Dienstverlening

Kwaliteit

Organisaties hebben in de loop der jaren een grote hoeveelheid data gegenereerd, verkregen, verwerkt en opgeslagen. Data over klanten, over contracten, over orders, over producten, over facturatie, medewerkers, etc. De kwaliteit van deze data is veelal niet optimaal. Dezelfde klant staat er meerdere keren in met verschillende debiteurennummers, producten zijn opnieuw genummerd maar de oude nummers zijn niet verwijderd, de personeelsgegevens zijn gemigreerd naar een nieuw pakket maar het overgrote deel van de gegevens is in niet-gestructureerde vrije tekstvelden terechtgekomen, en over facturen is een continue discussie tussen de afdeling financiën en de afdeling logistiek omdat het verschil tussen een financiële en een logistieke factuur niet eenduidig bepaald is. Daarnaast wordt elektronisch gecommuniceerd met een scala aan derde partijen waarbij niet altijd eenduidig is vastgesteld hoe die “data mapping” in elkaar steekt. Babylonische spraakverwarringen zijn aan de orde van de dag. En sturen op data kan tricky zijn. Een data model biedt een stevige basis om de samenhang van alle gegevens te kunnen vaststellen en bewaken, maar een dergelijke exercitie is niet eenvoudig voor niet-informatiekundigen en er is hulp van buiten nodig. het verdient aanbeveling om door middel van data quality tooling de bestaande data te analyseren, en in kaart te brengen welke verbeteracties waar de meeste waarde toevoegen. Datakwaliteit is de fundering voor het kunnen vertrouwen op data.

Processen

Data wordt verkregen en gegenereerd, wordt verwerkt en gecommuniceerd, wordt gebruikt en gerapporteerd, middels bedrijfsprocessen.. Kwalitatieve data in een onzorgvuldig of foutief proces leidt tot onjuiste acties, besluiten, onnodige risico’s en mogelijk zelfs tot chaos.  Processen die worden gemeten en waarvan de kwaliteit wordt bewaakt. Vertrouwen in data vereist dan ook vertrouwen in processen die gedocumenteerd zijn, die door de medewerkers in de organisatie begrepen en gehanteerd worden, waarvan is vastgesteld wat de input dient te zijn en wat de mogelijke output kan zijn, en waarvan duidelijk is wie proceseigenaren zijn.

Applicaties

Processen worden in veelal meer en soms mindere mate ondersteund door informatiesystemen, door applicaties. Data wordt opgeslagen, via deze applicaties, in databases. Applicaties werken met elkaar samen, wisselen informatie uit, middels interfaces, API koppelingen, etc.  Applicaties hebben versienummers, en er worden regelmatig patches en updates gepubliceerd die verwerkt dienen te worden. Applicaties kunnen zelf gebouwd zijn maar in toenemende mate wordt gebruik gemaakt van applicaties van derde partijen die dan vaak ook externe gehost worden. Het functionele applicatiebeheer gebeurt meestal door de eigen organisatie maar het technisch applicatiebeheer is veelal in handen van een derde partij, de leverancier van de applicatie of een systeemintegrator. Al deze componenten van de informatiehuishouding spelen een belangrijke rol bij de invulling van verantwoordelijkheden overeenkomstig de AVG. Vertrouwen in data vereist vertrouwen in applicaties, en afhankelijkheden daartussen.

Governance

Zonder eigenaar leidt data een zwervend bestaan, als een weeskind zonder tehuis. Niemand kan zeggen of data correct is, of data veranderd mag worden, of verwijderd mag worden. En onder welke voorwaarden dat dan mag. Naast dit eigenaarschap dient duidelijk te zijn welke gebruikers met welke gebruikersrollen gegevens mogen aanmaken, lezen, aanpassen, verwijderen en communiceren met derde partijen. Bij voorkeur wordt van deze acties een logfile bijgehouden zodat ten alle tijde duidelijk is wie welke actie heeft uitgevoerd. Vertrouwen in data kan niet zonder duidelijke eigenaar van die data.

Wet- en regelgeving

De Algemene Verordening Gegevensbescherming (AVG) geeft de consument (klant, burger, werknemer, etc.)  rechten zoals het recht om zijn/haar gegevens te raadplegen, te laten corrigeren of om “vergeten” te worden. Naast de AVG is er een breed scala aan wet- en regelgeving die relevant is voor de gegevenshuishouding, op financieel gebied, en aanzien van arbeidsrelaties, voor de gezondsheidsector, voor de voedingsindustrie, etc.  Wet- en regelgeving die alleen maar strenger wordt, en waarvan strikte naleving een harde vereiste is. Vertrouwen in data vereist het weten welke wet- en regelgeving relevant is, van belang is, en hoe hier aan voldaan kan worden.

Inrichting van de privacy functie

Consumenten, burgers, medewerkers kunnen verzoeken doen voor inzage in de persoonsgegevens die door de organisatie verwerkt worden. Het verzoek dient gedaan te kunnen worden via dezelfde weg als de persoonsgegevens verzameld zijn, en het antwoord dient binnen de wettelijke termijnen gegeven te worden. Men kan ook een verzoek doen voor aanpassing van persoonsgegevens, of zelfs verwijdering ervan. Het is evident dat vooraf bepaald dient te zijn waaraan aan dergelijk verzoek dient te voldoen om door de organisatie in behandeling te worden genomen, en op basis van welke regels de gevraagde actie wordt uitgevoerd (of niet). Dat geldt ook voor het opvragen van de door de informatie verwerkte persoonsgegevens in een “algemeen geaccepteerd” digitaal format. Dit alles betreft de dagelijkse operatie van de privacy functie in een organisatie. Die operatie moet gemanaged worden, en het verdient aanbeveling de werking ervan regelmatig te reviewen als onderdeel van de algehele review van het privacybeleid. Dit laatste kan intern ingericht worden, maar er ook voor gekozen worden, bijvoorbeeld omdat het geen fulltime functie is en/of omdat de onafhankelijkheid dat vereist, om die functie extern te beleggen.

Uitbesteding

Uitbesteding van onderdelen van de informatiehuishouding heeft de afgelopen dertig jaar een grote vlucht genomen. Onder het adagium “schoenmaker, hou je bij je leest” hebben veel organisaties het beheer van de ICT infrastructuur en ICT applicaties belegd bij gespecialiseerde derde partijen. Daar waar dat vijftien jaar geleden nog betekende dat organisaties in zee gingen met een of twee grote IT dienstenleveranciers bevinden we ons nu in een wereld waarin zowel op infrastructureel als applicatief gebied er veelal samengewerkt wordt met een breed scala aan gespecialiseerde partijen die al of niet “cloud gebaseerd” hun diensten verlenen. Vanuit privacy optiek betekent dit dat de Verantwoordelijke haar rol invulling dient te geven voor goede afspraken te maken met Verwerkers. Afspraken die naast een overkoepelend contract zijn vastgelegd in service level agreement, in privacy overeenkomsten en in operationele afspraken over samenwerking in geval van verzoeken van consumenten met betrekking tot persoonsgegevens.

Beveiliging

Vertrouwen komt te voet en gaat te paard. Als je alles goed geregeld hebt en je “dingen doet die je moet doen” maar de voordeur staat open en onverlaten kunnen je huis binnen, dan heb je alsnog een groot probleem. Vertrouwen in data kan dan ook niet bestaan zonder de juiste beveiligingsmaatregelen, zonder ICT security. Voor de inrichting hiervan kan gebruik gemaakt worden van bestaande normeringen zoals de ISO27k familie, NEN7510 voor de gezondheidssector, etc. Onderdeel van deze normeringen zijn een scala aan zogenaamde “controls”. Implementatie van die controls in de organisatie vraagt om management en technische skills, omdat security uiteindelijk pas werkt als ook de technische maatregelen geïmplementeerd zijn en beheerd worden.

Inzicht

Zoveel data, zoveel doorsnedes, zoveel inzichten. En er is zoveel data! De kunst is om uit de grote hoeveelheid data de juiste inzichten te verkrijgen, de juiste analyses te kunnen maken en de juiste rapportages te kunnen realiseren. Weliswaar bevatten veel standaardapplicaties uitgebreide reeks van standaardrapportages maar de ervaring leert dat die nou net net voldoen aan hetgeen de organisatie nodig heeft. Het op tafel van de rapportagebehoefte is geen sinecure, en die behoefte is ook nog eens onderhevig aan veranderingen in de loop van de tijd. Vertrouwen in data is een middel, inzicht is het doel, en om dat inzicht te krijgen is een flexibele rapportagefunctie, intern of extern belegd, een absolute must.