Om deze belangrijke kwesties aan te pakken, stellen we een gids voor waarmee u de vijf grootste IT-beveiligingsrisico's in de bouwsector het hoofd kunt bieden.

Tegen 2025 kunnen belanghebbenden in de bouwsector cyberrisico's, ook bekend als informatie- of IT-risico's, niet langer negeren, ook al is dit niet de kern van hun activiteiten. Een fout of verkeerd begrip van deze risico's kan ernstige financiële en operationele gevolgen hebben.

Incidenten zoals phishing, de introductie (vrijwillig of kwaadwillig) van een virus door een werknemer, ransomware, menselijke fouten of het uitlekken van gevoelige gegevens zijn niet langer geïsoleerde gevallen, zoals dagelijks in het nieuws wordt gemeld.

Bij een risicoanalyse is het essentieel om een noodplan te hebben, dat de procedures beschrijft die gevolgd moeten worden als het risico zich voordoet. Om te voorkomen dat je zo ver moet gaan, lichten we de vijf belangrijkste risico's uit en hoe je ze kunt vermijden.

De controle verliezen over het Document Management Platform van het project

IT-risicobeheer in een vastgoedproject begint met de keuze en beveiliging van het platform voor documentbeheer (EDM).

Bij de bouw van een gebouw zijn de keuze en het beheer van het documentbeheerplatform altijd een uitdaging: welke tool moet worden gekozen, wie betaalt de licenties, wie configureert de ruimte, wie verleent toegangsrechten... Over het algemeen is het de projecteigenaar of het bedrijf in de bouwfase die zijn oplossing en de digitale omgeving die hij beheert, oplegt.

Voor andere projectbetrokkenen betekent dit dat ze vertrouwd moeten raken met een nieuwe tool en training moeten krijgen in het gebruik ervan. In de bouwsector zijn er talloze platforms voor documentbeheer, min of meer specifiek voor de sector, met verschillende functionaliteiten.

Naast de moeite die het kost om aan weer een nieuwe tool te wennen, rijst ook de vraag naar de veerkracht van de verschillende projectdeelnemers. Wat gebeurt er namelijk in geval van een geschil als de partij die het platform voor documentbeheer (EDM) levert, besluit om alle anderen de toegang te ontzeggen? Of bepaalde bestanden te verwijderen? In de praktijk weet iedereen dat dit een risico is. Daarom wordt een teamlid vaak belast met het maken van back-ups van gegevens die zijn opgeslagen op het gemeenschappelijke platform. Maar in werkelijkheid worden archieven na enkele maanden of zelfs jaren bouwen zelden systematisch bijgehouden.

Wie de informatie bezit, heeft de macht. In geval van geschillen zijn de traceerbaarheid en nauwkeurigheid van uitgewisselde informatie cruciaal. Uw IT-systeem en de bijbehorende infrastructuur moeten dit garanderen.

Het is vooral om dit probleem aan te pakken dat de Cooperlink Hub werd gecreëerd. Dankzij de netwerkarchitectuur stelt Cooperlink elk bedrijf in staat om onafhankelijk over zijn eigen gegevens te beschikken en optioneel connect met de tools van het bedrijf. Cooperlink garandeert de onafhankelijkheid en leveringszekerheid van bedrijven met betrekking tot de kritische data voor hun activiteiten.

Het dilemma van Cloud : Publieke Cloud, Private Cloud of On-Premise

Wie op zoek is naar een EDM komt al snel voor het hostingdilemma te staan: wat te kiezen tussen public cloud, private cloud of on-premise hosting? Elk van deze oplossingen heeft voordelen, maar ook kwetsbaarheden:

• Public Cloud Hosting: eenvoudig, maar duur over de totale levensduur van een vastgoedproject. En dan hebben we het nog niet eens over het feit dat de prijs over het algemeen is gebaseerd op de benodigde opslagruimte. Plattegronden, perspectieven, 3D-modellen en foto's zijn steeds grotere bestanden. Deze gegevens zijn ook kwetsbaar voor cyberaanvallen. Bij deze oplossing hebt u geen controle over dit aspect, maar vertrouwt u op uw leverancier. (Hebt u ooit de kleine lettertjes van uw contract hierover gelezen?)
• Private Cloud Hosting: een interessant alternatief bestaat met soevereine clouds (Combell, WIN, OVH, Scaleway, enz.). Het bedrijf huurt een dedicated server in een datacenter dat wordt beheerd door een provider. Op die manier zijn de voordelen van toegankelijkheid en schaalbaarheid van een publieke cloud aanwezig, terwijl een dedicated en veilige opslag wordt geboden waarvan het onderhoud wordt verzekerd door experts. Een vrij betrouwbare oplossing, op voorwaarde dat er wordt gezorgd voor een goede redundantie van de informatieopslag. We herinneren ons de brand in maart 2021 in een datacenter van OVH die aanzienlijke schade veroorzaakte aan de activiteiten van haar klanten met het onomkeerbare verlies van hun gegevens.
• On-Premise Hosting, d.w.z. op een server die fysiek is geïnstalleerd op het bedrijfsterrein. De initiële investering is duur en vereist technische vaardigheden voor installatie en onderhoud. Deze oplossing brengt een risico met zich mee met betrekking tot de integriteit van de apparatuur (brand, diefstal, enz.), evenals een cyberbeveiligingsrisico met steeds geavanceerdere aanvallen. Naar onze mening moet deze oplossing worden vermeden voor bouwbedrijven.

Bij Cooperlink wilden we het eenvoudig houden. Jij kiest de hosting die bij jou past. Standaard bieden we een soevereine cloud op basis van uw locatie. Maar, zoals veel van onze corporate klanten, kan je de Cooperlink server installeren in je private cloud. Als je de verbinding met de tools van je bedrijf toevoegt, heb je perfecte controle over de soevereiniteit van je data.

Zelfs als uw gegevens in Europa zijn opgeslagen, zijn ze mogelijk niet veilig

U denkt misschien dat u veilig bent door een server in Europa te kiezen om uw SharePoint of, in bredere zin, uw gegevens te hosten, terwijl uw provider Microsoft Azure, Google Cloud of Amazon AWS is. Denk daar nog maar eens over na!

Wetten zoals de Patriot Act en de Cloud Act hebben bijvoorbeeld belangrijke gevolgen voor Europese gebruikers van diensten die worden geleverd door Amerikaanse cloud . Hier volgen enkele van de belangrijkste gevolgen:

1. Toegang tot gegevens

De Patriot Act geeft Amerikaanse autoriteiten toegang tot gegevens die zijn opgeslagen door Amerikaanse bedrijven, zelfs als die gegevens worden gehost op servers in Europa. Dit betekent dat de gegevens van Europese gebruikers toegankelijk kunnen zijn voor Amerikaanse inlichtingendiensten als ze zijn opgeslagen door bedrijven die onder Amerikaanse jurisdictie vallen.

De Cloud Act versterkt deze mogelijkheid door Amerikaanse autoriteiten in staat te stellen bevelschriften te verkrijgen om toegang te krijgen tot gegevens die in het buitenland zijn opgeslagen door Amerikaanse serviceproviders. Dit vergemakkelijkt transnationale toegang tot gegevens, waaronder die van Europese gebruikers.

2. Gegevenssoevereiniteit

Deze twee wetten geven aanleiding tot bezorgdheid over gegevenssoevereiniteit. Europese bedrijven en gebruikers kunnen onderworpen zijn aan Amerikaanse wetten met betrekking tot toegang tot en verwerking van gegevens.

3. Privacybescherming

De Patriot Act en de Cloud Act zijn bekritiseerd vanwege hun mogelijke impact op de privacy van gebruikers. Europese gebruikers kunnen zich zorgen maken over het feit dat hun persoonlijke gegevens toegankelijk zijn voor Amerikaanse autoriteiten zonder hun uitdrukkelijke toestemming of voldoende gerechtelijk toezicht.

De wetten die van toepassing zijn op bedrijven met een buitenlandse jurisdictie hebben daarom belangrijke gevolgen voor Europese gebruikers, in het bijzonder met betrekking tot gegevensbescherming en digitale soevereiniteit. Het feit dat Microsoft een dochteronderneming heeft in Zwitserland of Frankrijk stelt het bedrijf niet vrij van Amerikaanse jurisdictie.

Zelfs als er voorzorgsmaatregelen zijn genomen, vereist de mondiale geopolitieke context in 2025, en met name het beleid van de VS, dat Europese bedrijven uiterst voorzichtig zijn bij het kiezen van cloud die door niet-EU-bedrijven worden geleverd.

Om uw gegevens te beveiligen wanneer u ervoor kiest deze te hosten in de cloud, werkt Cooperlink samen met lokale hosts (bijv. Combell, Scaleway, WIN, etc.) die vallen onder de Europese wetgeving. Dit zorgt ervoor dat uw gegevens nooit het grondgebied zullen verlaten.

Vertrouwelijkheid garanderen terwijl u effectief communiceert op uw bouwplaats

Omgaan met GDPR: Niet altijd even eenvoudig

In de bouwsector is naleving van de General Data Protection Regulation (GDPR) cruciaal, vooral als het gaat om effectieve communicatie op bouwplaatsen. Bedrijven moeten voldoen aan verschillende verplichtingen om de persoonlijke gegevens van personen te beschermen. Dit omvat het implementeren van passende technische en organisatorische maatregelen om gegevensbeveiliging te garanderen, zoals het versleutelen van gevoelige informatie en het beperken van gegevenstoegang tot alleen bevoegde personen.

Vergaderingsnotulen (PV) van vergaderingen en bouwplaatsen, die vaak persoonlijke informatie bevatten zoals namen, telefoonnummers en email van deelnemers, moeten met verhoogde waakzaamheid worden beheerd. Bedrijven moeten ervoor zorgen dat deze gegevens veilig worden verzameld, opgeslagen en gedeeld, met respect voor het recht van individuen op vertrouwelijkheid en de bescherming van hun persoonlijke gegevens.

De keuze van de digitale tools die worden gebruikt om deze gegevens te beheren, is daarom essentieel om naleving van de GDPR te garanderen en gevoelige informatie te beschermen.

Gebruik van AI en naleving van GDPR binnen bedrijven

Voor veel bedrijven vormt het toenemende en vaak clandestiene gebruik van technologieën zoals ChatGPT door werknemers een nieuwe uitdaging op het gebied van beveiliging. Volgens het advocatenkantoor Lexing zijn veel bedrijven, vooral KMO's, zich niet voldoende bewust van de risico's die gepaard gaan met het gebruik van kunstmatige intelligentie door hun personeel. Hoewel deze tools de productiviteit kunnen verhogen en de communicatie kunnen vergemakkelijken, kunnen ze ook gevoelige informatie blootleggen als er geen adequate beveiligingsmaatregelen worden genomen.

Werknemers kunnen bijvoorbeeld onbewust vertrouwelijke gegevens delen (zowel persoonlijke gegevens als commerciële gegevens met betrekking tot bedrijfsactiviteiten) wanneer ze deze AI-tools gebruiken. Bedrijven moeten daarom hun werknemers bewust maken van deze risico's en een duidelijk beleid implementeren met betrekking tot het gebruik van deze technologieën, ook al blijft digitale transformatie een grote uitdaging voor de sector.

Het is dringend noodzakelijk om richtlijnen op te stellen voor het gebruik van AI-tools, waarbij de nadruk wordt gelegd op de noodzaak om gevoelige gegevens te beschermen en te voldoen aan wettelijke vereisten. Door deze praktijken te integreren, kunnen bouwbedrijven niet alleen de gegevens van hun werknemers en partners beschermen, maar ook het vertrouwen in en de transparantie van hun activiteiten vergroten.

KMO's en de sector als geheel moeten hun interne bewustzijn over de veranderende digitale omgeving en IT-risico's (phishing, fraude, kwaadwillige handelingen, enz.) vergroten. Ze moeten manieren vinden om hun netwerken en systemen verder te beveiligen om nieuwe IT-bedreigingen aan te pakken en hun kwetsbaarheid voor cyberaanvallen te minimaliseren.

Cooperlink is gevoelig voor het respecteren van privégegevens (en een van zijn directeuren heeft zelfs een bescheiden bijdrage geleverd aan de ontwikkeling van deze richtlijn) en past de principes van privacy-by-design en privacy-by-default toe. Bijvoorbeeld, standaard en zonder toestemming is de naam van een individu niet zichtbaar voor partners, maar de naam van het bedrijf. Jouw gegevens zijn kostbaar en we behandelen ze als zodanig.

NIS2 en de gevolgen voor grote ondernemingen: Zorgen voor hun digitale toeleveringsketen

De NIS2-richtlijn, of "Network and Information Security 2", legt strenge verplichtingen op het gebied van cyberbeveiliging op aan grote ondernemingen, met name bedrijven die actief zijn in kritieke sectoren. Hoewel leveranciers van digitale oplossingen voor de bouwsector, zoals Cooperlink, niet direct onder NIS2 vallen, zijn veel van onze klanten dat wel. Het is daarom van cruciaal belang dat we de vereisten van deze richtlijn begrijpen en erop reageren om de veiligheid en veerkracht van de digitale toeleveringsketen van onze klanten te waarborgen.

Voor bedrijven die onder NIS2 vallen, is de beveiliging van hun digitale toeleveringsketen een prioriteit. Dit betekent dat ze ervoor moeten zorgen dat alle leveranciers en partners waarmee ze samenwerken aan hoge IT-beveiligingsnormen voldoen.

Cooperlink heeft ervoor gekozen het aantal kritische leveranciers te beperken en selecteert deze met grote zorgvuldigheid, waarbij de voorkeur wordt gegeven aan gerenommeerde en lokale bedrijven waarmee betrouwbare en evenwichtige overeenkomsten kunnen worden gesloten.

Conclusie

Bij Cooperlink spelen we als leverancier van digitale oplossingen een essentiële rol in de digitale toeleveringsketen door oplossingen te bieden die niet alleen de operationele efficiëntie verbeteren, maar ook zijn ontworpen om veilig te zijn en te voldoen aan de wettelijke vereisten.

Onze oplossing integreert robuuste beveiligingsmaatregelen, zoals echte soevereiniteit bij de opslag van informatie, de mogelijkheid om je eigen kopie van de gegevens te hebben, privacy-by-design, encryptie, versterkt toegangsbeheer en authenticatie om de gevoelige informatie van onze klanten te beschermen.

We streven ernaar op de hoogte te blijven van de nieuwste normen en best practices op het gebied van cyberbeveiliging om onze klanten te ondersteunen bij hun naleving van NIS2. Cooperlink werkt momenteel aan de ISO27001 certificering. Als onderdeel van deze certificering wijden we dit jaar aan het consolideren van ons beveiligingsbeleid, de risicoanalyse en het beheer van de meest kritieke risico's die binnen onze organisatie zijn geïdentificeerd.

Door nauw samen te werken met onze klanten en hen te voorzien van veilige oplossingen, dragen we bij aan het versterken van de veerkracht van hun digitale toeleveringsketen en verminderen we het risico op grensoverschrijdende cyberbeveiligingsbedreigingen. Ons doel is om tools aan te bieden die niet alleen voldoen aan hun operationele behoeften, maar die hen ook helpen om te voldoen aan de wettelijke vereisten, waardoor de bescherming van hun digitale activa en de veerkracht van hun activiteiten wordt gewaarborgd.

‍