Het-stappenplan-voor-een-goede-PDCA-cyclus
30.04.2018

Informatiebeveiliging: Het stappenplan voor een goed ingerichte PDCA cyclus

Wanneer het onderwerp informatie- en privacymanagement wordt aangesneden, wijst men automatisch naar de CISO of FG. Maar wist u dat zij helemaal niet eindverantwoordelijk zijn voor de informatiebeveiliging van persoonsgegevens? Het is aan de manager om hier sturing aan te geven. Dit valt namelijk onder de PIOFA taken (Personeel, ICT, Organisatie, Financiën, Algemeen) die managers al hebben.

De manager is dus een belangrijke schakel binnen de persoonsgegevensbescherming. Hij/zij is verantwoordelijk voor het gehele proces en het afdragen van verantwoordelijkheid aan directie, raad, stelselhouders en college. Een goed ingerichte PDCA cyclus kan hierbij helpen.

Dé manager

De term manager heeft geen eenduidige betekenis. Om de positie van de manager te kunnen bepalen binnen het informatie- en privacymanagement is het goed om eerst de term manager te definiëren.

“Een manager is iemand die processen stuurt en het handelen van anderen op gang brengt”

Procesmanagement

Nu we de definitie van de manager hebben bepaald, kunnen we concluderen dat het sturen van processen een belangrijke rol speelt. Laten we de definitie van een proces ook uitschrijven:

“ Een proces is een reeks aaneengesloten handelingen met als doel om een resultaat te bereiken”

Een goed ingerichte PDCA cyclus

Als verantwoordelijke voor de processen is de manager verantwoordelijk voor de inrichting van het proces, de eerstelijns interne controle, procesondersteunende software en het aansturen van de medewerkers. Een goed ingerichte PDCA cyclus voor informatiebeveiliging werkt als een overzichtelijke leidraad. Het zorgt ervoor dat aan de voorkant de juiste analyse kan worden gedaan en geeft inzicht in de uitvoering. Met controles behoudt de manager overzicht en inzicht in het gehele proces. Om de PDCA cyclus goed in te richten kunnen de volgende stappen worden gezet;

  • Maak een plan
  • Borg de projecten
  • Borging in het proces
  • Verantwoording afleggen

Ook interessant: Timeline 2018: Alle Privacy, Security & Auditing deadlines »

1. Maak een plan

Om sturing te kunnen geven aan het team/afdeling/sector is het belangrijk om een plan te hebben. Door samen met de beleidsmedewerkers vooruit te kijken is er zicht op te initiëren verbeteringen/veranderingen en nieuwe ontwikkelingen. Dit soort zaken zijn al geïnventariseerd voor de begroting. Als aanvulling wordt gekeken naar de processen, systemen en medewerkers. Het jaarlijkse afdelingsplan is een prima instrument om vast te leggen wat de aandachtspunten zijn, wat de nieuwe ontwikkelingen zijn en welke controles moeten plaatsvinden.

2. Borg de projecten

Door projectmatig te werken kunnen kwaliteitseisen geborgd worden bij nieuwe ontwikkelingen. Alleen al door een beveiligings- en privacy paragraaf op te nemen in het template van een projectplan wordt men gedwongen om na te denken over eventuele risico’s en maatregelen. De FG en de CISO kunnen in de projectfase direct meedenken waardoor vanaf dag één is nagedacht over deze expertise. Dit is een vereiste dat verankerd is in de wet; “privacy en security by design”.

Lees ook: “ De 10 topics van AVG-compliance »

3. Borging in het proces

Informatiebeveiliging en privacy worden bij voorkeur geborgd binnen een proces. Dit kan door maatregelen te nemen in de procesondersteunende software. Denk aan het inrichten van autorisaties, inbouwen van functiescheiding, inrichten van de logging en periodieke controle.

4. Verantwoording afleggen

Heeft het afdelingsplan gevolg gekregen? Binnen de planning en control cyclus is voldoende ruimte ingebouwd om verantwoording af te leggen over de stand van zaken.

Manager: U hoeft het niet alleen te doen

Voor de beheersing van de interne processen omtrent informatiebeveiliging is overzicht erg belangrijk. Met IC Control, dé Governance, Risk en Compliance tool, krijgt u dit inzicht. Het helpt u bij het beheersen van de interne processen, geeft u inzicht in de stand van zaken en biedt overzicht van de gedragscodes en wet- en regelgeving. Als manager staat u er niet alleen voor. Wij helpen u graag met een overzichtelijk systematisch proces!

IC Control: Ja! Ik wil overzicht en structuur! »

Categorie: Nieuws