Security, privacy, compliance en architectuur

Door: Willem Krijgsman

Een paar jaar geleden vond ik het voor mijn architectuurpraktijk nodig om mij te verdiepen in de hoek van security, privacy en compliance. Op dit terrein zijn verschillende zinnige en goede opleidingen te verkrijgen, en ik koos toen voor de CIPP-reeks: CIPP/E, CIPT, CIPM, en een specifieke GDPR opleiding. Goed en nuttig oordeelde ik achteraf, maar het architectuurgehalte was laag. Dat was te verwachten, want het waren geen architectuuropleidingen. Waarom de architectuurinsteek voor mij belangrijk is? Ik streef naar gewenste/benodigde samenhang, en de mogelijkheid voor mijn klanten daarop sturing kunnen uitoefenen. Dat sturen moet mijns inziens juist niet primair vanuit een technische insteek plaatsvinden. Immers, alle relevante partijen moeten daarin hun verantwoordelijkheid kunnen nemen, zeker ook de bestuurders. Aanhangers van GEA zullen dit herkennen veronderstel ik.

Opleidingen en architectuurgedachtengoed op security en privacy gebied zijn er wel. In die tijd liep ik onder andere aan tegen SABSA (Sherwood Applied Business Security Architecture). SABSA wordt ondersteund door The Open Group, en jawel dat is dezelfde organisatie die ook TOGAF promoot als open standaard. Grappig detail: toen ik rondvroeg in mijn professionele kennissenkring bleek dit een onbekend architectuur framework: of nooit van gehoord, of inhoudelijk niet bekend. Enfin, toen zich de mogelijkheid voordeed deze training in Nederland te volgen, heb ik dat een jaar geleden gedaan. 

Wat mij aanspreekt in SABSA is niet het omarmen van het Zachman framework (dat doet in Nederland intussen wat gedateerd aan), maar wel onder andere de business gedreven insteek die in den breedte en tot in de uitwerking van de technische controls doorwerkt. 

Waar het voor mij op neer komt is dat op de verschillende niveaus van besturing de relevante afwegingen worden gemaakt tussen enerzijds de werkbaarheid van de inrichting en anderzijds bescherming van en of kansen voor bedrijf en klanten, of voldoen aan regelgeving. Iedere stakeholder maakt binnen zijn verantwoordelijkheidsgebied keuzes, en stakeholders moeten over die keuzes onderling overeenstemming bereiken op basis van de wederzijdse samenhangen en afhankelijkheden. Denkt u even met mij mee. Een CIO wil de reputatie van het bedrijf verbeteren (en zo een groter marktaandeel verwerven) door heel nadrukkelijk een privacy beleid in te voeren waarmee klanten een verregaande mate van bescherming genieten. Om dit in praktijk te brengen moet deze insteek ook in de bedrijfscultuur worden ingebed, moeten medewerkers met specifieke competenties worden aangenomen en opgeleid, moet de informatievoorziening worden aangepast, en moeten controls worden ingeregeld om de toepassing, efficiëntie en effectiviteit te meten. Dit alles moet specifiek op elkaar worden afgestemd, en wel zodanig dat de verdeling van verantwoordelijkheden in lijn is met de uitgangspunten, principes en beleid. U leest hier over een vraagstuk met complexe wisselwerkingen over verschillende perspectieven heen. Andersom, vanuit de technische insteek een aantal technische privacy maatregelen en controls inregelen in de informatiesystemen zouden wel eens een averechts effect kunnen hebben, waarmee bestuurders mogelijk onverwacht ongewenste risico’s in de schoot geworpen krijgen en publiekelijk in verlegenheid worden gebracht. 

De vraag welke uitdagingen er zijn en welke risico’s en kansen de bestuurders en verantwoordelijken bereid zijn te nemen is een vraag waar alle stakeholders gezamenlijk antwoord op moeten geven. Dat valt niet mee: iedere stakeholder heeft vanuit zijn verantwoordelijkheid verschillende belangen, uitgangspunten, principes en randvoorwaarden. En daarnaast: onze samenleving toont een grote dynamiek, die heftig kan doorwerken in de security, privacy en compliance afwegingen. Hier betreft het dus niet eenmalig afspraken maken, maar bijna permanent streven naar nieuwe evenwichten.

Vanuit de architectuurfunctie de oplossing van dit type vraagstukken ondersteunen vereist dat de gebruikte architectuurbenadering de volgende eigenschappen in zich draagt: gewenste samenhang creëren in een woud van afhankelijkheden, holistische werking, integrale benadering, recursief, gericht zijn op co-creatie, en organische groei ondersteunen. Hé, laat dat net een set van eigenschappen zijn, waarin GEA uitblinkt…Ik voorspel dat de combinatie van SABSA en GEA voor vraagstukken in de hier genoemde domeinen wel eens een heel krachtige kan zijn…