Audittrail: Bewustwording informatiebeveiliging en privacy grootste verbeterpunt

Geplaatst door CorporatieMedia op
 

Nieuwe systemen en veranderende wet- en regelgeving: het speelveld rondom informatiebeveiliging en privacy voor woningcorporaties is volop in beweging. Wat zijn de grootste trends en waar kunnen corporaties de meeste winst boeken? Een gesprek met Aletta Hoogeveen en Anita Sol, Consultants bij Audittrail: “De techniek moet op orde zijn, maar de mens blijft de zwakste schakel.”

De essentie van goede informatiebeveiliging is het waarborgen van beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Dat informatiebeveiliging echter niet langer een IT-feestje is, noemt Aletta de grootste ontwikkeling in de sector. “Informatiebeveiliging is bij bestuurders hoger op de agenda gekomen. Door de digitalisering, het gebruik van big data en Internet of Things (IoT) wordt – naast het gemak van het kunnen beschikken over meer data – ook meer nagedacht over de beveiliging ervan.”

“Daarvoor moeten naast technische maatregelen ook organisatorische en procedurele maatregelen getroffen worden,” licht Anita toe. “Deze moeten gebaseerd zijn op een risicoanalyse of wettelijke verplichting. De realisatie en uitgave van de BIC (Baseline Informatiebeveiliging Corporaties) is daar een goed voorbeeld van: corporaties kunnen zelf aan de slag om compliant te worden. Als dit gebeurt met ondersteuning van de directie en het management, is er al veel gewonnen.”

Nadenken over processen
Het gebruiken van een PDCA-cyclus (Plan, Do, Check, Act) is volgens Anita een goede manier om de technische maatregelen te borgen binnen de organisatie. “Je begint daarbij met een risicoanalyse op de belangrijkste primaire processen. Wanneer deze niet op orde zijn, dan wordt dat direct duidelijk. Ook word je gedwongen na te denken over je processen: welke data wordt er gebruikt, welke persoonsgegevens, welke data slaan wij op en wat is de bewaartermijn. Alles heeft een link met elkaar en kan niet los worden gezien, wat tegelijkertijd zorgt voor een stukje meer bewustwording bij medewerkers.”

“Data-minimalisatie is daar een belangrijk onderdeel van. Software moet ervoor zorgen dat er niet meer persoonsgegevens verwerkt worden dan strikt noodzakelijk voor het doel. ‘Privacy by default’ – het privacy vriendelijk inrichten van standaardinstellingen – en ‘privacy by design’ – gegevensbescherming meenemen tijdens de ontwikkeling van software – kunnen gezien worden als onderdeel hiervan. Hiervoor is goede communicatie nodig met de IT-leveranciers.”

Bewustzijn
Ondanks dat techniek een belangrijke rol speelt, is volgens Anita de meeste winst rondom informatiebeveiliging en privacy te behalen in het bewustzijn van de medewerkers. “Het ERP-systeem is vaak goed ingericht met autorisaties, niet-geautomatiseerde gegevens als papieren archieven zijn beveiligd en men maakt bijvoorbeeld gebruik van clean desk en clear screen procedures. Het verbeterpunt zit hem vooral in het verbeteren van de bewustwording van medewerkers. Door voortdurend voorgelicht te worden over incidenten en actuele bedreigingen – met daarbij voorbeelden – blijft het onderwerp punt van aandacht en houd je iedereen scherp.”

“Wat betreft privacy hebben corporatiemedewerkers vaak het idee dat straks niets meer mag,” gaat Aletta verder. “Dit is ook een stukje bewustwording. Ze missen vaak de richtlijnen en instructies voor de juiste werkwijze en onderbouwing, en willen graag alles doen om de huurder te helpen. Vanuit bijvoorbeeld de gemeente of politie wordt nu vaker aangegeven dat bepaalde informatie niet zomaar gedeeld mag worden. Wat wij bij meerdere corporaties zien, is dat dit wordt geregeld door afspraken in een convenant vast te leggen of geheimhoudingsverklaringen te tekenen. Dat schept duidelijkheid over wat de medewerker in de toekomst wél mag doen.”

Compliant worden
Aletta legt uit dat Audittrail corporaties kan helpen met het uitvoeren van een nulmeting op de informatiebeveiliging en privacy. “Zo wordt helder wat gedaan moet worden om zoveel mogelijk compliant te raken aan de AVG die mei volgend jaar van toepassing wordt. Afhankelijk van die resultaten kunnen wij ondersteuning bieden en advies geven door corporaties bijvoorbeeld te ondersteunen met een awarenesscampagne informatiebeveiliging en privacy.”

Continue awareness
“Zorg ervoor dat de technische maatregelen op orde zijn,” sluit Anita af. “Communiceer dit intern en geef aan waarom je deze maatregelen treft. En denk daarbij niet dat straks niets meer mag. Verdiep je in de veranderende wetgeving en ga hierover in gesprek met je collega’s. Weet waarvoor je welke informatie verwerkt. De techniek is mooi, maar de mens blijft de zwakste schakel. Blijf daarom investeren in awarenesstrainingen voor (nieuwe) medewerkers voor meer bewustwording, net als het blijvend informatie delen via het intranet en bijeenkomsten voor medewerkers, de directie en het management. De toepassingsgebieden van ICT worden alsmaar groter en meer divers, en je hierop goed voorbereiden als organisatie is cruciaal.

Bron: Johan van den Beld | CorporatieMedia - 13 december