Hoe zorg je voor interne bewustwording omtrent informatiebeveiliging en houd je dit levend binnen de organisatie? Voor die vraag stond Veluwonen een jaar geleden, nog warm van de fusie tussen Sprengenland Wonen en Woningstichting Brummen. CorporatieGids Magazine ging in gesprek met Henk Hilderink, Manager Bedrijfsvoering bij Veluwonen, en sprak met hem over het professionaliseren van informatiebeveiliging.
De focus op informatiebeveiliging begon ongeveer tweeëneenhalf jaar geleden, net na de fusie. Veluwonen was toen bezig met een AVG-project om te voldoen aan wet- en regelgeving. Thema’s als privacy en informatiebeveiliging waren bij de rechtsvoorgangers op een bescheiden manier geregeld, vertelt Henk: “Woningstichting Brummen en Sprengenland Wonen waren namelijk twee kleine organisaties, vooral bezig met dagelijkse dingen als vastgoed, onderhoud en het goed verhuren van woningen. Als grotere corporatie merk je dat er andere behoeften en uitdagingen zijn, zoals het beter beveiligen van onze data.”
Kloppend hart
Bij de geboorte van Veluwonen werd een nieuwe ICT-visie opgesteld: het worden van een moderne organisatie. “Dat betekent onder andere het digitaliseren van onze processen,” legt Henk uit. “Binnen ons ICT-landschap hebben wij ViewPoint als kloppend hart waar alle data samenkomt. Om dit te gebruiken, moet het volledig, juist en overal toegankelijk zijn. Medewerkers moeten plaats- en tijdsonafhankelijk kunnen werken. De keerzijde daarvan is dat informatiebeveiliging steeds belangrijker wordt. Vroeger had je een papieren archief en dat kan niet op straat worden kwijtgeraakt, gehackt worden of geïnfecteerd raken door een virus. Het is daarom zaak – voor de huurders, maar ook voor je eigen organisatie – de gegevens die je hebt goed te beveiligen.”
Gedachte naleven
Veluwonen beheert na de fusie zo’n 4.000 woningen en heeft ongeveer 35 medewerkers. Op de vraag hoe je met bescheiden middelen informatiebeveiliging goed kunt inrichten, vertelt Henk: “Door als organisatie bewust te zijn van het belang van data en de beveiliging hiervan technisch goed neer te zetten.”
Het op de letter naleven van regelgeving is volgens hem niet de juiste aanvliegroute. “Termen als AVG zeggen de meeste medewerkers weinig. Daarnaast leeft ook het gevaar dat je kunt doorslaan in wet- en regelgeving, en processen via protocollen en regels dichttimmert waardoor de organisatie dichtslibt. De essentie moet zijn dat je als organisatie – zelfs als de AVG er niet zou zijn – zuinig en goed omgaat met de beschikbare data. Dit staat immers aan de basis van alle beslissingen die een moderne corporatie neemt. Zet informatiebeveiliging dan ook niet neer als iets dat moet volgens regelgeving, maar omdat het de huurder en Veluwonen het meeste oplevert.”
Technisch neerzetten
Het verder professionaliseren van informatiebeveiliging begon volgens Henk bij het technisch neerzetten van de juiste systemen. “Wij hebben bij de selectie van een nieuwe leverancier voor onze kantoorautomatisering gekeken naar hoe zij omgaan met onze data. Het is essentieel dat deze veilig zijn opgeslagen en wij moeten ervan op aankunnen dat de leverancier daar goed op let. Daarnaast vinden wij het belangrijk dat we kunnen leunen op onze partners: wij hebben niet de schaalgrootte die andere corporaties wel hebben en willen gebruik kunnen maken van hun kennis en expertise.”
Bewustwording
Nu de harde kant van informatiebeveiliging staat, volgt het aanpakken van de zachte kant. “De digitale bewustwording van onze medewerkers verder verbeteren is het volgende punt,” vertelt Henk. “Tijdens het AVG-project hebben we dit al uitgebreid opgepakt, maar willen nu de volgende stap zetten. We volgen hierbij onder andere de baseline informatiebeveiliging en willen dit thema meer op de agenda zetten. Dat betekent onder andere de medewerkers bewust maken van de risico’s. De maatregelen kunnen soms heel simpel zijn, zoals het vergrendelen van een beeldscherm wanneer je wegloopt van je werkplek. Daarnaast gaan we in gesprek gaan met het management om te kijken wat goed gaat, waar wij risico’s lopen en welke verdere maatregelen nodig zijn.”
Ervaring en kennis
Veluwonen werkt daarbij samen met adviesbureau SmartR: “Zij hebben de ervaring van eerdere projecten, nemen die kennis mee naar onze organisatie en weten wat er bij ons nodig is. Op die manier fungeert SmartR als adviseur en worden wij ontzorgd.”
Dynamisch
Door de verdere professionalisering en het doorlopen AVG-project is informatiebeveiliging een meer dynamisch thema geworden binnen Veluwonen, vertelt Henk. “Echter moeten we daar wel aandacht voor houden, anders zakt het weg en wordt het iets statisch. Ik heb zelf vroeger bij verschillende gemeenten gewerkt en het begin van de gemeentelijke basisadministratie meegemaakt. Daarvoor werden audits uitgevoerd en heerste naderhand de gedachte ‘nu kunnen we het weer rustig aan doen’. Voor die gedachte moet je bij informatiebeveiliging waken: je moet het continu meenemen in je werk.”
Gedeelde verantwoordelijkheid
Een belangrijke rol is daarbij weggelegd voor het management. “Wanneer managers en de directie de waarde inzien van informatiebeveiliging, kunnen ze de organisatie aanvullen en scherp houden. Denk aan het monitoren van medewerkers en het aanspreken van mensen wanneer het niet goed gaat. Uiteindelijk is die verantwoordelijkheid niet iets wat alleen door het management moet worden gedragen, maar door de hele organisatie. Dan wordt het een onderdeel van het DNA van de organisatie en wordt de continuïteit van informatiebeveiliging geborgd.”
Bron: CorporatieGids Magazine, Foto: Mariska Klok
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
