Hulp nodig met het treffen van effectieve maatregelen?
Het treffen van effectieve maatregelen is een permanent aandachtspunt van de bedrijfsleiding. Vanuit een perspectief van innovatie wenst een bedrijf de concurrentie voor te zijn en vanuit een oogpunt van kostenbeheersing wenst het bedrijf overzicht en inzicht te hebben op de general controls op het IT-cloudplatform en de application controls van de toepassingen die bedrijfsmatig gebruik worden.
De wetgever moedigt de bedrijfsleiding aan haar bedrijfsactiviteiten effectief te organiseren met bedrijfsprocessen waarin beheersmaatregelen “by design” zijn opgenomen met als doel (persoons)gegevens effectief te beschermen. Beschermen van gegevens wil zeggen dat de gegevens betrouwbaar zijn, vertrouwelijk en toegankelijk. Bovendien kan de bedrijfsleiding verantwoordelijkheid nemen dat de gegevens effectief beschermd zijn.
Wat is onze aanpak om effectieve maatregelen te organiseren?
De aard en omvang van de bedrijfsactiviteiten en de bestaande organisatie van de activiteiten met behulp van bedrijfsprocessen en ondersteunende IT vormen de context voor het inventariseren en beoordelen van de effectiviteit van de beheersmaatregelen. Na consultatie van de bevindingen met medewerkers en leveranciers van ondersteunende IT-systemen adviseren wij op welke wijze de beheersmaatregelen gericht op het beschermen van gegevens effectiever georganiseerd kunnen worden. Afhankelijk van de bedrijfssituatie kunnen wij de volgende stappen onderkennen:
Stap 1: De context verklaart de bestaande bedrijfssituatie, relevante wetgeving en geeft richting aan wat moet en wat kan. Overzicht en inzicht in de bedrijfsactiviteiten vormen de verwachtingen voor bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen. Gebruikmakend van de bedrijfscompliance functie ontstaat een beeld van de effectiviteit van de getroffen beheers- en beveiligingsmaatregelen.
Stap 2: Het afdelingsmanagement en medewerkers zijn waardevolle informatiebronnen voor het inschatten van de effectiviteit van de bedrijfsprocessen en hierin opgenomen beheersmaatregelen. Door het serieus horen van deze medewerkers hopen wij niet alleen op een informatiebron maar bereiden wij de medewerkers voor op eventuele veranderingen van het organiseren van de bedrijfsactiviteiten. Voorwaarde voor het ontsluiten van deze bron is het op het gewenste niveau brengen van de kennis bij de medewerkers. Wij gebruiken hiervoor gerichte bewustwordings- en trainingsprogramma’s.
Stap 3: De technische informatie infrastructuur is het bedrijfsplatform waarop de bedrijfsleiding de bedrijfsactiviteiten organiseert. Steeds meer organisaties maken gebruik van populaire platformen zoals MS Azure, Google Cloud en Amazon Web Services voor het opbouwen en beheren van hun bedrijfsplatformen. De – in principe – datagedreven platformen bieden een scala aan beheersmaatregelen die eenvoudig, kostenefficiënt en effectief ingesteld kunnen worden.
Stap 4: Op het bedrijfsplatform organiseert het bedrijf de bedrijfsactiviteiten met behulp van bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen. Het overzicht van en inzicht in de bedrijfsprocessen waarin de rollen met taken, bevoegdheden en verantwoordelijkheden zijn opgenomen, de procesmodellen, geven een integraal beeld van toegangsregels tot gegevens. Uit het integraal beeld destilleren wij de beheersmaatregelen die wij mogen verwachten in de toepassingen.
Stap 5: IT-toepassingen ondersteunen de procesmodellen. Soms betreffen het generieke functies zoals administratie of personeelszaken die door generieke toepassingen ondersteund worden. Er bestaan ook primaire bedrijfsfuncties die op basis van functionele en non-functionele specificaties zelf zijn ontwikkeld of door IT-leveranciers zijn ontwikkeld.
Stap 6: Met name de non-functionele specificaties geven aan welke afspraken zijn gemaakt over de beveiligings- en beheersmaatregelen. De project documentatie en compliance bevindingen geven aan in hoeverre de beheersmaatregelen effectief zijn.
Stap 7: In de voorgaande stappen hebben wij al gesproken over de bevindingen van de bedrijfscompliance functie. Samenwerken met de bedrijfscompliance functie geeft een goed beeld van het passend zijn en de effectiviteit van de getroffen beheersmaatregelen.
Stap 8: De rapportage bestaat veelal uit een verslag van bevindingen, een advies waarin scenario’s worden uitgewerkt, een plan van aanpak op hoofdlijnen en een businesscase. De rapportage is in samenwerking met het betreffende afdelingsmanagement en medewerkers opgesteld. De rapportage krijgt hiermee realiteitsgehalte en voor het realiseren van de adviezen is veelal voldoende draagvlak.
Elke bedrijfsorganisatie is anders en vraagt om maatwerk.
Soms zijn er aanleidingen dat de bedrijfsleiding behoefte heeft aan een bevestiging dat de beheers- en beveiligingsmaatregelen toereikend zijn. Als de bevestiging uitblijft dan wenst de bedrijfsleiding inzicht te hebben in te treffen beheers- en beveiligingsmaatregelen en hoe deze maatregelen verantwoord te nemen. Een goed gesprek kan toereikend zijn ongewisheid weg te nemen.
Leg uw vraag voor aan onze experts
Vragen over het organiseren van uw effectieve maatregelen op het gebied van het beschermen van persoonsgegevens? Neem gerust contact met ons op, wij staan u graag te woord.