWOCC Selectie

Datalek bij één retailer treft gehele branche: Wat te doen?

We leven in een data-gedreven marketing tijdperk. Retailers beheren steeds grotere databases met klantgegevens. Data security van persoonlijke gegevens, zoals naam adres credit card gegevens en bestelgegevens, wordt daarmee steeds belangrijker. Een datalek ligt meer dan ooit op de loer met reputatieschade als gevolg. Wanneer vertrouwelijke informatie gehackt wordt, dan heeft dit vergaande gevolgen voor de reputatie van het bedrijf. Een datalek leidt direct tot een lagere klanttevredenheid, een toename van negatieve mond-tot-mond reclame en een afname in heraankopen bij het getroffen bedrijf.

Deze studie toont aan dat een datalek bij een bedrijf zich uitstrekt over de gehele branche. Een hack bij een grote winkelketen wordt hiervoor geanalyseerd. Het betreft een groot datalek dat in 2013 plaatsvind bij de Amerikaanse retailer Target. De directe en indirecte gevolgen van deze gebeurtenis op de aandeelhouderswaarde van 186 andere grote Amerikaanse retailers werd onderzocht.

De gemiddelde aandeelhouderswaarde van bedrijven in dezelfde branche als het getroffen bedrijf Target daalde inderdaad. Twee bedrijfsgerelateerde factoren versterken dit besmettinsgevaar. Bedrijven die binnen de branche lijken op het getroffen bedrijf, qua grootte en assortiment, lopen een groter gevaar. Het datalek is ook een grotere bedreiging voor bedrijven in de branche die qua management en governance gerelateerd of afhankelijk van elkaar zijn. Dit is bijvoorbeeld het geval als dezelfde persoon een bestuurlijke rol heeft bij beide bedrijven of als grote investeerders een aandeel hebben in beide bedrijven.

Een bedrijf staat na een datalek in de branche niet met lege handen. Er zijn drie factoren waarop het bedrijf kan acteren om het besmettingsgevaar in te dammen. Deze beschermende maatregelen betreffen de technische competenties van het bedrijf, diens marketingvaardigheden en activiteiten in het kader van maatschappelijk verantwoord ondernemen (MVO).

Het blijkt dat wanneer de IT-afdeling meer managementinvloed heeft, het negatieve effect van het datalek vermindert. De technische IT-competenties van de retailer hebben echter geen effect. Tegelijkertijd heeft een invloedrijke marketingafdeling geen verzachtende invloed op het negatieve effect, maar het marketingvermogen van het bedrijf juist wel. Tot slot zorgt MVO ook voor een kleiner negatief effect.

Praktische implicaties

  • Aangezien een datalek bij een bedrijf andere soortgelijke bedrijven ook negatief beïnvloedt, doen bedrijven er verstandig aan om door middel van het intensiveren van de marketing en IT/technische competenties de reputatie te versterken.
  • De gevolgen van een datalek beperken zich niet tot één bedrijf, maar strekken zich uit over de branche. Het is daarom raadzaam om branche- en veiligheidsproblemen gezamenlijk aan te pakken (met bijvoorbeeld nieuwe standaarden) en tegen te gaan.
  • Het is belangrijk om (in de media) vergelijkingen met het door een datalek getroffen bedrijf te voorkomen en om de IT- en marketingcompetenties en uniciteit van het bedrijf benadrukken.

Deze samenvatting is onderdeel van SWOCC Selectie 2 (2017). Deze kunt u hier downloaden.

Volledige literatuurverwijzing: Kashmiri, S., Nicol, C.D., & Hsu, L. (2017). Birds of a Feather: intra-industry spillover of the Target customer data breach and the shielding role of IT, marketing, and CSR. J. of the Acad. Mark. Sci, 45, 208-228. doi:10.1007/s11747-016-0486-5. U vindt dit artikel hier.