Privacy en security
Privacy
De bescherming van persoonsgegevens van klanten en medewerkers en andere betrokkenen heeft bij Alliander continu aandacht. Op het gebied van privacy streven we naar een steeds hoger volwassenheidsniveau. In 2023 zijn we daarom gestart met het inrichten van een nieuw centraal en geautomatiseerd Privacy Control Framework voor het optimaliseren van privacy- en beheersmaatregelen. We verwachten dit systeem begin 2024 op te leveren.
Daarnaast besteden we aandacht aan Privacy by Design, waarbij we ervoor zorgen dat privacy vanaf het begin systematisch onderdeel is van een product of dienst in ontwikkeling. Vooral de ontwikkelteams van Digitalisering/Mission Control zetten op dit vlak flinke stappen. Een gerichte validatiecheck wordt uitgevoerd op alle (nieuwe) IT-applicaties (dataminimalisatie, autorisaties toegangsrechten en verwijdering van persoonsgegevens).
Datalekken
In 2023 hebben zich geen grote privacy-incidenten voorgedaan. Wel hebben we in totaal veertien geïdentificeerde datalekken onderzocht. In één geval ging het om een melding waarvoor conform de AVG/UAVG de meldingsplicht geldt. Daarnaast waren er twee incidenten waar de netbeheerders gezamenlijk de verantwoordelijkheid voor dragen doordat het gecentraliseerde verwerkingen betrof.
Security
Op het gebied van security willen we weerbaar blijven, zodat we focus kunnen houden op onze strategische doelstellingen, het vertrouwen behouden van klanten en aandeelhouders en voldoen aan relevante wet- en regelgeving. Door te investeren in mensen, procedures en technologie treffen we maatregelen om security-incidenten te voorkomen of de impact van incidenten te minimaliseren. De afgelopen jaren zijn dreigingen voor organisaties in het algemeen en voor organisaties met vitale infrastructuur in aantal en snelheid toegenomen. Denk hierbij aan:
Geopolitieke ontwikkelingen en statelijke actoren
Cybercrime, zoals gijzeling van systemen en data
Kwetsbaarheden in ons ecosysteem in systemen, software en menselijk handelen
Alliander hanteert een doordachte security-strategie om security structureel binnen Alliander te borgen en om de weerbaarheid structureel op voldoende niveau te houden.
ISMS
We werken toe naar een Alliander-breed Information Security Management System (ISMS) om de security binnen Alliander consistent te managen in een dynamische wereld. In 2023 hebben we securitybeleid uniform gedefinieerd conform ISO27001 en geïmplementeerd voor de gehele Alliander organisatie. De ISO27001-certificeringen voor Liander, Alliander Telecom en Utility Connect zijn hernieuwd. Qirion heeft het ISO 27001-certificaat behaald.
BCM
We faciliteren Business Continuity Management (BCM) om de impact van een crisis of calamiteit op bedrijfsprocessen zo klein mogelijk te laten zijn. Dit doen we door ons zo goed mogelijk voor te bereiden op een crisis en onze handelswijze tijdens en na de crisis. Met een plan van aanpak en beleid op het gebied van BCM willen we hierin structureel verbeteren. De doelstelling van BCM is om de nodige maatregelen te treffen op het gebied van zowel operationele als informatie-technologie, om de continuïteit van de (meest kritische) bedrijfsprocessen te bewaken en de impact van verstoringen op de dienstverlening te minimaliseren. Daarmee is BCM een belangrijke aanvulling op de bestaande crisisorganisatie en crisisaanpak.
Security voldoende volwassen
Alliander vindt het van belang dat we als vitaal infrabedrijf security-risico’s structureel het hoofd kunnen bieden. Daarom werken we continu aan het verbeteren van onze security-weerbaarheid. Concreet betekent dit dat we werken conform ISO27001 en dat we het niveau waarop we dat doen, de securityvolwassenheid, meetbaar maken met de methodiek C2M2 (Cybersecurity Capability Maturity Methodology). De C2M2-methodiek is speciaal ontwikkeld voor energienetbeheerders en houdt rekening met zowel de IT- als de OT-omgeving van een organisatie.
Security by Design
In digitaliseringsinitiatieven, of we die nu zelf bouwen of aankopen, passen we zo veel mogelijk Security by Design toe. Zo kunnen we security-wensen en -eisen zo efficiënt en effectief mogelijk doorvoeren. Security moet zijn opgenomen in de Definition of Done van alle IT-initiatieven en alle zelfontwikkelde software wordt getest op op risico’s of kritieke bevindingen zodat er geen software in gebruik wordt genomen zonder security-check.