Privacy is een onderwerp dat altijd trending is. Bij alle data die wij verzamelen en waarmee wij werken, moeten we in het achterhoofd houden dat we veilig met privacy omgaan. Boudewijn van Veen, Adviseur Informatiebeveiliging bij Ecare, licht toe hoe wij omgaan met de privacy en hoe wij de veiligheid waarborgen.
Ecare zit volgens Boudewijn in een lastige spagaat: “Wij maken applicaties, verzamelen data en hebben te maken met de eindgebruikers van onze applicaties. Dit alles moet op een veilige manier gebeuren, zonder dat dit ten koste gaat van de gebruiksvriendelijkheid. Dit botst wel eens met elkaar. Het makkelijkst zou zijn om helemaal geen data te gebruiken, zonder data kan er immers niks gelekt worden. Dit is alleen niet werkbaar. We zouden er ook voor kunnen kiezen om 10 verschillende wachtwoorden te gebruiken en om de 5 minuten naar een wachtwoord te vragen, maar ook dit is niet werkbaar. We zijn constant opzoek naar de juiste balans tussen veiligheid en gebruikersgemak.”
Gebruikers van PUUR. hebben het afgelopen jaar misschien al een aanpassing opgemerkt. Waar voorheen elke applicatie een eigen inlogscherm had, zijn alle applicaties nu overgegaan naar één centrale server waardoor iedereen maar eenmalig in hoeft te loggen met 2-factor authenticatie. “Dit is een voorbeeld waarbij de gebruiksvriendelijkheid én de veiligheid verbeteren.
Verder proberen we de ‘drie logische principes’ te hanteren. Dit houdt in dat je zo min mogelijk gebruik maakt van gevoelige data, je gevoelige data en niet-gevoelige data gescheiden houdt en je gevoelige data op zijn plek laat en het niet gaat verplaatsen. De drie logische principes proberen we onder andere na te leven door veel gegevens te anonimiseren en in veel gevallen zelfs te werken met fake data.”
Wanneer een organisatie goed omgaat met gevoelige data, geldt de NEN 7510-certificering als beloning. ”Wij zijn in het bezit van de certificering, wat aangeeft dat we het goed op orde hebben. Dit houdt echter niet in dat we nu achterover kunnen gaan zitten, je moet actief blijven om de privacy te waarborgen. Om de certificering te krijgen zijn we ook al jaren bezig geweest met de privacy.


De grootste stap is om bewustwording te creëren in de organisatie dat er veilig met gevoelige data omgegaan moet worden. Je moet de werkwijze en de cultuur veranderen en dit gebeurt niet zomaar, dit slijp je er langzaam in. We proberen medewerkers hierop attent te houden door ze regelmatig voorbeelden door te sturen van situaties waar het fout gaat, posters op te hangen, regelmatig voorlichtingen te geven, laten we video’s zien en ontvangen de medewerkers mailtjes met info.”, aldus Boudewijn.
Ondanks dat wij het goed voor elkaar hebben, kan er volgens Boudewijn altijd iets fout gaan: “Zelfs als je overal rekening mee houdt, kan er wel eens iets misgaan. Dit is het zogenaamde ‘geaccepteerde risico’. Voor de rest is het eigenlijk vooral veel logisch nadenken, zo moet je bijvoorbeeld geen gevoelige data per mail versturen.”