Security, praat met de functioneel beheerder!

door | 10 februari 2022

13 situaties waarin de functioneel beheerder en de privacyprofessional elkaar aanvullen.

De invoering van de AVG heeft impact op de informatievoorziening van bijna elke organisatie. Uiteraard raakt dit het vakgebied privacy maar ook functioneel beheer. Beide vakgebieden zijn zich er misschien nog niet van bewust, maar ze hebben elkaar nodig. Bij een goede samenwerking kunnen ze elkaar zelfs versterken.
De uitkomst van de volgende 13 situaties is optimaal wanneer de functioneel beheerder en de privacy professional elkaar opzoeken, wetende wat ze van elkaar kunnen en mogen verwachten.

De functioneel beheerder is de spin in het informatieweb van een organisatie. De primaire taak van een functioneel beheerder is te zorgen voor een betrouwbare, wendbare, schaalbare en innovatieve informatievoorziening. Hij/ zij ziet veel, hoort veel, en heeft veel impliciete kennis over processen, applicaties, leveranciers en het gebruik van ICT binnen de organisatie. De functioneel beheerder is ook bekend met de schaduwkant van de IT-organisatie, een belangrijke bron van risico’s. Dit maakt de functioneel beheerder van onschatbare waarde voor de privacy professional.

1. Hoe stromen de persoonsgegevens?

Voor een gedegen privacybeleid is het fundamenteel om de informatiestromen in kaart te brengen. Op basis van de informatie-inventarisatie neemt de privacy professional beslissingen en maatregelen om te voldoen aan de AVG en andere wetgeving. Een correcte en nauwkeurige informatieboek-inventarisatie is daarom van belang voor de privacy professional.

Binnen organisaties zijn er beheerde en onbeheerde informatiestromen. Een functioneel beheerder kan helpen om beide stromen in kaart te brengen. Met name de onbeheerde stromen zijn een belangrijk privacyrisico. Deze stromen zijn niet beschreven en liggen slechts vast in de hoofden van de medewerkers en zijn bij uitval van deze medewerkers niet geborgd in de organisatie.

2. Register van verwerkingen

Onder de AVG is het bijhouden van een ‘register van verwerkingen’ verplicht. Dit register is de informatieboekhouding van de organisatie. Het vormt de basis van het beleid om te voldoen aan de AVG. Welke gegevens heeft de organisatie? Op basis van welke grondslag zijn deze verzameld? Wat mag de organisatie doen met deze informatie?

Vaak wordt de proces- en applicatie-eigenaar betrokken bij het opstellen van het register. De functioneel beheerder kan een belangrijke controleslag uitvoeren voor de registers, omdat hij/zij inzicht heeft in de daadwerkelijke -beheerde en onbeheerde- informatiestromen. Ook kan de functioneel beheerder verwerkersovereenkomsten controleren, met name de overeenkomsten die door leveranciers zijn aangeleverd.

Ook kan het register van verwerkingen normstellend werken: het geeft de toegestane verwerkingen binnen een proces, informatieketen of applicatie weer.

3. Expliciete en impliciete kennis

Het opstellen en beheren van de applicatiedocumentatie en applicatieprocessen ligt vaak op het bord van de functioneel beheerder. Kwalitatief goede documentatie maakt medewerkers risicobewust en demonstreert wat wel en wat zeker niet is toegestaan in de applicatie. Het register van verwerkingen werkt normatief.

Het wordt echt spannend als de applicatiekennis vooral tussen de oren van een functioneel beheerder is opgeslagen. Impliciete kennis is natuurlijk ook kennis, echter het ‘Brein Informatie Centrum’ (BIM), is niet geschikt om alle informatie voor altijd op te slaan. Wordt de impliciete kennis in meerdere BIMs opgeslagen dan is het spanningsveld compleet. Streef naar expliciete kennis op schrift.

X