Jeroen Wittink & Daniël E. Brouwer [ AG Connect, april 2020 ]
Privacy functioneel beheerder is een belangrijk thema. De invoering van de AVG heeft impact. De 9 processen van de functioneel beheerder spelen hierin een centrale rol. De AVG heeft impact op de informatievoorziening van bijna elke organisatie. Uiteraard raakt dit het vakgebied privacy, maar ook functioneel beheer. Beide vakgebieden zijn zich er misschien nog niet van bewust, maar ze hebben elkaar nodig. Bij een goede samenwerking kunnen ze elkaar zelfs versterken.
We raden de functioneel beheerder en de privacyprofessional dan ook dringend aan elkaar op te zoeken. De uitkomst van de volgende 13 situaties is optimaal wanneer de functioneel beheerder en de privacyprofessional met elkaar in gesprek gaan en weten wat ze van elkaar kunnen en mogen verwachten. De functioneel beheerder is de spin in het informatieweb van een organisatie. De primaire taak van een functioneel beheerder is te zorgen voor een betrouwbare, wendbare, schaalbare en innovatieve informatievoorziening. Hij of zij ziet veel, hoort veel en heeft veel impliciete kennis over processen, applicaties, leveranciers en het ICT-gebruik binnen de organisatie. De functioneel beheerder is ook bekend met de schaduwkant van de IT-organisatie, een belangrijke bron van risico’s.
Dat maakt de functioneel beheerder van onschatbare waarde voor de privacyprofessional. Voor een gedegen privacybeleid is het van fundamenteel belang om de informatiestromen in kaart te brengen. Op basis van die inventarisatie neemt de privacyprofessional beslissingen en maatregelen om te voldoen aan de AVG en andere wetgeving. Een correcte en nauwkeurige registratie is daarom van belang voor de privacyprofessional. Binnen organisaties zijn er beheerde en onbeheerde informatiestromen. Een functioneel beheerder kan helpen om beide stromen in kaart te brengen. Met name de onbeheerde stromen vormen een belangrijk privacyrisico. Deze stromen zijn niet beschreven en liggen slechts vast in de hoofden van medewerkers – ze zijn bij uitval van deze medewerkers niet geborgd in de organisatie.
2. Register van verwerkingen
Onder de AVG is het bijhouden van een ‘register van verwerkingen’ verplicht. Dit register is de informatieboekhouding van de organisatie. Het vormt de basis van het beleid om te voldoen aan de AVG. Welke gegevens heeft de organisatie? Op basis van welke grondslag zijn deze verzameld? Wat mag de organisatie doen met deze informatie? Vaak wordt de procesen applicatie-eigenaar betrokken bij het opstellen van het register. De functioneel beheerder kan een belangrijke controleslag uitvoeren voor de registers, omdat hij of zij inzicht heeft in de daadwerkelijke – beheerde en onbeheerde – informatiestromen. Ook kan de functioneel beheerder verwerkersovereenkomsten controleren, met name de overeenkomsten die door leveranciers zijn aangeleverd. Het register van verwerkingen kan bovendien normstellend werken: het geeft de toegestane verwerkingen binnen een proces, informatieketen of applicatie weer.
3. Expliciete en impliciete kennis
Het opstellen en beheren van de applicatiedocumentatie en applicatieprocessen ligt vaak op het bord van de functioneel beheerder. Kwalitatief goede documentatie maakt medewerkers risicobewust en demonstreert wat wel en wat zeker niet is toegestaan in de applicatie. Het register van verwerkingen werkt normatief. Het wordt echt spannend als de applicatiekennis vooral tussen de oren van een functioneel beheerder is opgeslagen. Impliciete kennis is natuurlijk ook kennis, echter het Brein Informatie Centrum (BIC) is niet geschikt om alle informatie voor altijd op te slaan. Wordt de impliciete kennis in verschillende BIC’s opgeslagen, dan is het spanningsveld compleet. Streef daarom naar expliciete kennis op schrift.
“Het wordt echt spannend als de applicatiekennis vooral tussen de oren is opgeslagen.”
4. Maatwerk en pleistersoftware
Als een applicatie ‘maatwerk’ bevat en dus afwijkt van de standaard, brengt dit een (privacy)risico met zich mee. Bijvoorbeeld bij het doorvoeren van updates, het implementeren van changes en het aangaan van overeenkomsten met leveranciers. Slecht beschreven maatwerk is ook impliciete kennis en wordt gezien als een aanzienlijk privacyrisico.
5. Wandelgangen informatie Systeem (WIS)
De functioneel beheerder kent vaak het gehele speelveld rond een applicatie, proces of organisatieonderdeel. Hij of zij praat met iedereen en weet daardoor veel. Functioneel beheer is een laagdrempelige functie, waardoor medewerkers zich eerder hier zullen melden dan bij de privacyprofessional. De functioneel beheerder hoort dus veel in de wandelgangen, is bekend met de sentimenten van de gebruiker, kent het gebruik én de business.
6. Operationele risico’s
Informatieveiligheid is risicomanagement op het gebied van informatie. De functioneel beheerder weet vaak hoe applicaties en IT in de praktijk worden gebruikt. Zo nemen secretariaten geregeld HR-zaken uit handen van managers en worden gegevens uit de applicatie handmatig aangepast of overgetypt in een ander systeem. De functioneel beheerder kent veelal de zwakheden van een systeem. Hoe kan dit systeem gehackt worden? Welke risico’s zijn er in de praktijk? De antwoorden van de functioneel beheerder op deze vragen geven gegarandeerd stof tot nadenken.
7. Overzicht van incidenten en verzoeken
Veel organisaties hebben geen (volledig) overzicht van privacygerelateerde incidenten. De functioneel beheerder heeft echter vaak wel weet van incidenten, van zaken die onder de radar zijn gebleven of niet zijn geëscaleerd. De functioneel beheerder weet of er verzoeken zijn gedaan in het kader van de AVG, zoals inzage in verzamelde persoonsgegevens, rectificatie en recht op vergetelheid. Mogelijk zijn er meldenswaardige incidenten geweest die in de lijn zijn opgepakt, maar niet als zodanig zijn geregistreerd in het overzicht van incidenten.
8. Adidas-koppelingen
De uitwisseling van persoonsgegevens tussen applicaties is een aandachtspunt in elke DPIA (Data Protection Impact Assessment). Tijdens een DPIA wordt bijvoorbeeld gekeken naar de privacyrisico’s binnen een applicatie. Persoonsgegevens zijn op basis van een expliciet doel en een bepaalde grondslag verzameld. Doel en grondslag moeten gedurende de gehele levenscyclus van de data gewaarborgd blijven. Met name Adidas-koppelingen vormen een risico: dat zijn koppelingen die manuele handelingen bevatten of afhankelijk zijn van menselijk handelen. De data gaan dus niet alleen over de ‘lijn’, maar worden ook gezien door een mens, met alle risico’s van dien. De functioneel beheerder weet hoe applicaties met elkaar verbonden zijn en kent ook de officieuze connecties, de geitenpaadjes en de datastromen die nog handmatig worden aangepast. De functioneel beheerder kent de schaduwkant van de IT-organisatie en kan helpen om nieuwe applicaties in te richten en bestaande applicaties te verbeteren.
9. Oneigenlijk gebruik
Het grootste privacyrisico vormt het oneigenlijk gebruik van applicaties en systemen: het gebruik van een applicatie of systeem buiten de vastgelegde afspraken en processen om. Er is sprake van oneigenlijk gebruik als bijvoorbeeld het bsn wordt ingevuld in een memoveld, data worden gecombineerd zonder wettelijke grondslag en het gebruik niet langer het eerder vastgestelde doel dient. Een functioneel beheerder kent het daadwerkelijke gebruik van de applicatie en kan de privacyprofessional wijzen op risico’s en oneigenlijk gebruik.
10. Schaduw-IT
Schaduw-IT is een belangrijk privacyrisico, omdat het moeilijk te beheersen is en meestal niet in kaart is gebracht. De ervaring leert dat circa 30% van de applicaties niet wordt beheerd. Deze applicaties zijn niet officieel goedgekeurd, maar worden wel vaak gebruikt om persoonsgevoelige data uit te wisselen. WhatsApp wordt bijvoorbeeld vaak gebruikt om bijzondere persoonsgegevens uit te wisselen. Deze schaduw-IT ontstaat doordat de business en IT niet goed op elkaar aansluiten en mensen alternatieven zoeken. De functioneel beheerder kent de schaduwkant van de IT-organisatie en kan helpen nieuwe applicaties in te richten en bestaande applicaties te verbeteren om zo het gebruik van schaduw-IT terug te dringen.
11. Implementeren van oplossingen
DPIA of een ander type audit leidt tot aanbevelingen, verbeterpunten en maatregelen die geïmplementeerd moeten worden. De functioneel beheerder signaleert situaties waarin de business en IT niet goed op elkaar aansluiten en kan de privacyprofessional adviseren over de succesvolle implementatie van maatregelen op operationeel niveau. Wordt het gewenste doel bereikt? Is het een realistische maatregel of gaan gebruikers de maatregel omzeilen?
12. Rol bij incidenten en datalekken
Tijdens een incident moet de organisatie onder druk beslissen. Het is belangrijk dat de juiste informatie voorhanden is, bijvoorbeeld over het aantal datasubjecten dat betrokken is bij een datalek en welke informatie toegankelijk is geweest. De functioneel beheerder toont zijn of haar toegevoegde waarde door de crisismanager op het juiste moment te voeden met de meest accurate informatie. Daarnaast is de functioneel beheerder in staat voorlichting te geven aan eindgebruikers.
13. Autorisatiebeheer en toegangsbeleid
Elke ongeautoriseerde toegang tot informatie is een datalek. Dat kan ook ongeautoriseerde toegang zijn door een medewerker binnen de organisatie, bijvoorbeeld tot patiëntendossiers. De functioneel beheerder is bekend met de toegangsrechten binnen een applicatie. Vaak heeft de functioneel beheerder deze autorisatiematrix zelf ingeregeld en geoperationaliseerd, op basis van de behoefte van de organisatie.
Wat de functioneel beheerder niet kan
De functioneel beheerder is vaak een schaap met vijf poten, maar hierin schuilt ook een risico. Veel taken vallen buiten de officiële functiebeschrijving van de functioneel beheerder, terwijl deze functie hiervoor wel wordt ingezet: beslissingen nemen, projectmanagement en de rol van auditor of controleur. Uiteindelijk hoort functioneel beheer een operationele functie te zijn binnen de organisatie. Het ruimer inzetten van functioneel beheer is op zichzelf risicovol.
Wil je meer grip op data en informatiestromen? Bekijk de Datamanagement voor Functioneel Beheerders.