‘De wereld digitaliseert steeds verder. Dit levert mensen veel voordelen op, maar het vraagt ook om goede bescherming tegen de risico’s die digitalisering met zich meebrengt. Denk aan risico’s rondom persoonsgegevens, aan de toegenomen afhankelijkheid van computers én aan de uiterst gedreven cybercriminelen.’ Dat zegt Leo Draaisma, Security Officer voor ECH, vanuit de Koninklijke Notariële Beroepsorganisatie (KNB).
Privacy en security in elkaars verlengde
‘Leo en ik richten ons, ieder vanuit onze eigen invalshoek, op de thema’s privacy en security. Tegelijkertijd liggen deze onderwerpen heel erg in elkaars verlengde’, vult Peter de Raadt, Privacy Officer bij ECH aan. ‘We bieden de dienst vanuit ECH aan notarissen en hypothecair financiers en transporteren daarbij gegevens van de consument. Die laatste partij, de consument, is zich vaak helemaal niet bewust van dit gegevenstransport en mede vanwege deze onbekendheid moet dat proces heel goed en zorgvuldig verlopen. Ik richt me vanuit mijn rol als Privacy Officer vooral op het beschermen van de gegevens en daarbij is het security-stuk, waar Leo zich op focust, onmisbaar.’
Leo: ‘Security gaat vooral over het nemen van maatregelen om gegevens te beschermen. Wanneer je dan specifiek spreekt over persoonsgegevens, dan heb je het over privacy. Daarnaast hebben consumenten het recht om te vragen naar de informatie die over hen via ECH verwerkt wordt. Dat wil je als organisatie dus, hoe dan ook, perfect op orde hebben.’
Continue afstemming
‘Het spreekt voor zich dat we er alles aan doen om (persoons)gegevens zo goed mogelijk te beveiligen. Om dit in goede banen te leiden stemmen we, onder meer, op structurele basis met het team van KNB af over welke ontwikkelingen er zijn, welke gebeurtenissen er zich hebben voorgedaan en of er mogelijk nog nieuwe risico’s zijn ontstaan waar we rekening mee moeten houden. Daar zijn Casper van Ginneken, onze compliance manager en Floris Beerens, als Directeur IT & Operations, ook nauw bij betrokken. Tot slot zijn we steeds in gesprek met vertegenwoordigers van de verschillende hypothecair financiers. Dat geven we vorm via een periodiek security- en compliance overleg waarin we verantwoording afleggen over onze activiteiten op privacy- en securityvlak. In dit overleg vragen we tevens om input: wat zien zij gebeuren in de maatschappij? Welke casussen komen zij tegen? Met welke nieuwe of gewijzigde wet- en regelgeving hebben we te maken? Op die manier worden we steeds beter en blijven we over en weer goed op de hoogte van wat er speelt. Een goed voorbeeld is de NIS2-richtlijn die zich richt op digitale (cyber)risico’s voor netwerk- en informatiesystemen, zoals het internet en betalingsverkeer. Periodiek reviewen we intern of we nog altijd voldoen aan de richtlijnen die de AVG aan ons stelt. Beschikken we over de juiste documenten? Volgen we de juiste protocollen nog? Dat soort zaken.’
Peter vult aan: ‘Of denk aan de Digital Operations Resilience Act (DORA) die sinds januari 2023 van kracht is. Dit is een Europese verordening die als doel heeft dat financiële organisaties hun IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. Die mogelijkheid om te klankborden met de security- en compliance werkgroep als vertegenwoordigers van de hypothecair financiers, is heel waardevol voor ons. Met elkaar hebben we immers overal oren en ogen in de markt.’
Toetsing door externe expert
Leo: ‘Die samenwerking zoeken we eveneens op bij grote releases: dan laten we ECH door een externe expert toetsen. Dat kan bijvoorbeeld een ethical hacker zijn die onze systemen door en door test op kwetsbaarheden. Peter en ik zijn overigens niet de enigen binnen ECH en de KNB die zich met de beschreven onderwerpen bezighouden. Ik durf te stellen dat het beveiligingsbewustzijn van ons team erg hoog is. Veiligheid zit ons in de genen en belandt daarmee direct in het product. Wij stimuleren het vanuit onze rol, maar elke collega is intrinsiek doordrongen van het belang hieromtrent.’
Peter: ‘Eens! Wij zijn de specialisten binnen onze organisaties en daarom lijkt het soms alsof wij alles regelen. Maar dat is niet zo. Vanuit de teams wordt bij elke wijziging nagedacht over wat dit doet met de veiligheid van het product. Het team staat stil bij vragen als: is het na onze wijziging nog altijd veilig genoeg? Wordt de privacy nog voldoende beschermd?’
De grootste uitdagingen
‘Onze grootste uitdaging ligt vooral bij het in de gaten houden van de impact die de almaar veranderende en toenemende wet- en regelgeving op ons heeft. Deze komt met name vanuit de EU en vraagt om een vertaling in nationale wetgeving voor de Nederlandse markt.’ Peter: ‘Zo hebben we op het moment van schrijven van dit artikel te maken met de ePrivacy Verordening. Dit is een aanvulling op de Algemene verordening gegevensbescherming (AVG) die de bescherming van persoonsgegevens in de Europese Unie reguleert. De wetgeving rond de ePrivacy Verordening richt zich specifiek op de bescherming van persoonsgegevens rond elektronische communicatie. En dan zijn er natuurlijk nog de ontwikkelingen rondom AI die we nauwlettend volgen. Tot slot worden we jaarlijks door een externe auditor beoordeeld vanuit de Richtlijn (ISAE) 3000/Service Organisatie Control Rapporten voor IT Service Organisaties, kortweg SOC2. Hierin worden ook de gebieden security en privacy meegenomen: een belangrijk rapport voor ons, wat laat zien dat we, tevens op het procedurele vlak, in control zijn.’ Leo besluit met een lach: ‘Wat we met onze uitleg eigenlijk vooral willen zeggen is dat de gegevens van cliënten veilig zijn bij ECH.’
Meer informatie
Heb je vragen over privacy of security in relatie tot ECH of wil je gewoon meer weten over ECH, neem dan gerust contact op met ons via info@ech.nl. We staan met ons complete team áltijd voor iedereen klaar!