Leen Spaans (Woonforte): Complexe materie en snelle ontwikkelingen vragen om samenwerken bij informatiebeveiliging en privacy

Geplaatst door CorporatieMedia op
 

Als woningcorporatie wil je je gegevens veilig beheren. Dat betekent onder andere het uitvoeren van een DPIA – een Data Protection Impact Assessment – na iedere update in het ICT-landschap. Woningcorporatie Woonforte – verantwoordelijk voor ongeveer 11.000 vhe in Alphen aan de Rijn – pakt dit niet alleen op, maar samen met haar collega’s binnen A+. Hoe ziet deze samenwerking eruit en wat is de meerwaarde? CorporatieGids.nl ging erover in gesprek met Teamleider I&A en Faciliteiten Leen Spaans.

Het uitvoeren van de DPIA is iets wat iedere corporatie moet doen, begint Leen het gesprek: “Organisaties zijn door de Autoriteit Persoonsgegevens verplicht om hun privacyrisico’s in kaart te brengen. Dat moet iedere keer wanneer iets wijzigt in het applicatielandschap geüpdatet worden. Binnen A+ – een samenwerkingsverband van Aareon-gebruikers – migreren acht corporaties binnenkort naar Tobias 365. Kennisdeling is binnen deze samenwerking altijd enorm belangrijk geweest, en daarom dat we de DPIA ook samen willen oppakken. Dat is efficiënter maar geeft ons ook de mogelijkheid om van elkaar te leren.”

Gemeenschappelijke deler
Tobias 365 als gemeenschappelijke deler was volgens Leen dé reden om de DPIA samen uit te voeren. “De structuur van de data binnen de corporatie is voor ons allemaal gelijk. De DPIA is daarom voor een groot deel hetzelfde. De verschillen komen vooral door de aanpalende applicaties waarmee je koppelt of dat je bepaalde onderdelen binnen het ERP-systeem niet gebruikt. Maar omdat 60 tot 70 procent wél hetzelfde is, kun je elkaar helpen. Bij hetgeen wat overblijft kun je een verdiepingsslag maken.”

DPIA light
Woonforte voert de DPIA uit middels een standaard format van Audittrail. “Eerst doen we altijd de DPIA ‘light’. Dit is een korte vragenlijst die we doorlopen om te kijken of we een uitgebreide DPIA moeten uitvoeren. Daarna vullen we een checklist om vast te stellen of een DPIA moet worden uitgevoerd. Het kan namelijk zijn dat een nieuwe applicatie geen gebruikmaakt van persoonsgegevens, dan hoeft een hele DPIA niet plaats te vinden. De uitvoering wordt normaliter gedaan door onze privacy en security officer. Hierbij worden mensen die veel van de software afweten – zoals de functioneel beheerder of een projectleider – zoveel mogelijk betrokken, zodat de privacy en security officer uiteindelijk een goede conclusie kan trekken.”

“Overigens werken we bij de Tobias 365-DPIA nauwer samen met Audittrail. Zij voeren voor de A+ corporaties de assessment uit. De reden is dat dit een grote applicatie is en je wil een generiek beeld van alle acht corporaties hebben. Dan is het efficiënter en beter als een externe partij meehelpt. Daarnaast is de materie zeker bij een ERP-systeem heel complex, waardoor extra expertise ons zeker helpt.”

Datalek in een klein hoekje
Privacy en informatiebeveiliging zijn twee thema’s die nauw met elkaar zijn verbonden, gaat Leen verder: “Er is wel een gemeenschappelijke deler: de mens is vaak de zwakste schakel. Het is daarom zaak om de bewustwording constant hoog te houden. Denk bijvoorbeeld aan phishingmails, wat tegenwoordig een hot topic is. Daarbij zit een datalek al snel in een klein hoekje. Het versturen van een e-mail naar een verkeerd persoon met dezelfde voornaam, is er al een. Het is belangrijk een situatie te creëren waarin dit wordt gemeld en over gepraat wordt.”

Niet overvoeren
“Het is wel belangrijk om de organisatie niet te overvoeren. Een tijdje geleden voerden we een phishingtest uit binnen onze organisatie. Als die echt was geweest, hadden we besmettingen gehad. Dat zet iedereen aan het denken waardoor we er nu extra scherp op zijn. Maar wat als je iedere maand zo’n test doet, of misschien vaker. Dan krijgen mensen al snel iets van ‘het zal wel’. Ervoor zorgen dat mensen niet overvoerd worden zorgt uiteindelijk voor het grootst mogelijke effect en loop je geen risico dat het onderwerp niet meer serieus genomen wordt.”

Corporatiespecifiek
Als Leen kijkt naar de uitgevoerde DPIA, is het generieke deel van de acht corporaties afgerond. “We migreren allemaal echter wel op een ander tempo naar Tobias 365. Twee corporaties zijn inmiddels al gemigreerd terwijl wij volgend jaar gaan. Dat betekent dat we ons specifieke deel in Q4 willen afronden. Een voorbeeld van wat we aangepast hebben door de DPIA is ons verwerkingsregister waarin vastgelegd wordt welke gegevens we in welke processen verwerken. Dat moeten we aanpassen aan Tobias 365 en hebben we voor alle acht nu afgerond. Het is nu de taak aan Woonforte om dit basisgedeelte aan te vullen met corporatiespecifieke informatie.”

Complexe materie
Samenwerking op het gebied van privacy en informatiebeveiliging is iets waar Leen ook verder in de toekomst veel heil in ziet: “Techniek en wet- en regelgeving worden steeds complexer en ontwikkelingen volgen elkaar sneller op. Dat betekent dat het steeds lastiger wordt om dit bij te houden. Waarom zouden we driehonderd keer het wiel moeten uitvinden, terwijl je ook samen kunt werken? Tuurlijk, de eerste corporaties zullen altijd de kastanjes uit het vuur moeten halen. Maar de rest heeft daar enorm veel profijt van.”

Bron: CorporatieMedia, Foto: Woonforte