Woningcorporatie start organisatiebreed verbetertraject voor:

Privacy & informatiebeveiliging

Woningcorporatie start organisatiebreed verbetertraject voor privacy en informatiebeveiliging

Organisatie

Een woningcorporatie in de randstad met 11.000 huurders en ongeveer 100 medewerkers had als visie om compliant te zijn aan relevante privacywet- en regelgeving. Vanuit de sociale achtergrond van de organisatie zagen zij het als een plicht om aan de AVG te voldoen. Vanuit de medewerkers wilde de organisatie dat alle collega’s zo goed mogelijk opgeleid en voorbereid waren op de nieuwe privacywet. In het verleden waren al zaken met betrekking tot de WBP geïmplementeerd.

Uitdaging

De woningcorporatie was zich bewust van de implicaties van de AVG. Vanuit de IT afdeling was er al veel aandacht voor informatiebeveiliging in de brede zin. Niet alleen het beveiligen van persoonsgegevens, maar ook de overige relevante (bedrijfs-) informatie en BCM kregen de nodige aandacht. Het applicatielandschap was op orde en de baseline informatiebeveiliging geïmplementeerd.

Op het gebied van de AVG was de kloof tussen WBP en AVG overbruggen, en het op snelheid brengen van de medewerkers een speerpunt. Op het gebied van informatiebeveiliging was het beheersbaar houden van de risico’s en het treffen van de nodige maatregelen het hoofddoel. Vanzelfsprekend moesten de trajecten praktisch aangepakt worden en moest het werk gewoon door kunnen gaan. De privacy officer en de security officer vervulden hun taken als een rol naast hun eigenlijke functie. Dat betekende dat ze beperkt de tijd hadden, maar wel een goede positie in de organisatie.

Woningcorporatie start organisatiebreed verbetertraject voor privacy en informatiebeveiliging

Oplossing

Samen met de privacy officer en de security officer zijn we aan de slag gegaan met het uitstippelen van een verbetertraject met verschillende stappen. Eerst hebben we met de privacy officer een gap analyse uitgevoerd op de WBP versus de AVG. De te nemen acties hebben we vervat in een actieplan waarmee de privacy officer, samen met een privacy officer van Audittrail, aan de slag is gegaan. Tegelijkertijd hebben we op het gebied van informatiebeveiliging een aantal zaken aan kunnen scherpen. Deze aanpak bleek erg nuttig, we konden zo dingen tegelijk doen voor privacy en informatiebeveiliging, wat achter af veel (overleg-)tijd en geld scheelde.

Met de security officer hebben we de ISMS tooling (nu het Compliance Management Framework) van Audittrail geïnstalleerd en ingericht. Excel voldeed een tijd, maar de organisatie was er inmiddels uitgegroeid. De organisatie gebruikte al de software van Mavim, dus de installatie en inrichting van het framework hadden meerdere voordelen.

Resultaten

  • Praktisch actieplan met een behapbare ambitie
  • Getrainde en bewuste collega’s, met verschillende leertechnieken (social engineering test, e-learning, foldermateriaal, klassikale training)
  • Een opgeleverd ISMS, dat eenvoudig gekoppeld kan worden aan de bedrijfsprocessen
  • Overgedragen kennis aan de privacy officer, ook bij de moeilijke of complexe vragen
  • Geborgde privacy- en security processen met eigen mensen
arrow_drop_up arrow_drop_down