Hans, waar houdt een Security Officer zich met name mee bezig?
“Als Security Officer ligt mijn verantwoordelijkheid bij de informatiebeveiliging van Pondres. Dit houdt in dat ik bijvoorbeeld de IT-afdeling help met het inrichten van beleid, procedures en werkinstructies over hoe we het beste onze informatie kunnen beveiligen. Daarnaast ben ik actief voor klanten die hebben gekozen voor outsourcing wat betreft hun informatiebeveiliging. Dit zijn vaak banken, verzekeringsmaatschappijen en pensioenuitvoerders. Maar ook in andere branches is informatiebeveiliging een ‘hot item’. Bedrijven hebben de afgelopen jaren steeds meer eisen en wensen gekregen op het gebied van informatiebeveiliging. Bij Pondres is alles erop gericht om aan deze wensen én aan de geldende wet- en regelgeving te voldoen.”
Hoe zorgt Pondres ervoor dat het belang van informatiebeveiliging door iedereen wordt doorleefd?
“Medewerkers moeten zich ervan bewust zijn dat ze werken met klantgegevens en hier vertrouwelijk mee om moeten gaan. Het is daarom van belang dat er iemand binnen het bedrijf is die dit op een onafhankelijke manier controleert en tegen medewerkers kan zeggen wat ze goed en vooral ook wat ze beter kunnen doen. Omdat er nogal wat richtlijnen en procedures binnen Pondres zijn, krijgt iedere nieuwe medewerker een cursus informatiebeveiliging. Die geven we op twee niveaus. Een medewerker die dagelijks achter de computer bezig is met klantgegevens moet meer op de hoogte zijn van bepaalde regels en procedures dan een medewerker die op de vloer werkt. Op de werkvloer gelden overigens ook regels en procedures met betrekking tot informatiebeveiliging, bijvoorbeeld het gebruik van speciale papierbakken voor gegevens van klanten die niet meer gebruikt worden.”
Kun je een praktisch voorbeeld noemen van informatiebeveiliging?
“Om toegang te krijgen tot gegevens zijn er allereerst inloggegevens nodig. Er wordt per functie binnen ons bedrijf gekeken welke gegevens nodig zijn en tot welke systemen iemand toegang krijgt. Dit om te voorkomen dat collega’s bij informatie kunnen die niet noodzakelijk is om hun werk uit te voeren. Als er van buiten ons bedrijf ingelogd wordt, is een extra controlecode nodig, de zogeheten two-step authenticator.”
Waar krijg jij echt een kick van in je werk?
“Wat ik het leukst vind, is dat mijn collega’s zelf meedenken over informatiebeveiliging. Dit merk ik ook aan het aantal vragen dat ik krijg over bijvoorbeeld phishing mails of andere onveilige situaties. Je kunt het vanuit mijn kant bedenken, maar het is veel beter als collega’s het zelf doorleven. Dat mijn collega’s er ook actief mee aan de slag gaan, geeft me een kick!”
Vertel eens eerlijk, gaat er ook weleens iets mis?
“Laat ik voorop stellen: we zijn mensen en mensen maken fouten. Een inbraak of een hack kan dus helaas voorkomen. Een datalek, oftewel wanneer persoonsgegevens belanden bij iemand die ze niet hoort in te zien, is altijd een hoge urgentie-melding. Een voorbeeld: een klant krijgt een envelop met twee brieven erin, waarvan een van die brieven bedoeld is voor een andere klant. Alle werkprocessen binnen Pondres zijn erop gericht dit soort incidenten te voorkomen. Onze automatisering speelt hierin een belangrijke rol. Mocht een fout toch voorkomen, dan belt de klant onze account- of ordermanager, die vervolgens mij inschakelt. Dan wordt er gekeken welke order dat is geweest, hoeveel adressen er in die order zaten en bij welke machine het is gebeurd en op welke dag. Vervolgens volgt een grondige detailanalyse op de oorzaak en stellen we vast of er mitigerende maatregelen moeten worden genomen. Als er iets fout gaat, hebben we een verplichting om een datalek-meldingsformulier in te vullen voor de Autoriteit Persoonsgegevens. Dit doen we dan ook, vaak in samenspraak met de klant. We willen alles goed en zorgvuldig regelen, ook als er onverhoopt iets mis gaat.”
