Een leesbaar informatiebeveiligingsbeleid voor iedereen

Woningcorporatie Poort6 vroeg aan HC&H Consultants het bestaande informatiebeveiligingsbeleid te herschrijven, zodat ook niet-materiedeskundigen het begrijpen vanuit de visie #WIJzijnPoort6.

Poort6 biedt zo’n 15.000 inwoners een thuis in Gorinchem. Eén van de voorwaarden om dit goed te kunnen doen, is zorgen voor een betrouwbare informatievoorziening. Hoe Poort6 zorgt voor een betrouwbare informatievoorziening, is beschreven in het informatiebeveiligingsbeleid. Dat moet begrijpelijk zijn voor iedereen die ermee te maken heeft, dus voor huurders en woningzoekenden, maar ook voor woonconsulenten, IT’ers, controllers, toezichthouders, enzovoorts. Ook de volledigheid van het beleid is essentieel. Business Consultant Martijn Goudriaan CISM ging met deze opdracht aan de slag.

Wat is informatiebeveiliging?

Informatiebeveiliging zorgt ervoor dat processen, data en systemen op orde zijn. Op orde betekent dat:

  • informatie beschikbaar is;
  • informatie correct is;
  • informatie veilig is.

Iedereen binnen en rondom Poort6 heeft te maken met informatiebeveiliging, denk bijvoorbeeld aan:

  • Alle medewerkers die informatie nodig hebben voor hun werk.
  • Huurders die informatie aanleveren voor de huurovereenkomst en verwachten dat Poort6 hier zorgvuldig mee omgaat.
  • De accountant die betrouwbare informatie verwacht bij de controle van de jaarrekening.
  • Medewerkers die verwachten dat hun persoonlijke gegevens (NAW, BSN, salaris) veilig zijn bij hun werkgever, Poort6.

Informatiebeveiliging komt terug in alle werkzaamheden van Poort6, zoals de procedure in- en uitdienst, fysieke toegang tot kantoor en afspraken met ICT-bedrijven over cybersecurity. Het is best een uitdaging om beleid over logging, encryptie of technische audits zo op te schrijven dat iedereen het begrijpt en het volledig is.

De aanpak bij Poort6

Het aanpassen van het huidige informatiebeveiligingsbeleid bleek niet mogelijk. De reden daarvoor is dat het te ver van de belevingswereld van niet-deskundigen af stond. Herschrijven was de enige optie. Op basis van de onderwerpen in de Baseline Informatiebeveiliging Corporaties (BIC) heeft Martijn een nieuw beleid opgesteld. Bruikbare informatie over de organisatie (rollen en verantwoordelijkheden) en de ingerichte Plan, Do, Check, Act-cyclus konden worden overgenomen.

Het concrete beleid per onderwerp is herschreven. Je vindt hieronder twee voorbeelden van onderwerpen in het beleid, te weten encryptie (versleuteling) en de in- en uitdienstprocedure:

Versleuteling
Informatie die wij vervoeren wordt altijd versleuteld. Dit geldt voor informatie over het internet en informatie die fysiek vervoerd wordt, zoals laptops en smartphones. Hierdoor blijft informatie ontoegankelijk als dit in onbevoegde handen valt.

In- en uitdiensttreding en functiewijzigingen
Medewerkers die in dienst treden bij Poort6, krijgen toegang tot systemen, apparaten en het kantoor. Nieuwe medewerkers dienen niet te veel of te weinig toegang te krijgen. Ook worden medewerkers op de hoogte gebracht van de informatiebeveiligingsregels. Wij hanteren een checklist zodat we altijd de juiste stappen zetten.

Wij sluiten de toegang tot informatie bij medewerkers die uitdiensttreden op moment van uitdiensttreding af. Ook hier hanteren wij een checklist zodat de juiste stappen worden gezet.

Een checklist bij functiewijzigingen wordt ook gebruikt, omdat een functiewijziging in feite een aansluitende uitdienst- en indiensttreding is.

Voor welke apparaten versleuteling geldt en hoe dit geregeld wordt, is vastgelegd in registraties die de IT-afdeling beheerd. De checklists in- en uitdienst zijn als bijlagen aan het beleid toegevoegd.

Poort6 heeft een nieuw informatiebeveiligingsbeleid!

Edward Dalmulder, Informatiemanager bij Poort 6 reageert: “Informatiebeveiliging is van ons allemaal. Gelukkig hebben we nu een beleidsdocument dat leesbaar is door ons allemaal.”

Martijn vond het een uitdagende, maar leuke klus. “Het is goed om eens vanaf een andere kant naar je vakgebied te kijken. De vraag wat een huurder wil weten over de beveiliging van zijn/haar persoonsgegevens, heeft voor een ander soort beleid gezorgd dan wat ik normaal samen met een corporatie opstel. Het was voor mij een leerzaam project”.

Wil je meer weten over informatiebeveiliging en wat HC&H voor je kan betekenen, neem dan contact op met Martijn Goudriaan via martijn.goudriaan@hcenh.nl.