Bestuur en organisatie (hoort bij hulpmiddelen informatiebeveiliging)

Op deze pagina vind je een overzicht van verschillende instrumenten, handreikingen en documenten, die je kunnen helpen bij de vormgeving van dit beleid ten aanzien van informatiebeveiliging.

Deze handreiking is bedoeld voor zowel bestuurders en bedrijfseigenaren, als leden van raden van commissarissen of toezicht in alle organisaties. Dit is ongeacht hun omvang en of ze publiek of privaat zijn. De handreiking is ook bedoeld voor bestuurders en eigenaren van bedrijven die niet onder de nieuwe cyberwetgeving zoals NIS2 of DORA vallen. Hierna gebruiken we de term ‘bestuurders’, waarmee we doelen op zowel bestuurders en bedrijfseigenaren, als leden van raden van commissarissen of toezicht. De handreiking is geschreven vanuit een Nederlands perspectief en verwijst daarom naar de Nederlandse wetgeving. De aangebrachte inzichten zijn echter breed toepasbaar. 

Deze baseline stelt je als corporatie in staat om op een efficiënte manier te werken aan de inrichting van informatiebeveiliging. Het helpt je om aan alle eisen te voldoen op het gebied van informatiebeveiliging en om (externe) auditlast te verminderen. Hiermee word je als woningcorporatie een aantoonbaar betrouwbare partner. Corponet ontwikkelde deze standaard.

Om de BIC stap voor stap te implementeren op een overzichtelijke manier zijn er de BIC Building Blocks met aanvullende richtlijnen die corporaties helpen van theorie naar praktijk te komen. Denk hierbij aan een set ondersteunende documenten (sjablonen, voorbeelden, uitwerkingen en best-practices). Corponet en Audittrail hebben samen de BIC Building Blocks opgezet.

De BIC dient aan te sluiten bij de privacy-wetggeving (AVG). Hoe je als corporatie kunt voldoen aan de AVG met behulp van de BIC en aanvullende maatregelen lees je in het verbindingsdocument BIC-Privacy van Corponet.

Het document is te vinden op het ledenplatform CorpoNet SharePoint of op te vragen via info@corponet.nl.

Aedes ontwikkelde samen met corporaties en onderzoeksbureau Privacy Company de AVG Routeplanner voor woningcorporaties. Deze routeplanner geeft inzicht en ondersteuning in wat de AVG voor corporaties betekent en welke maatregelen moeten corporaties nemen.

Moet je bij nieuwe verwerkingen een DPIA uitvoeren? Bepaal aan de hand van een schema van de Autoriteit Persoonsgegevens of je verplicht bent om een data protection impact assessment (DPIA) uit te voeren, voordat je met de verwerking mag starten. 

Voor de start van het verwerken van (persoons) gegevens is het nodig om alle privacy-risico’s in kaart te brengen en maatregelen te nemen om deze risico’s te verkleinen. Een Data Protection Impact Assessment (DPIA) helpt hierbij. Om duidelijk te maken hoe zo’n DPIA-proces verloopt en welke stappen je tijdens dit proces moet doorlopen, heeft Aedes dit in een schema verwerkt.