CorporatieGids Magazine

41 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 3, 2017 40 WWW.CORPORATIEGIDS.NL Verdwaalde USB-sticks Zoals veel securityexperts erkennen Jack en Anja dat de mens ook bij Woningbedrijf Velsen de zwakste schakel is. Jack: “Een medewerker die reageert op een phishing mail, zijn of haar e-mailadres op een willekeurige site intikt of een rondslingerende USB-stick zijn slechts enkele voorbeelden van wat in de praktijk kan voorkomen. Dan maakt het niet zoveel uit dat hackers dagelijks aan onze digitale poorten rammelen. Wij proberen met voorlichting over incidenten en actuele bedreigingen preventief onze collega’s te infor- meren over de mogelijke bedreigingen. Niet alleen zakelijk, ook voor thuis geven wij tips mee.” Het blokkeren van websites, de toegang tot USB-sticks aan banden leggen of het automatisch vergrendelen van een computerscherm is niet voldoende, legt Jack verder uit. “Daarom organiseren wij voor onze collega’s trainingen en lezingen, plaatsen we relevante informatie op ons intranet en hangen er in het pand diverse posters om de bewustwording te vergroten. Vooral op de door ons gemaakte video’s komen veel leuke reacties. Hierdoor kunnen wij merken dat het werkt en goed bekeken wordt.” Medewerkersbewustwording Om het bewustzijn nog verder te vergroten, wordt Woning- bedrijf Velsen ook bijgestaan door audit- en adviesbureau Audittrail. “Zij hebben ons ondersteund en geadviseerd om de medewerkersbewustwording te toetsen en te vergroten. Bijvoorbeeld door middel van een lezing. Audittrail heeft ons daarnaast geholpen met het opstellen van het informatie- beveilingsbeleid, de nulmeting, het awarenessprogramma en het Information Security Management System ISMS. Dat laatste borgt alle voorkomende maatregelen, procedures en instructies met betrekking tot het waarborgen van informatieverwerking binnen Woningbedrijf Velsen. Door dit in kaart te brengen, kunnen risicoanalyses de nodige organisa- torische, procedurele en technische maatregelen worden bepaald en kan de mate van beveiliging worden vastgesteld.” Privacy by design Op de vraag wat de invloed is van technologische ontwikke- lingen op security en informatiebeveiliging, zegt Jack: “Let goed op hoe huidige en nieuwe applicaties zijn ingericht en ontwikkeld. Het feit dat het een nieuwe applicatie is, betekent niet dat deze op de juiste manier is ingericht. Let bij aanschaf daarom op drie dingen: privacy by design, data-minimalisatie en privacy by default.” “Privacy by design is letterlijk: gegevensbescherming door ontwerp. Het idee is om in een vroeg stadium technisch en organisatorisch een zorgvuldige omgang met persoons- gegevens af te dwingen. Bij de ontwikkeling moet er dus al aandacht zijn voor privacy. Data-minimalisatie is daar een belangrijk onderdeel van. In het ontwerp moet gewaarborgd worden dat er niet meer persoonsgegevens verwerkt worden dan strikt noodzakelijk voor het doel. Privacy by default kan ook gezien worden als onderdeel van privacy by design, en vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn.” Voldoen aan wetgeving Op de vraag wat de privacy officers aan collega corporaties mee willen geven, zegt Anja: “Begin bij informatiebeveiliging en privacy met commitment vanuit het management om een draagvlak te creëren. Start daarna met een nulmeting en stel iemand verantwoordelijk en werk volgens de Baseline Informatiebeveiliging Corporaties (BIC) van Aedes en NetwIT. Neem vanaf de allereerste stap jouw collega’s mee en maak iedereen bewust over hoe om te gaan met privacygegevens. Omdat de mens de zwakste schakel blijft, maak gebruik van cryptografie. En tenslotte: werk op technisch vlak alleen met gecertificeerde software om zo efficiënt aan de regels te voldoen van het AVG.”