Woonborg

Bewust veiliger werken? Kruip eens in de huid van een cybercrimineel

Het omgaan met privacygevoelige gegevens raakt elke organisatie. Zo ook de Drents/Groningse woningcorporatie Woonborg. ilionx hielp niet alleen met de juridische maatregelen, maar ook met het bewust maken en trainen van medewerkers; onder meer met behulp van een informatieveiligheidscampagne waar een interactieve game en een kijkje in de wereld van een cybercrimineel onderdeel van was.

Van loonstrook tot ziekenhuisdossier

Binnen de muren van een woningcorporatie wordt er nogal wat privacygevoelige informatie verwerkt. En dan gaat het niet alleen om bankrekening-nummers voor het afschrijven van de huur: “Mensen boven een bepaald inkomen komen sinds 2011 niet meer in aanmerking voor een sociale huurwoning”, aldus David Veenstra, Controller bij Woonborg. “We verwerken daarom bewijsstukken zoals loonstroken, maar het kan ook voorkomen dat huurders ziekenhuisdossiers met ons delen. Ook komen onze medewerkers regelmatig bij sommige huurders thuis, zoals voor kleine reparaties. Dan kan het zo zijn dat ze signaleren dat het inschakelen van maatschappelijk werk misschien noodzakelijk is.”

Het is niet zo dat met de invoering van de Algemene Verordening Persoonsgegevens in 2018 het de eerste keer was dat Woonborg de verwerking van privacygevoelige informatie tegen het licht hield. “Voor een woningcorporatie is het van groot belang dat de huurder vertrouwen in ons heeft. Ze mogen van ons verwachten dat we netjes met hun persoonsgegevens omgaan.”

Van juridische aanpak naar gedrag

In de eerste fase hielp ilionx Woonborg om op juridisch gebied te voldoen aan de wet- en regelgeving. “Toen we begonnen was het nog een relatief nieuw vakgebied; er was geen jurisprudentie over de toepassing van de AVG binnen woningcorporaties”, aldus Stefan Zrnic, privacy jurist bij ilionx. Het traject ging van start met een inventarisatie: welke persoonsgegevens worden er binnen Woonborg verwerkt en op welk niveau?

Zrnic: “Vervolgens hebben we bewaartermijnen ingesteld. De AVG hanteert het principe, dat je persoonsgegevens niet langer dan noodzakelijk moet bewaren. Ook hebben we de contracten die zijn afgesloten met leveranciers doorgelicht.” Tenslotte stelden de juridische experts van ilionx een privacy-beleid op voor Woonborg. “Daar staat vrij gedetailleerd in hoe de organisatie met privacy omgaat en wat medewerkers bijvoorbeeld moeten doen als persoonsgegevens of andere privacygevoelige informatie worden opgevraagd.”

Het voldoen aan de AVG bleek niet alleen een juridische kwestie te zijn. Veenstra: “Gaandeweg het proces werd het duidelijker dat we ook aandacht moesten geven aan de kennis en het handelen van onze medewerkers. Als je leest dat de meerderheid van de datalekken ontstaan als gevolg van menselijk handelen, dan is het belangrijk om te kijken hoe je kennis over het onderwerp en verandering in het handelen bewerkstelligt.”

Hoe werkt de wereld van de cybercrimineel?

De medewerkers van Woonborg volgden onder meer een workshop om kennis te maken met de AVG. Sonja de Vries, social business consultant bij ilionx: “We hebben ze een kijkje gegeven in de wereld van de cybercrimineel. We hebben drie persona’s aan de groep voorgesteld: de Hacker, de Social Engineer en de Fraudeur. Aan de hand van kennis over de waarde van data en een praktijkcase van een niet-ethische hacker hebben we de medewerkers meegenomen in de wereld van de cybercrimineel.” Zo werd het tastbaar hoeveel data waard kan zijn, hoe gemakkelijk het is om met een beetje data veel data te vergaren en hoe de handel hierin werkt.

Die theorie werd in de praktijk gebracht tijdens een interactieve game: in de door ilionx ontwikkelde game Get’it ontdekken deelnemers hoe veilig of kwetsbaar hun werkprocessen zijn en wat hun eigen aandeel hierin is. “In de game neem je het als good guys en bad guys tegen elkaar op”, aldus De Vries. “Dat helpt om je in de wereld van de ander te verplaatsen. Waarom doet een kwaadwillende wat hij/zij doet? En wat kunnen jij en je collega’s eraan doen om te voorkomen dat zo iemand toeslaat?”

Goed bedacht, maar anders uitgevoerd

Dankzij de interactieve game werden medewerkers zich ervan bewust dat een proces vaak goed bedacht is, maar in de praktijk net wat anders uitgevoerd wordt. Ook komt het regelmatig voor dat informatieveiligheid niet goed is opgenomen tijdens het opmaken van een proces. Denk bijvoorbeeld aan een factuurbakje dat voor iedereen toegankelijk is, toegangsrechten tot systemen die niet meer up-to-date zijn en papieren die je eigenlijk in een versnipperaar zou moeten doen, maar nu ben je net op die verdieping waar alleen een open oud papierbak staat. Juist in dit soort uitzonderingen zitten de risico’s.

Nooit compliant

De workshops en de campagne werden door de collega’s bij Woonborg positief ervaren, aldus David Veenstra. “Dat komt vooral doordat alles werd toegespitst op hun dagelijkse situatie. Het was geen algemene cursus over de AVG, maar het ging echt over situaties die ze in de praktijk tegenkomen. Door het interactieve element merkten we dat deelnemers heel actief meededen en de inhoud makkelijker tot zich namen.”

Op de vraag of Woonborg nu volledig voldoet aan de AVG, is Veenstra duidelijk: “Dat kun je nooit helemaal zijn, je hebt altijd nog wat te doen. Bovendien heb je te maken met de wetgeving die ontwikkelt, de aandacht van medewerkers die vooral op het primaire proces gericht is en de doorontwikkeling van IT. Waar ik tevreden over ben, is dat we steeds meer vragen krijgen vanuit de organisatie; dat geeft het gevoel dat we er gezamenlijk aandacht voor hebben.”

Ook Zrnic beaamt dat voldoen aan de AVG eigenlijk niet kan. “Het is niet een kwestie van een checklist afwerken. Je moet continu blijven evalueren.” Maar dat betekent niet dat je altijd het risico hebt dat er een grote boete boven je hoofd hangt als er een keer iets misgaat: “De Autoriteit Persoonsgegevens zal altijd kijken naar wat je als organisatie hebt gedaan om te voldoen aan de regels. Als je kunt onderbouwen dat je flinke stappen hebt gemaakt om risico’s in te schatten en te ondervangen, dan zal daar altijd rekening mee worden gehouden.”

Niet één, maar drie invalshoeken

Of Veenstra nog een advies heeft voor andere organisaties die wellicht nog minder ver zijn? “Benader de AVG vanuit drie pijlers: er zit een technische kant aan, juridische aspecten en gedrag van medewerkers. Vanuit mijn eigen goede ervaring is mijn advies om op zoek te gaan naar een partij die je kan helpen op al deze fronten.”

`_ga`	2 years	Used to distinguish users.
`_gid`	24 hours	Used to distinguish users.
`_gat`	1 minute	Used to throttle request rate. If Google Analytics is deployed via Google Tag Manager, this cookie will be named `_dc_gtm_<property-id>`.
`AMP_TOKEN`	30 seconds to 1 year	Contains a token that can be used to retrieve a Client ID from AMP Client ID service. Other possible values indicate opt-out, inflight request or an error retrieving a Client ID from AMP Client ID service.
`_gac_<property-id>`	90 days	Contains campaign related information for the user. If you have linked your Google Analytics and Google Ads accounts, Google Ads website conversion tags will read this cookie unless you opt-out. Learn more.

Cookie naam	Beschrijving	Duur
_hjClosedSurveyInvites	This cookie is set once a visitor interacts with a Survey invitation modal pop-up. It is used to ensure that the same invite does not re-appear if it has already been shown.	365 days
_hjDonePolls	This cookie is set once a visitor completes a Poll using the Feedback Poll widget. It is used to ensure that the same Poll does not re-appear if it has already been filled in.	365 days
_hjMinimizedPolls	This cookie is set once a visitor minimizes a Feedback Poll widget. It is used to ensure that the widget stays minimized when the visitor navigates through your site.	365 days
_hjDoneTestersWidgets	This cookie is set once a visitor submits their information in the Recruit User Testers widget. It is used to ensure that the same form does not re-appear if it has already been filled in.	365 days
_hjMinimizedTestersWidgets	This cookie is set once a visitor minimizes a Recruit User Testers widget. It is used to ensure that the widget stays minimized when the visitor navigates through your site.	365 days
_hjDoneSurveys	This cookie is set once a visitor completes a survey. It is used to only load the survey content if the visitor hasn't completed the survey yet.	365 days
_hjIncludedInSample	This cookie is set to let Hotjar know whether that visitor is included in the sample which is used to generate Heatmaps, Funnels, Recordings, etc.	365 days
_hjShownFeedbackMessage	This cookie is set when a visitor minimizes or completes Incoming Feedback. This is done so that the Incoming Feedback will load as minimized immediately if they navigate to another page where it is set to show.	365 days

Cookie naam	Beschrijving	Duur
logger	connect.onlinesucces.nl	365 days

Cookie naam	Beschrijving	Duur
__cfduid	.hubspot.com	365 days

Naam	Aanbieder	Doel	Vervaldatum
fr	http://facebook.com/	Used by Facebook to deliver a series of advertisement products such as real time bidding from third party advertisers.	3 months

Voor een woningcorporatie is het van groot belang dat de huurder vertrouwen in ons heeft.