Informatiebeveiligingsbeleid bij een woningcorporatie

We schreven afgelopen week over een recente opdracht van Awareways Detachering bij een lokale overheid, en de rol die onze Young Professionals kunnen spelen in het opstellen, controleren of optimaliseren van een informatiebeveiligingsbeleid. Die bewuste invulling van een overeenkomst met onze gedetacheerden beperkt zich niet enkel tot de publieke sector. In dezelfde periode gingen we met een vergelijkbare opdracht ook bij een organisatie buiten de publieke sector aan de slag. Awareways Detachering werd gevraagd om het informatiebeveiligingsbeleid van een woningcorporatie te stroomlijnen.

01 February 2019

Informatiebewustzijn

De organisatie heeft zich als doel gesteld om het niveau van informatiebeveiliging te verbeteren. De eerste stap daartoe is het huidige beleid in kaart te brengen. In een moderne onderneming is de rol van alle medewerkers met betrekking tot cybersecurity van groot belang, en niet langer de verantwoordelijkheid van de IT-afdeling alleen. De juiste aandacht voor de bescherming van gegevens begint bij het informatiebewustzijn van álle medewerkers.

Medewerkers van de organisatie hebben in het voorbije jaar een aantal e-learning trajecten afgerond, om het niveau van informatiebewustzijn te toetsen en om samen een aantal belangrijke inzichten op te doen. Specifiek werd er gekeken naar privacy, wachtwoorden en de informatieveiligheidsrisico’s rond flexwerken. Je leest meer over deze online trainingen en de uitgebreide mogelijkheden op awareways.com/e-learning. Voor deze organisatie was het na de awareness campagne tijd voor de volgende stap: het beleid updaten.

Informatiebeveiligingsbeleid

De klus voor onze Young Professional begon met een hele concrete vraag vanuit de klant: herzie het bestaande informatiebeveiligingsbeleid. Dat beleid was ooit wel opgesteld, maar in de voorbije drie jaar gedateerd geraakt, met name door de nieuwe regels en verantwoordelijkheden vanuit de AVG.

Daarnaast waren diverse maatregelen om aan de voorwaarden van de privacywetgeving te voldoen al wel geïmplementeerd, maar nog niet in het beleid beschreven. Andersom kwam dat ook voor: de maatregelen waren wèl beschreven, maar nog niet geïmplementeerd. Het opstellen van een plan van aanpak was hiervoor noodzakelijk. Daarnaast was er behoefte om andere, door algemene veranderingen in security en privacy relevant geworden zaken toe te voegen aan het beleid.

Binnen de organisatie werd de opdracht in goede banen geleid door de Security Officer (SO) en de Privacy Officer (PO), met wie er overleg was om de noodzakelijke wijzigingen en toevoegingen in kaart te brengen. Concrete voorbeelden zijn:

  • de autorisatie voor gegevensverwerking, waar in diverse werkzaamheden te soepel mee omgegaan werd en;
  • waarbij de benodigde administratie achterliep op de verantwoordelijkheden vanuit de documentatieplicht en;
  • afspraken rond het beheer van telefoons en laptops.

Compliancy

Strikte compliancy volgens de AVG was een serieuze uitdaging omdat het in de dagelijkse praktijk lastig bleek om geheel conform privacywetgeving te opereren. Dat lag niet aan het informatiebewustzijnsniveau van de organisatie, want keuzes daarin werden bewust gemaakt. Het had met name te maken met een gebrek aan capaciteit en bijvoorbeeld de rol van derde partijen (zoals leveranciers) die hun aandeel nog niet op orde hadden.

Herziening van het informatiebeveiligingsbeleid heeft zich daarom onder meer gefocust op volledige compliancy en de praktische werkbaarheid van de benodigde maatregelen. Met name omdat in die laatste categorie nog hiaten te vinden waren tussen papier en praktijk. Daarnaast was de opdracht inhoudelijk meer gericht op het informatiebeveiligingsbeleid in het algemeen, zoals IT, autorisatie en de beveiliging van systemen, en minder op de AVG in het bijzonder

In overleg met de SO en PO is gewerkt aan de basis van een jaarplan om vanuit de herzieningen op papier ook in de praktijk informatieveiliger te kunnen gaan werken. Denk daarbij aan zaken die wel als maatregel in het beleid zijn opgenomen, maar nog niet concreet werden uitgevoerd.

Nadat het beleid is herzien, is de opdrachtgever in samenwerking met onze zus Awareways Solutions inmiddels begonnen met de voorbereidingen voor een vervolg van de bewustwordingscampagne. Een mooi voorbeeld waarin Awareways en Awareways Detachering goed op elkaar aansluiten en het stokje overdragen!

Awareways Detachering

Heeft uw organisatie ook behoefte aan een Young Professional van Awareways Detachering, die uw werk uit handen neemt, en zorg draagt voor een degelijk -en conform een erkend framework- informatiebeveiligingsbeleid?

Neem dan contact op met Bas de Groot via 06 414 282 12 of bas.degroot@awarewaysdetachering.com.

CONTACT

Wil je meer informatie over Awareways Detachering? Laat dan hier je gegevens achter en we nemen zo spoedig mogelijk contact met je op.