Privacy en security
Privacy
De bescherming van persoonsgegevens van klanten en medewerkers en andere betrokkenen heeft bij Alliander continu aandacht. Op het gebied van privacy streven we naar een steeds hoger volwassenheidsniveau. In 2024 hebben we ons nieuwe en geautomatiseerde Privacy Control Framework voor het optimaliseren van privacy- en beheersmaatregelen doorontwikkeld. Daarnaast besteden we aandacht aan Privacy by Design, waarbij we ervoor zorgen dat privacy vanaf het begin systematisch onderdeel is van een product of dienst in ontwikkeling. Onze ontwikkelteams zetten op dit vlak grote stappen. Een gerichte validatiecheck wordt uitgevoerd op alle (nieuwe) IT-applicaties (dataminimalisatie, autorisaties toegangsrechten en verwijdering van persoonsgegevens).
Datalekken
In 2024 hebben zich geen datalekken met betrekking tot klanten voorgedaan die zowel bij de AP als de betrokken klanten gemeld moesten worden. Wel hebben we in totaal 34 gemelde datalekken binnen Alliander onderzocht. In 4 gevallen ging het om een datalek waarvoor conform de AVG/UAVG de meldingsplicht aan de Autoriteit Persoonsgegevens geldt. Daarnaast waren er 4 incidenten waar de netbeheerders gezamenlijk de verantwoordelijkheid voor dragen doordat het gecentraliseerde verwerkingen betrof.
Security
Om het vertrouwen te behouden van klanten en aandeelhouders is het nodig dat we weerbaar blijven. Focus houden op onze strategische doelen is alleen mogelijk als we de impact van security-incidenten voorkomen of de impact minimaliseren. Dit bereiken we door te investeren in mensen, procedures en technologie. De afgelopen jaren zijn dreigingen voor organisaties in het algemeen en voor organisaties met vitale infrastructuur in aantal en snelheid toegenomen. Denk hierbij aan:
Geopolitieke ontwikkelingen en statelijke actoren.
Cybercrime, zoals gijzeling van systemen en data.
Kwetsbaarheden in ons ecosysteem in systemen, software en menselijk handelen.
Alliander werkt volgens een security-strategie om security structureel binnen Alliander te borgen, om de weerbaarheid structureel op voldoende niveau te houden en te voldoen aan relevante wet- en regelgeving.
Information Security Management System
We werken toe naar een Alliander-breed Information Security Management System om de security binnen Alliander consistent te managen in een dynamische wereld. In 2024 hebben we security controls aangescherpt conform de ISO27001 plan-do-check-act cyclus. De ISO27001-certificeringen voor Liander, Alliander Telecom en Qirion zijn hernieuwd.
Business Continuity Management
We faciliteren Business Continuity Management (BCM) om de impact van een crisis of calamiteit op bedrijfsprocessen zo klein mogelijk te laten zijn. Dit doen we door ons zo goed mogelijk voor te bereiden op een crisis en onze handelwijze tijdens en na de crisis. Met een plan van aanpak en beleid op het gebied van BCM zorgen we voor structurele borging. De doelstelling van BCM is om de nodige maatregelen te treffen op het gebied van zowel de operatie als informatie-technologie, om de continuïteit van de (meest kritische) bedrijfsprocessen te bewaken en de impact van verstoringen op de dienstverlening te minimaliseren. In het kader van de crisisorganisatie voeren we simulaties en testen uit. Oefeningen en testactiviteiten betreffen zowel verstoringen op het gebied van energie zoals gas en elektra, maar ook onze digitaliseringsvoorzieningen. Daarnaast zijn specifieke plannen beschikbaar om de eigen interne processen door te kunnen laten gaan in het geval van een calamiteit of grote verstoring.
Security voldoende volwassen
Alliander vindt het belangrijk om als vitaal infrabedrijf security-risico’s structureel het hoofd te kunnen bieden. Daarom werken we continu aan het verbeteren van onze security-weerbaarheid. Concreet betekent dit dat we werken conform ISO27001 en dat we het niveau waarop we dat doen, de securityvolwassenheid, meetbaar maken met de methodiek C2M2 (Cybersecurity Capability Maturity Methodology). De C2M2-methodiek is speciaal ontwikkeld voor energienetbeheerders en houdt rekening met zowel de IT- als de OT-omgeving van een organisatie.
Security by Design
In digitaliseringsinitiatieven, of we die nu zelf bouwen of aankopen, passen we waar mogelijk Security byDesign toe. Zo kunnen we security-wensen en -eisen efficiënt en effectief doorvoeren. Van te voren wordt omschreven hoe de software aan deze security-wensen en -eisen zal voldoen. We testen alle (zelfontwikkelde) software continu op risico's en kritische bevindingen en het oplossen daarvan is eveneens een continu proces.