Wanneer je bedrijf stappen onderneemt om nieuwe buitenlandse markten aan te boren en essentiële diensten als payroll op te zetten voor nieuwe medewerkers op locatie, is gegevensbeveiliging natuurlijk een van je grootste prioriteiten.
Om de gegevens van klanten en medewerkers veilig te houden, zijn gegevensbescherming en gegevensbeveiliging beide belangrijk. Gegevensbescherming draait om het gebruik en beheer van persoonsgegevens. Het omvat zaken als beleid, principes, interne controles en wetgeving over de verwerking van persoonsgegevens, inclusief de rechten van personen en bescherming bij grensoverschrijdende doorgifte van persoonsgegevens. Gegevensbeveiliging omvat de tools, processen en controles die jouw organisatie gebruikt om gegevens te beschermen. De focus van dit artikel ligt op het veranderende beveiligingslandschap waar je rekening mee moet houden als je jouw bedrijf internationaal wilt uitbreiden.
De toenemende noodzaak van beveiliging voor payroll-gegevens
De persoonsgegevens die je verzamelt om je medewerkers te kunnen uitbetalen, is een voorbeeld van gegevens die altijd goed beschermd moeten worden.
Vanwege de vele gebeurtenissen van de afgelopen jaren is het beschermen van deze gegevens, zowel lokaal als internationaal, veel complexer geworden. Deze gebeurtenissen hebben geleid tot veel uitdagingen, zoals grotere beveiligingsrisico's en ingewikkelde nalevingskwesties, maar bieden bedrijven ook een kans om uit te breiden op volledig nieuwe manieren.
Als gevolg zijn bedrijven zich steeds meer gaan richten op gegevensbeveiliging in hun payroll-strategie. 100% van de payroll-managers wereldwijd zegt dat gegevensbeveiliging in de afgelopen 12 maanden belangrijker is geworden (en 47% zegt dat het van cruciaal belang is).2
Het belang van vaardigheden voor gegevensbeveiliging binnen payroll-teams
Geavanceerde digitale vaardigheden zouden een belangrijk onderdeel van deze strategie moeten zijn, maar de huidige arbeidsmarkt werkt niet mee. Volgens Statista "was het tekort aan cybersecurityspecialisten in 2024 het grootst in de regio Azië-Pacific in 2024, waar er op het dichtstbevolkte continent nog meer dan 3,37 miljoen IT-beveiligingsexperts nodig waren. Wereldwijd moeten er 4,7 miljoen cybersecurityvacatures gevuld worden."1
De werkelijke impact van dit tekort aan talent is weerspiegeld in de antwoorden in ADP's recente enquête 'Het potentieel van payroll in 2025'. Slechts 67% van bedrijfsleiders wereldwijd zegt dat hun payroll-teams op dit moment alle nodige vaardigheden op het gebied van gegevensbeveiliging hebben, en 26% zegt dat ze deze niet hebben, maar wel willen.2
57% van de bedrijfsleiders wereldwijd zegt dat ze de afgelopen 2 jaar te maken hadden met 1 of meer inbreuken op de veiligheid met impact op de payroll.2
Het is duidelijk belangrijk dat bedrijven best practices op het gebied van beveiliging ontwikkelen voor hun medewerkers om te voorkomen dat beveiligingsincidenten de payroll beïnvloeden. Toch heeft slechts 58% van de bedrijfsleiders wereldwijd voor al hun locaties draaiboeken en noodplannen om de internationale payroll te beschermen in het geval van cyberaanvallen of uitval van cruciale systemen.2
Categorieën van bedreigingen voor de beveiliging van internationale payroll-gegevens (realtime cyberbedreigingen)
1. Social engineering en op gebeurtenissen gebaseerde aanvallen per e-mail
- Steeds geraffineerdere aanvallen op basis van emotionele manipulatie. De meeste cybercriminelen krijgen toegang via phishing-aanvallen die voornamelijk per e-mail worden gedaan.
- Berichten die inspelen op de huidige situatie en ontwikkeld zijn om een emotionele reactie uit te lokken waardoor de ontvanger toehapt.
- Een 'business email compromise' (BEC), of gevaar in zakelijke e-mails, is een vorm van phishing die gericht is op senior leidinggevenden en budgetverantwoordelijken (met als doel dat zij bijvoorbeeld geld overschrijven).
2. Ransomware en malware
- Bedoeld om personen af te persen (of bijvoorbeeld hun familie). De meest voorkomende malware is het Trojaanse paard (schadelijke software die je computer over kan nemen, vermomd als echte programma's). Aanvallen via achterdeurtjes nemen ook toe.
- De aanvaller gebruikt schadelijke software om een systeem te blokkeren of gevoelige informatie te stelen of versleutelen, en kan dreigen met openbaarmaking tenzij losgeld wordt betaald.
3. Gegevensinbreuken
- Deze kunnen worden gedaan van binnenuit (door een medewerker), maar zijn meestal het gevolg van een fout door een medewerker (verzenden van het verkeerde bestand, gebruiken van een onveilig kanaal, verzenden naar een ongeautoriseerde contactpersoon, enzovoort).
4. Aanvallen op derden en toevoerketens
- Deze vorm van aanval komt steeds vaker voor. Criminelen richten zich op kwetsbaarheden in de relaties van het bedrijf met producten of diensten van en informatieverwerking door derden.
Verschillende reacties op het bedreigingslandschap
In welke sector je bedrijf ook actief is, geldt het dat criminelen zich steeds meer richten op kwetsbaarheden in toevoerketens tussen verschillende sectoren en landen, en dat je het hele ecosysteem van je payroll moet overwegen, van partners tot externe leveranciers. Gezien de veranderende aard van beveiligingsincidenten wereldwijd zijn samenwerking en risicobeoordelingen die verder gaan dan alleen het technische aspect een essentieel onderdeel van strategie voor het beschermen van payroll-gegevens.
Alle vormen van cyberbedreigingen kunnen leiden tot:
- Verlies van gevoelige gegevens over medewerkers en financiën
- Boetes voor niet-naleving
- Lekken in de payroll-infrastructuur
- Verstoring van het payroll-proces
- Verontruste medewerkers die hun rekeningen niet kunnen betalen
In extreme gevallen kunnen bedrijven hun medewerkers niet uitbetalen, wat enorme gevolgen kan hebben voor de reputatie van het bedrijf en de betrokkenheid van de medewerkers.
Uit gegevens over de verdeling van cyberaanvallen in 2023 bleek dat de productiesector wereldwijd het vaakst het doelwit was van aanvallen (25,7%), gevolgd door de financiële en verzekeringssector met ongeveer 18,2%.3 Uit onze enquête onder wereldwijde payroll-managers bleek echter dat er grote verschillen bestaan in de mate waarin het belang van de beveiliging van payroll-gegevens wordt erkend in verschillende bedrijfssectoren.
"Beveiliging van payroll-gegevens is in de afgelopen 12 maanden van cruciaal belang geweest."2
- 53% Financiële diensten
- 48% IT, technologie en telecommunicatie
- 47% Bouw en vastgoed
- 47% Detailhandel, distributie en transport
- 43% Professionele diensten
- 42% Productie
Opvallend is dat de geografische locatie van een bedrijf ook invloed lijkt te hebben op hun mening over het versterken van de beveiliging van payroll-gegevens.
- 47% Azië-Pacific
- 46% Europa en Afrika
- 46% Latijns-Amerika
- 42% Noord-Amerika
Waarborgen van de fysieke beveiliging van payroll-gegevens in je nieuwe markt
Bedrijven die uitbreiden moeten ook maatregelen nemen om de payroll-gegevens van medewerkers te beschermen tegen fysieke dreigingen, een uitdaging als je in een ander land bent. Fysieke beveiligingsmaatregelen omvatten de beveiliging van werkplekken en voorzieningen, uitrusting zoals werkstations en apparaten, en het beheer en vernietigen van fysieke media waarop payroll-gegevens zijn opgeslagen.
Als je de payroll in-huis uitvoert, moet je team controles implementeren om te beschermen tegen fysieke bedreigingen en mogelijke systeemuitval, en ondersteunende voorzieningen beschermen (zoals elektrische voeding en kabelinfrastructuur). Als je bedrijf een BYOD-aanpak gebruikt en medewerkers toestaat hun eigen laptops, telefoons en tablets te gebruiken voor werk, moet je ervoor zorgen dat je payroll-gegevens hierdoor geen gevaar lopen.
Krijg voordat je uitbreidt de kennis die je nodig hebt om een goed bedrijfscontinuïteitsplan te ontwikkelen samen met de middelen die je nodig hebt om je bedrijf te beschermen.
1 Statista Cybersecurity workforce gap worldwide in 2024.
2 ADP, The potential of payroll in 2025: Global payroll survey.
3 Statista, Distribution of cyber-attacks across worldwide industries in 2023.
