Uw beveiliging is zo sterk als de zwakste schakel

Geschreven door Gerwin Methorst

Het onderzoek van RTL Nieuws waarin blootgelegd wordt dat er vanuit de GGD persoonsgegevens verhandeld worden, zal u ongetwijfeld niet ontgaan zijn. De privégegevens uit de coronasystemen ‘CoronaIT’ en ‘HPzone Light’ zijn door medewerkers verhandeld via chatdiensten als Telegram en Wickr. Onze blog ‘Medewerkers GGD verkopen persoonsgegevens’ gaat hier al dieper op in en inmiddels heeft ook minister de Jonge van Volksgezondheid een reactie gegeven. Het systeem zou volgens hem veilig zijn en is het niet te voorkomen dat er ‘rotte appels’ tussen zitten. De medewerkers zouden volgens de Jonge daarnaast voorlichting krijgen over hoe zij om dienen te gaan met persoonsgegevens en een geheimhoudingsverklaring ondertekenen.

De minister lijkt er in deze uitspraken echter geen rekening mee te houden dat de mens de zwakste schakel is. Het is de mens die de beveiligingssoftware heeft ontwikkeld en up-to-date houdt. De mens verwerkt en raadpleegt de persoonsgegevens in de coronasystemen. Men kan zich afvragen of een Verklaring Omtrent het Gedrag (VOG) en het geven van voorlichting voldoende bescherming bieden. Wellicht had de GGD in dit geval meer maatregelen moeten nemen om zich hiertegen te beschermen. Maar hoe creëert u deze bescherming en waar moet u op letten?

Integraal securitybeleid

Uw beveiliging is zo sterk als de zwakste schakel. De veiligheid binnen organisaties rust dus niet alleen op het aanvragen van een VOG en voorlichting geven over hoe men met privacygevoelige informatie om dient te gaan. Het concept veiligheid is breder en creëer je alleen door een continu proces te voeren waarin beveiligingsrisico’s geïdentificeerd worden en daartegen maatregelen te implementeren. In dit proces is het van belang dat de organisatie alle facetten en productieprocessen tegen het licht houdt. Dit proces is te schalen onder de noemer ‘Security Risk Management’. Een maatregel is géén maatregel. Een veilige werkomgeving ontstaat door een pakket aan maatregelen op zowel organisatorisch als bouwkundig en elektronisch gebied. Alleen zo creëert een organisatie een integraal securitybeleid. Is dat pakket dan voldoende? Niet helemaal!

Security awareness als belangrijke pijler

Alleen een integraal securitybeleid is niet voldoende. Ook al kunnen er maatregelen in overvloed genomen worden, er zit altijd één schakel achter die niet vergeten mag worden: de mens. Je bent zo sterk als de zwakste schakel en dat zit nu juist in het menselijk aspect. Het creëren van security awareness is daarom een belangrijke pijler binnen het integrale securitybeleid. Zorg dat er openheid en transparantie is in het beleid dat gevoerd wordt. Stel security vanuit het management als hoge prioriteit en zorg dat medewerkers weten wat er van ze verwacht wordt. Verwachtingen kun je bijvoorbeeld creëren door een gedragscode te schrijven waarin de normen en waarden inzichtelijk worden. Medewerkers kunnen dan beter bepalen wat normaal is binnen de organisatie en signalen gaan herkennen. Betrek de medewerkers bij het proces en laat ze meedenken.

Security levert resultaat

Ten onrechte wordt security te vaak als een kostenpost gezien. Men is van mening dat frauduleuze incidenten of andere criminele activiteiten bij hun niet voorkomen en dat maatregelen met de bijkomende kosten dan overbodig zijn. Wellicht dat het beveiligingsbedrijf van de Rotterdamse haven of het Jeroen Bosch ziekenhuis er ook zo over dachten. Helaas blijkt het tegendeel. De uitdaging die wij graag willen voorleggen is om deze visie eens te draaien. Omdenken en security niet als kostenpost te zien maar als bijdrage in het bedrijfsresultaat. Een integraal securitybeleid creëert uiteindelijk een gezonde bedrijfscultuur, verlaagt het risico op incidenten en een besparing van hoge kosten in de toekomst. Het stelt de organisatie juist in staat om de kans op een succesvolle toekomst te vergroten.

Kijk daarnaast ook of de maatregelen proportioneel zijn tegenover de risico’s die de organisatie loopt en de kans dat deze risico’s zich voordoen. Is de kans op een bepaald incident zeer klein en zijn de eventuele gevolgen te overzien, dan kan u het risico ‘accepteren’. Daarmee zijn de getroffen maatregelen proportioneel en voorkomt u dat de kosten de baten overstijgen. Doordat u de alle risico’s inzichtelijk heeft gemaakt kunt u een onderbouwde afweging maken.

Ik wil die fraudeur een stap voor zijn!

Security risk management gaat dus om het creëren van een integraal securitybeleid. Een pakket aan op elkaar afgestemde maatregelen en waarbinnen de rol van de werknemer niet vergeten is. Als security binnen de organisatie gaat leven, dan zal dit uiteindelijk een mooie bijdrage gaan leveren aan de resultaten.

Vraagt u zich af waar u moet beginnen? Of misschien heeft u vragen over het huidige beleid dat u voert en of dit beleid voldoende is? Schakel dan de hulp in van de professionals van Levent Bedrijfsrecherche. Uw beveiliging is zo sterk als de zwakste schakel. Samen zorgen we dat die zwakste schakel sterk is.

Meer weten? In samenwerking met New Business Radio hebben wij een podcast gemaakt over dit onderwerp. Ook op onze website vindt u meer informatie.