Een datagedreven gemeente maakt gebruik van verschillende vormen van gegevensanalyse om beslissingen te nemen. Deze inzichten kunnen gebruikt worden om beleid te ontwikkelen. Maar ook het datagedreven werken zélf vraagt om beleid, procedures en een standaard.
Datagedreven werken is natuurlijk een heel breed begrip. Daarom zou het breed gedragen moeten worden en breed moeten landen in de organisatie. Er zijn tientallen verschillende vormen en manieren van datagedreven werken. Allemaal delen zij dezelfde belangrijke drie basispijlers en worden proces en inhoud gescheiden. Vanuit de beschreven basis van mijn boek ‘Grip op informatiebeveiliging’ (ISBN: 9789083152905) deel ik hier de drie basispijlers:
1 – Mens – Wees verantwoordelijk!
Eigenaarschap en wat er operationeel mee gebeurt.
We moeten dus zorgen voor eigenaarschap – en daarmee leiderschap – op strategisch niveau in de organisatie. Voor zowel het proces als ook de inhoud:
- Wie is (eind)verantwoordelijk voor het onderwerp ‘datagedreven werken’?
- En wie is de eigenaar voor die specifieke analyse?
- En wie van de (bron)data die daarvoor benodigd is?
Daarnaast moet de individuele medewerker, die belast is met de uitvoering van de analyses, de juiste kennis en kunde hebben om dit functioneel en non-functioneel uit te voeren. Of te wel, hoe gaan we zorgen dat de analyses juist en volledig zijn? Maar ook, hoe kunnen we de beschikbaarheid, herhaalbaarheid en natuurlijk de onderhoudbaarheid borgen.
2 – Proces – We doen niet zomaar iets!
Het moet geborgd zijn in processen. Er moeten duidelijke processen opgesteld worden over hoe we omgaan met deze nieuwe verwerking van gegevens. Vanuit mijn optiek zijn er twee belangrijke cyclische processen.
- De welbekende PDCA. Met plan, do, check en act kunnen we redeneren over de data-analyse(processen) heen en bijsturen daar waar het niet binnen de gestelde beleidskaders valt.
- Een andere, mogelijk minderbekende, cyclus is de COGDAV. Dit gaat over de inhoud van de analyses zelf en beschrijft de zes fases van data:
Creëren – Opslaan – Gebruiken – Delen – Archiveren – Vernietigen.
Elke stuk data zal als het goed is altijd deze zes stappen doorlopen. Hierbij moet duidelijk blijken hoe de analyses aansluiten in de producten en diensten die de gemeente levert.
3 – Techniek – Informatiebeveiliging is geen add-on!
De kwaliteit van de informatie moeten we gaan borgen met de juiste maatregelen.
We werken met belangrijke informatie en uiteraard is ook de BIO hierop van toepassing. Grote kans dat er persoonsgegevens bij zitten en dan moeten we dit ook afstemmen met de privacy officer. In het proces moeten we zo werken dat we de BBN (basisbeveiligingsniveau) vaststellen en zorgen dat de maatregelen op de juiste manier met de juiste kwaliteit worden geïmplementeerd. Dan zijn er drie belangrijke inhoudelijk maatregelen:
- Toegangscontrole & autorisatiemanagement – Wie mag bij de data, wie mag wijzigen, wie mag exporteren?
- Changemanagement – Vanuit welke vraag maken we wijzigingen op de analyse en hoe kunnen we aantonen dat deze nog steeds de juiste informatie opleveren?
- Logging – Wie heeft deze analyse geraadpleegd/gewijzigd/geëxporteerd?
Elk van deze maatregelen moeten we ook op basis van PDCA blijven beoordelen op effectiviteit.
Veilig risico’s nemen
Pfoe, wat een extra werk! Maar, dit zijn we vanuit de privacy-component van MVO (maatschappelijk verantwoord ondernemen) wel verplicht aan onze burgers. Natuurlijk biedt datagedreven werken veel voordelen die bijdragen aan meer inzicht, effectiever en efficiënter werken of beter inspelen op de wensen van de inwoners. Maar we moeten ons er ook van bewust zijn dat deze manier bepaalde risico’s met zich mee brengt, zoals het mogelijk verliezen van vertrouwelijke gegevens en het niet op de juiste manier omgaan met persoonsgegevens.
Kortom, laten we deze risico’s veilig nemen!
Mark Tissink is auteur van het boek ‘Grip op informatiebeveiliging’. Daarnaast is hij trainer, coach & adviseur én expert op het gebied van informatiebeveiliging en risicobeheersing. Dit aangevuld met softskills rondom (persoonlijk) leiderschap en communicatie. In het verleden heeft hij meerdere gemeenten en overheden als ad interim (C)ISO mogen ondersteunen en trainingen.