5 vragen aan security officer Hans

hero-3

Pondres heeft al geruime tijd een Security Officer in de persoon van Hans van Gameren. Hans is bij Pondres verantwoordelijk voor het maken van de juiste keuzes op het gebied van de veilige verwerking van persoonlijke gegevens van klanten en medewerkers. Aan de hand van 5 vragen vertelt Hans wat zijn rol precies inhoudt in het security-beleid van Pondres.

  1. Wat doe jij bij Pondres als Security Officer?

Binnen Pondres wordt heel veel data verwerkt, van databestanden voor een direct mailing tot die van een Uniform Pensioen Overzicht. Bij vrijwel alles wat we doen, is sprake van verwerking van persoonsgegevens. Zoals het woord al zegt hebben de gegevens betrekking op personen en die hebben recht op privacy. Daar moeten we zorgvuldig mee omgaan. Dat verwachten de betrokkenen van ons, en natuurlijk ook onze klanten en eigen medewerkers. Ook hun privacy moet worden beschermd.

Als Security Officer adviseer ik Pondres op het gebied van informatiebeveiliging. Dat houdt in dat we beleid vaststellen, risico’s inschatten en allerlei maatregelen nemen om informatie zo goed mogelijk te beschermen. Belangrijk zijn awareness en kennis. Informatiebeveiliging is niet iets waar slechts een klein groepje medewerkers mee te maken heeft; het is de verantwoordelijkheid van de hele organisatie.

Voor zowel klanten als medewerkers van Pondres ben ik het aanspreekpunt voor alles wat met informatiebeveiliging te maken heeft. Ik zet mij hiervoor in door middel van training en opleiding, evenals het aanscherpen en borgen van procedures, het uitvoeren van audits, het adviseren van collega’s omtrent security-issues en het organiseren en controleren van de middelen (zoals toegang tot beveiligingssystemen). Samen met de afdeling communicatie en de afdeling ICT brengen we regelmatig belangrijke onderwerpen over informatiebeveiliging onder de aandacht.

Actualiteit is belangrijk. Ik volg dan ook de laatste ontwikkelingen op het gebied van wet- en regelgeving. In mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG vervangt de huidige Wet Bescherming Persoonsgegevens en is gericht op harmonisatie van de nationale wetten in Europa, om betrokkenen meer privacybescherming te bieden dan voorheen. Pondres bereidt zich hierop voor, bijvoorbeeld door privacy by design en privacy by default in onze projectmanagement- en development-methodiek. Privacy by design houdt in dat we al bij de start van een project aandacht hebben voor de impact op privacy; privacy by default stelt dat programma’s en diensten zo ingericht worden dat de privacy van een gebruiker minimaal wordt beïnvloed. 

  1. Waarom heeft Pondres een Security Officer aangesteld?

Bij Pondres vinden we dat interne en externe (klant gerelateerde) data gewoon goed beschermd moet zijn. Je merkt het ook in de media: regelmatig zijn er incidenten op het gebied van malware, ransomware zoals recent het Petya-virus en datalekken in het nieuws. De gevolgen kunnen erg groot zijn, zowel voor de betrokkenen als voor de organisaties waar het plaatsvindt.

Terecht worden er allerlei regels gesteld en maatregelen vereist om bescherming van persoonsgegevens te waarborgen. Pondres heeft een Security Officer aangesteld om dit de juiste aandacht te kunnen geven en constant een zo hoog mogelijk niveau van bescherming en beveiliging te realiseren. 

  1. Pondres verwerkt de persoonsgegevens van miljoenen personen, vaak gevoelige informatie over pensioenen of verzekeringen. Hoe beveiligt Pondres de privacy van klanten en eindklanten?

Pondres heeft voor informatiebeveiliging gekozen voor het managementsysteem ISO 27001. Deze norm is de internationale standaard op het gebied van informatiebeveiliging en beschrijft hoe informatiebeveiliging in een bedrijf kan worden beheerst. Het doel is om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker te stellen.

De internationale norm ISO 27001 omvat eisen voor het binnen de organisatie vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Ook zijn er eisen opgenomen voor het beoordelen en behandelen van informatiebeveiligingsrisico’s, afgestemd op de behoeften van de organisatie.

Omdat Pondres ook voor financiële instellingen werkt, hebben we ook nog te maken met wensen en eisen die De Nederlandse Bank aan deze partijen stelt. Al deze eisen leiden tot verschillende maatregelen op het gebied van onder andere beleid, fysieke beveiliging van het pand, logische beveiliging (toegang tot systemen, applicaties en data).

Een paar voorbeelden: Pondres kent een pasjessysteem waarmee toegang tot het pand en ruimten daarbinnen is geregeld. Daarnaast is toegang tot gegevens en systemen beperkt tot diegene die uit hoofde van zijn functie toegang moet hebben (autorisatiematrix). Alle medewerkers hebben bovendien een geheimhoudingsverklaring ondertekend en beschikken over een recente VOG-verklaring. En materiaal waarop persoonlijke gegevens staan, zowel papier als digitaal, wordt vernietigd door een gespecialiseerde partij conform de norm DIN 66399. 

  1. Dat klinkt allemaal veelbelovend, maar hoe weten klanten zeker dat hun data bij jullie in goede handen is?

Terechte vraag. Informatiebeveiliging is niet iets wat je alleen maar op papier zet en eenmalig inregelt. Pondres heeft een programma van interne en externe audits om de processen te evalueren, en te controleren of de maatregelen nog toereikend zijn en of ze daadwerkelijk worden opgevolgd.

De externe audits worden verzorgd door mijzelf en ook door een onafhankelijk auditor. Vanzelfsprekend is het de klant toegestaan om zelf controles uit te voeren bij Pondres en samen het juiste beveiligingsniveau vast te stellen en te toetsen. 

  1. Wat heb je tot nu toe gedaan op het gebied van databeveiliging, en wat kunnen we allemaal nog van jou en Pondres verwachten?

De afgelopen periode zijn we druk bezig geweest om met al onze partners en leveranciers subbewerkersovereenkomsten af te sluiten. De leveranciers van IT-diensten dienen bijvoorbeeld dezelfde technische en organisatorische maatregelen te treffen als Pondres. Wij zijn verantwoordelijk voor de keten en dienen de gevraagde wensen en eisen van onze klanten door te zetten naar de subbewerkers.

Een ander onderwerp dat is opgepakt is het proces rondom de meldplicht datalekken. Er is een procedure vastgesteld en een meldformulier ontwikkeld. Beide zijn gepubliceerd in het managementsysteem van Pondres dat voor iedereen intern toegankelijk is.

Momenteel bereiden we ons voor op de hercertificering voor ISO 27001 en starten we een aantal projecten in het kader van de nieuwe AVG. Bijvoorbeeld om het proces rond het vastleggen en nakomen van bewaartermijnen voor persoonsgegevens beter te kunnen faciliteren voor de klant.

Een groot project is ook het behalen van de ISAE 3402-verklaring, belangrijk voor onder andere financiële organisaties. Deze organisaties besteden non-core-processen uit aan serviceorganisaties zoals SaaS-providers, pensioenuitvoerders of datacenters. De organisaties die processen uitbesteden, blijven eindverantwoordelijk voor de interne beheersing. Hierdoor ontstaat de vraag hoe een serviceorganisatie processen beheerst: hoe gaat zij om met risicomanagement, informatiebeveiliging en anti-fraude? ISAE 3402 geeft een antwoord op deze vragen.

Kennis vergaren op het gebied van privacy blijft een continu aandachtspunt. Daarvoor heb ik onder andere de opleiding Certified Information Privacy Professional gevolgd. De eerste stap richting certificering als Data Protection Officer. Allemaal gericht op adequate en betrouwbare beveiliging voor onze klanten, nu en in de toekomst.

Kortom … genoeg te doen.

Hans van Gameren

Hans werkt als Security Officer bij Pondres. In deze functie is hij verantwoordelijk voor advies en beleid met betrekking tot informatie-beveiliging.