Wat zijn nu eigenlijk de belangrijke processen en rollen in de samenwerking met leveranciers? En hoe zorgt u ervoor dat leveranciers met een goed ingerichte IT governance daarbij zoveel mogelijk waarde kunnen leveren? In dit artikel geven we met een viertal best practices een antwoord op deze vragen.

Belangrijke processen

Om direct de eerste vraag te beantwoorden: contractmanagement, leveranciersmanagement, projectmanagement, service level management, incident management en – in het geval van uitbesteedde softwareontwikkeling – productmanagement zijn belangrijke processen in de samenwerking met leveranciers. De inrichting van deze processen kost weliswaar tijd, maar gelukkig zijn er specialisten die u hier goed bij kunnen ondersteunen.

Het goed inregelen van deze processen betekent niet dat uw leveranciers vervolgens ook direct waarde toevoegen. In de praktijk komt het nog vaak voor dat klant-leverancierrelaties piekfijn zijn ‘gestructureerd’. Dat gebeurt vaak met stevige juridische en zwaarlijvige contracten, die veelal eenzijdig – en in moeilijke taal – zijn opgemaakt.

Kortom, contracten voorkomen niet dat uw leveranciers zich richten op hun eigen dienstverlening en doelen. Dit terwijl u op zoek bent naar leveranciers die zich verdiepen in uw business, die qua bedrijfscultuur bij u passen én die met verrassende ideeën komen.

Zoek naar een balans

Onderdeel van een ‘fitte’ IT governance – in dit geval goed ingerichte processen en rollen aan de aanbodzijde – is een goede balans tussen harde (contracten) en zachte (relatie) aspecten in de samenwerking met leveranciers. Contracten en KPI’s zijn belangrijk, maar in onze optiek zijn het ook hygiënefactoren die op orde moeten zijn. De balans mag wat ons betreft best iets overhellen naar het zachte relationele aspect. Geef elkaar wat meer regelruimte, want wat is nu mooier dan een klant-leveranciersrelatie waarin enthousiast en oprecht met elkaar wordt samengewerkt? Waarin de nadruk ligt op vernieuwing en gehandeld wordt vanuit een 1+1=3 principe, of het nu om nieuwe initiatieven of om het oplossen van problemen gaat?

4 best practices voor uw IT governance

Maar hoe organiseert u dit? We geven graag een viertal best practices op dit gebied:

1. Stel gecombineerde solutions teams samen, voor onderwerpen als software-ontwikkeling, cyber security en IT-architectuur. Deze teams bestaan uit specialisten uit zowel uw eigen organisatie als vanuit uw leveranciers. Op deze manier combineert u de expertise en praktijkervaring uit uw eigen organisatie met de kennis en ervaring van uw leveranciers. Naast het verdiepen in – en accepteren van – elkaars cultuur is het belangrijk duidelijke resultaten met deze teams af te spreken en hier vervolgens ook op te sturen. Regelmatig persoonlijk contact is essentieel om goed te evalueren en continu relevante informatie te delen.
2. Identificeer gezamenlijk de risico’s van de samenwerking. Elke samenwerking kent risico’s. Zowel uw eigen organisatie als de leveranciers hebben invloed op het ontstaan, effect en mitigeren van deze risico’s. Door dit samen goed te bespreken krijgt u meer inzicht in elkaars cultuur, en daarmee ook de manier waarop er wordt omgegaan met (het mitigeren van) risico’s.
3. Onderken elkaars belangen binnen de samenwerking. Als opdrachtgever is het belangrijk te onderkennen dat de belangen van uw leveranciers anders zijn dan die van u. Natuurlijk handelen leveranciers zoveel mogelijk naar de belangen van hun klanten, maar hier zal altijd een grens aan zitten. Door belangen samen vast te leggen in een samenwerkingsconvenant, kunt u veel onduidelijkheid wegnemen.
4. Focus op de eigen verantwoordelijkheid. Het is belangrijk in een samenwerking om helder te hebben wie verantwoordelijk is voor het ‘wat’ en wie voor het ‘hoe’. Een RASCI-model helpt de rollen en verantwoordelijkheden duidelijk te maken en helder te krijgen wie welke taak wanneer uitvoert. Dit lijkt op de harde kant van IT governance, maar het gaat hier vooral om de doelmatigheid, efficiëntie en snelheid van een samenwerking. Dit is zeker belangrijk binnen organisaties waar meerdere rollen aan één functie zijn gekoppeld.

Gelijkwaardigheid, onderling vertrouwen en respect

Deze wijze van samenwerken moet groeien. Hier zijn goed opdrachtgeverschap, regievoering, inzicht in elkaars organisaties, gelijkwaardigheid, onderling vertrouwen en wederzijds respect voor nodig. Deze zaken zijn er niet vanaf dag één. Er kan wel vanaf dag één aan gewerkt worden, bijvoorbeeld door elkaar in een open dialoog aan te kunnen spreken en met elkaar prestatieafspraken vast te leggen. Daar zijn dan toch de KPI’s – maar dan wel de KPI’s voor bijvoorbeeld communicatie en gedrag in de samenwerking. Ik sluit af met de gedachte dat Service Level Agreements zeker goed zijn, maar samen met uw leveranciers beseffen waar het werkelijk om gaat is nóg beter!

The post De zachte kant van IT governance appeared first on Intermax.

Strategische missie als begin

Het begint met het hebben van een strategische missie; hoe creëert uw IT-organisatie zoveel mogelijk waarde voor de stakeholders, met minimale risico’s en een efficiënte inzet van mensen en middelen? Welk beleid en welke processen en rollen zijn vervolgens nodig om dit te bereiken? En hoe gaat u dit vervolgens de spreekwoordelijke ‘handen en voeten’ geven binnen uw IT-organisatie?

Vanuit de theorie zijn er al jaren verschillende frameworks beschikbaar die kunnen helpen bij de inrichting en borging van een goede IT governance en de hiermee samenhangende IT-regieorganisaties. Zo wordt COBIT – internationaal erkend als een standaard voor invulling aan de behoefte op controle over informatie en IT gerelateerde risico’s- nog steeds door veel financiële dienstverleners gebruikt. Ook het door Quint Wellington Redwood ontwikkelde Demand Supply Governance Framework (DSGF) zien wij geregeld terug. Verder bevatten de verschillende ISO-standaarden en de – recente steeds populairdere – SIAM (Service Integration and Management) opzet zeer bruikbare bouwstenen voor een goede invulling van IT-Governance. Omdat er vaak niet één waarheid is, ontwikkelen bedrijven steeds meer ook eigen frameworks met de hulp van alle beschikbare bouwstenen. Zo zorgen zij dat deze beter aansluiten op de behoeftes van hun klanten.

Leidraad bij de inrichting van goede IT governance

Er zijn een aantal onderwerpen te onderscheiden die binnen goed ingerichte IT governance aan de orde zouden moeten komen. Deze onderwerpen zijn niet nieuw, maar blijken ook nu nog steeds geschikt voor bijvoorbeeld een assessment. Tijdens zo’n assessment wordt de huidige situatie binnen uw organisatie vergeleken met uw IT governance-ambities. Dit kan met interviews, workshops of questionnaires. Het gaat om de volgende onderwerpen:

1. Organisatie
2. Kaders, beleid en strategie
3. Processen
4. Services, infrastructuur en applicaties
5. Informatie
6. Cultuur en gedrag
7. Rollen en competenties

Stel een kernteam samen en betrek leveranciers
Stel, u heeft besloten om uw IT governance eens flink onder handen te nemen. Wellicht wordt u hier zelfs toe gedwongen, door outsourcing van IT-diensten en/of toename van compliance-eisen. Een eerste stap is dan om binnen uw organisatie een IT-kernteam samen te stellen die dit voor u gaat organiseren. Belangrijk hierbij is om het traject overzichtelijk te houden en om uw leveranciers hier bij te betrekken. Zij zijn immers een belangrijke stakeholders in geval van outsourcing. Een dergelijk traject kent vervolgens over het algemeen 4 fases:

Fase 1: Analyse en strategie
In deze eerste fase worden de IT governance-definities, stakeholderbehoeftes en IT-doelstellingen geanalyseerd en vastgelegd. Door de huidige en gewenste situatie rondom processen, IT-diensten, leveranciers en de organisatorische inrichting (in de vorm van rollen en systemen) te analyseren, kan een eerste framework en plan van aanpak voor fase 2 worden gemaakt. Deze fase is over het algemeen nog wat abstract. Een meer concrete invulling van deze zaken volgt in een volgende fase.

Fase 2: Ontwerpen en Bouwen
De strategie is nu bepaald en het framework kan concreter worden ingevuld. In deze fase wordt besloten welke (vaak nieuwe) IT-diensten er door welke (vaak nieuwe) leveranciers worden geleverd. Hierbij is het essentieel om de koppelvlakken goed te definiëren. Daarnaast worden processen, rollen, verantwoordelijkheden en overlegstructuren concreet gedefinieerd. Het is nu ook verstandig om een keuze te maken voor een integraal service managementsysteem, om de definitie van data met elkaar kristalhelder te maken en om de wijze van prestatiemeting vast te leggen. Deze fase wordt afgesloten met een concreet plan van aanpak, waarin helder gedefinieerde resultaatmomenten staan.

Fase 3: Implementatie
In deze fase wordt het framework binnen de organisatie geïmplementeerd. De IT-regie-organisatie krijgt in deze fase haar concrete invulling.

Fase 4: Borging en constant verbeteren
In deze fase gaat de IT governance en IT-regie-organisatie haar waarde bewijzen. Zij moeten daarvoor constant uitgelijnd blijven op interne en externe veranderingen voor de organisatie. Belangrijke activiteiten voor de IT-Governance ‘eigenaar’ zijn het continue monitoren van processen, rollen en kwaliteit. Ook het continue uitlijnen van interne en externe veranderingen op het IT-dienstenportfolio en het monitoren van contracten en de samenwerkingsrelatie met leveranciers blijven essentieel. Dit wordt ook wel life cycle management (LCM) genoemd.

Bovenstaande fases hoeft u niet altijd alleen te doorlopen. Er zijn specialisten die u – als volwaardig sparringpartner – bij zowel de implementatie als het continue verbeteren van de processen kunnen ondersteunen. Zij kunnen u helpen met verkenningsworkshops, de uitvoer van assessments, interviews met stakeholders en verdiepingsworkshops. Deze middelen kunnen helpen om de topics en bijbehorende processen op strategisch, tactisch en operationeel niveau te analyseren en te vertalen naar uw situatie.

The post 4 fases voor de inrichting van uw IT governance appeared first on Intermax.

Stadia voor het outsourcen van IT-diensten

Om het juiste tijdstip te bepalen van de start voor de juiste inrichting van IT governance, is het goed om stil te staan bij de verschillende fasen die over het algemeen binnen een outsourcingstraject zijn te onderscheiden:

1. Strategie: als onderdeel van een bedrijfsstrategie onderzoekt het hoger management in deze fase of outsourcing van IT-diensten de organisatie nog slagvaardiger kan maken bij het behalen van haar bedrijfsdoelstellingen. De eerste business case wordt vervolgens opgemaakt.
2. Specificatie: deze zeer kritische fase betreft het definiëren van de mate van outsourcing, het opmaken van een goede vraagspecificatie en het selecteren van dienstverleners die passen bij de organisatie en mate van outsourcing.
3. Onderhandelen: in deze fase worden de contracten met dienstverleners gesloten en wordt een eerste planning gemaakt voor de transitie.
4. Transitie: in deze fase wordt de planning voor de transitie definitief gemaakt en wordt gestart met het daadwerkelijk invullen van de gecontracteerde diensten. De nieuwe dienstverlener is verantwoordelijk voor het begeleiden van de transitie.
5. Monitoring en evaluatie: in deze fase zullen de dienstverleners, IT-regieorganisatie en IT-diensten hun waarde voor de organisatie moeten bewijzen. Aan de hand van stuurvariabelen wordt gemeten of de kwaliteit van zowel de diensten als de leveranciers overeenkomt met wat er in fase 3 contractueel is vastgelegd.
6. Re-transitie: in deze fase start het outsourcingstraject in feite opnieuw – omdat de behoeftes kunnen veranderen of bijvoorbeeld omdat een organisatie aanbestedingsplichtig is – en zal de IT-regieorganisatie in staat moeten zijn om opnieuw een goede vraagspecificatie op te stellen voor het selecteren van een (nieuwe) dienstverlener.

Waarom organisaties vaak te laat starten met het inrichten van IT governance

Vasthouden aan traditionele patronen, de nadruk leggen op technologie of – in het meest extreme geval – helemaal niets doen, onder de noemer ‘op deze wijze gaat het al 30 jaar goed’. Allemaal redenen voor een organisatie om onvoldoende aandacht te besteden aan IT governance en de daarmee samenhangende organisatieveranderingen die een outsourcingstraject met zich meebrengt. Helaas mislukken veel van dergelijke trajecten door het ontbreken van duidelijk vastgelegde formele afspraken en doordat veel leveranciersrelaties niet gebaseerd zijn op vertrouwen, samenwerking en transparante communicatie. Zo ontstaat het risico dat zowel de externe dienstverleners als de eigen IT-regieorganisatie onvoldoende in staat zijn om eindgebruikers de (meer)waarde van de outsourcing te laten ondervinden.

Risico’s voor een organisatie die te laat start met IT governance

Als een organisatie te laat start met IT governance, kan dit tot gevolg hebben dat eindgebruikers de keuze voor outsourcing ter discussie stellen. Op den duur kunnen daardoor ook andere belanghebbenden hun vraagtekens plaatsen bij de outsourcing. Zo kan de combinatie van het gebruik van moderne cloudtoepassingen (en moderne clouddienstverleners) met traditioneel ingerichte organisaties leiden tot compliance- en beveiligingsrisico’s en een inefficiënte inzet van resources. Ook wordt er in dat geval dikwijls onvoldoende waarde gecreëerd voor de organisatie.

Wat doet een goede IT-regieorganisatie?

Wat bepaalt dan het succes van een goede IT-regieorganisatie? De volgende factoren spelen hier een belangrijke rol:

• Innovatie: er moet ruimte en budget zijn voor innovaties, die ervoor zorgen dat de IT-diensten constant aansluiten op de steeds sneller veranderende behoeften van gebruikers.
• Proactiviteit: dienstverleners en IT-regieorganisaties zullen op een proactieve wijze samen moeten werken, met hierbij de blik op (middel)lange termijn. Reactief en korte termijn denken en handelen is funest voor het behalen van gezamenlijke doelen.
• Win/Win: om gezamenlijk succes te creëren zullen contracten met dienstverleners gebaseerd moeten zijn op samenwerking en gemeenschappelijke doelen.
• Luister naar gebruikers: geen keuzes maken omdat een dienstverlener dit voorschrijft of de organisatie ‘het zo altijd heeft gedaan’. Gebruikers weten over het algemeen prima wat zij nodig hebben om hun werk goed te kunnen doen.
• Kosten: het bewaken en transparant houden van kosten is belangrijk, zonder het besparen van kosten als primaire doel te stellen.

Ten slotte is er de factor tijd; vaak is de transitie al in volle gang zonder een doordachte strategie voor organisatie transformatie en cultuurverandering.

Op het moment dat een organisatie aan de transitiefase begint, is het essentieel om de IT governance en daarmee samenhangende IT-regieorganisatie voor het grootste gedeelte al te hebben voorbereid. Mijn advies is om in de specificatie-fase niet alleen te kijken naar de technische invulling, maar ook een goed ontwerp te maken voor een organisatorische herindeling en een IT governance framework op te stellen. Wanneer de transitie in volle gang is, en de nieuwe dienstverlener dus in feite al verantwoordelijk is, is het eigenlijk al te laat. Door op deze manier op tijd ook de impact van outsourcing op de organisatie in kaart te brengen, wordt de meerwaarde ervan duidelijk en wordt er gewerkt naar het einddoel: tevreden eindgebruikers!

The post Wanneer gaat u starten met de inrichting van goede IT governance? appeared first on Intermax.

Het valt op dat organisaties bij outsourcing nog steeds de nadruk leggen op het inkoopproces en het technische gedeelte van de transitie. Bij Intermax merken wij echter dat er in de business case voor outsourcing – als gevolg van nieuwe en vaak complexe multi-cloudtoepassingen en de steeds belangrijkere regiecompetentie binnen een organisatie – vaak niet voldoende aandacht is voor het aanpassen van organisatie, procedure, rollen en verantwoordelijkheden.

Goed ingerichte IT governance – in de vorm van een helder en passend framework waarin rollen en procedures binnen alle lagen van de organisatie worden vastgelegd – is daarom essentieel voor een succesvolle outsourcing. Een framework helpt zaken te structureren en regie te houden op de razendsnelle technische innovaties en steeds veranderende wettelijke eisen. Goede georganiseerde IT governance helpt bovendien niet alleen bij het beperken van risico’s, het creëert ook kansen voor een organisatie. Het biedt namelijk de mogelijkheid om de samenwerking met en tussen dienstverleners naar een hoger niveau te brengen, alsook om extra klantwaarde en kostenbesparingen te realiseren. Extra klantwaarde kan bijvoorbeeld worden gerealiseerd door gebruik te maken van de suggesties en ideeën van leveranciers. Zij zijn immers specialist op hun vakgebied.

De rol van de IT-manager

Van IT-organisaties wordt verwacht dat zij – op een transparante wijze, tegen aanvaardbare kosten en met minimale risico’s en een efficiënte inzet van betrouwbare middelen – zoveel mogelijk waarde creëren voor de organisatie. De IT-manager heeft daarbij te maken met een constant veranderende omgeving. Een overzichtelijke en effectief ingerichte IT governance is daarom ook voor hem of haar essentieel. De moderne IT-manager heeft zich ontwikkeld naar een generalist, die zich soepel moet kunnen bewegen tussen alle interne en externe betrokkenen, binnen en buiten zijn organisatie. Een goede relatie met de volgende betrokkenen is belangrijk:

Bestuurders
Bestuurders zijn over het algemeen verantwoordelijk voor het strategische beleid, de Corporate Governance en de hiervan afgeleide IT-Governance. Bestuurders voelen zich comfortabel wanneer de IT ‘onder controle’ is en gestelde doelen worden behaald.

Toezichthouders
Externe toezichthouders, zoals de Autoriteit Bescherming Persoonsgegevens of De Nederlandsche Bank, zien erop toe dat organisaties zorgvuldig omgaan met informatiebeveiligingsrisico’s en bepalen of er wordt voldaan aan de wettelijke eisen. De adoptie van cloudtechnologieën leidt momenteel vanuit toezichthouders ook tot veranderende en een toenemend aantal eisen wat betreft Risk & Compliance. Interne Risk & Compliance afdelingen zien er weer op toe dat IT-diensten volgens de geldende interne procedures en contracten worden uitgevoerd. Voor de IT-manager betekent dit een rapportageverplichting. Niet voldoen aan wettelijke eisen kan enorme boetes en imagoschade tot gevolg hebben.

Financiële afdeling
De financiële afdeling gebruikt financiële en bedrijfskundige informatie om mee te denken bij de besluitvorming. Voor innovaties en procesaanpassing zijn zij dus een belangrijke business partner’.
De financiële afdeling voelt zich comfortabel bij voorspelbare kosten en een hoger ‘return on IT-investments’.

IT-operatie
De eigen IT-afdeling heeft naast operationele ook steeds meer regieverantwoordelijkheden. Samen met leveranciers zorgt de IT-afdeling ervoor dat gebruikers kunnen beschikken over betrouwbare en veilige middelen. Ook is de afdeling beschikbaar om proceseigenaren te adviseren over procesverbetering, vaak door de inzet van moderne technologieën.

Gebruikers
Misschien wel de belangrijkste actor in het geheel, en een belangrijke groep om mee in gesprek te blijven! IT helpt deze groep bij hun dagelijks werk. Voor de gebruikers is het belangrijk dat diensten beschikbaar zijn. Mocht dit onverhoopt niet het geval zijn, dan moeten zij kunnen rekenen op snelle ondersteuning voor herstel.

Proceseigenaren
Verantwoordelijken voor een bedrijfsproces, zoals logistiek, SEH of HRM, verwachten betrouwbare, veilige en innovatieve technologie die hun proces ondersteunen, en waar mogelijk efficiënter maken. Zij zijn belangrijk voor het bepalen van functionele wensen en om te informeren over zaken die van invloed kunnen zijn op bijvoorbeeld de privacy van gebruikers of externe klanten.

Cloudleveranciers
In het geval van outsourcing worden operationele IT-diensten (voor het grootste gedeelte) geleverd door betrouwbare dienstverleners, die constant hun meerwaarde moeten tonen aan de organisatie. Tegelijkertijd moeten dienstverleners ook in staat worden gesteld om innovaties en nieuwe ideeën te introduceren.

Kortom, er zijn allerlei actoren en onderwerpen te onderscheiden die samen het succes van IT binnen een organisatie bepalen. Al die actoren en onderwerpen zijn dynamisch. Met goed ingerichte IT governance, in de vorm van een overzichtelijk framework met heldere koppelvlakken, kunnen risico’s worden geminimaliseerd en kansen worden verzilverd. Het doel: de best mogelijke IT-omgeving voor de eindgebruikers!

The post Het nut van IT governance: risico’s beperken en kansen creëren appeared first on Intermax.

Kan jij je nog je eerste echte bedrijfsbezoek herinneren? Ik wel: met m’n opa mocht ik kijken in de toenmalige drukkerij van de Haagse Courant in Rijswijk. Ik herinner me nog dat het ontzettend koud was, we een heel eind moesten lopen omdat het eindpunt van de tram nog ver voor ons doel lag. En dat ik zo onder de indruk was van die enorme rotatiepersen, de herrie en die stoere mannen in ketelpak die met gigantische rollen papier bezig waren. Een dag die ik nooit meer vergeet. Ik denk dat ik toen een jaar of acht was. Ik weet dus uit eigen ervaring hoeveel indruk een dag bij een ‘echt bedrijf’ kan maken. Soms betekent het voor jongeren een geheel nieuw wereldbeeld. Wat je later ook nog kunt worden. Inspiratie. Nieuwsgierigheid. Een ervaring die je niet snel vergeet. Wellicht je leven een beetje kleurt.

Dus daarom doen wij weer mee aan “De Baas van Morgen” van JINC. In Rotterdam werden we vergezeld door nog 60 andere Bazen die een dagje ruilen met een jonge leerling. Ik mocht een dagje ruilen met Sander (15). En dat was een prachtige ervaring voor ons beiden.

Tijdens het gezamenlijke ontbijt in Hotel Inntel konden we genieten van een prachtig uitzicht en een rijk gevulde tafel. Maar Sander en ik hadden ’s ochtends al uitgebreid gebabbeld in de auto, nadat ik hem op z’n school had opgehaald. Eerlijkheid gebiedt me te zeggen dat we beiden een beetje zenuwachtig waren, maar dat was snel over. We hadden elkaar een week eerder al aan de telefoon gesproken, dus het ijs was al gebroken.

Tijdens het Bazen-ontbijt mochten we al een beetje de baas uithangen. En elkaar meewarig aankijken terwijl er wat grappen en grollen werden rondgestrooid door een enthousiaste spreekstalmeester. Toen we een “tegeltjeswijsheid” moesten verzinnen kwamen we samen al snel tot de volgende spreuk:

“Eerlijk duurt het langst”

We hadden het over serieuze zaken. Wat is voor jou het belangrijkst in het leven? “Familie!”, riep Sander direct. Ik vertelde over dat alle collega’s bij Intermax elkaar “Intermakkers” noemen. Ook een soort familie.

Vervolgens ging ieder zijn of haar weg als Baas van Morgen, begeleid door de Baas van Vandaag. Wij gingen naar een van onze datacentra voor een ‘audit’. Zo kom je op plekken waar weinig mensen komen. In het hart van onze digitale infrastructuur.

We stelden allerlei inhoudelijke vragen. En waar die beloofde offerte bleef, hoe het nu moest met de uitbreiding van het aantal kasten, wat er gebeurt als de stroom uitvalt. En we verbaasden ons allebei over de enorme veiligheidsmaatregelen. Want het moet altijd blijven draaien!

We moesten ons haasten, want de Joyce, de P.A. van Sander voor die dag, belde al waar we bleven. “Ze zitten op je te wachten op het Schouwburgplein!”. Snel naar de afdeling Operations, want Teamleider Patrick had een storing: maar liefst 140 servers deden het niet meer. Oorzaak onbekend, er wordt koortsachtig gezocht! Wat doen we: een half uur wachten tot we weten welke klanten exact zijn getroffen? Of lichten we nu direct alle klanten in, ook degenen die niet zijn getroffen? De telefoon staat roodgloeiend, we moeten NU een beslissing nemen!

Sander bleef ijzig kalm en besloot dat het beter was om alle klanten proactief te informeren. Want het is nooit leuk om niets te horen tijdens een storing, daarna komt wel een update met concretere informatie. Gewoon vertellen, eerlijk duurt het langst!

Gelukkig bleek de storing niet echt te zijn, hoewel het een realistisch scenario was dat de week ervoor nog echt was voorgevallen.

Snel weer door naar de volgende meeting: Carola van HR wilde overleggen hoe we de nieuwe leaseregeling gingen vormgeven. Iedereen een elektrische auto? Of alleen de mensen die het echt nodig hebben om naar klanten te gaan?

Al snel ging het over vooropleidingen en wat je ‘later kunt worden als je groot bent’. Dat je afgestudeerd aan de Dansacademie ook heel goed HR-manager kunt worden. Of dat je als 21-jarige gewoon je eigen bedrijf kunt beginnen. Of zonder dat je een MBO-diploma hebt een van de beste hackers ter wereld wordt. Maar een diploma halen is altijd goed. Iets afmaken wat je begint, en daarna verder.

En rap weer door: Franique zat al te wachten om de betalingen te laten autoriseren die zij klaargezet had. Dat is best spannend als je net Baas bent geworden, in een minuut meer geld overmaken dan je ooit bij elkaar hebt gezien. Even opletten dus en goed controleren of het allemaal klopt. Hoort er allemaal bij!

Intussen komen er allemaal Intermakkers even kijken wie die nieuwe Baas is. En ze maken allemaal een praatje. Want ja, dat hoort er ook bij: “Er moet wel een beetje gelachen worden, je zit hier de hele dag immers! En lekker zeg al dat fruit, mag je dat gewoon pakken?” Tuurlijk, we zorgen goed voor onszelf!

Ondertussen praten we voortdurend over wat belangrijk is in het leven. Over hoe je met lastige situaties om gaat. Wat het verschil is tussen het ene en het andere bedrijf en waarom. Hoe je met collega’s samenwerkt, wat als het op het werk of thuis niet goed gaat. Hoe je elkaar kunt helpen. Hoe je verschil maakt in levens van mensen. Serieuze zaken. Voor we het weten is dat dag al om en wordt de Baas van Morgen thuis afgezet door de Baas van Vandaag.

Uiteraard in stijl. En als auto-fan natuurlijk even voelen hoe lekker pittig zo’n elektrische auto optrekt!

Het mooiste moment zat voor mij in de staart, als Baas van Vandaag. Nadat ik had uitgelegd dat we bij Intermax proberen zo goed mogelijk voor iedereen te zorgen en ook een aanzienlijk deel van de winst gelijk verdelen over het personeel, sloot Sander af met de woorden: “Ik denk dat u een heel erg aardige baas bent die heel goed voor z’n mensen zorgt.”

Noem mij maar een zacht ei, maar ik moest toch even slikken.

Vijftien jaar, heel serieus, zelfbewust, nieuwsgierig. En ook nog zeer opmerkzaam op wat hij belangrijk vindt in het leven. Bedankt Sander, dat gaat helemaal goed komen met jou!

The post Baas van Morgen: een verslag appeared first on Intermax.

Dit veranderde met de komst van online opslagruimte: het is nu voor iedereen mogelijk om binnen een paar minuten een virtuele server te bestellen bij bijvoorbeeld Amazon. Mede daarom verdween ook de afhankelijkheid van een IT-afdeling en was Shadow IT geboren. Shadow IT staat voor alle IT die niet officieel is goedgekeurd door de organisatie zelf en buiten de IT-afdeling valt. Denk aan laptops die van huis worden meegenomen en aan het netwerk worden gekoppeld, of afdelingen die op eigen initiatief IT-producten en -diensten afnemen.

De opkomst van Shadow IT op de werkvloer is een logische ontwikkeling. Sommige systemen en procedures zijn zo omslachtig dat medewerkers de voorkeur geven aan snelle en gebruiksvriendelijke oplossingen via eigen laptops of via de cloud. Toch spreekt het voor zich dat ICT-managers hier geen fan van zijn. De veiligheid komt in gevaar en het levert ook risico’s op. We zetten de belangrijkste gevaren op een rij.

1. Non-compliancy
Regels binnen het bedrijf en wet- en regelgeving in het algemeen verbieden in sommige gevallen het hosten van applicaties (en met name persoonsgegevens) buiten Nederland. Als medewerkers op eigen computers of systemen in de cloud werken, verliest u een deel van de controle hierover en weet u dus niet of u aan deze regels voldoet.

2. Geen toezicht op adequate beveiliging
Een standaard cloudserver die niet door de IT-afdeling wordt beheerd, krijgt geen of weinig beveiligingsmaatregelen mee en loopt soms tientallen patches achter. Er zijn meerdere gevallen bekend van grote databestanden die zonder adequate beveiliging, (tijdelijk) op Amazon S3 zijn geplaatst en vervolgens zijn vergeten. Een klassiek voorbeeld van een potentieel datalek.

3. Geen grip op de kosten
Het bestellen en gebruiken van virtuele servers is gemakkelijk, maar deze uitzetten blijkt lastiger. Ook het voorspellen van de exacte factuur is lastig, onder andere omdat er per databasetransactie wordt afgerekend. Onverwachte extra kosten zorgen soms voor vervelende verrassingen.

4. Onvoorspelbare performance
Door verkeerde keuzes of een onzorgvuldig samengestelde architectuur kunnen applicaties en platformen soms niet de verwachte performance en beschikbaarheid leveren. Juist omdat niet elk platform ‘cloud ready’ is, houdt IT graag de controle over wat er wordt aangesloten.

Dit betekent echter niet dat u alle Shadow IT dan maar moet verbieden. Er zijn twee dingen waar uw organisatie goed op moet letten. Ten eerste moeten activiteiten buiten de goedgekeurde IT geen vertrouwelijke data omvatten. Wanneer de verwerking van persoonlijke gegevens buiten de goedgekeurde omgeving plaatsvindt, is de kans op datalekken groter, met alle gevolgen van dien. Door data te scheiden en veilig te verwerken, waarborgt u de persoonsgegevens van klanten en is het risico op datalekken kleiner. De tweede belangrijke factor is de training van medewerkers. Door iedereen bewust te maken van de risico’s en mogelijke consequenties van Shadow IT zorgt u voor een gezamenlijke mindset. Leer uw medewerkers dus niet alleen omgaan met reguliere ICT, maar begeleid ze ook in het gebruik van Shadow IT.

The post De vier belangrijkste gevaren van Shadow IT appeared first on Intermax.

Ten eerste is het belangrijk om in beeld te hebben welke persoonsgegevens u allemaal opslaat. Welke kroonjuwelen heeft u onder uw hoede, wie heeft er toegang tot die gegevens en hoelang blijven deze bewaard? Samen met collega’s zijn er van tevoren verschillende scenario’s te bedenken waar het mis kan gaan. Schakel daarom ook met uw IT-partners, zij weten precies welke aanvallen van buitenaf mogelijk zijn, kunnen systemen voor u monitoren en weten vanuit hun ervaring met andere klanten ook waar de pijnpunten binnen een organisatie zitten. Zodra u hier een goed overzicht van hebt, weet u precies waar een datalek kan ontstaan en dus ook waar u alert op moet zijn.

Bij organisaties van een redelijk formaat is het echter onvoldoende om alleen alert te zijn. Nóg belangrijker is het dat álle medewerkers die met persoonsgegevens omgaan bewust zijn van de privacygevoeligheid, dat zij volledig geïnformeerd zijn over de nieuwe regelgeving en hier samen met u alert op zijn. Ook is het belangrijk dat u een cultuur creëert waarbij medewerkers zich veilig voelen om een datalek te melden. Het is bekend dat menselijke fouten of slordigheden het merendeel van de datalekken veroorzaken. Uw IT-processen kunnen dan wel spic en span zijn, maar vergeet niet dat een verkeerd geadresseerd mailtje of het achterlaten van een usb stick ook zorgen voor een datalek.

Weten uw medewerkers wat te doen bij een datalek?

Het opstellen van strakke richtlijnen binnen een organisatie is een belangrijke eerste stap. Bewustwording speelt hierin een centrale rol; zorg ervoor dat medewerkers zich bewust zijn van hun gedrag wanneer ze omgaan met persoonsgegevens. Een niet-versleutelde PC kan onbewust een kwaadwillend persoon toegang verschaffen tot persoonsgegevens. Medewerkers die in de fout gaan moeten ook weten bij wie ze zich kunnen melden. Hoe langer zij wachten met melden, hoe groter de gevolgen voor alle betrokken partijen. Eventueel volgt ook nog een boete als het datalek niet binnen 72 uur gemeld is bij de Autoriteit Persoonsgegevens.

Gelukkig zijn er allerlei hulpmiddelen om de bewustwording van medewerkers te vergroten. In Microsoft Exchange vindt u bijvoorbeeld opties die alarm slaan wanneer mensen per ongeluk documenten met woorden als ‘vertrouwelijk’ of ‘intern’ versturen. Moderne firewalls hebben ‘data leakage prevention’, wat het lekken van data tegen gaat. Het is ook aan te raden uw netwerk te (laten) monitoren op afwijkend gedrag. U krijgt dan direct een seintje wanneer er bijvoorbeeld sprake is van een enorme toename van dataverkeer van binnen naar buiten. Verder zijn er diverse (goedkope) tools – waaronder de Canary – die waarschuwen wanneer er een hacker in uw netwerk zit.

Denk niet alleen digitaal

Tegenwoordig gebeurt bijna alles online. Ook persoonsgegevens worden inmiddels bijna alleen nog maar online verwerkt. Toch zijn er ook zat voorbeelden van papieren datalekken. Denk bijvoorbeeld aan een verkeerd bezorgde brief met gevoelige patiëntinformatie of een map met persoonsgegevens die uit een auto gestolen wordt. Ook hier gaat het om datalekken.

Maak goede afspraken met bewerkers

Misschien maakt u gebruik van externe partijen die namens u persoonsgegevens verwerken. Die partijen moeten passende beveiligingsmaatregelen treffen en u in het geval van een datalek tijdig informeren. Zorg dus voor duidelijke afspraken met deze partijen, en dat zij bijvoorbeeld weten aan wie zij een eventueel datalek moeten melden.

The post Hoe zorg ik dat ik een datalek op tijd herken? appeared first on Intermax.

Valkuil 1: Er valt binnen de AVG meer onder persoonsgegevens dan u misschien denkt

Onder persoonsgegevens vallen niet alleen gegevens die iemand direct identificeren, maar ook gegevens die gebruikt worden om mensen te individualiseren binnen een groep. Denk hierbij aan een patiëntgroep binnen een ziekenhuis of gegevens die iets zeggen over een device, zoals een IP-adres.

Het is dus van belang dat u als bedrijf zicht heeft op alle gegevens die verzameld worden en dat u zich goed laat informeren over welke gegevens allemaal onder persoonsgegevens vallen. Meer hierover kunt u nalezen in onze eerste blog over de AVG.

Valkuil 2: Een privacy statement dat alleen u/de organisatie begrijpt

Het is inmiddels gebruikelijk om in een privacy statement aan te geven wat u als bedrijf doet met persoonsgegevens. Helaas zijn deze statements uitgegroeid tot lange juridische boeken die moeilijk te begrijpen zijn. Veel mensen slaan het lezen van een privacy statement per definitie over. De AVG schrijft voor dat ‘Informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk moeten zijn. Er moet duidelijke en eenvoudige taal worden gebruikt.’ Als u eens kritisch naar uw eigen privacy statement kijkt, hoe begrijpelijk is die tekst dan?

Wat uitkomst kan bieden, en ook de voorkeur heeft van de toezichthouders, is een gelaagd privacy statement. Hierin wordt eerst op hoofdlijnen en dan steeds gedetailleerder uitgelegd hoe een bedrijf omgaat met gegevens. Belangrijk is ook dat het taalgebruik moet aansluiten bij de gemiddelde doelgroep. Afhankelijk van uw doelgroep, kan deze regel dus om een herziening van uw privacy statement vragen.

Valkuil 3: Enkel registreren van datalekken met nadelige gevolgen

De huidige Wet bescherming persoonsgegevens verplicht bedrijven om een administratie bij te houden van iedere inbreuk die leidt tot een aanzienlijke kans op, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

De AVG breidt de eisen aan deze administratie uit. Per 25 mei 2018 bent u verplicht om alle inbreuken in verband met persoonsgegevens te documenteren en binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. In deze administratie moeten per geval de feiten, de gevolgen en de maatregelen vastgelegd worden. Opmerkelijk is dat er sprake is van ‘alle inbreuken’, dus ook de inbreuken waarvoor geen meldingsplicht geldt.
Onder de AVG bent u dus verplicht een veel omvangrijkere administratie bij te houden dan nu het geval is. Ieder incident waarbij iemand “per ongeluk” toegang krijgt tot gegevens moet u strikt genomen registreren. Voor bepaalde bedrijven is een Functionaris Gegevensbescherming dan ook noodzakelijk. Lees meer hierover in onze vorige blog over de AVG.

Valkuil 4: Onvoldoende afspraken met uw IT-bedrijf

De AVG bepaalt dat er afspraken gemaakt moeten worden over de melding van datalekken. Er staat niets vermeld over de inhoud van deze afspraken of de verantwoordelijkheden.

Het is daarom verstandig om duidelijke afspraken met uw IT-bedrijf te maken over de informatie die nodig is om een goede en volledige administratie bij te houden. Op welke manier waarborgt uw IT-bedrijf dat de informatie die u nodig hebt bij een eventuele melding beschikbaar is? Verantwoordelijken kunnen anders met lege handen staan als de toezichthouder aanklopt en inzage vraagt in de (wettelijk verplichte) administratie. Ook belangrijk: kan uw IT-bedrijf aantonen dat u alles hebt gedaan om een lek te voorkomen? Dit laatste punt kan uw kans op een eventuele boete bij een inbreuk verkleinen.

The post Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG appeared first on Intermax.

Maar voor wie geldt deze verplichting nu precies? En wat houdt zo’n aanstelling concreet in? Wij snappen heel goed dat veel organisaties nog geen antwoord hebben op deze vraag. Er zitten namelijk een aantal haken en ogen aan deze regeling, die ervoor zorgen dat de antwoorden op deze vraag per organisatie wezenlijk verschillen.

Voor zorginstellingen is het bijvoorbeeld per 1 juli 2017 al verplicht om minimaal één Functionaris Gegevensbescherming aan te stellen. Buiten de zorg is het aanstellen van een FG in de meeste gevallen pas verplicht vanaf 25 mei 2018, de ingangsdatum van de Algemene Verordening Gegevensbescherming (AVG).

Maar u leest het al, er staat ‘in de meeste gevallen’. Wat zijn dan precies de richtlijnen? Als organisatie bent u verplicht om schriftelijk de belangrijkste aspecten van de persoonsgegevens die u verwerkt, vast te leggen. Dit geldt niet voor organisaties met minder dan 250 medewerkers, tenzij deze organisaties:

• Op grote schaal en stelselmatig persoonsgegevens verwerken.
• De gegevensverwerking een groot risico voor de betrokkenen inhoudt.

Wanneer u deze richtlijnen leest, begrijpt u waarschijnlijk al meteen waarom zorginstellingen eigenlijk gisteren al een Functionaris Gegevensbescherming  in dienst moeten hebben. Maar ook overheidsinstanties en bedrijven die het observeren van personen als (hoofd)activiteit hebben, zijn verplicht een FG aan te stellen. Overigens kan het voorkomen dat achteraf blijkt dat het aanstellen van een FG toch niet nodig was voor uw organisatie. Het is dan lastig om afscheid te nemen. Zoek daarom vooraf goed uit of het aanstellen van een FG verplicht is voor uw organisatie.

Waar moet een Functionaris Gegevensbescherming aan voldoen?

Stel: u bent een zorginstelling en u heeft nog geen Functionaris Gegevensbescherming (FG), of u bent van een andere organisatie en bent gewoon graag op tijd voorbereid voor de toch al snel naderende 25 mei 2018. Houd er dan ook rekening mee dat belangenverstrengeling moet worden voorkomen en de FG binnen uw organisatie niet ook een functie mag hebben waarin hij het doel en de middelen van gegevensverwerking bepaalt. Dat kan bijvoorbeeld voorkomen als de FG een managementpositie vervult, bijvoorbeeld als hoofd financiën, -strategie, -marketing, -IT of –HRM.

Daarnaast zijn er nog een aantal eisen waaraan een FG moet voldoen. Ten eerste moet een Functionaris Gegevensbescherming (FG) altijd een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking. Daarbij komt dat een FG over voldoende kennis van de organisatie en de privacywetgeving moet beschikken en betrouwbaar moet zijn. Dit laatste uit zich onder meer in een geheimhoudingsplicht.

Een dag in het leven van een FG

Tot dusver de richtlijnen en regels voor het aanstellen van een FG, maar wat kunt u dan precies verwachten als u zo’n FG aanstelt? Kort gezegd controleert de FG dagelijks of de Wet Bescherming Persoonsgegevens op de juiste manier wordt toegepast en nagestreefd binnen uw organisatie. Dat houdt in dat een dag van een FG er ongeveer zo uit zal zien:

• In de ochtend maakt de FG een inventarisatie van de gemelde gegevensverwerkingen.
• Deze meldingen verwerkt hij/zij in een overzicht zodat precies in beeld is welke gegevensverwerkingen er hebben plaats gevonden.
• Voor de lunch behandelt de FG vragen, klachten en opmerkingen van mensen binnen en buiten de organisatie.
• Na de lunchpauze scherpt de FG interne processen en procedures verder aan zodat de gegevensverwerking nog beter wordt.
• Daarna is er een overleg met een externe partij over de technologie die gebruikt wordt om bescherming van de gegevens te garanderen. Bescherming van deze gegevens is prioriteit nummer één.
• Vlak voordat de FG naar huis gaat werkt hij/zij de interne gedragscode omtrent gegevensverwerking bij.

De Autoriteit Persoonsgegevens verliest na aanstelling van een FG binnen een organisatie geen van zijn bevoegdheden als nationale toezichthouder. Toch is de AP terughoudender bij organisaties met een FG in dienst.

The post Moet ik een Functionaris Gegevensbescherming aanstellen? appeared first on Intermax.

Artikel 4 van de AVG beschrijft twee rollen, die van de controller en van de processor. Wanneer uw bedrijf persoonsgegevens opvraagt of verwerkt, wordt u gezien als de controller, ongeacht of u zelf direct data verzamelt. Een bank verzamelt data van klanten als ze een rekening openen; een supermarkt wanneer die een klantenpas uitreikt in ruil voor klantgegevens. Beide organisaties zijn verantwoordelijk voor de persoonlijke data van deze klanten.

Intermax is – wanneer wij data voor u beheren, opslaan, transporteren of verwerken – de processor. De datacentra die wij inzetten om onze servers (waarop uw gegevens staan) in te plaatsen, zijn vaak de sub-processor.

U bent als controller volgens de AVG verantwoordelijk voor:

1. Het verzamelen van de gegevens en het toestemming hebben/verkrijgen van de persoon van wie de gegevens zijn. 2. Het zorgen dat deze gegevens alleen voor het doel worden verwerkt waarvoor ze zijn verkregen, en dat ze adequaat worden beveiligd. 3. Het verwijderen van data op verzoek van de persoon van wie de data is. 4. Het aangeven aan Intermax welk niveau van beveiliging vereist is. Uiteraard kunnen we u hierbij adviseren en helpen.

Intermax is als processor volgens de AVG verantwoordelijk voor:

1. Het fysiek opslaan van de gegevens en de bewaking ervan, zodat er geen onrechtmatige toegang door derden plaatsvindt. 2. Het zorgen dat ook sub-processoren (bijvoorbeeld een datacentrum) hieraan voldoen. 3. U te informeren als er afwijkingen of privacy-incidenten zijn. 4. Het beoordelen en afhandelen van vorderingen en taps door bevoegde overheidsinstanties (bijvoorbeeld politie, justitie, AIVD, MIVD).

Een voorbeeld

U bent directeur van een onderwijsinstelling en u heeft een groot bestand met de NAW-gegevens van de ouders. Uw bestand bevat ook informatie over de kinderen en de locatie waar ze naar school gaan. Deze gegevens kunnen via een portaal worden geraadpleegd door een leerplichtambtenaar. Ook gebruikt de onderwijsinstelling deze gegevens om uitnodigingen aan ouders te sturen voor evenementen. Het online portaal wordt afgenomen als een Software-as-a-Service (SaaS) dienst bij een softwareontwikkelaar en dit systeem draait bij Intermax.

Voor de juistheid van de gegevens en het verkrijgen van toestemming is de controller verantwoordelijk: degene die de gegevens heeft verzameld en die het online portaal exploiteert, in dit voorbeeld de school. De softwarebouwer van het portaal is als processor verantwoordelijk voor het correct versleutelen van de opgeslagen gegevens. Intermax is als sub-processor verantwoordelijk voor de beveiliging van de servers waar de SaaS omgeving op draait.

In de praktijk zal het er op neerkomen dat een hostingbedrijf een groot deel van de beveiliging en de controle hiervan voor haar rekening neemt. Zo wordt er intensief samengewerkt met de SaaS leverancier, die vervolgens de exploitant van het portaal weer op de hoogte stelt hoe deze de software dient te gebruiken. Ook zal de SaaS leverancier tools moeten aanbieden om de controller in de gelegenheid te stellen makkelijk gegevens te kunnen laten verwijderen.

Wat gebeurt er nu wanneer zo’n portaal onverhoopt gehackt zou worden, door bijvoorbeeld een programmeerfout?

Wanneer alle beveiligingsmaatregelen goed zijn toegepast zal Intermax merken dat er iets niet in de haak is, bijvoorbeeld door de inzet van een Canary (die alarmeert bij ‘ongepast gedrag’). Dankzij 24-uurs bewaking zal Intermax direct contact opnemen met de SaaS leverancier en de eigenaar van de data om de afwijking te melden. Vervolgens is de controller aan de beurt om eventueel een datalek te melden, waarbij hij ondersteund wordt door logfiles en digitaal forensisch bewijs van Intermax.

The post Bescherming persoonsgegevens, wie is verantwoordelijk? appeared first on Intermax.