‘Cybercriminelen worden steeds beter en sneller’

‘Veel bedrijven denken: we werken volgens de AVG (Algemene Verordening Gegevensbescherming) en dat is genoeg’, zegt digitale communicatiespecialist Fréderique Zeelenberg. ‘Maar het is belangrijk dat iederéén in je organisatie kennis en kunde heeft rond privacy en informatiebeveiliging. Dat vraagt veel inspanning, maar als je gehackt wordt, ben je echt dankbaar.’

Informatiebeveiliging is belangrijk, want datalekken zijn een groot gevaar. Technieken van cybercriminelen worden steeds beter en sneller. Een corporatie werkt met gevoelige informatie van bewoners, zoals inkomensgegevens, contactgegevens en het BSN. Zo beheert Trivire 14.000 woningen – dat betekent veel data. En hoewel een identiteitsbewijs niet meer mag worden opgeslagen en bewaartermijnen korter worden, moeten ook notities over bijvoorbeeld overlast niet op straat komen te liggen.

‘Bovendien’, weet Zeelenberg, ‘kun je alles netjes in beleid hebben vastgelegd, maar het is superbelangrijk dat alle collega’s voorzichtig en alert zijn en blijven. Want je bent zo kwetsbaar als een collega dat per ongeluk even vergeet.’

Kortom, genoeg redenen voor Trivire om verschillende acties op touw te zetten, waarmee ze awareness rondom AVG en informatiebeveiliging willen vergroten. Het is 2019 en de AVG moet nog bekendheid krijgen. Trivire hangt posters op met de slogan ‘Doe het veilig’ en maakt zelf een escaperoom. Zeelenberg: ‘Collega’s gingen in teams aan de slag met opdrachten waarvoor algemene kennis over de AVG nodig was, maar ook specifieke AVG-zaken voor Trivire. Bijvoorbeeld welke gegevens wij mogen verwerken en wie onze privacy officer was.’

Er werd enthousiast op gereageerd. ‘Vooral het spelelement zorgde ervoor dat collega’s heel competitief waren. Na de escaperoom hadden de collega’s de basisprincipes scherp. Het is een laagdrempelige manier om kennis tot je te nemen. In zo’n game moeten mensen zelf met oplossingen komen of kennis uit de ruimte halen. Dat is niet alleen voor AVG maar ook voor andere thema’s een effectieve werkvorm, dus dat kan ik iedereen aanraden.’

Later deed de corporatie een kleinere awareness-campagne, met een phishingmail. ‘Er werd bijna niet op geklikt, en de afdeling Informatiemanagement kreeg veel mails van collega’s met de vraag wat ze met de mail moesten.’ Een goede score.

Toen er echter een zogenoemde mystery guest ging testen of hij binnen kon komen en in kasten kon snuffelen, bleek dat makkelijk te gaan. ‘Hij deed net of hij een collega was, kon gewoon mee naar binnen lopen. Onze digitale beveiliging zat dus goed, maar het fysieke stuk kon beter.’ Trivire heeft 150 mensen in dienst en is tegenwoordig in een bedrijfsverzamelgebouw gevestigd. Dat maakt de fysieke beveiliging nog belangrijker én lastiger.

Wat zijn nu de belangrijkste tips? Zeelenberg: ‘Het is bekend dat als je kennisoverdracht alleen maar serieus aanpakt, door presentaties en zenden, er maar 10% blijft hangen. Maar als mensen spelenderwijs aan de slag gaan, heeft het veel meer effect.’ Een bijkomend voordeel van de inspanningen is dat deze informatie niet alleen zakelijk maar ook privé heel behulpzaam is, want veel mensen worden ook thuis door oplichters gebeld.

Tot slot zegt Zeelenberg dat het belangrijk is om zeker eens per 3 jaar je organisatie te updaten over de nieuwste trucs van cybercriminelen. ‘De ontwikkelingen in technieken gaan door: zo kreeg je vroeger phishingmails vol spelfouten, maar moet je nu echt kijken naar de links waar je naar doorverwezen wordt. Awareness is creëren niet eenmalig, dat moet je blijven doen.’