Snel naar content
Informatieveiligheid en privacy

Hoe ga je als manager om met informatiebeveiliging en privacy?

Als manager komen er een hoop verantwoordelijkheden wat betreft informatiebeveiliging en privacy op je af. Wat komt er allemaal bij kijken en hoe kan je het beste sturing geven aan die verantwoordelijkheid? In deze blog geven we je praktische tips en adviezen. Doe er je voordeel mee! 

Voordat we ingaan op de verantwoordelijkheden die je hebt als manager op het gebied van informatiebeveiliging en privacy, is het goed om de definitie van ‘manager’ duidelijk te hebben. Wat is de precieze betekenis daarvan eigenlijk?  Een gemeentesecretaris kan een manager zijn, maar een coördinator ook. Er zijn zelfs organisaties waar geen formele managers zijn aangewezen, maar toch wordt er ‘gemanaged’.  

Definitie manager 

In de Van Dale luidt de definitie van het woord manager als volgt: “een leidinggevende”. Ook dat brengt ons niet heel veel verder. In de bedrijfskunde hanteert men de volgende definitie van manager: “een manager is iemand die processen stuurt en het handelen van anderen op gang brengt”. Met deze definitie in ons achterhoofd kijken we naar de positie van de manager ten opzichte van informatieveiligheid en privacy. 

Het sturen van processen 

Als manager is het niet alleen belangrijk resultaat te bereiken, maar ook dat dat gebeurt binnen de gestelde kwaliteitskaders. De kwaliteitseisen zijn divers, maar leggen wel de link naar informatiebeveiliging en privacy. Deze twee vakgebieden zijn namelijk geen doel op zich, maar bestaan uit kwaliteitseisen waaraan een proces moet voldoen. 

Je bent als manager verantwoordelijk voor een proces en daarmee ook verantwoordelijk voor de kwaliteit van dat proces. Het is daarom belangrijk een proces goed in te richten. De betrouwbaarheid daarvan leidt immers tot betrouwbare resultaten. Informatiebeveiliging is hierbij van groot belang, omdat veel processen afhankelijk zijn van betrouwbare gegevens. Informatiebeveiliging gaat niet alleen over de vertrouwelijkheid en de beschikbaarheid van de gegevens, maar ook over de juistheid, volledigheid en tijdigheid ervan. De laatste drie kwaliteitsaspecten noemen we ook wel de integriteit van de gegevens.  

De rol van de manager 

Naast verantwoordelijk voor de processen ben je als manager ook verantwoordelijk voor de inrichting van het proces, de controle op het proces, de proces ondersteunende software en het aansturen van medewerkers. 

De kans is groot dat jij als manager geen expert bent op het gebied van informatiebeveiliging en privacy. Hoe kan je dit dan toch borgen in de processen? We hebben een aantal praktische tips en adviezen voor je op een rijtje gezet: 

  1. Maak een plan 

Om sturing te geven aan je team en of afdeling is het belangrijk om een plan te hebben. Door samen met beleidsmedewerkers vooruit te kijken krijg je zicht op verbeteringen en nieuwe ontwikkelingen. In het jaarlijkse afdelingsplan kan je vastleggen wat de aandachtspunten en nieuwe ontwikkelingen zijn, zodat je weet welke controles moeten plaatsvinden. 

  1. Borging in projecten 

Neem een informatiebeveiliging en privacy paragraaf op in ieder projectplan. Alleen al daardoor dwing je jezelf na te denken over eventuele risico’s en maatregelen. De FG en CISO kunnen in deze fase direct meedenken. Zo denk je vanaf de start al na over informatiebeveiliging en privacyaspecten. 

  1. Borging in het proces 

Informatiebeveiliging en privacy borg je bij voorkeur in een proces. Dit kan je doen door maatregelen te nemen in de proces ondersteunende sofware. Denk daarbij aan het inrichten van autorisaties, het inbouwen van functiescheiding, het inrichten van de logging en het uitvoeren van periodieke controles. Aansluitend kan je controles laten uitvoeren om te beoordelen of een proces voldoet aan de ingebouwde kwaliteitseisen. In audittermen noemen we dit ook wel ‘een controle op de werking’. 

  1. Verantwoording afleggen 

Het afleggen van verantwoording hoort ook bij verantwoordelijkheid. In de planning- en controlcyclus is voldoende ruimte om verantwoording af te leggen over de mate waarin het afdelingsplan gevolg heeft gekregen. 

  1. Risicomanagement 

Op het gebied van informatiebeveiliging en privacy is het belangrijk om zicht te hebben op zaken die wel en niet goed gaan. Een methode om dat voor elkaar te krijgen is het inventariseren van risico’s. Ga samen met de FG en CISO om tafel om te bespreken wat de risico’s zijn voor jouw aandachtsgebied. Een aantal tips die je daarbij helpen: 

  • Werk met vragenlijsten of lijsten van bedreigingen (PIAS of CRAMM/MAPGOOD), zodat je weet dat je alle aandachtsgebieden bespreekt; 
  • Beperk de scope tot datgene waarvoor je zelf verantwoordelijk bent; 
  • Probeer risico’s realistisch te houden. Het gevaar van onderschatten of overdrijven ligt vaak op de loer. Kijk naar maatregelen die wel en niet zijn getroffen. Zo krijg je een objectief beeld van de situatie; 
  • Maak risico’s SMART. Door risico’s concreet te maken kan je direct actie ondernemen; 
  • Monitor de afhandeling van de risico’s. 

De managementcyclus 

Als je bovenstaande maatregelen volgt, heb je aan de voorkant een analyse gedaan en weet je wat je bij de uitvoering moet doen. Door de controles weet je of de juiste dingen ook echt gedaan zijn. In vaktermen noemen we dit een information security management system (ISMS). Bij privacy spreken we over een privacy management system (PMS). Beide stellen jou als manager in staat om in control te komen en te blijven en je te verantwoorden naar directie, collega’s, raad en stelselhouders. 

Je staat er niet alleen voor 

Een hoop werk, maar als manager sta je er niet alleen voor. Binnen de AVG en binnen de normenkaders voor informatiebeveiliging en privacy is het verplicht om specialisten in dienst te hebben die je helpen. Voor informatiebeveiliging is dit een Security Officer (CISO) en voor privacy is dit een Functionaris Gegevensbescherming (FG).  

Zowel de FG als de CISO hebben een adviserende en controlerende functie. In de praktijk houden ze zich met grote regelmaat ook bezig met coördineren. Maar wanneer betrek je deze experts erbij? Een aantal voorbeelden van praktische situaties: 

  • De start van een nieuw project; 
  • De inkoop van nieuwe software; 
  • Inhuur van medewerkers; 
  • Samenwerking met externe partijen waarbij sprake is van gegevensuitwisseling; 
  • Informatieverzoeken; 
  • Herinrichting van processen; 
  • Inrichting van de interne controle. 

Twijfel je of je een FG of CISO moet inschakelen? Benader hen dan met je vraag. Deze specialisten zijn er om je te helpen.  

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Stuurinformatie en taakinformatie: wat is het verschil? 

Stuurinformatie en taakinformatie: wat is het verschil? 

Stuurinformatie en taakinformatie zijn veelgebruikte termen op gebied van data analytics en dashboarding. In deze blog ontdek je wat het...

Lees verder

De 5 belangrijkste kenmerken van een goede datahuishouding

De 5 belangrijkste kenmerken van een goede datahuishouding

oor zijn, sneller en kwalitatief betere diensten en producten te leveren of juist diversificatie van het portfolio: het zijn een paar voorbeelden. Maar kijken naar de cijfers uit je dataplatform en de strategie aanpassen op basis van harde cijfers om te excelleren, dat is pas competitief! In deze leggen we uit hoe je weet of de datagovernance binnen jouw organisatie op orde is.

Lees verder

Een dag uit het leven van Data Engineer Jelte Zweistra

Een dag uit het leven van Data Engineer Jelte Zweistra

Als Data Engineer houdt Jelte Zweistra zich met data van diverse klanten bezig. Hij zorgt ervoor dat de processen goed lopen. Veel testen en uiteraard ook regelmatig sparren met collega’s. Hij neemt je mee in een van zijn werkdagen! 

Lees verder