Woonzorg Nederland werkt hard aan het behalen van ISO 27001-certificering. “Als we dat bereikt hebben, kunnen we objectief aantonen dat we in control zijn en blijven,” zegt Folkert de Gans, Information Security Officer bij Woonzorg Nederland. Hoe geraak je in control en hoe blijf je dat? Een gesprek over uitbesteden, regie houden en informatiebeveiliging als feest voor iedereen.
“Van oudsher heeft Woonzorg Nederland de 65-plussers als doelgroep,” begint Folkert. “Lange tijd had nog geen twintig procent van onze huurders de wens om digitaal contact te hebben met Woonzorg. Zo kregen we tot voor kort nog veel onderhoudsverzoeken per brief of telefoon. Een klantportaal hadden wij dan ook niet nodig omdat daar geen behoefte aan was. De laatste paar jaar is dat percentage echter sterk gestegen, met als gevolg dat wij daarop moesten inspelen door te digitaliseren.”
Agenda
“Digitalisering zien wij als een goede aanvulling op het persoonlijk contact met onze huurders,” vervolgt Folkert. “Mede daardoor staat digitaliseren heel hoog op de IT-agenda van Woonzorg Nederland. Wij hebben ervoor gekozen de enterprise-architectuur van ons IT-landschap te baseren op Microsoft. Ook draaien onze systemen in hun datacenter. En omdat woningcorporaties met een ANBI-status in de non-profit sector vallen bij Microsoft, krijgen we heel veel voor weinig geld.”
Conformeren
“Woonzorg verwacht van leveranciers dat zij zich conformeren aan de standaarden van Microsoft,” licht Folkert toe. “Dat heeft onder andere als voordeel dat het koppelen van nieuwe pakketten relatief makkelijk is. Een ander voordeel is dat wij voor het beheer van onze systemen makkelijk zouden kunnen overstappen naar een andere partij als wij niet tevreden zouden zijn.”
Landelijk
Dat Woonzorg landelijk werkt vanaf zo’n 500 locaties stelt ook eisen aan de systemen. “Iedere bewonersconsulent op alle locaties heeft een smartphone en een laptop met 4G-kaart met toegang tot de cloud,” legt Folkert uit. “Dat is met de moderne pakketten makkelijker te beheren dan met zelfgebouwde systemen. En als we nieuwe functionaliteiten willen testen, is het bij wijze van spreken het vinkje ‘op ja zetten’ om dit te doen. Veel makkelijker dan bij zelfbouw.”
IT geen kerntaak
“Woonzorg beschouwt IT niet als een kerntaak en wil dit zoveel mogelijk uitbesteden,” zegt Folkert. “Ook omdat leveranciers deze taken vaak beter kunnen uitvoeren vanwege ervaring, kennis en techniek. En de beschikbare budgetten bij de leveranciers zijn groot als het gaat om beveiliging van systemen en data. Het is hun corebusiness en daar maken wij op een slimme manier gebruik van.”
Baseline Informatiebeveiliging Overheid
Binnen Woonzorg houdt Folkert zich bezig met het herschrijven van het informatiebeveiligingsbeleid. Over waarom dit gebeurt op basis van de Baseline Informatiebeveiliging Overheid in plaats van de Baseline voor woningcorporaties, zegt hij: “Het verschil is kleiner dan het misschien lijkt, beide zijn namelijk gebaseerd op dezelfde ISO-norm. Verder werken wij dus landelijk en hebben wij samenwerkingsverbanden met 170 gemeenten. Het is dan handig om dezelfde uitgangspunten toe te passen als die de gemeenten hanteren.”
Zwakste schakel
“Bij Woonzorg willen wij in control blijven als het gaat om het verwerken van gegevens op de juiste plek en juiste manier,” vervolgt Folkert. “En dat ook op een veilige manier doen. De ervaring is dat de mens vaak de zwakste schakel is. Daarom doen wij er veel aan om gebruikers bewust te maken van mogelijke gevaren. En gebruiken we ook Data Loss Prevention-software. Wanneer een medewerker bijvoorbeeld een databestand wil mailen, dan controleert deze software of daardoor een mogelijk datalek ontstaat.”
In control
“Om in control te blijven, hebben we het beleid hieromtrent geformaliseerd. Het eerdergenoemde informatiebeveiligingsbeleid herijken we iedere drie jaar. Daarnaast hebben we een jaarlijkse plancyclus en onderzoeken we jaarlijks een aantal keer de mogelijke kwetsbaarheden in onze systemen. Daarnaast zijn we op dit moment bezig met een ISO 27001-certificering. Als we dat bereikt hebben, kunnen we objectief aantonen dat we in control zijn en blijven.”
Regisseur
De voorbereiding op het ISO-certificeringstraject is in volle gang, licht Folkert toe. “Daarbij worden we ondersteund door Audittrail, waarmee we eerder ook al hebben samengewerkt in het traject rond de AVG. Dat beviel dermate goed dat we hun ondersteuning gevraagd hebben in de voorbereiding van onze ISO-certificering. Dus, waar staan we nu en wat moet er gedaan worden om in aanmerking te komen voor de certificering. Met dit certificaat wordt het makkelijker om de door ons gewenste rol van regisseur op I&A-gebied naar ons toe te trekken. Wij besteden dan zoveel mogelijk IT-activiteiten uit, maar behouden wel de regie. En leveranciers weten door de ISO-normen welke werkwijze ze van ons kunnen verwachten en wat wij van hen verwachten.”
Geen IT-feestje
“We hebben voor dit project de steun van onze Raad van Toezicht en ook zijn formele opdracht om de ISO-certificering te verkrijgen. Dat is voor ons als IT’ers belangrijk want informatiebeveiliging is absoluut geen IT-feestje. De verantwoordelijkheid daarvoor ligt bij de lijnmanagers en het hoger management. Vooral de lijnmanagers moeten zich ervan bewust worden dat zij eigenlijk de eigenaren zijn van de systemen die hun medewerkers gebruiken en dat zij daar ook verantwoordelijk voor zijn. Informatiebeveiliging is dus eigenlijk een feest waarvoor iedereen – niemand uitgesloten – van harte is uitgenodigd.”
Bron: CorporatieGids Magazine, Foto: Bas Duijs
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.