Jarenlang is het vakgebied van (financiële) verantwoording, interne beheersing, interne controle en compliance redelijk stabiel gebleven. Maar bestuur en hoger management kan niet heen om de steeds sneller veranderende wereld met grote maatschappelijke opgaven, oneindige technologische mogelijkheden en een kritische burger. Beschikbare technieken zoals data-analyse GRC-software en continuous monitoring nemen een vlucht. Daarnaast hebben informatieveiligheid en privacy wetgeving een flinke invloed. Hoe ga je dit slim vertalen naar de beheersing en verantwoordingsfunctie van de organisatie?

In deel 3 van deze reeks gaan we in op het thema decentraal beleggen van kwaliteitsmanagement en de verantwoording over informatieveiligheid en privacy. De grote hoeveelheid nieuwe wet- en regelgeving waarmee ministeries en overheidsorganisaties compliant moeten zijn, maakt dat deze organisaties vaak ad hoc bezig zijn met het oplossen van issues, het verzamelen van verantwoordingsinformatie en met de gevolgen van incidenten. Dit trekt een wissel op verantwoordelijke functionarissen, zoals een Chief Information Security Officer in relatie tot informatieveiligheid of een Functionaris Gegevensbescherming in relatie tot privacy. Daarom kijken steeds meer organisaties hoe zij kwaliteitsmanagement en de verantwoording over normen meer decentraal in de organisatie kunnen beleggen. Want deze onderwerpen zijn alleen houdbaar als de rest van de organisatie meehelpt en zich medeverantwoordelijk voelt.

Betrokkenheid

Het betrekken van de lijnorganisatie bij kwaliteitsmanagement en verantwoording over, bijvoorbeeld, informatiebeveiligingsnormen gebeurt niet alleen vanuit efficiencyoverwegingen. Meer betrokkenheid moet er ook voor zorgen dat bevindingen actief worden opgepakt. Dat wil zeggen; de processen optimaal inrichten en zorgen dat geconstateerde fouten en incidenten ook daadwerkelijk een bijdrage leveren aan procesverbetering.

7 tips voor decentraal kwaliteitsmanagement en verantwoording over informatieveiligheid en privacy

Kwaliteitsmanagement levert toegevoegde waarde door in samenwerking en interactie met betrokken organisaties, toezichthouders, beleidsdirectie, lijnorganisatie en de samenleving te opereren. Ieder vanuit zijn eigen verantwoordelijkheid.

Dit betekent dat steeds meer organisaties ervoor kiezen om kwaliteitsmanagement en de verantwoording over informatieveiligheid en privacy decentraal te beleggen. Maar hoe pak je dat aan?

 1. Van hiërarchisch denken naar netwerken
  Betrek nadrukkelijk de eerste lijn bij het opstellen van, de toetsing en de periodieke evaluatie van resultaten. Niet alleen verleggen en delegeren, maar mensen actief betrekken en duidelijk informeren over nut en noodzaak. Bewust zijn hiervan is belangrijk.
 2. Creëer draagvlak
  Iedereen moet zijn of haar steentje bijdragen. Het onderwerp is niet overal populair, dus het is belangrijk om draagvlak te creëren bij de lijn en het management.
 3. Van digitaal zenden naar digitaal interactief
  Een ondersteunende informatievoorziening (GRC of ISMS software) om integraal te kunnen sturen is essentieel. Het is daarbij belangrijk dat deze informatievoorziening de governance van de organisatie ondersteunt. Bij een decentrale inrichting dragen veel verschillende partijen en functionarissen bij aan het in control zijn van de organisatie. Centraal inzicht hebben, kunnen bijsturen, decentraal kunnen beleggen van activiteiten en kunnen monitoren van de voortgang is essentieel.
 4. Denk in ketens
  Je kunt niet alles tegelijkertijd. Pak daarom steeds één onderwerp dat centraal moet worden belegd en doe dat goed. Focus bijvoorbeeld eerst op het aantoonbaar in control komen op informatieveiligheid, door de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) of ISO 27001. Bepaal hierna over wie centraal coördineert en wie in de lijnorganisatie eigenaar wordt van bepaalde normen en activiteiten. Werk daarbij met mapping. Denk ook goed na over hoe de onafhankelijke reviewfunctie in de organisatie is geborgd.
 5. Zet in op data-driven en continuous monitoring
  Er is steeds meer data beschikbaar in applicaties en systemen die aantonen of een organisatie in control is. Gebruik deze data! Het kan namelijk de controledruk op de organisatie flink verlagen.
 6. Werk aan een risicobewuste cultuur
  Fouten maken mag. Focus als organisatie niet alleen op wat er niet goed gaat bij incidenten en bevindingen, maar rapporteer ook juist over de acties en verbeteringen. Het in control zijn van de organisatie moet gezien worden als een ontwikkeling en een bron van waarde.
 7. Werk aan aantoonbare en goede dossiervorming
  Ondersteun de organisatie met een goede COS610 workflow en draag zorg voor een zichtbare audit-trail, reviewfunctie en kwalitatieve en proportionele dossieropbouw.

De hoeveelheid onderwerpen waarover verantwoording moet worden afgelegd is zodanig groot, dat het decentraal beleggen van kwaliteitsmanagement en de verantwoording over informatieveiligheid en privacy een must is. Een succesvolle aanpak vergt aandacht voor eigenaarschap, interactie en commitment binnen de gehele organisatie.

Meer informatie?

In deze reeks bespreekt Edwin Lodder de laatste ontwikkelingen op dit gebied bij ministeries en overheid, die voor de opgave staan om hun verantwoordingsfunctie te moderniseren. Op basis van een rondje langs de velden zet Edwin de zes belangrijkste ontwikkelingen op een rij binnen deze nieuwe dynamiek.Wij helpen graag bij het zetten van de eerste stappen naar een moderne verantwoordingsfunctie. Laat het ons weten!