Digitale veiligheid binnen TBI

Privacy & Security binnen TBI: Samen werken aan digitale veiligheid

Digitale veiligheid en privacy zijn binnen TBI geen abstracte begrippen, maar dagelijkse realiteit. In de nieuwste aflevering van de TBI Podcast delen Alev Yükzel (Privacy Officer en bedrijfsjurist) en Ton Sundermeijer (Information Security Officer) hun visie op deze thema’s. Hun verhaal laat zien dat privacy en security niet alleen over techniek en regels gaan, maar vooral over mensen, cultuur en samenwerking.

Twee kanten van dezelfde medaille

Privacy en security worden vaak in één adem genoemd, maar ze hebben elk hun eigen betekenis. “Privacy heeft te maken met persoonsgegevens en met het recht van mensen om controle en grip te hebben over hun eigen data,” legt Alev uit. Ze benadrukt daarbij dat privacy en security onlosmakelijk met elkaar verbonden zijn. “Security, ook wel informatiebeveiliging genoemd, richt zich meer op het beschermen van alle data en systemen. Zonder goede security heb je geen privacy. En omgekeerd bepaalt privacy vaak wélke data beschermd moet worden.” Ton vult aan: “Privacy is eigenlijk een onderdeel van security. Het draait erom dat we privacygevoelige informatie extra goed beschermen, maar uiteindelijk gaat het om het veilig houden van álle data.”

Waarom is dit zo belangrijk voor TBI?

TBI beheert met ruim 6.600 collega’s en talloze klanten en leveranciers een enorme hoeveelheid vertrouwelijke gegevens. Het beschermen van deze data is essentieel om het vertrouwen van medewerkers, partners en klanten te behouden. “Ook ik hecht veel waarde aan mijn eigen privacy, en ik denk dat iedereen binnen TBI dat doet,” zegt Alev. “Het is dus belangrijk dat we daar als werkgever goed voor zorgen.” Ton knikt instemmend. “Het is vooral belangrijk om mensen te behoeden voor onbedoelde misstappen,” voegt hij toe. “We doen al veel, maar we vinden het ook gewoon interessant om te zien wat er in de wereld gebeurt en hoe we ons daartegen kunnen wapenen.”

Reputatieschade en hoge boetes liggen immers op de loer bij incidenten zoals datalekken of phishing-aanvallen. Daarom investeert TBI continu in bewustwording, training en technische maatregelen.

Praktijkvoorbeelden: van datalek tot phishing

De dagelijkse praktijk laat zien dat incidenten snel kunnen ontstaan. Zo kan een per ongeluk verkeerd geadresseerde e-mail al leiden tot een datalek. “Zo’n fout kan iedereen een keer maken, maar dat heeft vaak tot gevolg dat vertrouwelijke gegevens en documenten bij de verkeerde ontvanger belanden,” vertelt Alev. “Dan heb je meteen een potentieel datalek.” Ook phishing vormt een reëel gevaar, legt Ton uit. “We hebben een speciale rapportageknop in e-mail, waarmee je kunt aangeven: ‘Ik vertrouw deze mail niet’. Die melding komt dan bij mij en mijn collega terecht, en wij controleren of het bericht daadwerkelijk schadelijk is. Als dat zo blijkt te zijn, wordt het automatisch bij iedereen uit de mailbox verwijderd.”

Iedereen heeft een rol

Privacy en security zijn niet alleen het domein van juristen of IT-specialisten; iedere medewerker speelt een rol in het beschermen van data. “Al heb je alles technisch ingeregeld, de mens is je sterkste én tegelijkertijd ook je zwakste schakel,” zegt Alev. Daarom zet TBI in op bewustwording, training en open communicatie.

Het WAVE-platform, met micro-learnings en trainingen, helpt medewerkers phishing te herkennen en veilig te werken. “We proberen elk kwartaal minimaal één training live te zetten, zodat bewustwording geen eenmalige exercitie blijft,” voegt ze toe.

AI en de toekomst van privacy

Kunstmatige intelligentie (AI) biedt enorme kansen, maar brengt ook nieuwe risico’s met zich mee. Zo kan AI bijvoorbeeld worden ingezet om overtuigende phishingmails te schrijven of om deepfakes te maken. Tegelijkertijd heeft AI grote hoeveelheden data nodig om te leren. “AI biedt fantastische mogelijkheden, maar ga er zorgvuldig mee om. Voer een AI-systeem geen bedrijfsvertrouwelijke gegevens of persoonsgegevens, want je weet niet waar die informatie terechtkomt en ten behoeve waarvan het wordt ingezet,” waarschuwt Alev. Ton erkent deze uitdaging. “Mijn eerste reactie op de introductie van AI, was: daar moeten we beleid op maken. Maar je wilt ook de pluspunten van AI benutten. 

Wet- en regelgeving: een dynamisch speelveld

Sinds de invoering van de AVG is privacy een topprioriteit geworden. Nieuwe Europese wetgeving, zoals de AI Act en de Data Act, vereist dat beleid en processen voortdurend worden aangepast. “Het is soms lastig om alles bij te houden, vooral gezien het tempo van technologische ontwikkelingen. Maar het houdt ons volop bezig,” zegt Alev.

TBI volgt deze ontwikkelingen dan ook op de voet en neemt waar nodig extra maatregelen om te blijven voldoen aan de nieuwste wet- en regelgeving in dit digitale speelveld.

Preventie en ethiek

Preventie staat centraal. Dat betekent bijvoorbeeld dat TBI inzet op data-minimalisatie, versleuteling en het delen van informatie alleen wanneer dat noodzakelijk is – stuk voor stuk vaste onderdelen van het beleid. Ook ethiek speelt een grote rol. “Ik stel mezelf altijd de vraag: wat is juist en netjes om te doen? En hoe verhoudt dit zich tot ons morele kompas?” vertelt Alev. Ton onderschrijft die insteek. “Ik vraag me net zo goed af wat er in de wereld gebeurt en hoe we ons daartegen kunnen wapenen,” zegt hij. Met deze insteek stelt TBI zich continu de vraag hoe het morele kompas zich verhoudt tot de dagelijkse praktijk en legt dezelfde hoge standaarden op aan externe partners.

Samen leren en verbeteren

Digitale veiligheid is een marathon, geen sprint. Door continu te leren, kritisch te blijven en open te communiceren over incidenten en verbeterpunten, werkt TBI onafgebroken aan een veilige digitale omgeving voor iedereen. Samen bouwen we elke dag opnieuw aan vertrouwen.