Met de groeiende hoeveelheid data, de toename van cyberdreigingen en strenger wordende wet- en regelgeving, worden informatiebeveiliging en privacy steeds urgenter voor woningcorporaties. Toch is het volgens Jo van Onsem, CEO van OneXillium, een onderwerp dat nog te vaak alleen bij IT wordt belegd. “Cybercriminelen zijn niet uit op je systemen, maar op je informatie. Juist daarom moeten corporaties grip krijgen op hun bedrijfskritieke informatie.” In gesprek met CorporatieGids Magazine legt hij uit waarom dat begint met bewustwording op álle lagen van de organisatie.
Wat zien jullie bij OneXillium als de grootste risico’s voor woningcorporaties op het gebied van informatiebeveiliging?
De grootste risico’s liggen in de versnippering van informatie over meerdere systemen, de toenemende cyberdreigingen en het gebrek aan expertise om cybersecurity goed te organiseren. Hierdoor wordt het steeds moeilijker om te voldoen aan wet- en regelgeving. Als woningcorporatie wil je niet gegijzeld worden door een hack, waardoor de continuïteit van de organisatie in gevaar komt.
Waarom is grip op informatie volgens jullie essentieel voor veilig digitaal werken?
Cybercriminelen zijn uit op jouw informatie, jouw data. Wij noemen dit ook wel jouw bedrijfskritieke informatie. Grip op informatie betekent dat je weet waar welke informatie zich bevindt, hoe lang deze bewaard mag worden en vooral hoe je ervoor zorgt dat deze gegevens niet door cybercriminelen gegijzeld kunnen worden. Voor een corporatie betekent dit bijvoorbeeld dat alle communicatie met huurders centraal wordt opgeslagen in een DMS wat kan fungeren als een digitale kluis. Dit maakt het eenvoudiger om te voldoen aan bewaartermijnen en om gegevens AVG-compliant te verwijderen of anonimiseren. Maar het maakt het ook veel lastiger voor cybercriminelen om jouw bedrijfskritieke informatie buit te maken.
Veel corporaties zetten inmiddels digitaliseringsstappen, maar hebben ze in het algemeen voldoende grip op informatie?
Het begint vaak bij onvoldoende expertise over informatiebeveiliging en daardoor onvoldoende inzicht in welke kwetsbaarheden er überhaupt zijn en welke risico’s deze vormen. In onze werkwijze helpen wij corporaties om dit inzichtelijk te maken en daar komen wij heel vaak tegen dat er grote kwetsbaarheden liggen bij onvoldoende centrale opslag van documenten, gebrek aan duidelijke processen over wat te doen in het geval van een cyberincident en het continu trainen van personeel op awareness zoals de nieuwste phishingmethodes.
Hoe maak je informatiebeveiliging onderdeel van de dagelijkse praktijk, zonder dat het een blok aan het been wordt van medewerkers en processen?
Door informatiebeveiliging te integreren in bestaande processen en systemen. Denk aan automatische classificaties en anonimisering van documenten, gebruiksvriendelijke tools voor documentbeheer, security awarenesstrainingen die aansluiten bij de praktijk en ondersteuning vanuit een CISO die zorgt dat er altijd inzicht is op kwetsbaarheden en zorgt dat deze adequaat worden opgevolgd door interne afdelingen en leveranciers.
Wat zijn daarbij volgens jullie de meest voorkomende blinde vlekken of misverstanden als het gaat om security in de sector?
“Wij zijn te klein om interessant te zijn voor hackers”, “Cybersecurity is de verantwoordelijkheid van IT” en verwarring over bewaartermijnen en verantwoordelijkheden bij het opschonen van dossiers. Iedere organisatie is een doelwit en cybersecurity is de verantwoordelijkheid van bestuurders, want het is veel breder dan IT alleen. Dat zie je dus bijvoorbeeld al in kennis over bewaartermijnen. Dat is doorgaans niet de expertise van een IT-afdeling.
Informatiebeveiliging vraagt om een combinatie van techniek, beleid en gedrag. Hoe kun als organisatie al die lagen met elkaar te verbinden?
Door een integrale aanpak waarbij je werkt vanuit je beleid. Hierin leg je als organisatie jouw doelstellingen vast op het gebied van informatiebeveiliging, waarbij je uiteraard moet voldoen aan wet- en regelgeving zoals de BIC 4.0 of NIS2. Daaruit volgen maatregelen op het gebied van techniek waarbij wij sterk adviseren om jouw data op te slaan, te beheren en te ontsluiten via een DMS. Maar een belangrijke maatregel is ook te nemen op het onderwerp ‘de mens’. Hoe zorg je dat ze phishing herkennen? Hoe zorg je dat ze weten wat ze moeten doen bij een cyberincident?
Hoe draagt OneXillium concreet bij aan het verbeteren van informatiebeveiliging bij woningcorporaties?
Veel corporaties kennen OneXillium door onze slimme enterprise information-oplossingen waarmee wij de gegevens van een organisatie uitstekend kunnen organiseren en beveiligen. Maar wij bieden dus ook met Cybersecurity as a Service een team van cyberspecialisten en diensten aan voor een vast bedrag per maand. Zo beschikt een corporatie direct over de cybersecurity-expertise die intern vaak ontbreekt. Met deze dienstverlening zijn wij in staat om diensten te bieden zoals een CISO voor strategische begeleiding, security awarenesstrainingen, pentesting, redteaming en DPIA-ondersteuning.
Tot slot: hoe zie je het belang en de aanpak van informatiebeveiliging zich ontwikkelen in de komende jaren?
Corporaties moeten voorsorteren op de automatisering van privacyprocessen, toenemende eisen vanuit wet- en regelgeving, verhoogde verwachtingen van huurders op het gebied van digitale veiligheid en AI-toepassingen die veilig en verantwoord omgaan met data. De wetgever eist dat informatiebeveiliging een bestuurdersverantwoordelijkheid wordt, en daar moeten corporaties ook naar gaan handelen.
Bron: CorporatieGids Magazine, Foto: Theo Scholten
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nl
CorporatieGids Magazine - Juni 2025 Inhoud Gerrolt Ooijman (Wonion): Duurzaamheid als fundament van de organisatie Camiel Schuurmans (NabijWonen): Ouderwets…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
