Waarom niet een benadering? Archivering by design, privacy by design en informatiebeveiliging by design

De laatste jaren worden we overspoeld door berichten over archivering by design, privacy by design en informatiebeveiliging by design. Die artikelen behandelen dan alleen dat ene thema, of archivering of privacy of informatiebeveiliging. En dan ontbreekt er in mijn optiek nog één design, nl. openbaarheid/ter beschikbaarstelling by design. Je wilt niet alleen weten hoe je (overheids) informatie archiveert en beveiligt, maar ook hoe je die burger, ambtenaar en ondernemer gebruik kan laten maken van die informatie. Vooral de AVG roept in deze veel vragen op.

Al die vraagstukken worden vanuit drie verschillende beroepsgroepen benaderd: informatiemanagers/archivarissen, juristen en ICT ers. Het kan aan mij liggen, maar ik mis de kruisbestuiving tussen al die design vraagstukken en volgens mij is een helikopter benadering nodig. Nadat je die hebt verkend, kunnen die disciplines zaken nader uitwerken, maar wel in samenhang.

Archivering heeft de maken met privacy en informatiebeveiliging, je kunt m.i. dat niet los zien. Je kunt afspraken maken over privacy, maar als je niet weet in een samenwerkingsverband welke informatie wordt verwerkt, hebben die afspraken over privacy een beperkte werking.

Welke gemeente kiest voor een interdisciplinaire totaalbenadering of is er sprake van verkokering?

Weergaven: 736

Hierop reageren

Berichten in deze discussie

Hoor net dat Rotterdam deze benadering al wel kiest.

Yvonne,

Op zich is je probleemstelling niet nieuw en niet bijzonder. In de praktijk loopt het echter vaker dan niet op een drama uit. Doorgaans veroorzaakt door gebrekkig opdrachtgeverschap, vooral blijkend uit gebrekkige sturing, gebrekkige regievoering (vooral in ketens!), ontbreken van stakeholders/gebruikers, eilandjes-denken, en zo meer.

De reeds vele jaren lopende discussie over overlappende verantwoordelijkheden rond privacy en beveiliging - dus tussen (nu) FG en CISO - loopt nog steeds. Lees bijvoorbeeld 'Merendeel GDPR ligt buiten de controle van de CISO' https://www.computable.nl/artikel/opinie/security/6366004/1509029/m...

De oplossing is even eenvoudig :

  1. KISS : 'Keep It Simpel, Stupid!' of ook wel 'Keep It Short and Simple'.
  2. laat de archiefverantwoordelijke, de FG en de CISO één (of meer) uurtjes overleggen of hier sprake is van een 'business risk´, dwz. een 'kans om te benutten' of een 'bedreiging die afgeweerd moet worden'. Zie M_o_R, bijv. https://www.graydon.nl/blog/wat-het-risicomanagementmodel-mor
  3. indien sprake is van een business risk - en die kans is voor dit onderwerp ongeveer 100% - stel dan gemeenschappelijk een summiere concept-businesscase en een korte concept-(project)opdracht op
  4. maak diegene die op het hoogste niveau 'pijn' heeft van dit onderwerp eigenaar en opdrachtgever.
  5. indien besloten wordt er een project van te maken laat dan deze verantwoordelijk ambtenaar/bestuurder z.s.m. een cursus 'Prince2-voor-Opdrachtgevers' volgen. Deze is daarna ruimschoots geëquipeerd om de kar te trekken en er een succes van te maken.

Mijn adagium is 'Het is niet ingewikkeld, het wordt ingewikkeld gemáákt'.

Met bovenstaande 5 punten houd je het simpel en heb je maximaal kans op succes.

Daar heb je zeker een punt, wellicht te verklaren door verkokering binnen organisaties. Twintig jaar geleden ging de discussie over ICT en archivering, laten we samen optrekken.

Let wel, als verkokering een beletsel is dan is het onderwerp dús op een te laag niveau in de organisatie belegd.

Vandaar ook punt 4. De 'pijnhebber' moet in staat zijn om over de kokers ('eilandjes') heen te kunnen besluiten. Hetzelfde geldt voor de evt. project-stuurgroep.

En inderdaad, de discussie, óók die rond archivering, loopt al sinds begin 90er jaren.

________________________________________

Yvonne Welings zei:

Daar heb je zeker een punt, wellicht te verklaren door verkokering binnen organisaties. Twintig jaar geleden ging de discussie over ICT en archivering, laten we samen optrekken.

In het archievenblad stond ook een stuk over zo’n benadering door Utrecht. Almere geeft ook uitvoering aan zo’n benadering. Ik zie er zelf ook veel voordeel van in. Eerste stap is denk ik iedere informatiefunctionaris bewust te maken van zijn rol en verantwoordelijkheid die daarbij hoort t.a.v. archief, persoonsgegevens en beveiliging. Vervolgstap is dan om de onderlinge afhankelijkheden te organiseren. Lijkt simpel, maar praktijk is weerbarstig.

@Hans : dat is vast goed bedoeld, maar zal in de praktijk weinig succesvol blijken. Die 'weerbarstigheid' is ten dele zelf veroorzaakt.

Er is immers verschil tussen 'responsible' en 'accountable' (uit de RACI-matrix). Verantwoordelijkheid (responsibility) is niet hetzelfde als beslissingsbevoegd (accountable) zijn. Organiseren van afhankelijkheden zal om dezelfde reden moeilijk zijn.

De informatieunctionaris zal vanuit zijn/haar rol en verantwoordelijkheid (responsibility) echter wél heel goed in staat zijn om het onderwerp af te kaderen en als 'hapklare brok' bij het accountable hogere management te leggen voor besluitvorming.

Met die besluitvorming ligt het noodzakelijke ownership incl. budgettering daarmee ook op het juiste niveau.

Zet als 1e stap eens puntsgewijs op 1 A4 wat jij denkt nodig te hebben om je werk goed te kunnen doen (responsibility), cq. waarvan jij bij die uitvoering last hebt.

Da's hooguit 10 minuten werk.



Hans Pieterse zei:

Eerste stap is denk ik iedere informatiefunctionaris bewust te maken van zijn rol en verantwoordelijkheid die daarbij hoort t.a.v. archief, persoonsgegevens en beveiliging. Vervolgstap is dan om de onderlinge afhankelijkheden te organiseren. Lijkt simpel, maar praktijk is weerbarstig.

Niet gehinderd door enige beperking zou ik dat in één of twee volzinnen kunnen benoemen denk ik. De complexiteit zit hem in de hoeveelheid wetgevende beperkingen met alle verschillende uitgewerkte kaders en normen die daar van zijn afgeleid en niet op elkaar afgestemd.

Peter Westerhof LL.M MIM zei:

@Hans : dat is vast goed bedoeld, maar zal in de praktijk weinig succesvol blijken. Die 'weerbarstigheid' is ten dele zelf veroorzaakt.

Er is immers verschil tussen 'responsible' en 'accountable' (uit de RACI-matrix). Verantwoordelijkheid (responsibility) is niet hetzelfde als beslissingsbevoegd (accountable) zijn. Organiseren van afhankelijkheden zal om dezelfde reden moeilijk zijn.

De informatieunctionaris zal vanuit zijn/haar rol en verantwoordelijkheid (responsibility) echter wél heel goed in staat zijn om het onderwerp af te kaderen en als 'hapklare brok' bij het accountable hogere management te leggen voor besluitvorming.

Met die besluitvorming ligt het noodzakelijke ownership incl. budgettering daarmee ook op het juiste niveau.

Zet als 1e stap eens puntsgewijs op 1 A4 wat jij denkt nodig te hebben om je werk goed te kunnen doen (responsibility), cq. waarvan jij bij die uitvoering last hebt.

Da's hooguit 10 minuten werk.



Hans Pieterse zei:

Eerste stap is denk ik iedere informatiefunctionaris bewust te maken van zijn rol en verantwoordelijkheid die daarbij hoort t.a.v. archief, persoonsgegevens en beveiliging. Vervolgstap is dan om de onderlinge afhankelijkheden te organiseren. Lijkt simpel, maar praktijk is weerbarstig.

De volzinnen kun je vast wel opknippen (uitdetailleren) in meer zinnen met elk 1 concreet onderwerp. Het gaat erom dat je elk onderwerp voldoende concreet maakt om er een cijfer aan te kunnen geven (belangrijkheid, urgentie, meetbaarheid).

De diverse kaders en normen kunnen daarna worden gebruikt om elk item nader in te vullen cq. af te bakenen. Het is altijd een wisselwerking tussen praktijkbehoeften en kaders/normering.

Let wel : net zoals wetgeving zijn kaders en normen doorgaans rekbaar, c.q. dienen aan de praktijksituatie nader geoncretiseerd te worden.

Zie bijv. de actuele misplaatste klachten over 'vage normen' in de AVG.

Amsterdam hanteert ook zo'n interdisciplinaire totaalbenadering.

Wij werken met multidisciplinaire accountteams die een bepaald businessdomein ondersteunen met daarin vertegenwoordiging van: informatiemanagement (verantwoordelijk voor de "helicopterview"), architectuur, beveiliging, privacy, informatiebeheer, functioneel beheer, projectmanagement, demandmanagement en het MT. Dus nog iets meer rollen dan Yvonne in haar oorspronkelijke bericht noemde. 

Daarnaast hebben een projectportfoliomanagementproces waarin op vaste beslismomenten een multidisciplinair adviesteam (vooral bestaand uit seniormedewerkers uit alle disciplines) integrale adviezen aan opdrachtgevers geeft.

Wel is het zo dat onze organisatie is opgesplitst in vijf clusters die allemaal net weer iets anders zijn georganiseerd, maar in hoofdlijnen gaat het op deze manier.

In mijn eigen cluster ervaar ik dit als een hele prettige manier van werken, maar eerlijkheid gebiedt me te zeggen dat het nog niet overal optimaal functioneert. Deels door zaken zoals al door anderen hierboven al geschetst, maar ook omdat professionals in de informatievoorziening tijd nodig hebben om op een dergelijke manier samen te werken en de benodigde kennis en competenties te vergaren. Ik heb wel de indruk dat het steeds beter gaat.

Wellicht vraagt deze bijdrage wat meer toelichting van mijn kant. In januari van dit jaar heb ik bij de VNG archiefcommissie een ppt verzorgd over de AVG en Archiefwet. De suggestie van verbinding is niet nieuw, Adrie Spruijt schreef er reeds eerder over in het OD.

Link

Verder zal de Adviescommissie zich in samenwerking met de werkgroep privacy van de koepels BRAIN en KVAN inspannen om de vragen te beantwoorden en instrumenten te ontwikkelen om de werkpraktijk te ondersteunen. Dit zoveel als mogelijk vanuit een integraal perspectief. Privacy, informatiebeveiliging, openbaarheid, auteursrecht en archivering zijn aspecten van informatie die in onderlinge samenhang benaderd moeten worden.

Het artikel in het archievenblad zal ik nog lezen. Heel veel zaken met betrekking tot archivering en AVG zijn nog niet duidelijk bijvoorbeeld in relatie tot de selectielijst. Op 27 juni is er een rondetafelconferentie georganiseerd over dit onderwerp.

 

Rens, Almere ook heb ik begrepen, fijn dat iedereen zijn of haar ervaringen deelt.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden