Heb je een vraag? Wij helpen je graag verder
Informatie inspireert! Wil je in contact komen met één van onze experts? Neem contact op via onderstaande button.
Bewust veiliger werken? Kruip eens in de huid van een cybercrimineel.
Het omgaan met privacygevoelige gegevens raakt elke organisatie. Zo ook de Drents/Groningse woningcorporatie Woonborg. ilionx hielp niet alleen met de juridische maatregelen, maar ook met het bewust maken en trainen van medewerkers; onder meer met behulp van een informatieveiligheidscampagne waar een interactieve game en een kijkje in de wereld van een cybercrimineel onderdeel van was.
Van loonstrook tot ziekenhuisdossier
Binnen de muren van een woningcorporatie wordt er nogal wat privacygevoelige informatie verwerkt. En dan gaat het niet alleen om bankrekening-nummers voor het afschrijven van de huur: “Mensen boven een bepaald inkomen komen sinds 2011 niet meer in aanmerking voor een sociale huurwoning”, aldus David Veenstra, Controller bij Woonborg. “We verwerken daarom bewijsstukken zoals loonstroken, maar het kan ook voorkomen dat huurders ziekenhuisdossiers met ons delen. Ook komen onze medewerkers regelmatig bij sommige huurders thuis, zoals voor kleine reparaties. Dan kan het zo zijn dat ze signaleren dat het inschakelen van maatschappelijk werk misschien noodzakelijk is.”
Het is niet zo dat met de invoering van de Algemene Verordening Persoonsgegevens in 2018 het de eerste keer was dat Woonborg de verwerking van privacygevoelige informatie tegen het licht hield. “Voor een woningcorporatie is het van groot belang dat de huurder vertrouwen in ons heeft. Ze mogen van ons verwachten dat we netjes met hun persoonsgegevens omgaan.”
Van juridische aanpak naar gedrag
In de eerste fase hielp ilionx Woonborg om op juridisch gebied te voldoen aan de wet- en regelgeving. “Toen we begonnen was het nog een relatief nieuw vakgebied; er was geen jurisprudentie over de toepassing van de AVG binnen woningcorporaties”, aldus Stefan Zrnic, privacy jurist bij ilionx. Het traject ging van start met een inventarisatie: welke persoonsgegevens worden er binnen Woonborg verwerkt en op welk niveau?
Zrnic: “Vervolgens hebben we bewaartermijnen ingesteld. De AVG hanteert het principe, dat je persoonsgegevens niet langer dan noodzakelijk moet bewaren. Ook hebben we de contracten die zijn afgesloten met leveranciers doorgelicht.” Tenslotte stelden de juridische experts van ilionx een privacy-beleid op voor Woonborg. “Daar staat vrij gedetailleerd in hoe de organisatie met privacy omgaat en wat medewerkers bijvoorbeeld moeten doen als persoonsgegevens of andere privacygevoelige informatie worden opgevraagd.”
"Naleven AVG bij woningcorporatie Woonborg is een samenspel tussen technische, juridische maatregelen en gedrag."
Het voldoen aan de AVG bleek niet alleen een juridische kwestie te zijn. Veenstra: “Gaandeweg het proces werd het duidelijker dat we ook aandacht moesten geven aan de kennis en het handelen van onze medewerkers. Als je leest dat de meerderheid van de datalekken ontstaan als gevolg van menselijk handelen, dan is het belangrijk om te kijken hoe je kennis over het onderwerp en verandering in het handelen bewerkstelligt.”
Hoe werkt de wereld van de cybercrimineel?
De medewerkers van Woonborg volgden onder meer een workshop om kennis te maken met de AVG. Sonja de Vries, social business consultant bij ilionx: “We hebben ze een kijkje gegeven in de wereld van de cybercrimineel. We hebben drie persona’s aan de groep voorgesteld: de Hacker, de Social Engineer en de Fraudeur. Aan de hand van kennis over de waarde van data en een praktijkcase van een niet-ethische hacker hebben we de medewerkers meegenomen in de wereld van de cybercrimineel.” Zo werd het tastbaar hoeveel data waard kan zijn, hoe gemakkelijk het is om met een beetje data veel data te vergaren en hoe de handel hierin werkt.
Die theorie werd in de praktijk gebracht tijdens een interactieve game: in de door ilionx ontwikkelde game Get’it ontdekken deelnemers hoe veilig of kwetsbaar hun werkprocessen zijn en wat hun eigen aandeel hierin is. “In de game neem je het als good guys en bad guys tegen elkaar op”, aldus De Vries. “Dat helpt om je in de wereld van de ander te verplaatsen. Waarom doet een kwaadwillende wat hij/zij doet? En wat kunnen jij en je collega’s eraan doen om te voorkomen dat zo iemand toeslaat?”
Goed bedacht, maar anders uitgevoerd
Dankzij de interactieve game werden medewerkers zich ervan bewust dat een proces vaak goed bedacht is, maar in de praktijk net wat anders uitgevoerd wordt. Ook komt het regelmatig voor dat informatieveiligheid niet goed is opgenomen tijdens het opmaken van een proces. Denk bijvoorbeeld aan een factuurbakje dat voor iedereen toegankelijk is, toegangsrechten tot systemen die niet meer up-to-date zijn en papieren die je eigenlijk in een versnipperaar zou moeten doen, maar nu ben je net op die verdieping waar alleen een open oud papierbak staat. Juist in dit soort uitzonderingen zitten de risico’s.
Nooit compliant
De workshops en de campagne werden door de collega’s bij Woonborg positief ervaren, aldus David Veenstra. “Dat komt vooral doordat alles werd toegespitst op hun dagelijkse situatie. Het was geen algemene cursus over de AVG, maar het ging echt over situaties die ze in de praktijk tegenkomen. Door het interactieve element merkten we dat deelnemers heel actief meededen en de inhoud makkelijker tot zich namen.”
Op de vraag of Woonborg nu volledig voldoet aan de AVG, is Veenstra duidelijk: “Dat kun je nooit helemaal zijn, je hebt altijd nog wat te doen. Bovendien heb je te maken met de wetgeving die ontwikkelt, de aandacht van medewerkers die vooral op het primaire proces gericht is en de doorontwikkeling van IT. Waar ik tevreden over ben, is dat we steeds meer vragen krijgen vanuit de organisatie; dat geeft het gevoel dat we er gezamenlijk aandacht voor hebben.”
Ook Zrnic beaamt dat voldoen aan de AVG eigenlijk niet kan. “Het is niet een kwestie van een checklist afwerken. Je moet continu blijven evalueren.” Maar dat betekent niet dat je altijd het risico hebt dat er een grote boete boven je hoofd hangt als er een keer iets misgaat: “De Autoriteit Persoonsgegevens zal altijd kijken naar wat je als organisatie hebt gedaan om te voldoen aan de regels. Als je kunt onderbouwen dat je flinke stappen hebt gemaakt om risico’s in te schatten en te ondervangen, dan zal daar altijd rekening mee worden gehouden.”
Niet één, maar drie invalshoeken
Of Veenstra nog een advies heeft voor andere organisaties die wellicht nog minder ver zijn? “Benader de AVG vanuit drie pijlers: er zit een technische kant aan, juridische aspecten en gedrag van medewerkers. Vanuit mijn eigen goede ervaring is mijn advies om op zoek te gaan naar een partij die je kan helpen op al deze fronten.”