Het is inmiddels bijna twee jaar geleden dat de AVG van kracht werd. Betekent dit dat de bewustwording onder corporatiemedewerkers inmiddels zo goed is dat informatiebeveiliging en privacy op een lager pitje kunnen komen te staan? CorporatieGids Magazine vroeg het aan Anneke van der Zwan, Medewerker Bedrijfsvoering en Privacy Officer bij Woonforte.
25 mei 2018. Het was niet alleen het moment dat de AVG van kracht werd, maar betekende volgens Anneke ook een verandering in de manier waarop informatiebeveiliging werd aangevlogen bij Woonforte. “Natuurlijk waren we voor die datum al bezig met informatiebeveiliging en deden we al veel aan de bescherming van privacy, maar de focus lag toch wel op de bedrijfscontinuïteit. Inmiddels is daar bijgekomen het voldoen aan de privacy wet- en regelgeving zodat persoonsgegevens goed worden beschermd. In andere woorden: de bewustwording zo verbeteren dat medewerkers acties nemen wanneer dat nodig is, en dat privacy en informatiebeveiliging serieus worden genomen door het management en hiervoor geld en tijd beschikbaar is.”
Weggenomen weerstand
Bewustwording is de laatste twee jaar een belangrijk onderwerp geweest bij de Zuid-Hollanders. Anneke: “En dat heeft een positief effect gehad. De initiële weerstand tijdens de implementatie van de AVG is omgeslagen naar begrip om nog zorgvuldiger en veiliger met persoonsgegevens om te gaan. Inmiddels maakt privacy integraal deel uit van onze bedrijfsvoering en gaat onze aandacht vooral uit naar het onderhouden van deze bewustwording.”
Golfbewegingen
Waar het soms lijkt alsof informatiebeveiliging en privacy minder in het nieuws zijn dan toen de AVG van kracht werd, ziet Anneke zelf ‘golfbewegingen’. “Soms is het een tijdje rustig maar dan gebeurt er iets en staan informatiebeveiliging en privacy weer volop in de belangstelling, bijvoorbeeld tijdens het Citrix-incident eerder dit jaar. Om bij Woonforte de aandacht scherp te houden als het ‘rustig’ lijkt, plaatsen we bijvoorbeeld een artikel op ons intranet of schenken op een andere wijze aandacht aan de onderwerpen.”
“Je moet daarbij wel op zoek gaan naar de balans en medewerkers niet overladen met bewustwordingstraining,” gaat Anneke verder. Op de vraag waar die grens precies ligt, zegt ze: “Het is zaak om goed te kijken naar de mate en impact van incidenten en vragen, en om goed te luisteren naar signalen. We vinden het ook belangrijk hoe je omgaat met de opvolging van bijvoorbeeld een incident: straffen of belonen. Wij geloven in dat laatste.”
Grip houden
Om grip te houden wat goed gaat en wat niet rond informatiebeveiliging en privacy, laat Woonforte regelmatig pentesten uitvoeren. “We laten dan applicaties, het netwerk of de website testen door een ervaren ethische hacker. Daarnaast volgen we nauw de ontwikkelingen in deze vakgebieden en stellen daarvanuit verbetertrajecten op, bijvoorbeeld door trainingen en workshops. Daarbij werken we samen met Audittrail. Die samenwerking begon twee jaar geleden bij het implementeren van de AVG. Nu bestaat de samenwerking uit bijvoorbeeld workshops over privacy waarmee wij onze bewustwording op peil willen houden.”
“Voorbeelden van bewustwordingssessies zijn de lezing van Maria Genova bij ons op kantoor dat veel indruk heeft gemaakt, het bezoek van een mystery guest en het laten rondsturen van een phishing mail. De resultaten en tips over hoe je hiermee moet omgaan, hebben we kort gepresenteerd op het intranet. Daarnaast willen we binnenkort ook een workshop organiseren om tips, trucs en informatie met collega’s te delen en ruimte te geven voor vragen.”
Geen onderscheid
Op de vraag of bewustwording lastiger te creëren is dan het technisch veilig maken van systemen, zegt Anneke: “Volgens mij is er geen onderscheid en is er continu aandacht voor beide aspecten nodig. Bewustwording werkt niet optimaal als het systeem niet veilig is, en een veilig systeem werkt niet optimaal als er geen bewustwording is. Daarbij is het wel zo dat de mens de sleutel is bij informatiebeveiliging en privacy.”
Samenhang
De rol van ICT is volgens Anneke vooral het faciliteren en ondersteunen van de organisatie. Om de samenhang tussen informatiebeveiliging en privacy beter te borgen, implementeert Woonforte momenteel het Audittrail Compliance Management framework gebouwd in haar Mavim-software. “Hierin leggen we onder andere basisprocessen, risico’s en beheersmaatregelen en wet- en regelgeving vast. Binnen het platform maken we ook gebruik van het AVG-framework van Audittrail. Het voordeel is dat we hiermee diverse onderdelen samenhangend kunnen koppelen. Eventuele gevolgen van wetwijzigingen op de bedrijfsprocessen en risico’s – en omgekeerd – worden direct zichtbaar. Daarnaast moet dit ons ook verder helpen in de communicatie en het betrekken van medewerkers bij risicomanagement.”
Wonne
Woonforte is de afgelopen periode bezig geweest met meerdere innovatieve projecten, met de chatbotpilot Wonne als goed voorbeeld. Op de vraag wat innovatie betekent voor informatiebeveiliging, zegt Anneke: “Het is belangrijk om hierbij korte lijnen te hebben met de initiatiefnemers. Wij kiezen er bewust voor om innovaties projectmatig aan te pakken en bij ieder project maken we met initiatiefnemers een ‘Data Protectie Impact Assessment’. Op die manier hebben we eventuele risico’s zoveel mogelijk vooraf in beeld, waardoor we tijdig de benodigde maatregelen kunnen nemen.”
Zaak van iedereen
De komende periode ligt de focus bij Woonforte op het verder aanscherpen en verbeteren van informatiebeveiliging, sluit Anneke af: “Hiervoor willen we onder andere verschillende pentesten laten uitvoeren. Het goed omgaan met persoonsgegevens zal de komende jaren steeds meer aandacht vragen van onze organisatie. Onze kennis qua privacy en informatiebeveiliging zal hierin mee moeten groeien om zo ook een goede sparringpartner te blijven voor de ondersteunende partijen. Daarnaast is informatiebeveiliging een zaak van alle medewerkers, dus blijven we ook aandacht schenken aan de bewustwording van hen die het verschil maken.”
Bron: CorporatieGids Magazine, Foto: Bas Duijs
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
