CorporatieGids Magazine

39 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 3, 2017 38 WWW.CORPORATIEGIDS.NL Woningbedrijf Velsen: Informatiebeveiliging: de zwakste schakel versterken door medewerkers bewust te maken Door het toenemende belang van data worden privacy en informatiebeveiliging steeds belangrijker bij woningcorporaties. Bij Woningbedrijf Velsen zijn Privacy & Security Officers Jack Groot en Anja Kamphuis mede verantwoordelijk voor de bescherming van de gegevens van ruim 10.000 huurders. Hoe doe je dat op een goede manier en maak je de medewerkers bewust van de juiste werkwijzen? “Goede informatiebeveiliging beschermt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie binnen de organisatie.” O ver iets meer dan een half jaar - in mei 2018 - worden de wettelijke regels rondom privacy verscherpt en wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. “Privacy is een onderwerp dat de hele organisatie aangaat,” begint Anja op de vraag wat een Privacy & Security Officer doet. “Vanuit die gedachte is het creëren van bewust- wording dan ook noodzakelijk, een belangrijk onderdeel van onze taak. Wanneer iedereen zich bewust is van de eigen verantwoordelijkheden op het gebied van privacy, draagt dit bij aan een betere bescherming van persoonsgegevens.” Goede informatiebeveiliging Het waarborgen van beschikbaarheid, integriteit en ver- trouwelijkheid van informatie is volgens Jack de essentie van goede informatiebeveiliging. “Daarmee bedoelen wij dat de informatiesystemen op de juiste momenten beschikbaar zijn, de informatieverwerking correct en volledig is en dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn. Dit richt zich niet alleen op de geautomatiseerde gegevens- verwerking door middel van ICT-systemen, maar ook op de bescherming van niet geautomatiseerde gegevens - zoals fysieke documenten - en bedrijfseigendommen.” Leidraad De Wet bescherming persoonsgegevens (Wbp) is bij Woning- bedrijf Velsen leidraad geweest voor het werken met gevoelige informatie en persoonsgegevens. Anja: “Hierin staat vastgelegd wat er wel en niet mag gebeuren met de gegevens. Dat begint in eerste instantie met rechten door in de software enkel toegang te verlenen aan de personen die met de informatie werken.” Woningbedrijf Velsen wordt hierbij ondersteund door een outsourcingspartner. “Deze regelt de veiligheid en beveiliging van onze gegevens. We geven onze medewerkers trainingen om hen goed en bewust om te laten gaan met data en zijn we bezig met het afsluiten van bewerkersovereenkomsten met bedrijven die toegang hebben tot onze data. Daarnaast hanteren we een ‘clear desk’ regeling. Dat houdt in dat bij het verlaten van de werkplek het beeldscherm wordt vergrendeld en aan het eind van de werkdag geen privacygevoelige informatie achterblijft op het bureau, op whiteboards of op flip-overs. Ook moet bij het verlaten van het kantoor kasten, lockers en laden dicht zijn, en ruimten met vertrouwelijke documenten moeten op slot.” Nulmeting Momenteel is Woningbedrijf Velsen bezig met het realiseren van een privacy-visie. “Naast een heldere visie is het ook belangrijk dat je inventariseert waar je als corporatie staat op het gebied van privacy en security.” Om een beeld van de status rondom informatiebeveiliging te krijgen, voerde Woningbedrijf Velsen een ‘Privacy Plan’ uit. “Dit begon met een Quick Scan waarmee wij in korte tijd tweedimensionaal inzicht kregen waar we stonden, inclusief stappenplan voor de toekomst. Een nulmeting gaf vervolgens inzicht in hoe goed privacy en security binnen de organisatie zijn geregeld. Daaruit hebben wij een goede inventarisatie en evaluatie van alle risico’s op een rijtje gezet. Door deze hoog in de organisatie uit te dragen, werd draagvlak gecreëerd. Het bestuur of MT zijn hierbij erg belangrijk, zonder onder- steuning van hen is de kans groot dat het plan mislukt.” Foto’s: Ron Pichel Fotografie