Print:

Datamanagement: de trends, issues en opgaven voor privacyprofessionals

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Datamanagement – het besturen en beheersen van gegevens – is geen exclusieve taak van IT-specialisten. De AVG betekent dat persoonsgegevens echt gemanaged moeten worden. Hub Gerats, Chief Information Security Officer (CISO) bij Fontys Hogescholen, vertelt over de actuele ontwikkelingen en do’s & don’ts.

“Organisaties hebben de afgelopen jaren heel veel gedigitaliseerd en een einde aan de digitalisering is nog lang niet in zicht. Sterker nog, in het licht van ontwikkelingen zoals Artificial Intelligence, big data, data analytics en het Internet of Things zal de hoeveelheid – vaak ongestructureerde – data alleen maar verder groeien. Dat maakt datamanagement een enorme opgave – ook voor privacyprofessionals”, vertelt Hub Gerats, Chief Information Security Officer (CISO) bij Fontys Hogescholen en hoofddocent van de tweedaagse IIR-training Datamanagement.

“Als privacyprofessional sta je voor de uitdaging om inzicht te krijgen in de verwerkingen van persoonsgegevens binnen de organisatie, en overzicht te houden over de risico’s die daarbij spelen. Verder gaat het ook om het bewaken van de juistheid van data, het stimuleren van dataminimalisatie, en het regelen van overeenkomsten met gegevensverwerkingen door leveranciers,” licht Gerats toe. “Dat zijn allemaal zaken die direct samenhangen met datamanagement: het besturen en beheersen van gegevens.”

Onvolwassenheid
Veel organisaties zijn nog onvolwassen als het gaat om datamanagement, aldus Gerats. “We hebben jarenlange ervaring in het managen van personeel, financiën en middelen. Maar het managen van data is nog geen gemeengoed. Er wordt dan vaak gekeken naar de IT-afdeling, maar IT’ers gaan primair over de techniek achter informatiesystemen. Bij het beheer van data – waarbij het om meer gaat dan de verwerking van persoonsgegevens – heb je naast techniek ook mensen en middelen nodig, zodat data, processen en ICT integraal worden benaderd.”

De Algemene verordening gegevensbescherming (AVG) heeft het thema datamanagement bij veel organisaties hoger op de agenda gezet, signaleert Gerats, die tot voor kort als CISO bij de gemeente Heerlen werkte. “In het verleden bestond nogal eens de neiging om eindeloos gegevens te verzamelen en bewaren, met als gevolg dat organisaties overspoeld raken met data zonder dat de verwerkingen altijd bijdragen aan het behalen van de bedrijfsdoelstellingen. De AVG wijst ons erop dat persoonsgegevens echt gemanaged moeten worden. Data moeten bijvoorbeeld juist zijn, er moet sprake zijn van doelbinding om gegevens te mogen verzamelen, je moet databestanden regelmatig opschonen en je kunt persoonsgegevens niet zomaar delen met andere partijen.” Een raamwerk zoals DMBOK, een initiatief van DAMA International, de internationale brancheorganisatie voor informatie- en datamanagement, helpt daarbij.

Van spaghetti naar lasagne
Een positieve trend is de beweging die Gerats beschrijft in termen van de metaforen van spaghetti en lasagne. “Er wordt steeds meer gewerkt aan de transformatie van een complex, onoverzichtelijk informatievoorzieningslandschap (IV-landschap) met een groot aantal koppelingen naar een toekomstbestendig landschap met maximale samenhang en minimale koppelingen. In het verleden zijn silo-oplossingen ontstaan doordat elke afdeling een eigen applicatie met eigen data gebruikte, die vervolgens onderling zijn gekoppeld. Gegevens worden dan binnen de organisatie vele malen gekopieerd en het totale aantal koppelingen is amper te overzien. De toegang tot de gegevens ziet er op het eerste oog misschien eenvoudig uit, maar onder de motorkap is het een grote warboel. Dit zorgt voor een weinig flexibel en duur IV-landschap, dat ook nog eens kwetsbaar is.”

Tegenover de warboel van de spaghetti staat een manier van werken die met de metafoor van de lasagne kan worden beschreven. “De data zitten dan in bronbestanden met daar bovenop een integratielaag en daar weer bovenop de applicaties die de bedrijfsprocessen ondersteunen. Toegang tot de data verloopt via standaard afspraken over bijvoorbeeld identiteits- & toegangsmanagement en logging & monitoring. Door de data en applicaties strikt te scheiden, ben je flexibeler in het gebruik van applicaties – en worden beheer en onderhoud eenvoudiger.” Dit vereenvoudigde, overzichtelijke IV-landschap van de toekomst klinkt misschien logisch en makkelijk, maar de transformatie naar het nieuwe landschap gaat zeker jaren duren. “De spaghetti maakt het lastig om zaken aan te passen: als je op ene plek iets verandert dan ontstaan vaak elders weer nieuwe en onverwachte issues, soms zelfs zonder dat je de impact ervan helemaal overziet. Het is dus niet eenvoudig, maar wel noodzakelijk om ermee aan de slag te gaan. Want alleen op die manier zijn organisaties toekomstvast, kunnen zij voldoen aan de eisen van de AVG en cybersecurity waarborgen”.

Tooling
Binnen het onderwijs leveren initiatieven zoals de Open Onderwijs API een bijdrage aan de transitie naar een toekomstbestendig IV-landschap waarin datamanagement een stevige plek heeft. Binnen gemeenten is het initiatief Common Ground een voorbeeld van goed datamanagement.

Ook voor andere organisaties zijn er volop praktische tools om datamanagement te ondersteunen. Gerats noemt onder andere de internationale standaard ISO 27701 en het bijbehorende Privacy Information Management System (PIMS), waarmee organisaties een PDCA-cyclus voor zowel security als privacy in handen krijgen. “In de training Datamanagement bekijken we het onderwerp vanuit een informatie-, informatieveiligheid- en privacyperspectief. Voor elk van deze perspectieven bestaan tools en best practices. Zo kan je met ArchiMate onder andere informatiestromen beschrijven. De beschrijving van de onderlinge samenhang tussen processen, informatie en ICT in de organisatie is een essentieel hulpmiddel om verantwoord met data om te gaan. Welke tooling daarvoor het beste geschikt is, hangt sterk af van het bestaande en beoogde volwassenheidsniveau op het terrein van datamanagement.”

Management en governance
Welke tips heeft Gerats voor het datamanagement van nu en straks? “Een must-do is om de data zorgvuldig, logisch, bedrijfsmatig en verantwoord te organiseren. Ook de rechten voor het gebruik van de gegevens moeten worden geregeld. Welke data delen we, intern en extern? Welke doelen zijn ermee gediend? Welke informatie moet echt worden opgeslagen? Organisaties delen steeds meer data. Vroeger stond er als het ware een firewall rond de organisatie en zorgde het identiteits- en toegangsbeheer ervoor dat je in de gaten houdt welke informatie er in en uit gaat. Nu werken mensen op allerlei plekken met mobiele apparaten, en zijn softwaresystemen steeds vaker extern ondergebracht, bijvoorbeeld bij een cloud provider. Dat maakt de informatie- en ICT-beveiliging veel complexer.”

Met de groeiende datastromen en gegevensuitwisselingen neemt ook het belang van data governance toe, benadrukt Gerats. “Daar hoort bij dat de verantwoordelijkheden voor de omgang met informatie helder zijn verdeeld. Het is een hardnekkig misverstand dat de informatievoorziening een exclusieve taak is van de ICT-afdeling.”

Voor privacyprofessionals ligt de samenwerking met security specialisten dan ook voor de hand, vindt Gerats. “Bij Fontys Hogescholen is enkele jaren geleden het Information Security en Privacy Office opgericht. Hiermee is bewust de keuze gemaakt om security en privacy vanuit één office te regisseren. Security is meer dan privacy en privacy is meer dan security, maar als het gaat om bijvoorbeeld datamanagement, datakwaliteit, risico-analyses bij onze business units en awareness is het handig om de organisatie vanuit één team te bedienen. De business units zijn data hierdoor ook veel beter gaan managen. Het architectuurteam is uitgebreid, er zijn proceseigenaren aangesteld, dataprocessen worden verbeterd en er wordt security by design en privacy by design toegepast.”

Start vandaag
“Er is een Chinees spreekwoord dat luidt: het beste moment om een boom te planten was twintig jaar geleden – het op één na beste moment is vandaag”, adviseert Gerats. “Start zo snel mogelijk met integraal datamanagement en voorkom dat de organisatie vastloopt in een veel te complex IV-landschap waarin veranderingen zeer moeilijk of amper mogelijk zijn.” In de training Datamanagement presenteren Gerats en zijn mededocenten laagdrempelige modellen om met datamanagement van start te gaan. “Een mogelijke aanpak hierbij is om een roadmap op te stellen, de data governance in te richten, en dan de datastrategie te bepalen. Daarmee leg je een gedegen basis voor datakwaliteit en het onderhoud van het datalandschap. Alles wat je aandacht geeft groeit, zo zeggen we vaak. Dat geldt ook voor datamanagement: als je er serieus over gaat nadenken, dan ga je er vanzelf mee aan de slag.”

Ook aan de slag met datamanagement – en alles weten over de do’s & dont’s, tools en best practices? Volg dan de tweedaagse training Datamanagement. Als privacyprofessional optimaal samenwerken met security specialisten? Kies dan voor de training Security voor Privacyprofessionals.

Verder lezen?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.