6.5 Privacy & Security

Van Oers draagt een grote verantwoordelijkheid in het beschermen van de gegevens die aan ons zijn toevertrouwd. Onze inzet voor een veilige en integere omgang met informatie is onlosmakelijk verbonden met onze dienstverlening en de maatschappelijke rol die wij vervullen. Dit gaat niet alleen over het naleven van wet- en regelgeving en standaarden maar ook over het waarborgen van het vertrouwen van onze klanten, stakeholders en de bredere samenleving.

Door continue verbetering van onze beveiligingsmaatregelen en bewustwording binnen onze organisatie te creëren, minimaliseren wij risico’s en beschermen wij de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens.

Om invulling te geven aan een continue verbetering van onze informatiebeveiliging maakt Van Oers gebruik van het ISO 27001 control framework. Van Oers is ISO 27001-gecertificeerd sinds januari 2020. In 2025 zijn we succesvol gehercertifeerd waarbij het gehele Information Security Management Systeem (ISMS) is beoordeeld op opzet, bestaan en werking.

In 2025 hebben wij ervoor gekozen om ons ISMS conform de ISO 27001-normering onder te brengen in een geïntegreerde GRC-tooling. Met deze stap beoogt Van Oers een verdere professionalisering van de informatiebeveiligingsorganisatie. Door het centraliseren van beleid, risicoanalyses, beheersmaatregelen en opvolging realiseren wij een aantoonbare verbetering in kwaliteit, consistentie en transparantie. Hiermee zetten wij een volgende stap in de continue verbetering van ons ISMS.

In 2025 is de aanpak van training en bewustwording op het gebied van privacy- en informatiebeveiliging herzien en verder geprofessionaliseerd. In plaats van korte, periodieke awareness-video’s is gekozen voor een gestructureerde aanpak via een organisatiebreed Learning Management System (LMS). De nieuwe werkwijze richt zich op kwalitatief hoogwaardige en organisatie-specifieke content die beter aansluit op processen, risico’s en interne procedures. Eigen modules worden waar nodig aangevuld met specialistische externe content, waardoor maatwerk wordt gecombineerd met vakinhoudelijke diepgang. Alle medewerkers volgen jaarlijks gerichte trainingen op vaste momenten, onder andere rond privacy en informatiebeveiliging. Nieuwe medewerkers starten bij indiensttreding met een basisprogramma en stromen daarna in in de reguliere jaarplanning. De focus verschuift hiermee van frequente, kortdurende interventies naar minder frequente maar inhoudelijk sterkere en toetsbare trainingen, zodat medewerkers aantoonbaar beschikken over actuele en relevante kennis die aansluit op de dagelijkse praktijk en het risicoprofiel van de organisatie. Binnen Van Oers voeren wij periodiek phishingcampagnes uit als onderdeel van ons informatiebeveiligings- en awarenessprogramma. Met gecontroleerde simulaties vergroten we het bewustzijn en helpen we medewerkers verdachte signalen beter te herkennen en te melden. De campagnes zijn gericht op leren en verbeteren, niet op controleren of bestraffen; de resultaten worden gebruikt om trainingen gerichter en effectiever te maken. Op basis van de uitkomsten hebben wij in 2025 het onboarding programma aangescherpt, omdat nieuwe medewerkers relatief vaker vatbaar bleken voor phishing. Zij krijgen sindsdien extra aandacht voor het herkennen van phishing, zodat zij vanaf de start adequaat kunnen handelen bij digitale dreigingen. In 2025 zijn drie gerichte phishingcampagnes uitgevoerd onder gemiddeld 500 medewerkers per campagne, met een gemiddeld klikpercentage van 5,7%.