Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Service provider 'Geen zorgen om IT' heeft een privacy policy / informatiebeveiligingsbeleid opgesteld, waarin o.a. de volgende onderdelen zijn opgenomen:
• Er zijn maatregelen getroffen om vertrouwelijke gegevens te beveiligen, zoals het beperken van toegang tot deze gegevens zodat alleen geautoriseerde medewerkers toegang hebben.
• Medewerkers mogen gegevens niet voor andere doeleinden gebruiken dan voor het werk dat zij verrichten.
• Een directielid is verantwoordelijk gesteld voor het toezien op de naleving van de maatregelen en op het compliant zijn aan de GDPR.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

In het verleden is service provider 'Geen zorgen om IT' aangevallen door een hacker waarbij de hacker toegang heeft gekregen tot de data van de woningcorporatie. Als gevolg hiervan zijn persoonsgegevens van bewoners verloren gegaan.

De service provider is het afgelopen jaar druk bezig geweest met het opstellen van een procedure meldplicht datalekken, zodat zij in de toekomst weet welke stappen er genomen moeten worden in geval van een dergelijk datalek.

In de procedure is onder andere het volgende opgenomen:

• Het verschil tussen een beveiligingsincident en een datalek: een beveiligingsincident is een datalek indien de bescherming van persoonsgegevens is doorbroken, waarbij de gegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens;
• Beveiligingsincidenten worden altijd geregistreerd in een registratietool;
• Bij een datalek wordt dit zo spoedig mogelijk, maar in ieder geval binnen 72 uur, gemeld bij de Autoriteit Persoonsgegevens;
• Bij een datalek wordt een risico-inschatting gemaakt en worden betrokkenen zo nodig op de hoogte gesteld;
• Voorbeelden van incidenten die kunnen leiden tot een datalek, waaronder het verliezen van een USB-stick, een inbraak door een hacker, een malwarebesmetting of een calamiteit zoals brand in het datacentrum.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Service provider 'Geen zorgen om IT' houdt een overzicht bij van de gegevens die worden verwerkt voor de verantwoordelijke partijen. In dit overzicht neemt zij ook op met welke categorie gegevens zij te maken heeft, zodat zij weet of aanvullende beveiligingsmaatregelen getroffen dienen te worden. Een voorbeeldoverzicht van het register voor service providers vindt u in de toelichting in het rapport wat u na het invullen van het formulier onderaan deze vragenlijst ontvangt.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

'Geen zorgen om IT' heeft van de woningcorporatie de opdracht gekregen om persoonsgegevens te verwerken voor de aanvragen van bewoners over onderhoud/reparaties van woningen. De service provider mag de gegevens van de bewoners niet gebruiken voor andere doeleinden, zoals het versturen van reclamebladen.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

De medewerkers van 'Geen zorgen om IT' hebben niets te zoeken bij de persoonsgegevens van de bewoners. Om deze reden zijn de persoonsgegevens in de ontwikkel- en testomgeving van de applicaties versleuteld opgeslagen.

Twee IT-beheerders van 'Geen zorgen om IT' hebben accounts in de productieomgeving van de applicaties 'Woningonderhoud' en de 'Reparatieapp' die standaard geblokkeerd zijn. In geval van incidenten, storingen of problemen kunnen zij de woningcorporatie vragen de accounts te deblokkeren om de problemen op te lossen. Na het oplossen van de problemen worden de accounts wederom geblokkeerd door de woningcorporatie zodat de IT-beheerders geen toegang meer hebben tot de productiedata.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Om te zorgen dat medewerkers die geen toegang hoeven te hebben, daadwerkelijk geen toegang krijgen, is toegang tot de applicaties beveiligd met een unieke gebruikersnaam en wachtwoord. Het wachtwoord dient uit minimaal 10 karakters te bestaan, moet minimaal een letter, een cijfer en een teken te bevatten en moet om de drie maanden gewijzigd worden.

De webservers van de applicaties zijn in beheer bij 'Geen zorgen om IT'. Om beveiliging van de servers te waarborgen, zijn maatregelen ingericht zoals het gebruik van firewalls, netwerksegmentatie (de webserver is in een DMZ geplaatst) en het bewaken van de fysieke toegang tot het pand en de servers.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Voor de verwerking van aanvragen voor de woningcorporatie worden geen persoonlijke digitale identifiers gebruikt. Echter verwerkt 'Geen zorgen om IT' voor een andere klant ook burgerservicenummers (BSN). Het BSN is een voorbeeld van een persoonlijke digitale identifier, omdat het een uniek en tot de persoon herleidbaar nummer is. De service provider laat het BSN nummer pseudonimiseren, wat inhoudt dat het nummer onleesbaar wordt gemaakt met een cryptografische hashfunctie.

Onder bijzondere gegevens wordt onder andere verstaan godsdienst, ras, seksuele voorkeur, gezondheid, lidmaatschap van en vakvereniging en strafrechtelijk gedrag, maar ook biometrische gegevens, zoals vingerafdrukken, stem, handschrift en scans van het netvlies.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

'Geen zorgen om IT' heeft ervoor gekozen bijzondere gegevens te versleutelen. Het versleuteld opslaan van gegevens houdt in dat gegevens op basis van een algoritme niet leesbaar zijn voor onbevoegden.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Aangezien 'Geen zorgen om IT' een overzicht heeft van de systemen waarin persoonsgegevens zijn opgenomen, kan zij gemakkelijk aan dergelijke verzoeken voldoen.

Hierbij dient zij wel rekening te houden met overige (wettelijke) verplichtingen. Financiële gegevens dienen bijvoorbeeld 7 jaar bewaard te worden en mogen niet worden verwijderd. Bovendien heeft de service provider ervoor gezorgd dat gegevens naar een gangbaar data formaat kunnen worden geëxporteerd, zodat de overdraagbaarheid naar de verantwoordelijke of een andere verwerker is gegarandeerd, als de verantwoordelijke daarom verzoekt.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

'Geen zorgen om IT' heeft een verwerkersovereenkomst afgesloten met de woningcorporatie. In deze overeenkomst hebben zij opgenomen:

• welke activiteiten onder de verantwoordelijkheid van de woningcorporatie door de service provider worden uitgevoerd
• hoe de service provider met de gegevens omgaat
• de maatregelen die de service provider heeft genomen om de beveiliging van de gegevens te waarborgen
• het recht van 'Gemak onder een dak' om 'Geen zorgen om IT' te auditen.

'Geen zorgen om IT' heeft meerdere klanten en ervoor gekozen jaarlijks een externe auditor in te huren voor het toetsen van haar interne beheersmaatregelen. Het assurance rapport dat deze auditor uitbrengt, geeft de woningcorporatie informatie over de naleving van de maatregelen.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Woningcorporatie 'Gemak onder een dak' heeft een privacy policy/informatiebeveiligingsbeleid opgesteld, waarin o.a. de volgende onderdelen zijn opgenomen:

• Persoonsgegevens van bewoners en woningzoekenden zijn als zeer vertrouwelijk gekenmerkt;
• Er zijn maatregelen getroffen om vertrouwelijke gegevens te beveiligen, zoals het beperken van toegang tot deze gegevens;
• Medewerkers mogen gegevens niet voor andere doeleinden gebruiken dan voor het werk dat zij verrichten;
• Een directielid is verantwoordelijk gesteld voor het toezien op de naleving van de maatregelen en op het compliant zijn aan de GDPR.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

In het verleden is een medewerker van 'Gemak onder een dak' een USB-stick verloren, waarbij misbruik is gemaakt van de persoonsgegevens die op deze USB stonden. Dit heeft ertoe geleid dat personen uit de database van de woningcorporatie (woningzoekenden en bewoners) ongevraagd door een marketingbedrijf zijn benaderd voor het huren van woningen.

De woningcorporatie is het afgelopen jaar druk bezig geweest met het opstellen van een procedure meldplicht datalekken, zodat zij in de toekomst weet welke stappen er genomen moeten worden in geval van een dergelijk datalek.

In de procedure is onder andere het volgende opgenomen:

• Het verschil tussen een beveiligingsincident en een datalek: een beveiligingsincident is een datalek indien de bescherming van persoonsgegevens is doorbroken, waarbij de gegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens;
• Beveiligingsincidenten worden altijd geregistreerd in een registratietool;
• Bij een datalek wordt dit zo spoedig mogelijk, maar in ieder geval binnen 72 uur, gemeld bij de Autoriteit Persoonsgegevens;
• Bij een datalek wordt een risico-inschatting gemaakt en worden betrokkenen zo nodig op de hoogte gesteld;
• Voorbeelden van incidenten die kunnen leiden tot een datalek, waaronder het verliezen van een USB-stick, een inbraak door een hacker, een malwarebesmetting of een calamiteit zoals brand in het datacentrum.

'Gemak onder een dak' houdt een overzicht bij van de persoonsgegevens die worden verwerkt.

Per verwerking zijn in dit overzicht een aantal gegevens opgenomen zodat duidelijk is dat elke verwerking een doel heeft, de beveiliging voldoende gewaarborgd is en de gegevens volgens de wettelijke bewaartermijn worden bewaard. Een voorbeeldoverzicht van het register voor service providers vindt u in de toelichting in het rapport wat u na het invullen van het formulier onderaan deze vragenlijst ontvangt.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Voor het verwerken van de aanvragen van bewoners voor onderhoud/reparaties aan woningen heeft de woningcorporatie een wettelijke verplichting om persoonsgegevens te verwerken. Indien de woningcorporatie de gegevens van de bewoners bijvoorbeeld ook wil gebruiken voor het versturen van nieuwsbrieven, dient zij voor deze verwerking expliciet toestemming te vragen van de bewoners.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

De woningcorporatie heeft de naam, het e-mailadres en woonadres van de bewoner nodig voor de verwerking van aanvragen. Voor deze verwerking is bijvoorbeeld het BSN niet nodig, terwijl de woningcorporatie wel over dit gegeven beschikt. Per verwerking dient de woningcorporatie na te gaan of het doel niet met minder persoonsgegevens kan worden bereikt.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

De woningcorporatie heeft verschillende maatregelen getroffen om te waarborgen dat de gegevens van de bewoners correct en actueel zijn. De gegevens van een nieuwe bewoner controleert de woningcorporatie aan de hand van een origineel identiteitsdocument.

Een nieuwe bewoner ontvangt een e-mail om het account te bevestigen, een maatregel om te borgen dat het opgegeven e-mailadres juist is. Met het opgegeven burgerservicenummer (BSN) van de bewoners wordt een check gedaan, de zogeheten elfproef, om te bepalen of het opgegeven BSN bestaat, hetgeen overigens nog niet betekent dat het het juiste BSN is.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Medewerkers van de afdeling 'Onderhoud en reparatie' van de woningcorporatie hebben toegang tot de aanvragen van de bewoners en de bijbehorende persoonsgegevens van de bewoners. Medewerkers van de afdeling 'Crediteuren' van de woningcorporatie zijn verantwoordelijk voor het maandelijks betalen van 'Geen zorgen om IT' voor de geleverde diensten. Voor het uitoefenen van hun functie hoeven zij geen toegang tot de persoonsgegevens van de bewoners te hebben. Om deze reden hebben zij geen toegang tot de applicaties 'Woningonderhoud' en de 'Reparatieapp'.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Om te zorgen dat medewerkers die geen toegang hoeven te hebben, daadwerkelijk geen toegang krijgen, is toegang tot de applicaties beveiligd met een unieke gebruikersnaam en wachtwoord. Het wachtwoord dient uit minimaal 10 karakters te bestaan, moet minimaal een letter, een cijfer en een teken te bevatten en moet om de drie maanden gewijzigd worden.

De applicaties zijn alleen toegankelijk vanaf het interne netwerk van de woningcorporatie. Als medewerkers van de woningcorporatie thuis willen werken, kunnen zij met een VPN-verbinding toegang krijgen tot het interne netwerk. Hiervoor is twee-factor authenticatie vereist, wat inhoudt dat de medewerker naast de gebruikersnaam en het wachtwoord met een extra verificatiemiddel (bv. soft-token) dient in te loggen.

De woningcorporatie maakt daarnaast gebruik van antivirussoftware om virussen tegen te gaan. Ook zijn maatregelen getroffen om te zorgen dat toegang van buitenaf (door onbevoegden) is afgeschermd. De webservers van de applicaties zijn in beheer bij 'Geen zorgen van IT' en zij hebben maatregelen genomen om de beveiliging te waarborgen, zoals het gebruik van firewalls, netwerksegmentatie (de webserver is in een DMZ geplaatst) en het bewaken van de fysieke toegang tot het pand en de servers.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Voor de verwerking van aanvragen worden geen persoonlijke digitale identifiers gebruikt. Echter voor de communicatie met de belastingdienst ten aanzien van de huurtoeslag dienen burgerservicenummers (BSN) gebruikt te worden. Het BSN is een voorbeeld van een persoonlijke digitale identifier, omdat het een uniek en tot de persoon herleidbaar nummer is. De woningcorporatie slaat het BSN gepseudonimiseerd op, wat inhoudt dat het nummer onleesbaar wordt gemaakt met een cryptografische hashfunctie.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Onder bijzondere gegevens wordt onder andere verstaan godsdienst, ras, seksuele voorkeur, gezondheid, lidmaatschap van en vakvereniging en strafrechtelijk gedrag, maar ook biometrische gegevens, zoals vingerafdrukken, stem, handschrift en scans van het netvlies.

De woningcorporatie heeft ervoor gekozen bijzondere gegevens te versleutelen. Het versleuteld opslaan van gegevens houdt in dat gegevens op basis van een algoritme niet leesbaar zijn voor onbevoegden. Voor analyse en controledoeleinden worden gegevens geanonimiseerd en alleen geaggregeerd weergegeven. Geanonimiseerde gegevens zijn geen persoonsgegeven en vallen niet onder de GDPR.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

In de algemene voorwaarden van de woningcorporatie is opgenomen dat de betrokkenen (bewoners en woningzoekenden) het recht hebben hun gegevens in te zien, te corrigeren en te laten verwijderen. Aangezien de woningcorporatie in het register heeft opgenomen waar persoonsgegevens zijn opgenomen (in welke systemen) kan zij gemakkelijk aan dergelijke verzoeken voldoen. Hierbij dient zij wel rekening te houden met overige (wettelijke) verplichtingen of belangen van derde partijen waardoor het verwijderen van gegevens of inzage niet is toegestaan. Financiële gegevens dienen bijvoorbeeld 7 jaar bewaard te worden en mogen niet verwijderd worden.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

De woningcorporatie heeft een verwerkersovereenkomst afgesloten met service provider 'Geen zorgen om IT'. In deze overeenkomst hebben zij opgenomen:

• welke activiteiten onder de verantwoordelijkheid van de woningcorporatie door de service provider worden uitgevoerd
• hoe de service provider met de gegevens omgaat
• de maatregelen die de service provider heeft genomen om de beveiliging van de gegevens te waarborgen
• het recht van 'Gemak onder een dak' om 'Geen zorgen om IT' te auditen

'Geen zorgen om IT' heeft meerdere klanten en ervoor gekozen jaarlijks een externe auditor in te huren voor het toetsen van haar interne beheersmaatregelen. Het assurance rapport dat deze auditor uitbrengt, geeft de woningcorporatie informatie over de naleving van de maatregelen.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

'Gemak onder een dak' test momenteel een grote update voor de applicatie 'Reparatieapp' waardoor de applicatie nog beter beveiligd wordt. Omdat dit een grote systeemaanpassing is die mogelijk impact heeft op de privacy van de betrokkenen, laat de woningcorporatie een Privacy Impact Assessment (PIA) uitvoeren op dit systeem door een externe auditor. Met behulp van de uitkomsten van de PIA kunnen risico's vroegtijdig gemitigeerd worden.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

De functionaris van 'Gemak onder een dak' ziet toe op de omgang met persoonsgegevens binnen de woningcorporatie en controleert of de organisatie voldoet aan de GDPR en toepasselijke regelgeving.

Voorbeeld woningcorporatie 'Gemak onder een dak' en IT Partner 'Geen zorgen om IT'

Naast de GDPR is ook andere wetgeving van toepassing op de woningcorporatie. De privacy officer heeft een overzicht opgesteld van alle wetgeving waar de woningcorporatie aan moet voldoen. Zo hebben zij onder andere te maken met de Woningwet en dienen zij, net als iedere ondernemer, te voldoen aan de fiscale bewaarplicht waar verplicht wordt gesteld dat financiële gegevens 7 jaar bewaard blijven.