Maak je organisatie Barbie-compliant

Data-schandalen volgens elkaar steeds sneller op, het ene informatielek is nog niet gedicht of het andere komt alweer tevoorschijn, en hackers worden steeds slimmer. Hoog tijd voor een cursus ‘De Publieke Hack over digitale weerbaarheid in de publieke sector’.

foto Brenno de WinterBrenno de Winter is daarvoor de gedroomde docent. Als journalist hield hij talloze overheidsorganisaties tegen het licht. Hij kreeg zelfs te maken met vervolging door het Openbaar Ministerie toen hij zwakheden in de OV-chipkaart blootlegde. Nu adviseert hij bedrijven en overheden over beveiliging.

Waarde verhogen

“Accountants en controllers kunnen hier  een belangrijke rol in spelen”, stelt De Winter. “Het geeft ze de gelegenheid hun waarde voor hun opdrachtgever te verhogen. Maar technologie wordt onder hen vaak als bedreigend ervaren.
Een fenomeen als Standard Business Reporting (de nationale standaard voor de digitale uitwisseling van bedrijfsmatige rapportages) maakt ze niet enthousiast voor techniek, omdat het in potentie hun werk overbodig maakt. Toch is het onderwerp van groot belang. Het Burgerlijk Wetboek doet er ook uitspraken over.”

Barbie-compliant

De Winter: “Als een Raad van Bestuur niet zoveel gevoel toont voor het onderwerp zeg ik wel eens: zijn jullie Barbie-compliant? Hoe hebben jullie geregeld wie welke informatie mag bekijken? Het dossier van soap-ster Barbie bleek ingekeken te zijn door veel medewerkers van het ziekenhuis waar ze opgenomen was. Vaak blijkt dan dat zoiets in heel veel organisaties kan gebeuren. Als er dan beweging ontstaat, ben ik blij.

Juist een accountant of een controller kan daar een rol in hebben. Hij mag overal bij komen en wordt vaak om zijn mening gevraagd. En als de beveiliging al niet op orde is, kun je dan verwachten dat de administratie wel kloppend is? De briljantste fraudes zijn die waarbij je uit veel grote transacties telkens een klein bedrag steelt. Onopvallend kun je zo tonnen achterover drukken.”

Risico’s inschatten

Heel ingewikkeld hoeft informatiebeveiliging en de analyse ervan niet te zijn, vindt De Winter. “Vaak gaat het om basale zaken, zoals het gebruik van standaard usernames en wachtwoorden, onvoldoende segmentatie in het netwerk, verouderde software. Het is heel gezond voor een organisatie dat een accountant dat vaststelt, en vragen stelt over de koers, de ambitie en de verhouding tot wetgeving die telkens aangescherpt wordt.

Tijdens de cursus zet ik de deelnemers in de rol van consultant. Ze moeten risico’s inschatten en hun best doen om informatie naar boven te krijgen. In de praktijk komen accountants en controllers ook onwilligheid tegen, omdat mensen er niet van houden om gecontroleerd te worden. Ik train ze onder andere in vasthoudendheid.”

Massaal misbruikt

“Ik ben tevreden als de deelnemers na afloop de juiste vragen kunnen stellen aan de organisaties waar ze voor werken. Zo helpen ze die organisaties verder”, schetst De Winter zijn doelstelling met de cursus.

Juist bij publieke organisaties verdient het onderwerp de volle aandacht, stelt hij. “Dit zijn de organisaties waarbij, als het verkeerd gaat, de gegevens van burgers op straat komen te liggen of massaal misbruikt worden. We hebben vijftien jaar achter de rug waarin we gegevensbescherming vooral onzin vonden. Mensen hadden een houding van: ik heb toch niks te verbergen. Dat tij is wel gekeerd na schandalen als die rond Cambridge Analytica, dat verkiezingsuitslagen probeerde te beïnvloeden. Informatie die in verkeerde handen komt, kan verkeerd gebruikt worden. Daarom is goed toezicht en goede governance zo belangrijk. Het is je laatste redmiddel.”

Brenno de Winter
ICT-expert. Hij is programmeur, onderzoeksjournalist en veel gevraagd expert en publicist. Zijn specialisatie ligt op het gebied van informatiebeveiliging, hacking, privacy en de ontwikkeling van de informatiemaatschappij.

Ga naar de cursus De Publieke Hack van Brenno de Winter