Gegevensbeveiliging, privacy, anonimiteit. Met de komst van de AVG (Algemene Verordening Gegevensbescherming) in mei 2018 is er fors meer aandacht voor deze thema’s. En terecht. Het zorgvuldig omgaan met (persoons)gegevens is niet meer dan logisch. Ook bij het uitvoeren van onderzoek. Daarom zorgen we er samen met onze onderzoekspartner DESAN voor dat onze huurdersonderzoeken voldoen aan de hoogste eisen op dit gebied. Maar wat betekent dat in de praktijk? We vroegen het aan Natalie Blok en Jannes Hartkamp van DESAN.
We zijn bezig om de online omgeving Mijn KWH geheel te vernieuwen. Wat is hierbij belangrijk als we het hebben over dataveiligheid?
In Mijn KWH leveren corporaties gegevens van huurders aan. Fraude met persoonsgegevens komt helaas steeds meer voor. Omdat er in Mijn KWH van een groot deel van de Nederlandse huurders gegevens worden aangeleverd, moet dat dus zeer goed beveiligd zijn. Dat is het al, maar de eisen groeien mee met de technische ontwikkelingen en Mijn KWH dus ook. We zijn nu aan het kijken naar het inrichten van tweefactorauthenticatie (2FA), waarbij je een code op je telefoon krijgt voordat je in kunt loggen. En we kijken met KWH bij de vernieuwing natuurlijk opnieuw goed wie bij welke gegevens moet kunnen en hoe we dat het beste kunnen inrichten, veilig en gebruiksvriendelijk.
De term ISO-certificering komt vaak voorbij als je het over gegevensbeveiliging hebt. Wat kun je hierover vertellen?
DESAN is sinds 2013 gecertificeerd voor ISO 20252 en sinds 2015 voor ISO 27001. 20252 is de norm voor markt- en opinieonderzoek, 27001 voor informatiebeveiliging. We waren een van de eerste onderzoekbureaus in Nederland met zowel 20252 als 27001 certificeringen. Met een ISO 20252 certificering toont een onderzoeksbureau aan dat de kwaliteit van de onderzoeken is geborgd. Het gaat dan niet alleen om de kwaliteit van de data, maar ook om de dienstverlening naar klanten en respondenten. Het 27001 certificaat is een waarborg voor de informatiebeveiliging. Dit gaat dan natuurlijk om naleving van de AVG, beveiliging tegen hackers, voorkomen van datalekken, beschermen van de privacy van respondenten, et cetera.
Los van de ISO-audits laten we een paar keer per jaar een penetratietest doen op onze software en systemen. Geslepen experts kijken dan of er ergens zwakke plekken te vinden zijn. Maar het gaat ook om de zekerheid dat gegevens juist en beschikbaar zijn. Je moet zorgen dat onbevoegden nooit bij gegevens kunnen komen, maar bevoegden wel altijd bij de informatie waar zij ‘recht op hebben’. De ISO-certificeringen bevestigen onze continue aandacht voor kwaliteit en databeveiliging. Klanten kunnen daar dus op vertrouwen.
Kun je een voorbeeld geven van een norm vanuit ISO die van belang is voor het uitvoeren van het huurdersonderzoek?
Belangrijke punten uit ‘de 20252’ zijn bijvoorbeeld dat de enquêteurs goed getraind zijn, dat je respondenten altijd duidelijk maakt namens wie je belt en met welk doel en dat je kunt vertellen waar hun contactgegevens vandaan komen. Een belangrijk punt uit ‘de 27001’ is dat de onderzoeksresultaten nooit verloren kunnen gaan, ook niet bij calamiteiten. Daarom staan onze servers in twee gescheiden, zwaar beveiligde, ook 27001-gecertificeerde, datacenters. Alles, niet alleen de databases maar ook de software en de verbindingen, is dubbel uitgevoerd. Mocht ons kantoor, of één van de datacenters, afbranden, dan loopt alles nog steeds gewoon door.