Instrumenten

BIC: goede informatiebeveiliging helpt datalekken corporaties voorkomen

NetwIT lanceerde op 5 april 2016 de Baseline Informatiebeveiliging Corporaties (BIC). Dit is een pakket randvoorwaarden voor goede informatiebeveiliging. Woningcorporaties kunnen de BIC gebruiken als startpunt voor de beveiliging van (digitale) informatie die zij beheren, zoals gegevens van huurders en financiële informatie. De BIC helpt corporaties bij het voorkomen van datalekken en is gratis aan te vragen via een mailtje naar info@netwIT.

‘Goede informatiebeveiliging wordt steeds belangrijker voor woningcorporaties’, zegt Joop Schoppers, teamleider ICT bij De Woonplaats in Enschede en een van de initiatiefnemers namens NetwIT, de vereniging voor ICT-verantwoordelijken bij woningcorporaties. ‘De Wet Bescherming Persoonsgegevens bestond al en is sinds 1 januari 2016 aangescherpt met de Meldplicht Datalekken. Bovendien komt er strengere Europese privacywetgeving aan. Daar kunnen we beter op voorsorteren. 100 procent beveiliging zullen we nooit bereiken; er zullen altijd incidenten zijn. Maar we moeten er alles aan doen om datalekken te voorkomen.’

Voorwaarden
De BIC is gebaseerd op de Nederlandse norm voor informatiebeveiliging (NEN-norm), die het Rijk ook gebruikt als basis voor haar eigen baseline voor informatiebeveiliging. De voorwaarden in de BIC zijn uiteenlopend van aard. ‘Natuurlijk staan er richtlijnen voor wachtwoorden in. Hoe lang zo’n wachtwoord minimaal moet zijn, hoe lang het geldig blijft en hoe complex het moet zijn, bijvoorbeeld.’ Maar ook praktische, meer fysieke voorwaarden. ‘Denk aan de toegang tot de serverruimte: is die beveiligd? En het kantoor als geheel? Kan daar zomaar iemand binnenlopen? Denk ook aan je afgeschreven apparatuur. Gooi die niet zomaar bij het afval, ook al heb je de data gewist. Want slimme mensen kunnen die data altijd weer achterhalen.’

Leren van elkaar
Aan de hand van de BIC kun je zien hoe ver je bent als corporatie met betrekking tot informatiebeveiliging. En dat biedt kansen om te leren van elkaar, zegt Schoppers: ‘Je kunt zo jouw informatiebeveiliging vergelijken met die van andere corporaties. We zien al dat commerciële bedrijven daarop inspelen, door benchmarks aan te bieden. Wellicht is het mooi om informatiebeveiliging in de toekomst aan de Aedes-benchmark toe te voegen. Maar dat is echt nog een stip op de horizon.’