Woonbron: AVG-ready betekent niet AVG-klaar | Audittrail
Woonbron: AVG-ready betekent niet AVG-klaar

Woonbron: AVG-ready betekent niet AVG-klaar

Begin vorig jaar begon woningcorporatie Woonbron uit Rotterdam met de voorbereiding voor de naderende live-gang van de AVG. Het traject betrof onder andere het verbeteren van de awareness van medewerkers en het opstellen van een nieuw informatiebeveiligingsbeleid. Maar ben je na het zetten van deze stappen ‘klaar’ met privacy en informatiebeveiliging? Een gesprek met Projectleider Privacy en Security Marino Blommers en Directeur Dennis Gerlof van Woonbron.

Het traject bij Woonbron begon begin 2017 met een nulmeting op het gebied van privacy en informatiebeveiliging. Dennis: “Deze hebben wij gecombineerd met het AVG-framework, waardoor wij ons werk- en activiteitenplan konden bepalen. Daarmee werd zichtbaar wat er nog nodig was om AVG-proof te worden.” Een voorbeeld van de resultaten was het interne transportsysteem met post, waarin open bakken werden gebruikt. “Deze post bevat echter soms vertrouwelijke informatie en moest beter beveiligd worden om aan de wetgeving te voldoen. Maar ook bij bijvoorbeeld het weggooien van fysieke documenten of de autorisatie in systemen was terrein te winnen.”

Projectleider Privacy en Security Marino Blommers en Directeur Dennis Gerlof
Awareness onder medewerkers

Uit de nulmeting kwam dat de Rotterdamse corporatie nog verschillende stappen moest zetten. “Dit betrof een combinatie van het opstellen van beleidsdocumenten zoals het informatiebeveiligingsbeleid, het opstellen van verwerkersovereenkomsten met derde partijen die in onze opdracht persoonsgegevens verwerken en het parallel daaraan doorlopen van een organisatie-brede awareness campagne,” vertelt Marino. Op de vraag wat de grootste uitdaging was, vertelt hij: “Dat is en blijft awareness onder de medewerkers. Het realiseren van de ‘technische en beleidsmatige’ AVG-componenten is geborgd bij de professionals op dat terrein. De gemiddelde medewerker zal in het dagelijkse gebruik van persoonsgebonden data altijd alert moeten blijven. Om over de andere, niet direct werkinhoudelijke gevaren zoals phishing maar te zwijgen.”

Samenwerken

Bij het uitvoeren van de nulmeting heeft Woonbron samengewerkt met securityexpert Audittrail. Dennis: “Dit was in de vorm van achttien interviews met ruim dertig medewerkers, om zo een goede dwarsdoorsnede van de organisatie qua locatie als functie te vormen. Audittrail heeft ons daarna geholpen met het opstellen van een activiteitenplan. Daarna is er regelmatig contact geweest tussen de privacy jurist van Audittrail en de op dat moment beoogde Privacy Officer van Woonbron. Zij hebben gezamenlijk opgetrokken om te komen tot de noodzakelijke beleidsdocumenten en op deze manier kon de Privacy Officer snel de essentiële inhoudelijke kennis opdoen.”

De corporatie werkt daarnaast ook samen met collega-corporatie Havensteder. Marino: “Ik ben vanuit Havensteder gedetacheerd naar Woonbron. Vanuit het regionale FLOW initiatief ‘Corporaties in Beweging’ bieden we medewerkers de mogelijkheid op basis van ervaring en competenties elders projecten of opdrachten te doen die voorzien in een behoefte van een specifieke corporatie én een bijdrage leveren aan de doorontwikkeling van de desbetreffende medewerker. Zo delen we kennis en hoeft niet iedereen voor zichzelf het wiel opnieuw uit te vinden.”

Goed gebruik

Op de vraag wat de essentie is van goede privacy en informatiebeveiliging, vertelt Marino: “Goede privacy gaat mijn inziens over het juist en goed gebruiken van persoonsgerelateerde gegevens. Informatiebeveiliging zorgt vervolgens voor de technische bescherming ervan tegen de ongeautoriseerde toegang ertoe. Beide aspecten zijn dus volledig verweven met elkaar. Het inrichten van het één is dus alleen nuttig als het ander ook geregeld is. Het bewustzijn van medewerkers op beide terreinen is de grootste uitdaging.”

Directeur Dennis Gerlof en Projectleider Privacy en Security Marino Blommers
Privacy en Security Officer

De benoeming van een Privacy Officer en Security Officer heeft ervoor gezorgd dat de twee gebieden beter zijn ingebed in de organisatie. “Voor beide terreinen wordt op dit moment een jaarplan opgesteld waarmee, naast het melden van incidenten, ook een aantal concrete activiteiten wordt uitgevoerd,” legt Dennis uit. “Denk aan het uitvoeren van reviews, audits en privacy assessments. Daarnaast blijft het periodiek herhalen en informeren voor blijvende awareness bij het personeel belangrijk.”

Grote organisatie

Woonbron is met ruim 49.000 vhe en bijna 700 medewerkers een van de grotere corporaties in Nederland. Op de vraag wat dat betekent op het gebied van privacy en informatiebeveiliging zegt Dennis: “Je moet ervoor zorgen dat zaken die geïmplementeerd worden ook binnen de gehele organisatie gebeuren. Je hebt vaak met meerdere afdelingen te maken en dus meer personen. Maria Genova heeft bijvoorbeeld vijftien keer een lezing gegeven, want wat men in Dordrecht weet moet men ook in Rotterdam en Delft weten. Het voordeel van de grootte is echter dat je makkelijker een Privacy of Security Officer in dienst kan hebben.”

Niet dommer

Eind vorige maand ging de AVG van kracht. Het duo ontkent dat de nieuwe privacywetgeving het gebruik van bijvoorbeeld big data, sensoren, domotica en Internet of Things lastiger maakt waardoor corporaties ‘dommer’ zouden kunnen worden. “Zeker niet,” vertelt Marino. “Corporaties onderzoeken dergelijke ontwikkelingen, maar passen het nagenoeg nog niet toe. Deze ontwikkelingen gaan ons dus sowieso helpen om een nog beter beeld te krijgen van onze huurders, de omgeving en de ontwikkelingen hierin, en het is uiteindelijk de vraag in hoeverre de regelgeving écht belemmerend gaat werken.”

Structurele aandacht

Op de vraag of Woonbron door de genomen stappen inmiddels ‘AVG-proof’ is, zegt Dennis: “Op basis van een recent uitgevoerde analyse die wij samen met Audittrail hebben uitgevoerd, kunnen we stellen dat Woonbron in de basis AVG-ready is. Uiteraard hebben we op een aantal onderdelen nog tijd nodig om zaken als het archief helemaal op te schonen, maar daar hebben wij een plan voor liggen. AVG-ready betekent echter niet dat wij klaar zijn met privacy- en informatiebeveiliging. Dit zal een onderwerp blijven wat structureel aandacht van ons vraagt. Zeker als je kijkt naar de medewerkers en het bewust omgaan met wat wel en niet mag vanuit de AVG.”

Bron: Johan van den Beld | CorporatieMedia – 26-6-2018

Reactie plaatsen