Privacy en security als verantwoordelijkheid

Door: Willem Krijgsman

In mijn vorige blog over privacy en security stipte ik de verantwoordelijkheidsverdeling aan in het kader van het beheersen van risico’s en het benutten van kansen om de ambities waar te maken. In de security wereld heeft men het dan bijvoorbeeld over “risk appetite”: welk risico ben je wel en niet bereid op je te nemen. In een organisatie hebben de partijen elkaar nodig en moet er worden samengewerkt. Hierbij worden verantwoordelijkheden gedistribueerd over de echelons. Belangrijke afwegingen moeten worden gemaakt en GEA biedt hiervoor belangrijke aanknopingspunten. 

Zo worden de perspectiefeigenaren dragers van verantwoordelijkheid. De speelruimte die ze hebben wordt bepaald door de strategie en richtinggevende uitspraken die de perspectiefhouders belangrijk vinden. Richtinggevende uitspraken zijn beleidsuitspraken, principes en doelstellingen. Uit analyse van de samenhang tussen de elementen ontstaat een duidelijk beeld van de aard van die samenhangen, de compleetheid, consistentie, en de mate waarin de elementen elkaar versterken en dus ondersteunen, dan wel elkaar tegen lijken te werken. Het proces van uitlijnen en afwegen maakt duidelijk welke elementen er echt toe doen, en in welke balans er zicht komt op een voldoende heldere oplossingsrichting. De oplossingsrichting leidt tot een best passende bedrijfsinrichting. De gekozen inrichting is het resultaat van wat we in GEA “vormgeving” noemen. Hier zit alles in wat een organisatie gegeven de keuzes op een optimale manier doet werken In een mechanisch wereldbeeld zouden we spreken over de inrichting en afstelling van het systeem, als ware het een motorblok dat onder bepaalde condities het beste kan presteren. 

De eerder genoemde distributie van verantwoordelijkheden ontstaat door dit proces op verschillende besturingsniveaus en/of bedrijfsonderdelen uit te werken en die met elkaar te verbinden. In de praktijk is vaak sprake van een volledig top-down proces (de bedrijfstop beschikt en stelt de ambities). In de toepassing van GEA werkt het ook in de omgekeerde richting, dus twee kanten op, en bevordert zo de dialoog over wat wel en niet kan. Psychologisch is de bottom-up richting wellicht lastig, maar voorkomt wel het overspelen van de hand. 

Om invulling te geven aan de verantwoordelijkheden, zal elke perspectiefhouder willen weten hoe de spreekwoordelijke vlag ervoor hangt en wanneer het moment daar is voor een interventie. Hiertoe worden indicatoren gedefinieerd waarmee op elk willekeurig moment vanaf dag 1 in de verandering zicht is op hoe goed het gaat. Monitoring- en besturingsinstrumenten bewaken dat uitvoering lukt binnen zekere bandbreedte, en toont of nieuwe maatregelen nodig zijn om permanent bij de les te blijven.

De insteek van een security of privacy vraagstuk kan met GEA worden aangepakt langs 2 hoofdroutes. De eerste route is de benadering van het vraagstuk met security/privacy als een zelfstandig perspectief te behandelen. Deze route is voor de hand liggend als er voor security/privacy een integraal verantwoordelijke besturende rol (bijv. CISO) is benoemd die integraal hiervoor verantwoordelijk is. Dit zal vaak aan de orde zijn bij organisaties/bedrijven die een dominant gegevensverwerkend karakter kennen. In een meer industriële omgeving, waarin privacy/security een gedeelde verantwoordelijkheid is op bestuurlijk niveau kan het worden ingestoken en bij elk perspectief terug komt.