GRIP HC&H Consultants Ruim een jaar na de invoering van de AVG Door Martijn Goudriaan Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. HC&H heeft in aanloop naar deze datum veel corporaties begeleid in het opzetten en implementeren van zowel privacy- als informatiebeveiligingsbeleid. Hoe gaat het ruim een jaar na de invoering van de AVG met de informatiebeveiliging van corporaties waar HC&H heeft geholpen? De projecten bestonden onder andere uit het invoeren van een Information Security Management System (ISMS). Vanuit een Plan-Do-Check-Act-cyclus (PDCA) die ieder jaar wordt doorlopen, kan de corporatie de informatiebeveiliging op het gewenste niveau brengen en houden. Plan In aanloop naar 25 mei 2018 hebben corporaties de Plan- en Do-fases in de praktijk gebracht. De Plan-fase bestaat uit het inventariseren van bedrijfsmiddelen, het belang ervan en de afhankelijkheden ten opzichte van elkaar. Vervolgens is er een risicoanalyse uitgevoerd middels workshops met proceseigenaren. Risico’s worden op vele onderwerpen (denk aan bijvoorbeeld HRM, Facilitair en ICT) geïnventariseerd en voorzien van een risicoscore. Voorbeelden van risico’s zijn: • Geen volledig overzicht van de uitgifte van ICT-middelen, waardoor niet inzichtelijk is waar bedrijfsinformatie zich bevindt. • Niet volgen van de in- en uitdienstprocedure, waardoor oud-medewerkers te lang toegang hebben tot (vertrouwelijke) gegevens. • Geen inzicht in de veiligheid van het huurdersportaal waardoor klantgegevens in onbevoegde handen kunnen vallen of het huurdersportaal niet beschikbaar is door een hack. • Uitwisselen van wachtwoorden, waardoor fraude mogelijk is of informatie in onbevoegde handen kan vallen.
21 Online Touch Ruim een jaar na de AVG Home