Column: Meeste woningcorporaties zetten privacy huurders op het spel

Woningcorporaties hebben hun informatiebeveiliging bij lange na niet op orde. Het overgrote deel heeft geen concreet beveiligingsbeleid en heeft niet de juiste kennis in huis van bestaande en naderende privacywetgeving. Daarmee lopen woningcorporaties niet alleen achter bij andere (semi)publieke sectoren, maar zetten ze ook de privacy van huurders op het spel.

De gebrekkige informatiebeveiliging bij woningcorporaties zorgt voor grote privacyrisico’s voor huurders. Van hen worden onder druk van de groeiende wet- en regelgeving steeds meer – en steeds gevoeligere – data bijgehouden. Daar waar de naam, het adres en betalingsgegevens van huurders vroeger volstonden, hebben corporaties sinds 2011 bijvoorbeeld ook hun inkomensgegevens en het burgerservicenummer nodig. Vaak staan ook extra zaken zoals de gezinssamenstelling, (delen van) medische dossiers en een eventueel strafblad geregistreerd.

Verantwoordelijkheid nemen
De alarmerende situatie rond informatiebeveiliging binnen woningcorporaties uit zich het sterkst op bestuursniveau. Minder dan een derde (31%) van de woningcorporaties legt de eindverantwoordelijkheid voor informatiebeveiliging en privacy bij de raad van bestuur. Een opvallende situatie, aangezien bestuurders - ook op het gebied van dataveiligheid - over beleid en budgetten beslissen. Een gedegen informatiebeveiliging begint met een raad van bestuur die zich verantwoordelijk toont. Het is zorgelijk dat bestuurders bij het overgrote deel van de woningcorporaties niet officieel die eindverantwoordelijkheid dragen. Volgens de Europese privacyverordening zijn bestuurders zelfs hoofdelijk aansprakelijk voor een deugdelijke opslag van gegevens en de privacy van bewoners. Die verordening gaat uiterlijk in 2018 in. Corporaties moeten dus haast gaan maken.

Privacybewustzijn
Ook op het gebied van interne dataveiligheid en het privacybewustzijn onder personeel blijken woningcorporaties erg weinig te doen. Slechts 17% heeft een privacy awareness-programma voor zijn medewerkers. Niet meer dan één op de tien woningcorporaties doet aan encryptie, ruim de helft (52%) heeft geen correctieve maatregelen getroffen naar aanleiding van de meldplicht datalekken.

Informatiebeveiliging is een eindverantwoordelijkheid van het bestuur, maar voor een waterdichte uitvoering is het zaak dat álle medewerkers het belang ervan snappen. Veel corporatiemedewerkers verzamelen door een gebrek aan waakzaamheid veel meer huurdersgegevens dan strikt noodzakelijk. Meestal weet niemand precies waar al die data opgeslagen is. De hoeveelheid opgeslagen data blijft maar groeien en bij het eerstvolgende datalek liggen talloze ‘onnodige’ gegevens op straat.

Beleid maakt juridisch weerbaar
Uit recent brancheonderzoek blijkt ook dat bijna geen enkele woningcorporatie een data security officer heeft, terwijl die functie over anderhalf jaar verplicht is volgens Europese privacyverordening. Het bewustzijn ontbreekt dat er processen en protocollen nodig zijn om de omgang met privacygevoelige data daadwerkelijk veilig te maken. Daar moet een bekwame coördinator voor zijn. Nog geen kwart (24%) van de woningcorporaties heeft een informatiebeveiligingsbeleid geïmplementeerd. Daardoor ontbreekt het bij de meeste woningcorporaties bijvoorbeeld ook aan databewerkingsovereenkomsten met ketenpartners. Professioneel informatiebeveiligingsbeleid is niet alleen een wapen tégen datalekken, maar maakt organisaties ook juridisch weerbaar bij schadeclaims en boetes na een lek.

Dataveiligheid evalueren
Woningcorporaties moeten bestaande processen met betrekking tot dataveiligheid meer en beter evalueren. Daarbij gaat het om vragen als: Wat hebben we aan gegevens in huis? Wie mag wat zien en waarom? Wat mag gedeeld worden met wie? En gebeurt dat op dit moment veilig? Haast is geboden. Datalekken bij woningcorporaties die het landelijk nieuws halen, zijn anders een kwestie van tijd.

Lees meer hierover in dit actuele brancheonderzoek.

Een column van de hand van Pieter Schraverus, senior adviseur IT BDO en Roland van Hecke RA, Partner Audit & Assurance BDO.