Even kennismaken, wie is Robert?
Eind 2016 ben ik bij METT gestart als back-end developer. Dit ben ik momenteel nog steeds, maar ook ben ik Security Officer.
Wat houdt security officer precies in?
Dit betekent onder andere dat ik toezicht houd op de veiligheid van onze soft- en hardware. Maar ook de veiligheid op onze kantoorlocaties valt hieronder.
Ik ben betrokken bij diverse processen. Bijvoorbeeld bij het uitvoeren van securityscans en PEN-testen. Maar ook het monitoren van de firewall- of server configuratie. Tot slot ben ik ook betrokken bij het ontwikkelen van nieuwe beveiligingsopties en -standaarden.
Veiligheid en privacy is een erg belangrijk onderwerp binnen onze klantenkring. Waar wachtwoorden vroeger als plain-tekst opgeslagen werden, is tegenwoordig Two-Factor-Authentication (2FA) de norm. Het is voor ons heel erg belangrijk dat de gegevens van onze klanten en gebruikers veilig opgeslagen zijn. Daarom besteden we een substantieel onderdeel van onze begroting aan veiligheid en privacy.
Als jij vanuit jouw rol terugkijkt naar het eerste jaar AVG. Voor veel organisaties een spannend jaar met veel nieuwe uitdagingen. Wat valt jou dan vooral op?
Wat me vooral opviel was de angst en druk die er vooraf heerste. Voor veel mensen was de deadline erg snel en bleef veel onduidelijk. Wij zijn, ruim van te voren, aan het werk gegaan om te voldoen aan de AVG. En hebben hier ondersteuning van juristen van Dirkzwager bij gezocht. We hebben onze klanten meegenomen in de veranderingen via nieuwsbrieven, kennissessies en een hele duidelijke uitleg op onze Mett Academy In de praktijk bleek dat dit voor heel veel begrip gezorgd heeft, door zo transparant te zijn en de klanten ook te begeleiden. Hierdoor hebben we na de ‘deadline’ verrassend weinig vragen gehad. Naast onze eigen inspanning, hebben wijzelf redelijk weinig gemerkt van de invoering van de AVG. Bepaalde processen zijn gewijzigd, binnen de software zijn de nodige wijzigingen doorgevoerd en vervolgens went het heel erg snel en is het voor iedereen weer “business as usual”. We hebben de AVG nu standaard opgenomen in onze dienstverlening. Wij helpen onze klanten om te voldoen aan de wetgeving.
“
We hebben de AVG nu standaard opgenomen in onze dienstverlening. Wij helpen onze klanten om te voldoen aan de wetgeving. Daarmee halen we veel gedoe weg bij onze opdrachtgever.
”
Hoe gaan jullie bij Mett om met de gebruiksvriendelijkheid met veiligheid en gegevensbescherming?
Gebruiksvriendelijkheid versus veiligheid. Dat is in principe altijd een strijd. Neem bijvoorbeeld de volgende situatie; een gebruiker wil gemakkelijk inloggen, dus gebruikt als wachtwoord; Welkom01. Super gemakkelijk te onthouden. Maar dit wachtwoord is binnen enkele minuten (misschien zelfs seconden) te kraken. Voor de veiligheid wil je een ingewikkeld wachtwoord, van misschien wel 20 tekens of meer, want voor wachtwoorden geldt; hoe langer hoe beter, en 2FA. Maar dit is niet te onthouden, plus voor 2FA heb je een aparte app nodig om je inlogactie te bevestigen. Wij wijzen onze klanten er wel op om de laatste optie te gebruiken. Hierbij adviseren we ook om een Password manager, eventueel met browser plug-in, te gebruiken. Want dan hoef je maar één wachtwoord te onthouden en lever je niet in op gebruiksvriendelijk- of veiligheid.
Lees meer over de Mett Two-Factor-Authentication (2FA).
Wat voor maatregelen hebben jullie getroffen in het team zelf?
Allereerst werken we continue aan bewustzijn rondom veiligheid. Dat dit ook met humor kan, blijkt uit het feit dat niemand vergeet om zijn of haar scherm te vergrendelen. Want als je dat niet doet, is de kans erg groot dan een collega een unicorn op je bureaublad zet. Verder is iedereen zich bewust van de AVG. We wijzigen geen gegevens van gebruikers op verzoek van klanten. Een gebruiker bepaalt in het Mett platform namelijk zelf welke gegevens hij of zij deelt met andere gebruikers of de rest van het internet en niet de beheerder van een platform of wij.
Welke stappen zou Mett nog verder kunnen verbeteren en wat is de stip op de horizon?
De afgelopen jaren hebben wij flink geïnvesteerd in onze organisatie, software en servers. De volgende stap waar we as-we-speak mee bezig zijn, is de ISO certificering waarmee we eenvoudig kunnen bewijzen dat we onze processen en veiligheid op orde hebben. Naast de standaard ISO 27001 certificering (inclusief BIO, Baseline informatisering Overheid) gaan we ook de wijze waarop we software maken certificeren met de ISO 12207. We verwachten de certificaten medio 2020 te bemachtigen.
Waar ben je op dit moment het meest trots op bij Mett?
Ik vind het mooi om te zien dat we met ons team zo’n prachtig en uitgebreid product weten neer te zetten en te onderhouden. En de variatie in ons klantenbestand is erg leuk. Die diversiteit laat maar weer zien hoe flexibel het METT platform eigenlijk is.