Snel naar content
Informatieveiligheid en privacy

Hoe ga je als manager om met informatiebeveiliging en privacy?

Als manager komen er een hoop verantwoordelijkheden wat betreft informatiebeveiliging en privacy op je af. Wat komt er allemaal bij kijken en hoe kan je het beste sturing geven aan die verantwoordelijkheid? In deze blog geven we je praktische tips en adviezen. Doe er je voordeel mee! 

Voordat we ingaan op de verantwoordelijkheden die je hebt als manager op het gebied van informatiebeveiliging en privacy, is het goed om de definitie van ‘manager’ duidelijk te hebben. Wat is de precieze betekenis daarvan eigenlijk?  Een gemeentesecretaris kan een manager zijn, maar een coördinator ook. Er zijn zelfs organisaties waar geen formele managers zijn aangewezen, maar toch wordt er ‘gemanaged’.  

Definitie manager 

In de Van Dale luidt de definitie van het woord manager als volgt: “een leidinggevende”. Ook dat brengt ons niet heel veel verder. In de bedrijfskunde hanteert men de volgende definitie van manager: “een manager is iemand die processen stuurt en het handelen van anderen op gang brengt”. Met deze definitie in ons achterhoofd kijken we naar de positie van de manager ten opzichte van informatieveiligheid en privacy. 

Het sturen van processen 

Als manager is het niet alleen belangrijk resultaat te bereiken, maar ook dat dat gebeurt binnen de gestelde kwaliteitskaders. De kwaliteitseisen zijn divers, maar leggen wel de link naar informatiebeveiliging en privacy. Deze twee vakgebieden zijn namelijk geen doel op zich, maar bestaan uit kwaliteitseisen waaraan een proces moet voldoen. 

Je bent als manager verantwoordelijk voor een proces en daarmee ook verantwoordelijk voor de kwaliteit van dat proces. Het is daarom belangrijk een proces goed in te richten. De betrouwbaarheid daarvan leidt immers tot betrouwbare resultaten. Informatiebeveiliging is hierbij van groot belang, omdat veel processen afhankelijk zijn van betrouwbare gegevens. Informatiebeveiliging gaat niet alleen over de vertrouwelijkheid en de beschikbaarheid van de gegevens, maar ook over de juistheid, volledigheid en tijdigheid ervan. De laatste drie kwaliteitsaspecten noemen we ook wel de integriteit van de gegevens.  

De rol van de manager 

Naast verantwoordelijk voor de processen ben je als manager ook verantwoordelijk voor de inrichting van het proces, de controle op het proces, de proces ondersteunende software en het aansturen van medewerkers. 

De kans is groot dat jij als manager geen expert bent op het gebied van informatiebeveiliging en privacy. Hoe kan je dit dan toch borgen in de processen? We hebben een aantal praktische tips en adviezen voor je op een rijtje gezet: 

  1. Maak een plan 

Om sturing te geven aan je team en of afdeling is het belangrijk om een plan te hebben. Door samen met beleidsmedewerkers vooruit te kijken krijg je zicht op verbeteringen en nieuwe ontwikkelingen. In het jaarlijkse afdelingsplan kan je vastleggen wat de aandachtspunten en nieuwe ontwikkelingen zijn, zodat je weet welke controles moeten plaatsvinden. 

  1. Borging in projecten 

Neem een informatiebeveiliging en privacy paragraaf op in ieder projectplan. Alleen al daardoor dwing je jezelf na te denken over eventuele risico’s en maatregelen. De FG en CISO kunnen in deze fase direct meedenken. Zo denk je vanaf de start al na over informatiebeveiliging en privacyaspecten. 

  1. Borging in het proces 

Informatiebeveiliging en privacy borg je bij voorkeur in een proces. Dit kan je doen door maatregelen te nemen in de proces ondersteunende sofware. Denk daarbij aan het inrichten van autorisaties, het inbouwen van functiescheiding, het inrichten van de logging en het uitvoeren van periodieke controles. Aansluitend kan je controles laten uitvoeren om te beoordelen of een proces voldoet aan de ingebouwde kwaliteitseisen. In audittermen noemen we dit ook wel ‘een controle op de werking’. 

  1. Verantwoording afleggen 

Het afleggen van verantwoording hoort ook bij verantwoordelijkheid. In de planning- en controlcyclus is voldoende ruimte om verantwoording af te leggen over de mate waarin het afdelingsplan gevolg heeft gekregen. 

  1. Risicomanagement 

Op het gebied van informatiebeveiliging en privacy is het belangrijk om zicht te hebben op zaken die wel en niet goed gaan. Een methode om dat voor elkaar te krijgen is het inventariseren van risico’s. Ga samen met de FG en CISO om tafel om te bespreken wat de risico’s zijn voor jouw aandachtsgebied. Een aantal tips die je daarbij helpen: 

  • Werk met vragenlijsten of lijsten van bedreigingen (PIAS of CRAMM/MAPGOOD), zodat je weet dat je alle aandachtsgebieden bespreekt; 
  • Beperk de scope tot datgene waarvoor je zelf verantwoordelijk bent; 
  • Probeer risico’s realistisch te houden. Het gevaar van onderschatten of overdrijven ligt vaak op de loer. Kijk naar maatregelen die wel en niet zijn getroffen. Zo krijg je een objectief beeld van de situatie; 
  • Maak risico’s SMART. Door risico’s concreet te maken kan je direct actie ondernemen; 
  • Monitor de afhandeling van de risico’s. 

De managementcyclus 

Als je bovenstaande maatregelen volgt, heb je aan de voorkant een analyse gedaan en weet je wat je bij de uitvoering moet doen. Door de controles weet je of de juiste dingen ook echt gedaan zijn. In vaktermen noemen we dit een information security management system (ISMS). Bij privacy spreken we over een privacy management system (PMS). Beide stellen jou als manager in staat om in control te komen en te blijven en je te verantwoorden naar directie, collega’s, raad en stelselhouders. 

Je staat er niet alleen voor 

Een hoop werk, maar als manager sta je er niet alleen voor. Binnen de AVG en binnen de normenkaders voor informatiebeveiliging en privacy is het verplicht om specialisten in dienst te hebben die je helpen. Voor informatiebeveiliging is dit een Security Officer (CISO) en voor privacy is dit een Functionaris Gegevensbescherming (FG).  

Zowel de FG als de CISO hebben een adviserende en controlerende functie. In de praktijk houden ze zich met grote regelmaat ook bezig met coördineren. Maar wanneer betrek je deze experts erbij? Een aantal voorbeelden van praktische situaties: 

  • De start van een nieuw project; 
  • De inkoop van nieuwe software; 
  • Inhuur van medewerkers; 
  • Samenwerking met externe partijen waarbij sprake is van gegevensuitwisseling; 
  • Informatieverzoeken; 
  • Herinrichting van processen; 
  • Inrichting van de interne controle. 

Twijfel je of je een FG of CISO moet inschakelen? Benader hen dan met je vraag. Deze specialisten zijn er om je te helpen.  

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Even kennismaken met onze nieuwste IT-Auditor Sem te Velde

Even kennismaken met onze nieuwste IT-Auditor Sem te Velde

Sinds 1 juli werkt Sem te Velde als junior IT-Auditor bij Inergy. Hoe heeft hij zijn eerste maanden in deze rol beleefd? We vroegen het hem en hij legde ook gelijk uit wat het werk van een IT-Auditor nu eigenlijk precies inhoudt.

Lees verder

Petra Molenaars en Evelien Okken over hun passie voor privacy

Petra Molenaars en Evelien Okken over hun passie voor privacy

Privacy Consultants Petra Molenaars en Evelien Okken ondersteunen onze klanten bij informatiebeveiliging en privacy. Met hun kennis staan ze klaar om overheidsorganisaties te helpen bij implementatie en naleving van informatiebeveiliging. We vroegen waar hun passie voor privacy vandaan komt en wat mensen eigenlijk te verbergen hebben op het gebied van privacy.

Lees verder

5 redenen waardoor meerdere versies van de waarheid ontstaan

5 redenen waardoor meerdere versies van de waarheid ontstaan

Iedereen kent het wel: verschillende collega's hebben verschillende cijfers voor dezelfde KPI. We noemen dit ook wel "meerdere versies van de waarheid". In dit artikel bespreken we 5 oorzaken van meerdere versies van de waarheid en ontdek je hoe je in je organisatie tot één versie van de waarheid komt.

Lees verder