• Home
• Nieuws

NEH: ‘Bewustwording’ het sleutelwoord omtrent informatiebeveiliging

Geplaatst door CorporatieMedia op Friday 9 February 2018

Informatiebeveiliging staat in 2018 hoog bij woningcorporaties op de agenda, met de naderende AVG als bekend voorbeeld. Hoe pakken organisaties het onderwerp informatiebeveiliging en privacy echter op een juiste manier aan, zodat hoge boetes voorkomen worden en data beter wordt beschermd? CorporatieGids.nl ging hierover in gesprek met Tom Heusdens (foto links), Security Officer bij NEH, en Frank Baas (foto rechts), Privacy Officer bij NEH: “Het sleutelwoord omtrent informatiebeveiliging is ‘bewustwording’.”

“Informatiebeveiliging heeft voor veel corporaties nooit een hoge prioriteit gehad,” begint Frank. “Niet dat het als onbelangrijk werd gezien, maar er waren altijd onderwerpen die belangrijker waren. Daarnaast is vaak de beleving van corporaties die ICT hebben uitbesteed aan derde partijen, dat daarmee ook de volledige verantwoordelijkheid van de beveiliging is uitbesteed. Maar dat is niet zo. De winst die de nieuwe privacywet oplevert, is dat er nu wél aandacht is voor het onderwerp informatiebeveiliging. Maar dan vanuit het oogpunt privacy.”

Achterstand inhalen
Uit angst voor hoge boetes worden nu grote stappen gezet, legt Tom uit. “Door het gebrek aan prioriteit moet nu een achterstand worden ingehaald. En vooral het voldoen aan de wettelijke eisen die gesteld worden aan het verwerken van persoonsgegevens zorgt voor veel veranderingen. De meest ingrijpende aanpassing is het instellen van bewaartermijnen. Tot nu toe bewaarden de meeste corporaties ongeveer al haar gegevens voor altijd.”

“Een andere aanpassing waar corporaties moeite mee hebben is de mate waarin medewerkers toegang hebben tot de gegevens van huurders. Bij de meeste corporaties hebben alle medewerkers toegang toe nagenoeg alle informatie. Ook al hebben zij daar vanuit hun functie geen belang bij.”

Belang van informatie
“Alles draait om het bewustzijn van het belang van informatie voor de organisatie en de risico’s die er zijn wanneer deze gegevens onjuist zijn, verloren gaan of in de verkeerde handen vallen,” gaat Frank verder. “Dit geldt voor alle lagen binnen de corporatie en iedereen zal daarbij zijn verantwoordelijkheid moeten nemen. Het is echter de directie die hierin de eindverantwoordelijkheid draagt.”

Volgens Tom moet de directie de waarde van informatie onderkennen. “Zij moet zich realiseren dat juiste en volledige informatie onmisbaar is, enerzijds voor het sturen op doelstellingen en daarnaast voor de verantwoording, intern en extern. Hierbij zal een risico-inventarisatie op de informatiebeveiliging helpen om een goed beeld te krijgen van wat er kan gebeuren wanneer dreigingen zich daadwerkelijk voordoen. Wanneer organisaties een beter beeld hebben van de risico’s en zich realiseren wat de impact kan zijn, zullen ze sneller maatregelen nemen. Denk hierbij aan het vaststellen en borgen van beleidskaders, het inrichten van een proces voor informatiebeveiliging en het beleggen van verantwoordelijkheden om de maatregelen in te voeren en te beheren.”

Post-it
Toch komen Tom en Frank in de praktijk nog tal van corporaties tegen waar bijvoorbeeld wachtwoorden met Post-it’s op monitoren zijn geplakt. Frank: “Ook het gebruik van inlogcodes op bijvoorbeeld smartphones is nog lang niet overal geregeld. Of het delen van gegevens met derden op een onveilige manier. Dit geeft ook meteen aan dat het grootste risico de medewerker zelf is, zeker wanneer die onbewust is wat de risico’s zijn en handelt uit gewoonte. Dit gecombineerd met het feit dat ook het beleid en de tools niet aanwezig zijn om een betere beveiliging te borgen, toont aan dat corporaties nog een grote uitdaging hebben.”

Bewustwording
Het sleutelwoord omtrent informatiebeveiliging noemt Tom ‘bewustwording’. “Bewustwording van de waarde van informatie en de noodzaak om hier veilig mee om te gaan. En het besef dat iedereen vanuit zijn rol binnen de organisatie hier verantwoordelijk voor is. Ook IT-partners. Kies bij de keuze voor een nieuw softwarepakket of het uitbesteden van ICT voor een leverancier die minimaal ISO 27001 gecertificeerd is, en bij voorkeur ook over de ISAE-3402 verklaring beschikt. Dit zal de informatiebeveiliging een behoorlijke kwaliteitsimpuls geven.”

Risicomanagementproces
Informatiebeveiliging een onderdeel maken van de organisatie ziet Frank als onderdeel van het risicomanagementproces. “Veel corporaties zijn momenteel bezig met het introduceren van een risicomanagementsysteem. Door hierbij ook informatiebeveiliging te betrekken, krijgt dit onderwerp de aandacht die het verdient. Het invoeren en monitoren van beheersmaatregelen om risico’s te verlagen of weg te nemen, kunnen dan bijvoorbeeld worden opgenomen binnen de jaarlijkse planning- en controlecyclus. Daarover wordt vervolgens ook gerapporteerd aan de directe én aan de RvC.”

ISO- en ISAE
"Bij NEH staat informatiebeveiliging hoog op de prioriteitenlijst,” vertelt Tom op de vraag hoe NEH woningcorporaties omtrent informatiebeveiliging kan helpen. “Wij zijn al meerdere jaren ISO-27001 gecertificeerd en beschikken begin 2018 ook over de ISAE-3402 verklaring, zowel type 1 als type 2. Daarbij hebben wij de rol van Security en Privacy Officer een belangrijke plek gegeven binnen de organisatie. Dit leidt ertoe dat de ICT-diensten die NEH levert op een hoog securityniveau worden uitgevoerd. De kennis die daarvoor aanwezig is, wordt gedeeld met onze klanten. Onder andere door het geven van advies en ondersteuning bij het invoeren van maatregelen op het gebied van informatiebeveiliging en privacybescherming. Ten aanzien van dit laatste helpt NEH een groot deel van haar klanten bij het invoeren van de benodigde maatregelen als gevolg van de veranderende privacywetgeving: de AVG.”

Informatiebeveiliging en privacybescherming
“Zonder informatiebeveiliging geen privacybescherming,” sluit Frank het gesprek af. “En privacybescherming krijgt momenteel veel aandacht vanwege de veranderende privacywetgeving. Wanneer je in het verleden nog weinig aandacht hebt besteed aan informatiebeveiliging, steek de invoering ervan dan in eerste instantie in vanuit het privacy oogpunt. Dit spreekt nu tot de verbeelding en het is eenvoudiger hier prioriteit en middelen voor te krijgen. Door dit serieus op te pakken, zal het besef komen dat ook de informatiebeveiliging in brede zin is verbeterd en dit een algemeen geaccepteerd onderdeel van de processen is geworden.”

Bron: Johan van den Beld | CorporatieMedia – 5 februari 2018