‘Woningcorporaties hebben informatiebeveiliging niet op orde’

Woningcorporaties hebben hun informatiebeveiliging bij lange na niet op orde. Het overgrote deel heeft geen concreet beveiligingsbeleid en heeft niet de juiste kennis in huis van bestaande en naderende privacywetgeving. Daarmee lopen woningcorporaties niet alleen achter bij andere (semi)publieke sectoren, maar zetten ze ook de privacy van huurders op het spel.

Dat stelt BDO Accountants & Adviseurs in het rapport ‘Informatiebeveiliging woningcorporaties 2016’. Aan het onderzoek namen 37 respondenten van 31 woningcorporaties deel. Het onderzoek is het derde in een reeks. Eerder nam BDO de informatiebeveiliging in de zorg en bij gemeenten onder de loep.

Steeds meer privacygevoelige data

De gebrekkige informatiebeveiliging bij woningcorporaties zorgt voor grote privacyrisico’s voor huurders. Van hen worden onder druk van de groeiende wet- en regelgeving steeds meer – en steeds gevoeligere – data bijgehouden. Daar waar de naam, het adres en betalingsgegevens van huurders vroeger volstonden, hebben corporaties sinds 2011 bijvoorbeeld ook hun inkomensgegevens en het burgerservicenummer nodig. Vaak staan ook extra zaken zoals de gezinssamenstelling, (delen van) medische dossiers en een eventueel strafblad geregistreerd.

Alarmerende situatie

De alarmerende situatie rond informatiebeveiliging binnen woningcorporaties uit zich het sterkst op bestuursniveau. Minder dan een derde (31%) van de woningcorporaties legt de eindverantwoordelijkheid voor informatiebeveiliging en privacy bij de raad van bestuur. Een opvallende situatie, aangezien bestuurders – ook op het gebied van dataveiligheid – over beleid en budgetten beslissen.

“Een gedegen informatiebeveiliging begint met een raad van bestuur die zich verantwoordelijk toont,” stelt Pieter Schraverus, senior manager bij BDO Advisory en specialist op het gebied van cybersecurity. “Het is zorgelijk dat bestuurders bij het overgrote deel van de woningcorporaties niet officieel die eindverantwoordelijkheid dragen.” Schraverus benadrukt dat bestuurders volgens de Europese privacyverordening zelfs hoofdelijk aansprakelijk zijn voor een deugdelijke opslag van gegevens en de privacy van bewoners. “Die verordening gaat uiterlijk in 2018 in. Corporaties moeten dus haast gaan maken,” aldus Schraverus.

Privacybewustzijn

Ook op het gebied van interne dataveiligheid en het privacybewustzijn onder personeel blijken woningcorporaties erg weinig te doen. Slechts 17% heeft een privacy awareness-programma voor zijn medewerkers. Niet meer dan één op de tien woningcorporaties doet aan encryptie, ruim de helft (52%) heeft geen correctieve maatregelen getroffen naar aanleiding van de meldplicht datalekken.

“Informatiebeveiliging is een eindverantwoordelijkheid van het bestuur, maar voor een waterdichte uitvoering is het zaak dat álle medewerkers het belang ervan snappen,” stelt Roland van Hecke, partner bij BDO Audit & Assurance en voorzitter van de branchegroep Woningcorporaties. Veel corporatiemedewerkers verzamelen door een gebrek aan waakzaamheid veel meer huurdersgegevens dan strikt noodzakelijk. Meestal weet niemand precies waar al die data opgeslagen zijn. “Zo’n situatie is als een waterballon,” aldus Van Hecke. “De hoeveelheid opgeslagen data blijft maar groeien, en bij het eerstvolgende datalek liggen talloze ‘onnodige’ gegevens op straat.”

Beleid maakt juridisch weerbaar

Uit het onderzoek blijkt ook dat bijna geen enkele woningcorporatie een data security officer heeft, terwijl die functie over anderhalf jaar verplicht is volgens Europese privacyverordening. “Het bewustzijn ontbreekt dat er processen en protocollen nodig zijn om de omgang met privacygevoelige data daadwerkelijk veilig te maken,” aldus Schraverus. “Daar moet een bekwame coördinator voor zijn.”

Nog geen kwart (24%) van de woningcorporaties heeft een informatiebeveiligingsbeleid geïmplementeerd. Daardoor ontbreekt het bij de meeste woningcorporaties bijvoorbeeld ook aan databewerkingsovereenkomsten met ketenpartners. Professioneel informatiebeveiligingsbeleid is niet alleen een wapen tégen datalekken, maar maakt organisaties ook juridisch weerbaar bij schadeclaims en boetes na een lek.

Dataveiligheid evalueren

BDO adviseert woningcorporaties om bestaande processen met betrekking tot dataveiligheid meer en beter te evalueren. Daarbij gaat het om vragen als: Wat hebben we aan gegevens in huis? Wie mag wat zien en waarom? Wat mag gedeeld worden met wie? En gebeurt dat op dit moment veilig? Van Hecke: “Haast is geboden. Datalekken bij woningcorporaties die het landelijk nieuws halen, zijn anders een kwestie van tijd.”

Gerelateerde artikelen