De invoering van de AVG heeft impact op de informatievoorziening van bijna elke organisatie. Uiteraard raakt dit het vakgebied privacy, maar ook functioneel beheer. Beide vakgebieden zijn zich er misschien nog niet van bewust, maar ze hebben elkaar nodig. Bij een goede samenwerking kunnen ze elkaar zelfs versterken. Daniël Brouwer en Jeroen Wittink raden de functioneel beheerder en de privacyprofessional dan ook dringend aan elkaar op te zoeken.
De functioneel beheerder en de privacyprofessional
De uitkomst van de volgende dertien situaties is optimaal wanneer de functioneel beheerder en de privacyprofessional elkaar opzoeken wetende wat ze van elkaar kunnen en morgen verwachten. De functioneel beheerder is de spin in het informatieweb van een organisatie. De primaire taak van een functioneel beheerder is te zorgen voor een be- trouwbare, wendbare, schaalbare en in- novatieve informatievoorziening. Hij/zij ziet veel, hoort veel en heeft veel impliciete kennis over processen, applicaties, leveranciers en het gebruik van ICT binnen de organisatie. De functioneel beheerder is ook bekend met de schaduwkant van de IT-organisatie, een be- langrijke bron van risico’s. Dit maakt de functioneel beheerder van onschatbare waarde voor de privacyprofessional.
1. Hoe stromen de persoonsgegevens?
Voor een gedegen privacybeleid is het van fundamenteel belang om de informatiestromen in kaart te brengen. Op basis van de informatie-inventarisatie neemt de privacyprofessional beslissingen en maatregelen om te vol- doen aan de AVG en andere wetgeving. DEen correcte en nauwkeurige registratie is daarom van belang voor de privacy- professional. Binnen organisaties zijn er beheerde en onbeheerde informatiestromen. Een functioneel beheerder kan helpen om beide stromen in kaart te brengen. Met name de onbeheerde stromen vormen een belangrijk privacyrisico. Deze stro- men zijn niet beschreven en liggen slechts vast in de hoofden van de medewerkers en zijn bij uitval van |deze medewerkers niet geborgd in
de organisatie.
2. Register van verwerkingen
Onder de AVG is het bijhouden van een ‘register van verwerkingen’ verplicht. Dit register is de infor- matieboekhouding van de organisa- tie. Het vormt de basis van het beleid om te voldoen aan de AVG. Welke gegevens heeft de organisa- tie? Op basis van welke grondslag zijn deze verzameld? Wat mag de organisatie doen met deze informatie? Vaak wordt de proces- en applicatieeigenaar betrokken bij het opstellen van het register. De functio- neel beheerder kan een belangrijke controleslag uitvoeren voor de registers, omdat hij/zij inzicht heeft in de daadwerkelijke – beheerde en onbeheerde informatiestromen. Ook kan de functioneel beheerderverwerkersovereenkomsten controleren, met name de overeenkomsten die door leveranciers zijn aangeleverd. Ook kan het register van verwerkingen normstel- lend werken: het geeft de toegestane verwerkingen binnen een proces, informatieketen of applicatie weer.
3. Explicite en impliciete kennis
Het opstellen en beheren van de applicatiedocumentatie en applicatieprocessen ligt vaak op het bord van de functioneel beheerder. Kwalitatief goede documentatie maakt medewerkers risicobewust en demonstreert wat wel en wat zeker niet is toegestaan in de applicatie. Het register van verwerkingen werkt normatief. Het wordt echt spannend als de applicatie- kennis vooral tussen de oren van een functioneel beheerder is opgeslagen. Impliciete kennis is natuurlijk ook kennis, echter het Brein Informatie Centrum (BIM) is niet geschikt om alle informatie voor altijd op te slaan. Wordt de impli- ciete kennis in meerdere BIM’s opgeslagen, dan is het spanningsveld compleet. Streef naar expliciete kennis op schrift.
4. Maatwerk en pleistersoftware
Als een applicatie ‘maatwerk’ bevat en dus afwijkt van de standaardwerken, brengt dit een (privacy)risico met zich mee. Bijvoorbeeld bij het maken van updates, het implementeren van changes en het aangaan van overeenkomsten met leveranciers. Slecht beschreven maat- werk is ook impliciete kennis en wordt gezien als een aanzienlijk privacyrisico.
5. Het wandelgangen informatiesysteem
De functioneel beheerder kent vaak het gehele speelveld rond een applicatie, proces of organisatieonderdeel. Hij/zij praat met iedereen en weet daardoor veel. Functioneel beheer is een laagdrempelige functie, waardoor medewerkers zich eerder hier zullen melden dan bij de privacyprofessional. De functioneel beheerder is bekend met de sentimenten van de gebruiker, kent het gebruik én de business.
6. Operationele risico’s
Informatieveiligheid is risicomanagement op het gebied van informatie. De functioneel beheerder weet vaak hoe applicaties en IT in de praktijk worden gebruikt. Zo nemen secretaria- ten geregeld hr-zaken uit handen van managers en worden gegevens uit de applicatie handmatig aangepast of overgetypt in een ander systeem.
De functioneel beheerder kent veelal de zwakheden van een systeem. Hoe kan dit systeem gehackt worden? Welke risico’s zie jij in de praktijk? De antwoorden van de functioneel beheerder op deze vragen geven gegarandeerd stof tot nadenken.