4
Wat zijn de grootste risico’s?
Digitalisering kent twee kanten van de medaille: de kansen én de risico’s. In dit hoofdstuk staan we stil bij de mogelijke bedreigingen voor de corporatiesector. Door de toenemende digitalisering neemt ook de afhankelijkheid van de digitale systemen toe. Wat betekent dit voor de continuïteit van de organisatie en het risicomanagement? Dat zijn voor toezichthouders relevante vragen.
Niets doen is geen optie
De corporatie opereert niet in een bubbel. De digitalisering gaat onverminderd door en partners van corporaties gaan mee in die ontwikkeling. Denk aan bouwbedrijven, overheden, zorgorganisaties, maar ook huurders. Een corporatie die in deze keten wil blijven samenwerken, moet op zijn minst over de eigen rol nadenken. Niemand stuurt nog een fax naar een bouwbedrijf om een opdracht te verstrekken of een bouwtekening te delen. Een toekomstscenario waarin bouwbedrijven rechtstreeks met de (toekomstige) huurder kunnen onderhandelen – zonder tussenkomst van de corporatie – is niet helemaal ondenkbaar. Niets doen is daarom geen optie.
Wendbare organisatie
Het grootste misverstand is dat corporaties denken dat de digitale strategie hetzelfde is als automatisering. De digitale transformatie heeft ingrijpende gevolgen voor de corporatie en de medewerkers. Dat vraagt om een wendbare organisatie. Het uitvoeren van bijv. data-analyse vraagt om specifieke bedrijfskennis en gaat verder dan de activiteiten van de IT-afdeling. De digitale transformatie raakt ook de bedrijfsstrategie en structuur, vraagt om nieuwe werkprocessen en een verandering in de cultuur en daarmee ook de werkwijze en de noodzakelijke expertise van de medewerkers (denk bijvoorbeeld aan data-analisten). Door de verregaande digitalisering kunnen ook functies in de dienstverlening komen te vervallen.
Afhankelijkheid van systemen: gevaar voor bedrijfscontinuïteit
Corporaties die meer inzetten op digitalisering, worden in de bedrijfsvoering steeds afhankelijker van digitale systemen. Als deze uitvallen of bijvoorbeeld door brand niet toegankelijk zijn, loopt de bedrijfscontinuïteit van de corporatie gevaar. Een noodscenario moet hiervoor klaarliggen (en jaarlijks worden uitgetest).
Cybersecurity
Daarnaast vraagt de cybersecurity problematiek alle aandacht: kwetsbare digitale systemen lopen het risico te worden gehackt. Door hiaten in de IT-beveiliging kunnen cybercriminelen toegang krijgen tot bestanden die informatie bevatten over bijvoorbeeld (toekomstige) huurders en die naar personen te herleiden is. Voorbeelden van buiten de sector spreken voor zich, zoals de virusaanval in de haven van Rotterdam in 2017 en de cyberaanval met ransomware op de Universiteit Maastricht eind 2019. Of de problemen met de kwetsbaarheden in Citrix software in 2019, die veel private en publieke organisaties gebruiken. De oorzaak kan liggen bij kwetsbare punten in de besturingssystemen of applicaties, of kan het gevolg zijn van een bezoek aan een website door een medewerker en die een bestand heeft geopend waarmee cybercriminelen malware hebben kunnen installeren. Cybercriminelen kunnen toegang krijgen tot afzonderlijke apparaten of tot alle systemen binnen de digitale infrastructuur. Steeds vaker hanteren organisaties “security-by-design” als uitgangspunt. Trainingen om medewerkers bewust te maken van risico’s bij cybersecurity is een eerste, goede stap. Een security audit (EDP) als onderdeel van het jaarverslag proces of een cybersecurityscan kan een goed startpunt voor een actieplan zijn.
Privacy en databescherming
Privacy is het recht van een persoon om de persoonlijke levenssfeer, of zogenaamde eigenruimte, te beschermen en af te schermen en op eigen goeddunken eigenruimte, of de informatie die daarmee te maken heeft, met anderen te delen. De grenzen en inhoud van wat als privé wordt beschouwd verschillen per cultuur en individu. In een informatiemaatschappij staat de privacy en in het bijzonder het delen van de privacygevoelige informatie onder druk. Wat het bijzonder lastig maakt is dat de individuen die informatietechnologie gebruiken, niet eens meer bewust zijn welke informatie over hem of haar verzameld en gedeeld wordt door diverse belanghebbenden.
De corporatie verzamelt veel data – van onder meer de (toekomstige) huurders – en moet de privacy waarborgen. Aandacht voor de juiste uitvoering van de AVG mag in het toezicht niet ontbreken. Medio 2018 heeft Aedes de routeplanner AVG gepubliceerd, een goed handvat om als RvC dit thema te bespreken. De cultuur in de organisatie moet erop gericht zijn om privacy de juiste aandacht te geven. Als medewerkers dat niet vanzelfsprekend doen, is er uiteraard nog werk aan de winkel.
Ethische vragen
Grote zorg is dat data – en de daaruit berekende voorspellingen - leidend worden in de besluitvorming. De inzet van data-analyse kan zeker leiden tot beter onderbouwde besluiten met computermodellen. Maar de menselijke duiding van de resultaten moeten het bestuur én de toezichthouder nooit loslaten. Computermodellen en data zijn niet waardevrij. Daarnaast moeten corporaties stilstaan bij de vraag welke informatie (data) ze wel of niet gebruiken: hoe ver wil je als corporatie hierin gaan? Is het bijvoorbeeld wenselijk dat de corporatie op basis van een voorspelling over betaalgedrag bij een huurder ingrijpt? Hoe waarborg je de privacy? Hiervoor kan een ‘ethisch kader data-analyse’ worden opgesteld.
Internetpionier en filosoof Marleen Stikker stelt dat er een fundamentele discussie over de toepassing van data moet worden gevoerd, ook door corporaties.
Huurders die afhaken
Het is van groot belang dat de corporatie écht contact heeft met de (toekomstige) huurders om wie het gaat. Niet alle huurders hebben een smartphone of kunnen de digitale ontwikkelingen bijbenen, omdat ze onvoldoende geschoold zijn en/of te weinig te besteden hebben of op leeftijd zijn. De corporatie moet hierbij oog hebben voor deze groep en ervoor zorgen dat deze groep ook bediend blijft worden.
De huurder communiceert ook (via sociale media)
De huurder heeft een eigen stem op de sociale media. Dat geldt ook voor alle belanghouders (en de medewerkers van de corporatie). De tijd dat de corporatie de regie kan voeren over alle relevante communicatie ligt al ver achter ons. Dat biedt echter ook kansen: op de sociale media/platforms te kunnen lezen wat er in de buitenwereld speelt. Tegelijkertijd kan iedereen overal zijn of haar mening over geven. Met een webcare-team kunnen corporaties berichten op de sociale media monitoren en waar nodig actie ondernemen.
Samenwerking in de keten
Ketenpartners verwachten door data te delen effectiever te kunnen samenwerken. Ook hier zijn risico’s aan verbonden. Het is belangrijk om identificatie, authenticatie en autorisatie van gebruikers goed op orde te hebben. Identificatie (wie ben je?) en authenticatie (ben je ook wie je zegt dat je bent?) zijn bijv. goed geregeld via DigiD. Autorisatie (wat mag je?) regelt tenslotte over welke data een gebruiker mag beschikken.
Verspreiding van de stukken voor de RvC
De verspreiding van de stukken voor de Raad van Commissarissen met vertrouwelijke informatie moet zorgvuldig gebeuren. Documenten worden steeds vaker digitaal uitgewisseld: hoe zorg je ervoor dat dit veilig gebeurt? Met encryptie van documenten, door de afzender en het apart verzenden van de code om het document te ontcijferen, kan een belangrijke stap worden gezet. Ook de inzet van een speciaal hiervoor ontwikkelde applicatie, zoals bijvoorbeeld IBABS, kan een oplossing bieden.
Vragen voor de toezichthouder:
- Hoe houdt de organisatie rekening met de groep huurders die niet mee kan of wil komen met de digitale corporatie?
- Corporaties die steeds meer inzetten op digitalisering en informatietechnologie, moeten waken voor de risico’s die daarmee gepaard gaan. Zij moeten voorkomen dat IT-systemen uitvallen of worden gehackt waardoor de corporatie haar operationele taken niet meer kan uitvoeren. Hierdoor kan de bedrijfscontinuïteit in gevaar komen. Welke plannen zijn hiervoor aanwezig? Wordt onze belangrijkste informatie regelmatig extern veiliggesteld?
- Is er voldoende aandacht voor cybersecurity en (data)privacy? Wordt de AVG nageleefd?
- Wat is het beeld van de externe accountant over de geautomatiseerde gegevensbewerking in de organisatie?
- Wordt in het risicomanagement voor de organisatie nadrukkelijk aandacht besteed aan de risico’s die voortkomen uit IT en digitalisering?