CorporatieGids Magazine

MAART 2020 I 19 18 I CORPORATIEGIDS MAGAZINE 25 Mei 2018. Het was niet alleen het moment dat de AVG van kracht werd, maar betekende volgens Anneke ook een ver- andering in de manier waarop informatiebeveiliging werd aangevlogen bij Woonforte. “Natuurlijk waren we voor die datum al bezig met informatiebeveiliging en deden we al veel aan de bescherming van privacy, maar de focus lag toch wel op de bedrijfscontinuïteit. Inmiddels is daar bijgekomen het voldoen aan de privacy wet- en regelgeving zodat persoons- gegevens goed worden beschermd. In andere woorden: de bewustwording zo verbeteren dat medewerkers acties nemen wanneer dat nodig is, en dat privacy en informatiebeveiliging serieus worden genomen door het management en hiervoor geld en tijd beschikbaar is.” Weggenomen weerstand Bewustwording is de laatste twee jaar een belangrijk onder- werp geweest bij de Zuid-Hollanders. Anneke: “En dat heeft een positief effect gehad. De initiële weerstand tijdens de implementatie van de AVG is omgeslagen naar begrip om nog zorgvuldiger en veiliger met persoonsgegevens om te gaan. Inmiddels maakt privacy integraal deel uit van onze bedrijfs- voering en gaat onze aandacht vooral uit naar het onderhouden van deze bewustwording.” Golfbewegingen Waar het soms lijkt alsof informatiebeveiliging en privacy minder in het nieuws zijn dan toen de AVG van kracht werd, ziet Anneke zelf ‘golfbewegingen’. “Soms is het een tijdje rustig maar dan gebeurt er iets en staan informatiebeveiliging en privacy weer volop in de belangstelling, bijvoorbeeld tijdens het Citrix-incident eerder dit jaar. Om bij Woonforte de aandacht scherp te houden als het ‘rustig’ lijkt, plaatsen we bijvoorbeeld een artikel op ons intranet of schenken op een andere wijze aandacht aan de onderwerpen.” Anneke van der Zwan (Woonforte): Goede informatiebeveiliging betekent bewuste medewerkers én veilige systemen Het is inmiddels bijna twee jaar geleden dat de AVG van kracht werd. Betekent dit dat de bewustwording onder corporatie- medewerkers inmiddels zo goed is dat informatiebeveiliging en privacy op een lager pitje kunnen komen te staan? CorporatieGids Magazine vroeg het aan Anneke van der Zwan, Medewerker Bedrijfsvoering en Privacy Officer bij Woonforte. “Je moet daarbij wel op zoek gaan naar de balans en mede- werkers niet overladen met bewustwordingstraining,” gaat Anneke verder. Op de vraag waar die grens precies ligt, zegt ze: “Het is zaak om goed te kijken naar de mate en impact van incidenten en vragen, en om goed te luisteren naar signalen. We vinden het ook belangrijk hoe je omgaat met de opvolging van bijvoorbeeld een incident: straffen of belonen. Wij geloven in dat laatste.” Grip houden Om grip te houden wat goed gaat en wat niet rond informatie- beveiliging en privacy, laat Woonforte regelmatig pentesten uitvoeren. “We laten dan applicaties, het netwerk of de website testen door een ervaren ethische hacker. Daarnaast volgen we nauw de ontwikkelingen in deze vakgebieden en stellen daarvanuit verbetertrajecten op, bijvoorbeeld door trainingen en workshops. Daarbij werken we samen met Audittrail. Die samenwerking begon twee jaar geleden bij het implementeren van de AVG. Nu bestaat de samenwerking uit bijvoorbeeld workshops over privacy waarmee wij onze bewustwording op peil willen houden.” “Voorbeelden van bewustwordingssessies zijn de lezing van Maria Genova bij ons op kantoor dat veel indruk heeft gemaakt, het bezoek van een mystery guest en het laten rondsturen van een phishing mail. De resultaten en tips over hoe je hiermee moet omgaan, hebben we kort gepresenteerd op het intranet. Daarnaast willen we binnenkort ook een workshop organiseren om tips, trucs en informatie met collega’s te delen en ruimte te geven voor vragen.” Geen onderscheid Op de vraag of bewustwording lastiger te creëren is dan het technisch veilig maken van systemen, zegt Anneke: “Volgens mij is er geen onderscheid en is er continu aandacht voor