Organisaties zijn de laatste jaren en masse bezig geweest met het aanpakken van privacy en informatiebeveiliging. Maar waar het verbeteren van deze thema’s tijdens een project vaak wel lukt, is het borgen van de aanpassingen in de organisatie lastiger. Hoe zorg je ervoor dat ook na het traject privacy en informatiebeveiliging de aandacht krijgen die ze verdienen? Om organisaties daarbij te helpen kwam Audittrail met het Compliance Management Framework en wij spraken daarover met Business Developer Ralph Drijver.
Het antwoord op de vraag ‘hoe je moet omgaan met thema’s als privacy en informatiebeveiliging’ is een lastige voor organisaties, ziet Ralph in de praktijk: “We horen vaak dat er van alles geprobeerd is maar dat thema’s niet lijken te landen bij medewerkers. En dat is wel te verklaren. Organisaties hebben privacy en informatiebeveiliging opgepakt als project met een beperkte groep mensen. Er is veel tijd en moeite gedaan om de basis op orde te krijgen, en daarna is overgegaan tot de orde van de dag. Een projectmatige aanpak leidt echter tot beperkte zichtbaarheid en betrokkenheid, en draagt niet bij aan een organisatie die volwassener of professioneler te werk gaat. De grote uitdaging is dan ook; hoe kun je de transformatie maken van projectmatig naar programmatisch werken en hiermee het eigenaarschap en verantwoordelijkheid van de thema’s beleggen bij die mensen die deze ook horen te dragen.”
Grote administratie
Een bijkomstigheid bij de wens om te voldoen aan privacywetten en informatiebeveiligingskaders is een grotere administratie. Ralph: “In bijvoorbeeld een verwerkingsregister ben je verplicht vast te leggen wat je doet met de data binnen jouw processen, wie iets mag doen met welke gegevens, welke applicatie toegang heeft tot welke data, etc. Feitelijk ieder onderdeel in de organisatie wordt geraakt en heeft verantwoordelijkheden. Hoe borg je dit in mensen, rollen, processen of systemen zonder de controle te verliezen? In de praktijk betekent dit dat het bijhouden en actueel houden van informatie tijd kost op verschillende niveaus en binnen verschillende bedrijfsonderdelen, het voorbereiden van een audit heel veel tijd kost wanneer de basisinformatie niet in orde is en de audit zelf ook veel tijd in beslag neemt omdat er teveel onduidelijkheden of omdat informatie niet direct voorhanden is. Dat zijn uiteindelijk allemaal verborgen kosten.”
Koers en ambitie
Bij het nemen van de volgende stap rond het onder controle krijgen van compliance én dit naar een volgend niveau te tillen, is allereerst een goede koers en ambitie essentieel. Ralph: “Het begint allemaal bij het management. Zodra vanaf bovenaf een koers wordt bepaald én een ambitie wordt geformuleerd voor de komende drie tot vijf jaar, kun je compliance management verder inrichten en daar de juiste tools voor kiezen.”
Handvatten aanreiken
“Daarnaast is het belangrijk dat organisaties de handvatten aangereikt krijgen om met de geleerde lessen uit een project aan de slag te gaan. Nu wordt vaak nog bij het einde van een project een USB-stick, OneDrive-folder of ordners met papier achtergelaten waarmee de klant verder kan gaan. Alleen gebeurt dit vaak niet. Dat kun je ook wel kapitaalvernietiging noemen. Consultancybedrijven zullen zich daarom moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij klanten.”
Compliance Management Framework
Om organisaties wel een handvat te geven, levert Audittrail het Compliance Management Framework (CMF). “Dit is een best practice instrument om alle losse en relevante informatie omtrent informatiebeveiliging en privacy op een pragmatische en gestructureerde wijze vast te leggen in een database. Zo worden resultaten van het ‘normale’ inhoudelijke advieswerk geborgd in software voor de organisatie. Daardoor wordt onder andere consistentie afgedwongen en eenmalig gebruikte informatie vastgelegd waardoor het binnen de gehele GRC-organisatie te gebruiken is. De eerder beschreven onduidelijkheden en verlies van tijd worden hiermee voorkomen en de organisatie verlaagt de druk op de vele control- en auditmomenten.”
Visie en besluit bij elkaar brengen
Omdat binnen het CMF alle informatieonderdelen met elkaar worden verbonden en geanalyseerd, hebben organisaties meer transparantie, inzicht en kansen voor impact en verandermanagement. “Zo kunnen bijvoorbeeld de juiste keuzes op het goede moment genomen worden en worden besluiten beter beargumenteerd. Op die manier is het CMF een instrument dat organisaties in staat stelt visie en besluit beter bij elkaar te brengen. Daarbij is informatie binnen het systeem real-time en direct beschikbaar en te bestuderen vanuit ieder gewenst perspectief of vanuit iedere rol met zijn of haar belangen. Zo kan de organisatie zich richten op continue verbetering.”
Snel inzicht bieden
Volgens Ralph kunnen organisaties met het CMF hun PDCA-cyclus ondersteunen. “Neem bijvoorbeeld de registratie en vastlegging van incidenten. Hiervoor heb je beleid nodig (P), de incidenten vinden plaats, worden gemeld, vastgelegd en er kan op geanticipeerd worden door het verantwoordelijke team (D). De uitkomsten bepalen of er aanpassingen gedaan dienen te worden binnen applicaties, autorisaties, verwerkingsregister of een ander onderdeel (C), en daar kan vervolgens naar gehandeld worden (A). Hiervoor is impactmanagement en informatieanalyse nodig, anders kun je niet anticiperen. En dat is precies de kern van het CMF, dat snel inzicht biedt waardoor duidelijke keuzes gemaakt kunnen worden.”
Compliance écht beleggen
Het CMF helpt middels de toename aan transparantie eigenaarschap in de lijnorganisatie te beleggen, gaat Ralph verder. “Proceseigenaren en uitvoerende onderdelen van een organisatie willen bezig zijn met klanten. Logisch, want klanten zijn leuk en daarom heeft men de rol gekozen en het bedrijf om te mogen werken. Alles wat erbij komt – zoals privacy en informatiebeveiliging – is afleiding. Dat leidt tot weerstand bij medewerkers. Wanneer eenvoudige informatie duidelijk en makkelijk vindbaar is voor deze personen, zie je het begrip en transparantie toenemen. Mensen zien het dan niet langer als het ‘lastige’ extraatje van die compliance-mensen, maar als iets dat groter en belangrijker is. En dat helpt pas echt om compliance in de organisatie te beleggen.”
Blinde vlekken
“De functionaliteiten van het CMF zijn ongelimiteerd als het gaat om rapporten,” sluit Ralph af. “De standaarden zijn ruim gevuld met veel soorten en typen rapportages, templates die minimaal weergeven wát je moet hebben vastgelegd vanuit de wetgeving of norm waar je als organisatie moet of wilt voldoen. De rapportages worden verder gevisualiseerd middels Power-BI. Als iets niet is ingevuld, dan is de informatie niet beschikbaar en moet het worden behandeld. Zo zie je direct wat er nog moet gebeuren en welke informatie mist. Het systeem maakt ‘blinde vlekken’ meedogenloos duidelijk en visueel. Als je compliant wilt zijn is het dus noodzakelijk om deze vlekken aan te vullen of op te nemen in het risicomanagementplan als geaccepteerd risico.”
Audittrail is een audit-en adviesorganisatie op het gebied van security, privacy, GRC en kwaliteit. Met zijn team van bevlogen vakspecialisten voeren zij adviesopdrachten, audits uit bij woningcorporaties, zorginstellingen, gemeenten en overheden. Ook verzorgt Audittrail al jaren diverse privacy en securitytrainingen op maat. Wil je contact met Audittrail? Neem dan contact op via koffie@audittrail.nl of 071 – 747 17 17.