Hoe gaat Input for You om met vertrouwelijke gegevens?

We legden die vraag voor aan Pierre De Landsheere, externe Security Officer (Security Officer) van Input for You. Pierre begeleidt het bedrijf al meer dan tien jaar op vlak van informatiebeveiliging, privacy en certificering.

Input for You: “Pierre, om te beginnen, wat is jouw algemene mening over de manier waarop Input for You omgaat met vertrouwelijke gegevens?”

Pierre De Landsheere: “In grote lijnen zijn er twee aspecten die altijd hand in hand moeten gaan: beleid en praktijk.

Beleid is zeggen wat je gaat doen. De praktijk is doen wat je zegt dat je gaat doen. Je kunt geen serieuze informatiebeveiliging of vertrouwelijkheid bieden als een van deze twee ontbreekt of als ze niet op elkaar zijn afgestemd.

Bij Input for You organiseren we ons rond de ISO 27001 norm voor informatiebeveiliging. Dat betekent dat we een Information Security Management System (ISMS) hebben geïmplementeerd. Daarin worden alle belangrijke aspecten geborgd, zoals informatiebeveiliging, compliance, privacy, data security en risicobeheer.

Een keer per jaar komt een externe geaccrediteerde auditor kijken of ons beleid voldoet aan alle eisen van de ISO-norm. Dat is een onafhankelijke check op ons volledige beleidskader. En dan begint het belangrijkste deel: ervoor zorgen dat wat op papier staat ook elke dag in de praktijk wordt gebracht.”

Input for You: “Hoe vertaalt dat beleid zich concreet naar de dagelijkse werking en de manier waarop wij met de data van onze klanten omgaan?”

Pierre De Landsheere: “Daar komen meerdere lagen samen: organisatie, technologie en principes.

Een belangrijk principe is risicogebaseerd werken. We brengen de risico's in kaart en nemen maatregelen om die zo veel mogelijk te reduceren. Dat kan gaan over technische maatregelen, processen, maar ook over keuzes in infrastructuur.

Zo beperken we bewust het deel van onze operaties dat zichtbaar is op het publieke internet. Hoe kleiner het aanvalsoppervlak, hoe kleiner de kans dat iemand binnenraakt waar hij niet hoort te zijn.

Een ander principe is controle behouden. Input for You koopt eigen hardware, gebruikt eigen materieel en beheert zoveel mogelijk alles zelf. Opslag, verwerking en transmissie van klantgegevens doen we zo veel mogelijk in eigen beheer. Dat geeft ons maximale controle over wat er met die data gebeurt.

Tot slot zetten we sterk in op automatisatie en integratie van systemen. Hoe minder manuele tussenkomsten er nodig zijn, hoe kleiner de kans op menselijke fouten. Maar opnieuw vertrekt alles vanuit die risicobenadering en zit ingebed in het ISO 27001 managementsysteem, zodat we geen blinde vlekken hebben in onze werking.”

Input for You: “De regelgeving rond data en ICT wordt steeds strenger. Denk aan GDPR en recent DORA in de financiële sector. Hoe gaan we daarmee om?”

Pierre De Landsheere: “Binnen het ISO-kader is er een expliciete focus op wettelijke en contractuele verplichtingen. Dat betekent dat we niet alleen naar ons eigen huis kijken, maar ook naar de regelgeving die voor onze klanten geldt.

Neem bijvoorbeeld DORA (Digital Operational Resilience Act), een nieuw regelgevend kader voor de financiële sector, specifiek rond ICT en outsourcing. Input for You is voor veel spelers in die sector een uitbestedingspartner. Dat betekent dat we hen moeten helpen om aan hun verplichtingen te voldoen.

We bouwen daarom gerichte expertise op rond die regelgeving. We volgen wat onze klanten bezighoudt, welke vereisten hun toezichthouders opleggen en hoe wij daar proactief informatie en bewijs voor kunnen aanleveren.

Kort gezegd, we beperken ons niet tot onze eigen perimeter, we kijken ook mee over de schouder van onze klanten naar hun verplichtingen en hoe wij daarbij een betrouwbare schakel kunnen zijn.”

Input for You: “Onze klanten zijn vaak grote organisaties met veel betrokken stakeholders. Hoe zorgen we dat iedereen op zijn manier gerust is over vertrouwelijkheid en security?”

Pierre De Landsheere: “Dat klopt. Input for You is zelf relatief klein, maar onze klanten zijn vaak grote spelers. In een typische call zitten aan onze kant twee mensen en aan klantzijde acht à tien. Dat zijn dan profielen uit business, projectmanagement, Security Officer, informatiebeveiliging, compliance en purchasing, allemaal met hun eigen invalshoek.

Een belangrijk deel van onze job is dus stakeholdermanagement. Het is bijna een kunst om de juiste informatie op het juiste moment bij de juiste persoon te krijgen. Een Security Officer wil andere details zien dan een projectmanager of iemand van aankoop.

Daarom werken we met een combinatie van:

Standaarddocumentatie waarin we ons beleid en onze processen rond informatiebeveiliging en vertrouwelijkheid beschrijven.
Projectspecifieke antwoorden, afgestemd op het type data, de aard van het proces, de kritischheid en de risico's.

En als klanten nog meer zekerheid willen, dan voorzien we ook transparantie op locatie. Sommige klanten willen ons datacentrum zelf zien. Dan kleden we ons om, lopen we samen naar de serverruimte en tonen we letterlijk, hier staat jullie data, hier gebeurt de verwerking. Dat soort openheid geeft veel vertrouwen.”

Input for You: “Als een nieuwe klant, bijvoorbeeld een verzekeringsmaatschappij, met ons wil starten, hoe ziet de aanpak er dan uit op vlak van vertrouwelijke data en security?”

Pierre De Landsheere: “Eigenlijk start het vaak al voor de echte projectopstart. In de pre-salesfase krijgen we regelmatig uitgebreide security assessments, zeker vanuit de financiële wereld. Dat zijn vaak lijvige spreadsheets met honderden vragen over informatiebeveiliging, data privacy, infrastructuur, processen, noem maar op.

Daarnaast zijn er NDA's (geheimhoudingsovereenkomsten) en bijkomende vragenrondes vooraleer er ook maar sprake is van een eerste pilot. Dat is normaal. Klanten willen precies weten waar hun vertrouwelijke data terechtkomen.

Eens het project effectief opgestart wordt, kijken we naar:

Welke documenten en gegevens we zullen verwerken.
Hoe kritisch het proces is, bijvoorbeeld een archiefproject van zes maanden of processen met een SLA van vier uur.
Of de verwerking volledig automatisch verloopt of dat er manuele stappen nodig zijn.

Op basis daarvan dimensioneren we de infrastructuur, bepalen we maatregelen en zorgen we dat de aanpak klopt met het risicoprofiel van het project. Zo vermijden we onaangename verrassingen op vlak van capaciteit, veiligheid of betrouwbaarheid.”

Input for You: “We werken soms met externe technologie of partners, bijvoorbeeld voor specifieke automatisering of tools. Hoe bewaken we dan nog de vertrouwelijkheid van data?”

Pierre De Landsheere: “Dat is een heel belangrijk punt, want wij blijven verantwoordelijk voor de gegevens die we verwerken, ook als we met derde partijen werken.

We proberen twee dingen te doen:

Zo veel mogelijk zelf doen. Daarom hebben we een eigen datacenter, eigen servers en eigen infrastructuur.
Als we met externe partijen werken, kiezen we bij voorkeur partijen waarmee we rechtstreeks contact hebben, niet anonieme public cloud waar je in de massa verdwijnt.

We willen vermijden dat we data “ergens in de cloud” droppen zonder duidelijk zicht op waar die fysiek terechtkomt en wat er precies mee gebeurt.

Bij derde partijen werken we met duidelijke afspraken. Een voorbeeld, als we een externe dienst gebruiken, vragen we dat er geen data permanent wordt opgeslagen bij die partij. De data wordt verwerkt, komt terug naar ons en blijft dan bij ons. Zo blijft de impact van een mogelijk incident bij die derde partij beperkt.

Dit alles valt onder third-party risk management, iets waar ook toezichthouders sterk op inzetten. We bekijken dat in twee richtingen, wij richting onze leveranciers én wij als leverancier richting onze klanten.”

Input for You: “Cybercriminaliteit wordt steeds slimmer. Aanvallers zoeken constant nieuwe manieren om aan data te geraken. Waar leggen wij de prioriteiten in die strijd?”

Pierre De Landsheere: “Het grootste risico is vaak niet de hypergesofisticeerde hack, maar de menselijke factor. Iemand die op een verkeerde link klikt, een verdachte mail niet herkent of telefonisch wordt benaderd met een geloofwaardig verhaal.

Daarom zetten we sterk in op:

Sensibilisering en awareness bij onze medewerkers, wat mag je nooit doen, hoe herken je verdachte signalen, wat moet je melden.
Compartimentering van systemen, zodat een incident beperkt blijft en zich niet als een olievlek over het hele netwerk kan verspreiden.
Monitoringtools die voortdurend kijken naar wat er op onze servers, ons netwerk en onze systemen gebeurt en verdachte activiteiten detecteren.

Daarnaast passen we het principe van multiple layers of defense toe. Je mag nooit met één stap toegang krijgen tot onze systemen. De toegang verloopt bijvoorbeeld via:

Een VPN met two-factor authentication.
Een aparte login op interne systemen, met eigen rechten en controle.

Als er dan ergens een laag doorbroken wordt, ben je nog altijd niet “in het hart” van het systeem. Het risico is nooit nul, maar dit soort gelaagde beveiliging verkleint de kans op ernstige incidenten sterk.”

Input for You: “Hoe blijven we zelf op de hoogte van nieuwe dreigingen en evoluties in cybercriminaliteit?”

Pierre De Landsheere: “Niet alles wat je in de krant leest, is relevant voor een organisatie zoals Input for You. Het risico van een nucleair onderzoekscentrum is nu eenmaal anders dan dat van een documentverwerker.

Wij werken met een combinatie van:

Securityproducten met ingebouwde intelligence, zoals antivirus, threat detection en netwerkbeveiliging. Die worden continu geüpdatet met nieuwe dreigingsinformatie.
Monitoringoplossingen op verschillende niveaus van de infrastructuur, die verdachte patronen detecteren zonder dat wij alles zelf moeten analyseren.

Je hoeft geen virusexpert te zijn om een goede antivirus te gebruiken. Hetzelfde geldt hier, we kopen de juiste expertise in via tooling en combineren dat met onze eigen risico-analyse en inrichting van de infrastructuur.”

Input for You: “Als een klant eenmaal live staat, hoe zorgen we ervoor dat de beveiliging en bescherming van vertrouwelijke data ook op lange termijn op niveau blijven?”

Pierre De Landsheere: “Dat is een combinatie van periodieke checks en continue processen.

Jaarlijks voeren we onder meer:

Penetratietesten, om te kijken of er nieuwe kwetsbaarheden zijn.
Netwerkscans, om de infrastructuur systematisch te controleren.
De externe ISO 27001 audit, die nagaat of ons volledige managementsysteem nog voldoet.

Daarnaast draaien er continu interne processen zoals risicobeheer, incidentmanagement, monitoring, backup en disaster recovery.

Belangrijk is ook dat we onze IT-infrastructuur maximaal uniformiseren. Eén aanpak voor backups, één aanpak voor disaster recovery, één globale monitoring. Zo vermijden we een kluwen van uitzonderingen en zorgen we dat alles onder dezelfde beschermingslaag valt.

Op maatwerk onderscheiden we ons in de dienstverlening. In de kern van de IT en infrastructuur streven we naar standaardisatie, precies omdat dat veiliger en beter beheersbaar is.”

Input for You: “Tot slot, hoe zie jij de toekomst van databeveiliging en vertrouwelijkheid in onze context?”

Pierre De Landsheere: “De toekomst zal zeker meer integraties en automatisering met derde partijen brengen. Dat is bijna onvermijdelijk. De grote uitdaging wordt dan, hoe behoud je de controle over wat er met data gebeurt, contractueel, juridisch en operationeel.

AI en nieuwe tools maken veel mogelijk, maar vaak is het model, je gooit data over de haag en krijgt iets terug, zonder dat je precies weet wat er onderweg gebeurt. Dat is voor vertrouwelijke data een fundamenteel probleem.

Bij Input for You proberen we die controle net wél te behouden. Ofwel doen we dingen zelf, ofwel zorgen we dat we voldoende inspraak en zicht op de verwerking hebben, volledig in lijn met GDPR, waar wordt gesproken over het doel en de middelen van gegevensverwerking.

Eén ding is zeker, er zal verder geïntegreerd en geautomatiseerd worden. Onze rol is ervoor te zorgen dat onze klanten in die evolutie hun vertrouwelijke data met een gerust hart kunnen toevertrouwen, omdat wij de controle, het overzicht en de beveiliging bewaken als onderdeel van onze service.”

Over Pierre De Landsheere

Pierre De Landsheere is al meer dan tien jaar de externe Security Officer van Input for You. Hij begeleidt meerdere bedrijven rond informatiebeveiliging, ISO 27001-certificering en GDPR-compliance. Vanuit die rol helpt hij Input for You om telkens mee te groeien met nieuwe regelgeving, technologische evoluties en verwachtingen van klanten, zonder de vertrouwelijkheid en veiligheid van data uit het oog te verliezen.