CorporatieGids Magazine

19 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 2, 2018 18 WWW.CORPORATIEGIDS.NL gebonden data altijd alert moeten blijven. Om over de andere, niet direct werkinhoudelijke gevaren zoals phishing maar te zwijgen.” Samenwerken Bij het uitvoeren van de nulmeting heeft Woonbron samen- gewerkt met securityexpert Audittrail. Dennis: “Dit was in de vorm van achttien interviews met ruim dertig medewerkers, om zo een goede dwarsdoorsnede van de organisatie qua locatie als functie te vormen. Audittrail heeft ons daarna geholpen met het opstellen van een activiteitenplan. Daarna is er regelmatig contact geweest tussen de privacy jurist van Audittrail en de op dat moment beoogde Privacy Officer van Woonbron. Zij hebben gezamenlijk opgetrokken om te komen tot de noodzakelijke beleidsdocumenten en op deze manier kon de Privacy Officer snel de essentiële inhoudelijke kennis opdoen.” De corporatie werkt daarnaast ook samen met collega-corpo- ratie Havensteder. Marino: “Ik ben vanuit Havensteder gede- tacheerd naar Woonbron. Vanuit het regionale FLOW initiatief ‘Corporaties in Beweging’ bieden we medewerkers de mo- gelijkheid op basis van ervaring en competenties elders projecten of opdrachten te doen die voorzien in een behoefte van een specifieke corporatie én een bijdrage leveren aan de doorontwikkeling van de desbetreffende medewerker. Zo delen we kennis en hoeft niet iedereen voor zichzelf het wiel opnieuw uit te vinden.” Goed gebruik Op de vraag wat de essentie is van goede privacy en informatie- beveiliging, vertelt Marino: “Goede privacy gaat mijn inziens over het juist en goed gebruiken van persoonsgerelateerde gegevens. Informatiebeveiliging zorgt vervolgens voor de technische bescherming ervan tegen de ongeautoriseerde toegang ertoe. Beide aspecten zijn dus volledig verweven met elkaar. Het inrichten van het één is dus alleen nuttig als het ander ook geregeld is. Het bewustzijn van medewerkers op beide terreinen is de grootste uitdaging.” Privacy en Security Officer De benoeming van een Privacy Officer en Security Officer heeft ervoor gezorgd dat de twee gebieden beter zijn ingebed in de organisatie. “Voor beide terreinen wordt op dit moment een jaarplan opgesteld waarmee, naast het melden van incidenten, ook een aantal concrete activiteiten wordt uitgevoerd,” legt Dennis uit. “Denk aan het uitvoeren van reviews, audits en privacy assessments. Daarnaast blijft het periodiek herhalen en informeren voor blijvende awareness bij het personeel belangrijk.” Grote organisatie Woonbron is met ruim 49.000 vhe en bijna 700 medewerkers een van de grotere corporaties in Nederland. Op de vraag wat dat betekent op het gebied van privacy en informatie- beveiliging zegt Dennis: “Je moet ervoor zorgen dat zaken die geïmplementeerd worden ook binnen de gehele organisatie gebeuren. Je hebt vaak met meerdere afdelingen te maken en dus meer personen. Maria Genova heeft bijvoorbeeld vijftien keer een lezing gegeven, want wat men in Dordrecht weet moet men ook in Rotterdam en Delft weten. Het voordeel van de grootte is echter dat je makkelijker een Privacy of Security Officer in dienst kan hebben.” Niet dommer Eind vorige maand ging de AVG van kracht. Het duo ontkent dat de nieuwe privacywetgeving het gebruik van bijvoorbeeld big data, sensoren, domotica en Internet of Things lastiger maakt waardoor corporaties ‘dommer’ zouden kunnen worden. “Zeker niet,” vertelt Marino. “Corporaties onderzoeken dergelijke ontwikkelingen, maar passen het nagenoeg nog niet toe. Deze ontwikkelingen gaan ons dus sowieso helpen om een nog beter beeld te krijgen van onze huurders, de omgeving en de ontwikkelingen hierin, en het is uiteindelijk de vraag in hoeverre de regelgeving écht belemmerend gaat werken.” Structurele aandacht Op de vraag of Woonbron door de genomen stappen inmiddels ‘AVG-proof’ is, zegt Dennis: “Op basis van een recent uitge- voerde analyse die wij samen met Audittrail hebben uitge- voerd, kunnen we stellen dat Woonbron in de basis AVG-ready is. Uiteraard hebben we op een aantal onderdelen nog tijd nodig om zaken als het archief helemaal op te schonen, maar daar hebben wij een plan voor liggen. AVG-ready betekent echter niet dat wij klaar zijn met privacy- en informatiebe- veiliging. Dit zal een onderwerp blijven wat structureel aandacht van ons vraagt. Zeker als je kijkt naar de medewerkers en het bewust omgaan met wat wel en niet mag vanuit de AVG.”