Woningcorporaties met meer dan 250 medewerkers zijn (binnenkort) verplicht een privacy & security officer aan te stellen. Wat doet een privacy & security officer precies? We vroegen het aan Eveline van der Wel, privacy & security officer bij Vestia. ”Mijn belangrijkste missie is het vergroten van bewustzijn over privacy & security.”
Download hier het originele artikel uit CorporatieGids Magazine editie maart 2016
Eveline van der Wel, of misschien beter: Eveline van der W. De privacy & security officer van Vestia heeft geen Twitter-account, Facebookpagina of LinkedIn-profiel. Als iemand de privacy & security-daad bij het woord voegt, is het Eveline wel. ”Ik heb geen behoefte om alles te delen.”
Controller-hart
Eveline werkt al sinds 1993 bij Vestia en was, voordat ze werd aangesteld als privacy & security officer, eerst medewerker interne controle en administratieve organisatie en adviseur processen. ”Mijn controller-hart komt in deze nieuwe functie goed van pas. Het bewaken van privacy en security is echt mijn ding. Het voelde als een natuurlijke overgang.”
Bewustzijn
Op de vraag wat een privacy & security officer zoal doet, zegt ze: ”Mijn belangrijkste missie is om het bewustzijn over privacy & security te vergroten. Ik doe dat door proceseigenaren te interviewen, nieuwsberichten te publiceren op ons intranet en de directie regelmatig te informeren over de stand van zaken. Ook praat ik veel met medewerkers over privacy & security. Het lijkt soms dat het niet ‘top of mind’ is, maar na tien minuten heb ik ze allemaal om,“ glimlacht de privacy & security-evangeliste.
Persoonlijke sfeer
”Het werkt het beste om het in de persoonlijke sfeer te trekken,“ verklapt Eveline en ze gebruikt zichzelf soms als lijdend voorwerp. Zo vertelt ze openhartig dat haar creditcard eens is gehackt. ”Je denkt, het overkomt mij niet, tot het gewoon een keer gebeurt. Mijn missie is dus om mensen daarvan bewust te maken. Denk na voordat je ergens op klikt of hoe je omgaat met persoonsgegevens. Dat geldt zowel zakelijk als privé.” Het zijn juist die twee werelden die zich, mede door technologie, zo makkelijk laten mengen. Als voorbeeld noemt Eveline de smartphone die zowel zakelijk als privé wordt gebruikt.
BYOD
Daarover zegt Eveline: ”Ik vind dat we voorzichtig moeten zijn met ‘bring your own device’ maar weet natuurlijk ook dat die apparaten niet meer weg te denken zijn. Op dit moment ben ik bezig met het herijken van ons informatiebeveiligingsbeleid dat onder andere gebaseerd is op de geldende ISO normen. Past het allemaal nog bij Vestia? Het geeft eigenlijk vooral aan dat privacy & security meer over mensen gaat dan over IT. Je kunt twintig sloten op je deur hebben, maar als je raam ernaast openstaat heeft dat geen enkele zin. Datzelfde geldt voor je smartphone: gebruik hem met gezond verstand.”
ICT-tintje
De functioneel leidinggevende van Eveline is de ICT-manager, waarmee haar vakgebied bewust of onbewust toch een ICT-tintje krijgt. ”Het is dus juist mijn rol om te laten zien dat het ook om de organisatiekant gaat. Dat ik zelf geen ICT-er ben is een voordeel. Ik ben goed in kritische vragen stellen. Mijn hart ligt bij de mensen en daar is wat mij betreft het meeste te winnen.”
USB-stick
Dat Vestia-medewerkers de wet- en regelgeving rondom privacy & security uiterst serieus nemen, bleek pas uit een ‘akkefietje’ met een vermeende USB-stick, vertelt Eveline. ”Een collega vond een USB-stick in een presentatieruimte en bracht hem snel naar de ICT servicedesk toe. Bleek het helemaal geen USB-stick te zijn, maar een bluetooth-dongle voor een draadloos toetsenbord. Geeft wel aan dat medewerkers bewust zijn dat ze in het kader van de Meldplicht Datalekken moeten handelen.“
Datalek
Eveline licht de meldplicht toe: ”Als blijkt dat er een datalek is, waarbij de kans bestaat dat data door onbevoegden is ingezien en dat er een redelijke kans op schade is, dan moet daarvan binnen 72 uur een melding gedaan worden bij de Autoriteit Persoonsgegevens. Na melding worden afhankelijk van het soort datalek betrokkenen geïnformeerd. Toen mijn creditcard was gehackt vond ik het ook prettig dat ik dat snel hoorde. In dit vermeende USB stick-geval kon het communicatiedraaiboek gelukkig onverrichterzake terug de la in.”
Privacy & security-evangelie
Het uitdragen van het privacy & security-evangelie op de ICT-afdeling zelf is volgens Eveline nauwelijks nodig. ”Het leeft hier enorm en ik word overal actief bij betrokken. We zijn het afgelopen jaar bezig geweest met online dienstverlening. Samen met Jorrit van de Walle van Audittrail heb ik een audit op het online systeem gedaan. Daardoor hebben mijn collega’s de puntjes op de i kunnen zetten en bijvoorbeeld afspraken aan de SLA’s met softwarebedrijven toegevoegd. Dat maakt dat mijn functie verstevigd is. Het toont ook aan dat de bescherming van persoonsgegevens steeds belangrijker wordt. Wij weten veel van
onze huurders maar ons doel is om ons strikt te houden aan de wet- en regelgeving. We zetten onze data niet commercieel in. We doen niets met datamining, ook al zou je er bijvoorbeeld mee kunnen voorspellen waar huurachterstand gaat ontstaan na een huurverhoging. Als alternatief houden wij met onze wijkteams een vinger aan de pols in de wijken.”
Cybercrime
In het kader van privacy & security wordt de buitenwereldook steeds belangrijker. Kijk maar naar de media; de toename van cybercrime groeit explosief. Op de vraag of de systemen of websites van Vestia wel eens zijn gehackt, zegt Eveline: ”Voor zover ik mij kan herinneren hebben wij geen vervelende ervaringen meegemaakt. Ook ga ik in dit artikel natuurlijk geen ethical hack van ons systeem aankondigen, want dan zou iedereen voorbereid zijn. Van de andere kant ga ik ervan uit dát we er zo goed als mogelijk op voorbereid zijn. Natuurlijk is honderd procent beveiliging een utopie – volg de media zou ik zeggen – maar wij doen er in ieder geval alles aan om onze privacy & security op orde te hebben.”
Privacy impact assessment
Een groeiend bewustzijn voor privacy & security bij softwareleveranciers draagt daar ook aan bij, zegt Eveline. ”Ook al zie je verschillen. Centric is daar bijvoorbeeld druk mee bezig en ook de leverancier van onze online dienstverlening heeft veel aandacht voor privacy & security. Bij aanbesteding van software passen wij ook een privacy impact assesment (PIA) toe. Zijn er persoonsgegevens in het spel? Is het een nieuwe toepassing? Het verzamelen van persoonsgegevens mag namelijk alleen als het wettelijk is toegestaan. Ook wijzigingen aan bestaande softwaretoepassingen worden gescreend door een change and
configuration manager.”
G6-corporaties
Alhoewel de functie van privacy & security officer nog geen gemeengoed is in corporatieland, werkt Eveline op haar vakgebied al intensief samen met vakgenoten bij Woonstad Rotterdam, Woonzorg Nederland en De Key. ”Met deze vier G6-corporaties hebben we onder het voorzitterschap van privacy & security specialist Audittrail een samenwerkingsverband opgericht. Zo voorkom je dat wielen opnieuw worden uitgevonden in dit nieuwe, soms nog grijze vakgebied.”
Aandacht groeiend
Ook van andere corporaties hoort ze dat de aandacht voor privacy & security groeiend is. ”Het wint terrein in corporatieland. Je bent pas verplicht om een privacy & security officer in dienst te hebben als je meer dan 250 medewerkers hebt. Dat nog maar weinig corporaties privacy & security specifiek benoemd hebben, wil natuurlijk niet zeggen dat ze er helemaal geen aandacht voor hebben. Corporaties kunnen ook specialisten inhuren, zoals wij dat ook hebben gedaan met Audittrail. Het is een vakgebied dat sterk in ontwikkeling is en dan is het fijn om een sparring partner te hebben die specialist is op het gebied van privacy & security.“
Grootste risicofactor: de mens
Op de ‘open deur’ slotvraag waar uiteindelijk grootste privacy & security risico’s schuilgaan, zegt Eveline: ”Bij de mensen. Omdat dit vaak om onbewust gedrag gaat, is hier voor mij natuurlijk de meeste terreinwinst te boeken. Dat doen we door het onderwerp zo dichtbij mogelijk te brengen. Privacy & security is geen ver van mijn bed show.”
Bron: CorporatieGids Magazine
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Juni 2024 - Klantdenken Inhoud Mara van Sluis (Parteon): Klantdenken vervlechten in onze verduurzamingsopgave Jurrian Koks en…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
