‘Legal says no’. Techneuten in ons werkveld ervaren de rol van de jurist te vaak als scheidsrechter die als een zwaard van Damocles boven goede ideeën hangt. Gelukkig ziet het NCSC ook veel organisaties waarin juristen een force multiplier zijn die projecten soepeler en effectiever laten verlopen.
In deze publicatie geeft het NCSC aan de hand van drie vragen inzicht in de meest voorkomende oorzaken. Vervolgens geven we concrete handvatten hoe jij jouw jurist kunt positioneren als aanjager van verbeteringen en als fundament van een effectieve organisatie.
Doelgroep: Deze publicatie is bedoeld om de (project-) managers en de eindverantwoordelijken voor de digitale veiligheid in jouw organisatie inzicht te geven in de rol van juridisch advies om digitaal weerbaar te zijn. Daarnaast geven we handvatten om effectief en efficiënt met deze juridische aspecten om te gaan.
Deze publicatie is gericht op organisaties die net zijn begonnen en/of nog stappen aan het zetten zijn om zich het beste te kunnen beschermen tegen digitale dreigingen.
Achtergrond: Legal by design
Voldoen aan wet-en regelgeving is geen bijzaak, maar een sleutel voor succes. De "Legal by design" aanpak gaat daarom niet over het inzetten van bepaalde tools of technieken. Een legal by design aanpak grijpt bestaande raamwerken aan om te zorgen dat projecten niet meer afgebroken worden, omdat er geen compliancy-stempel op gezet kan worden. Het draait hierbij het inbedden van de jurist als adviseur in de gebruikte managementaanpak.
Risicomanagement is leidend in de vormgeving van ontwikkelprojecten. Governance, Risk and Compliance (GRC), compliancy-tools en risicomanagement-raamwerken zijn richtinggevend. Ze ondersteunen een methode om in kaart te brengen of de meest passende beveiligingsmaatregelen getroffen zijn. Indien je compliancy als basis neemt voor de inrichting van ontwikkeltrajecten leidt dit vaak tot vertraging van projecten als je pas aan het einde van een traject tegen een juridische blokkade aanloopt.
Vraag 1: is compliancy leidend of werk je risicogedreven?
De jurist heeft een vitale rol om gedurende de cyclus van risicomanagement en risicobeoordeling continue input te leveren. Daarbij dient de jurist niet enkel betrokken te worden met de opdracht: vertel ons hoe we compliant worden. Betrek de jurist proactief aan de voorkant van het risicomanagementproces voor het duiden van juridische risico’s en het vanuit juridische perspectief adviseren over de implementatie van trajecten van aanvullende beveiligingsmaatregen.
In jouw organisatie herken je compliancy als leidende factor aan een rigide en starre overname van alle componenten van wet- en regelgeving zonder deze in samenspraak met jouw jurist goed afgewogen te hebben. Het NCSC ziet dat organisaties zich vaak laten drijven door compliancy-verplichtingen. Dat is op zichzelf niet problematisch, ware het niet dat het zich manifesteert door een rigide wijze van ondoordacht implementeren van inefficiënte beveiligingsmaatregelen. Dit leidt tot een vals gevoel van veiligheid. Dat houdt in dat organisaties denken hun beveiliging op orde te hebben, terwijl ze in werkelijkheid alleen die specifieke beveiligingsmaatregelen getroffen hebben die groene vinkjes opleveren in een compliancy-checklist.
Het mes snijdt aan twee kanten: aan de ene kant zullen er te veel en/of niet passende maatregelen genomen worden vanwege compliancy-gedreven eisen. Aan de andere kant zullen cruciale processen en systemen van de organisatie die niet onder de compliancy-vereisten vallen onderbelicht worden en daarmee minder weerbaar zijn dan nodig is.
Een voorbeeld hiervan is het bouwen van een hek, omdat het een van de vereisten is voor goede toegangsbeveiliging. Daarbij is echter niet stil gestaan bij het feit dat er gemakkelijk om het hek heen gelopen kan worden. Het bouwen van een volledig sluitende muur stond namelijk niet op de verplichte to-do lijst. Dus er is wel aan compliancy voldaan, wat kan leiden tot een gevoel van veiligheid, maar er vindt alsnog geen effectieve toegangscontrole plaats.
Vraag 2: respecteer je het grijze gebied van jouw jurist?
De vragen die een jurist krijgt moeten recht doen aan het grijze gebied waar juridische vragen in vallen.
Een go/no-go-moment waarbij je jouw jurist vlak voor afronding van een project betrekt, sluit niet aan bij de praktijk waarin juristen opereren. Toch zien projectmanagers en businessowners de jurist te vaak als een schakel die een interne audit of toets uitvoert. Als je een jurist vraagt of iets mag, dan zal het antwoord meestal zijn: “it depends” doordat een juridische afweging nooit op zichzelf staat, maar altijd afhankelijk is van de omstandigheden van de specifieke context van de casus.
Als je gesloten vragen stelt, dan stel je de verkeerde vragen. Ook zien we vanuit het NCSC vaak dat juristen te laat betrokken worden en geconfronteerd worden met een go/no-go-moment. Dit zie je bijvoorbeeld zodra een project live wil gaan met een nieuwe applicatie. De projectgroep vraagt de juridische afdeling om een oordeel te vellen over de vraag of de nieuwe applicatie voldoet aan de van toepassing zijnde wet- en regelgeving, waaronder bijvoorbeeld de eisen uit de Network and Information Security Directive (NIS2) of binnenkort de Cyberbeveiligingswet (Cbw). Op dat moment is het ontwikkelingsproces al in ver gevorderde staat en is het positieve oordeel van de jurist nodig om het project af te ronden.
In zo’n geval kan de jurist tot oordeel komen dat er tijdens het ontwikkelingsproces onvoldoende rekening is gehouden met de geldende wet- en regelgeving. Daarom kan de juridisch adviseur geen groen licht geven voor het proces en lijkt de jurist de boosdoener die moeilijk doet. Dit terwijl de juridisch adviseur juist goed werk levert door te voorkomen dat een organisatie nodeloze risico’s loopt. De vraag of een nieuwe applicatie voldoet aan juridische vereisten is niet binair, maar grijs van aard. De analyses van juristen hebben daarom de vorm van in beginsel kan A, als aan de voorwaarde B wordt voldaan. Hoe een projectgroep besluit om een specifieke, technische of procesmatige oplossing vorm te geven, is dus van wezenlijk belang vast te kunnen stellen of er aan de gestelde eisen wordt voldaan. “Dus als we rekening houden met voorwaarde B, kunnen we door met A.”
Dit probleem los je op door juristen tijdig bij projecten te betrekken. Daardoor wordt jouw juridisch adviseur gepositioneerd om vroegtijdig adviezen te geven. Daardoor kan er bijgestuurd worden, worden projecten van meet af aan binnen de relevante compliancy-kaders gehouden net zoals dat geldt voor andere relevantie risico’s vanuit juridisch perspectief. Daarnaast creëer je de ruimte om de minder technische juristen van de juiste kennis te voorzien om hun adviezen beter toe te spitsen op de praktische werkelijkheid.
Vraag 3: zie je de taakstapeling en complexiteit?
Taakstapeling is vaak niet meer behapbaar als één expert verantwoordelijk is voor het vertegenwoordigen van te veel kennisgebieden in hetzelfde proces. Door vanaf de start van projecten samen te werken met juristen in de rol van adviseur binnen multidisciplinaire teams (technisch, proces en juridisch) weet je vroegtijdig welke juridische expertise er nodig is. Als je dan merkt dat je aanvullende juridische kennis nodig heb,t dan kun je dat op tijd aanvragen. Door te onderkennen dat er veel verschillende (juridische) kennisgebieden zijn, kun je de verschillende expertise die je nodig hebt toevoegen aan jouw multidisciplinaire team. Voorkom daarom dat een jurist te veel petten op heeft. Heb in beeld welke expertise gewenst is en voeg vereiste kennis toe, al is het op ad-hoc-basis, aan jouw multidisciplinaire team.
Doordat organisaties de rol van de jurist als facilitator van goed risicomanagement onderschatten, geven ze er ook te weinig aandacht aan. Hierdoor geef je jouw jurist te veel petten. Dit stapelen van taken zie je bijvoorbeeld doordat de juridisch adviseur naast digitale veiligheid ook de rol van privacy adviseur of Functionaris Gegevensbescherming (FG) krijgt.
Verder ziet het NCSC dat veel organisaties een beperkte juridische adviescapaciteit hebben. Het veld van digitaal risicomanagement is divers van aard en vereist verschillende competenties: leveranciersmanagement, kennis over wettelijke eisen en vereisten vanuit compliancy is allemaal even relevant. Voor de jurist is het nog complexer als er sprake is van een internationaal speelveld met de bijkomende regelgeving van verschillende landen.
Een jurist krijgt niet de ruimte om inhoudelijk kennis op te bouwen die nodig is om gedegen advies te geven op digitale weerbaarheid. Zeker als je daarin begrip ervoor hebt dat juristen niet volledig technisch onderlegd zijn aangezien dat niet hun expertise is. Daardoor mis je de gewenste nuancering in juridisch advies.
Daarnaast is het voor jou als projectleider of businessowner belangrijk om te begrijpen dat het juridisch speelveld complex van aard is. Leveranciersmanagement is een andere tak van sport dan voldoen aan compliancy-vereisten voor bijvoorbeeld ISO-certificeringen. Als je geen rekening houdt met deze diversiteit aan expertises, dan leidt dat tot situaties waarin een organisatie nodeloos risico loopt omdat niet alle facetten bekeken zijn door jouw jurist(en).
Voorbeeldcasus: hoe zie je deze vraagsstukken in de praktijk?
Scenario #1: Ontwikkeling van mijn.stoeptegel.nl
De commercieel directeur van een organisatie die gespecialiseerd is als stratenmaker heeft een interne opdracht uitgezet het stakeholdermanagement te professionaliseren. In navolging van de best practices uit de eigen sector heeft de directie besloten om een portaal voor klanten en leveranciers te laten ontwikkelen door hun eigen IT-afdeling. Hiermee wil de directeur het voor de in- en verkoopafdeling makkelijker maken om efficiënt hun klanten te bedienen.
Compliancy-gedreven werken
De IT-manager van de organisatie heeft een productowner aangewezen en een developer op de opdracht gezet om het project technisch te realiseren. Zij gaan vol goede plannen aan de slag en na drie maanden leggen ze de finale versie van het platform aan de directie voor. De beoogde functionaliteiten werken allemaal en de voordelen voor de in- en verkoopafdeling worden hiermee behaald. Tijdens de presentatie stelt de verantwoordelijke directeur van de interne bedrijfsvoering de vraag of het nieuwe platform voldoet aan de vereisten van de AVG en de ISO-27001-normering. Deze vraag heeft de productowner nog niet uitgezocht, maar hij geeft aan dat hij geen problemen verwacht want hij heeft alle best practices gevolgd. De directie wil niet dat het platform live gaat zonder dat de jurist akkoord heeft gegeven omdat dit kan leiden tot hoge boetes.
De verkeerde vragen stellen
Dus komt de productowner enkele dagen later op gesprek bij de bedrijfsjurist. De jurist geeft aan het begin direct aan dat hij niet veel weet van cybersecurity maar dat hij graag helpt. De productowner heeft de architectuurplaat meegenomen en begint al snel in het gesprek tot in technisch detail toe te lichten hoe het portaal werkt. Pas aan het einde van het gesprek wordt duidelijk dat gevoelige bedrijfsinformatie verwerkt wordt in het portaal, net als de persoonsgegevens van klanten. De jurist geeft aan dat hij niet alles begrijpt van de technische vormgeving, maar zijn best zal gaan doen om advies te geven.
Taakstapeling, complexiteit en een go/no-go-moment
De bedrijfsjurist is op dat moment betrokken in meerdere disputen met klanten en een zaak met een ontslagen medewerker. Na een aantal weken lukt het hem om in de casus te duiken en hij trekt de conclusie dat hij niet zeker is of het voldoet aan de ISO-normen en dat hij zeker weet dat het niet aan de AVG-regels voldoet. Dit koppelt hij terug aan de productowner. De productowner stelt de bedrijfsjurist de vraag wat hij moet doen om wel compliant te zijn. De jurist geeft aan dat dit afhangt van de vormgeving en stuurt in reactie het document van de betreffende ISO-normering en de AVG.
De productowner wijzigt hoe het portaal werkt en komt daarna terug met de vraag of het nu goed genoeg is. Hij geeft aan dat er niet meer gewijzigd aan het portaal kan worden, omdat dat niet past in de architectuur. De jurist duidt de risico’s die het bedrijf hierdoor loopt omdat niet zeker is of ze voldoen aan de regels, maar de commercieel directeur besluit om toch live te gaan. Enkele maanden nadat het portaal beschikbaar is, krijgen ze een bericht van een criminele groep: “We hebben al jullie bedrijfsgegevens. Als we niet binnen 48 uur betaald worden dan lekken we deze data.”
De directie besluit na crisisberaad te betalen. Hierdoor zal het bedrijf geen winst maken dit kalenderjaar en zullen voorgenomen uitbreidingsplannen bevroren worden. Ook moet het incident gemeld worden bij de Autoriteit Persoonsgegevens, die een boete oplegt.
Handelingsperspectief: welke principes kan ik volgen als ik juridisch advies nodig heb?
Steljouw jurist open vragen. Vraag niet: wat mogen we? Of: mag dit? Draai het echter om: geef aan wat je wil en vraag de jurist hoe het geregeld kan worden. Een jurist moet accepteren dat er op een passend niveau risico’s genomen moeten worden en kan helpen de juiste balans te vinden tussen risico’s en het bereiken van organisatiedoelstellingen.
Als vuistregel raden we je daarom aan om altijd de volgende vier componenten terug te laten komen:
Leg aan jouw juridisch adviseur uit (1) waarom je een vraag stelt, (2) wat de achtergrond van de vraag is, (3) wat het doel is wat je wil bereiken.
De vervolgvraag om samen uit te zoeken is daarmee: (4) hoe kunnen we dit doel bereiken binnen de grenzen van de toepasselijke wet- en regelgeving?
Hoe gebruik ik compliancy om risicogedreven digitaal weerbaar te zijn?
Deze vier vragen hierboven geven focus aan de wijze waarop de doelen van de business mogelijk te maken zijn, want jouw jurist begrijpt daarmee wat je wil bereiken. Daarmee kan de juridisch adviseur het verzoek in breder perspectief plaatsen. Hou hierbij ook rekening met hetgeen je doet als er alsnog wat misgaat. Ook het reageren op incidenten is onderdeel van risicomanagement en mitigeert risico’s. Juist door ook deze kant te belichten wordt het accepteren van risico’s vanuit juridisch perspectief makkelijker omdat je als organisatie nagedacht hebt over de gehele keten van omgang met digitale dreigingen.
Stel de vraag aan jouw jurist: waar dienen deze compliance-vereisten toe en wat bereik ik ermee? De juridisch adviseur zal je uitleggen wat de achterliggende doelstellingen van de compliancy vereisten zijn. Hierdoor begrijp de business de voordelen van de maatregelen. Ook jouw organisatie is erbij gebaat als de intentie van de compliance nageleefd wordt en dat er bevestigd wordt dat de maatregelen ook daadwerkelijk risico’s kleiner maken. Of, dat blijkt dat ergens aanvullende actie nodig is waardoor de business (onvoorziene) risico’s alsnog mitigeert.
Een jurist vertelde ons laatst dat iedereen een wettelijke regel kan lezen, maar om goed te begrijpen wat er bedoeld wordt heb je een jurist nodig. Als jij wil weten wat er bedoeld wordt, ook wel de geest van de wet genoemd, gebruik daar jouw juridisch adviseur voor. Als jij goed begrijpt wat een vereiste vraagt, dan kun je dat omzetten naar de praktijk. Daarom zijn vereisten uit compliancy niet zonder meer een to-do-list, maar een wegwijzer.
Daarom benadrukken we dat er gegronde verklaringen zijn waarom compliancy cruciaal is in de wereld van digitale weerbaarheid. Wettelijke, ISO- of organisatie-vereisten aan digitale beveiliging bestaan met een reden. Bijvoorbeeld: de ISO-normen geven een beeld van de staat van de organisatie en worden door aan elkaar leverende partijen van elkaar verlangd. Zeker vanuit juridisch perspectief heeft dit een maatschappelijk nut in het ecosysteem. Compliant zijn met ISO-normen geeft handen en voeten aan jouw eigen statements over veiligheid. Dus het heeft zeker een nut, net als compliance met wetgeving: het geeft vertrouwen dat jij jouw zaken op orde hebt. Gebruik dit voordeel en zie compliancy als randvoorwaardelijk voor een succesvolle organisatie.
Neem de business mee en creëer breed draagvlak voor compliancy door de voordelen en het nut te onderstrepen. Een wijze waarop je de business meeneemt, is bijvoorbeeld door samen met jouw juridisch adviseur een workshop te organiseren om de juridische kant van risicomanagement van voldoende draagvlak te voorzien. De boodschap moet daarbij zijn dat een jurist niet wil meekijken en controle wil hebben maar dat juridisch adviseurs juist willen weten of ze de business ergens bij kunnen helpen.
Het is de rol van de jurist om juridische risico’s voor de organisatie in beeld te hebben en hierop, indien nodig, mitigerende maatregelen te adviseren. Daarbij is overigens ook van belang dat die jurist onderkent dat perfectie niet bestaat, fouten maken menselijk is en dat hierom transparantie binnen de organisatie van groot belang is. Geen organisatie wordt beter van een afrekencultuur.
Stel op periodieke basis de vraag: heb ik risicogebaseerde gronden voor het hebben van bepaalde beveiligingsmaatregelen of heb ik deze omdat ik denk dat ik anders niet compliant ben? Ook buiten ontwikkeltrajecten, of veranderingen in jouw organisatie, is het belangrijk om aandacht te besteden aan de logica van vereisten uit wet- en regelgeving en compliancyframeworks. Gebruik hier de kennis van jouw juridisch adviseur voor en pas de eerdergenoemde handvatten toe. Op die manier wordt risicogedreven werken ookcompliancy-gebaseerd opereren.
Hoe werk je samen met jouw jurist?
Maak heldere afspraken wanneer jouw jurist betrokken wordt. Zorg voor een duidelijke rolverdeling en werk met duidelijke mijlpalen: check op vaste mijlpalen in. Positioneer jouw jurist als adviseur in plaats van scheidsrechter. Geef de juridisch adviseur (of adviseurs) een duidelijke rol in een multidisciplinaire setting. Onderstreep ten slotte dat je er begrip voor hebt dat jouw jurist geen technische kennis heeft. Faciliteer daarom dat experts de juiste kennis beschikbaar stellen aan elkaar, op laagdrempelige basis en zonder onnodig vakjargon.
Een project zal binnen de kaders van wet- en regelgeving blijven en daarmee logischerwijs ook binnen de compliancy-kaders vallen indien er heldere afspraken gemaakt worden over de rolverdeling. De tijdige betrokkenheid van de jurist, een risicogebaseerde aanpak en het ontvangen van juridisch advies op de juiste tussengelegen momenten zijn hierbij essentieel. De rol van een jurist, of juridische afdeling, is het tijdig geven van advies aan het projectmanagement op het gebied van (juridische) risico’s. Verander de rol van een jurist van procesblocker naar enabler of adviseur
Het is van groot belang dat er voor de start van een nieuw project afgesproken wordt welke rollen de verschillende disciplines in een project vervullen. Hierbij dient niet alleen gekeken te worden de technische rollen die benodigd zijn voor de uitvoering van het project, maar ook de rollen op het gebied van risicomanagement. Het is expliciet niet de bedoeling dat een jurist enkel op het eind van een project betrokken wordt om een oordeel te vellen over de legaliteit van het project of een ‘compliancy-stempel’ op het project te zetten.
Wijs duidelijke momenten aan tijdens een project waarop juridisch advies ingewonnen moet worden. Betrek jouw jurist op de vastgestelde mijlpalen, leg uit wat je uitgevoerd hebt, waar je naartoe gaat en wat je doel is. Vraag de juridisch adviseur of en zo ja op welke wijze er bijgestuurd moet worden. Naast deze reflectie, is het belangrijk om vooruit te kijken. Kijk vooruit naar de volgende mijlpaal, bespreek de invulling van deze vervolgstappen en vraag om advies.
In sommige organisaties hebben sommige afdelingen een vetorecht om het project stil te leggen indien zij niet betrokken zijn geweest. Deze manier kan meerwaarde bieden, maar is van meeste toegevoegde waarde wanneer dit zich niet tot één moment beperkt. Op dat moment zijn de belangen te groot en confronteer je jouw jurist met een situatie waarbij het erg lastig wordt om bij te sturen. Voorkom dus dat jouw jurist gedwongen wordt om een proces te blokkeren.
Dit los je op door bij de planvorming van een project bepaalde sleutelmomenten of mijlpalen aan te wijzen waarop een juridisch advies gegeven moet worden om te voorkomen dat er gedurende de looptijd van trajecten te ver buiten de juridische kaders getreden wordt. Hiermee voorkom je dat een project in de laatste fase geblokkeerd wordt omdat het project buiten de juridische kaders treedt doordat er niet tijdig door een jurist naar gekeken is.
Maak het laagdrempelig om met jouw juridische afdeling samen te werken. Het gebruiksvriendelijk inrichten en transparantie van het risicomanagementproces van ontwikkelprojecten dienen hierbij extra aandacht te krijgen om workarounds te voorkomen. Indien het voor de uitvoering van trajecten te lastig is om het project volgens de geldende regels uit te voeren zijn de meeste mensen geneigd hier omheen te werken. Hierdoor worden de doelstellen waartoe deze regels opgesteld zijn ook niet behaald.
Juristen dienen al bij de planvorming over projecten betrokken te worden, of deze nu in-house zitten of ingehuurd worden. Door deze legal-by-design- aanpak kan er tijdig vastgesteld worden op welke momenten er juridische sturing of advisering noodzakelijk is. De jurist wordt in dit geval betrokken als adviseur van het project in plaats van als scheidsrechter/auditor die achteraf zijn compliancy-stempel op het project moet zetten.
Compliancy kan wel het gevolg zijn van een risicogebaseerde aanpak indien de juridisch adviseur tijdens de looptijd van het traject tijdig betrokken is geweest. Door juristen vanaf moment nul te betrekken bij een project, en hen in te zetten als richtinggevend adviseur in plaats van oordelende instantie op het einde van een traject voorkom je ongewenste juridische blokkades.
Door tijdens de planvorming van een project een brainstorm te houden over hoe je de projectbehoefte vertaalt naar een projectaanpak voorkom je dat je tijdens het project onaangename verassingen (afbreukrisico’s) tegenkomt. Voor deze analyse betrek je verschillende expertisegebieden, buiten enkel de technische uitvoeringskennis. Naast juridische experts kun je denken aan financiële, facilitaire, fysieke veiligheids- en projectmanagementexperts. Door het tijdig betrekken van deze expertisegebieden en op basis hiervan het projectplan vorm te geven, voorkom je dat het project tijdens de uitvoering tegen blokkades aanloopt.
Het succes van IT-ontwikkelprojecten is van vele factoren afhankelijk. Om te voorkomen dat je tijdens een traject tegen problemen aanloopt, voer je voorafgaand aan het traject een grondige risicobeoordeling uit. Door de vele factoren die een afbreukrisico vormen voor het traject, moet je meerdere expertisegebieden of disciplines betrekken.
Geef dit vorm in een multidisciplinair team voor de uitvoering van deze risicobeoordeling. Veel organisaties focussen zich bij nieuwe IT-projecten vaak enkel op de praktische behoefte en technische haalbaarheid van het project. De operationele (business) kant van de organisatie vraagt bijvoorbeeld om een oplossing en dat vraagstuk wordt versmald tot de vraag of de juiste mensen en middelen beschikbaar zijn.
Faciliteer kennisdeling tussen de verschillende expertisegebieden in jouw multidisciplinaire team. Het is noodzakelijk dat een jurist niet alleen tijdig betrokken wordt bij de vormgeving van projecten, maar dat zij ook door technische experts ondersteund worden. Zo voorkom je dat zij ondanks tijdige betrokkenheid alsnog zaken over het hoofd zien door ontbrekende inzichten of kennis. Daarbij is het vermijden van vakjargon en het toelichten van (technische)details in begrijpelijk taal noodzakelijk voor effectieve samenwerking en voorkom je blokkades door miscommunicatie.
Vaak zijn projectmanagers en technische ontwikkelaars vooral goed in hun eigen vakgebied, maar ontbreekt voldoende juridische kennis om risico’s te onderkennen. Aan de andere kant ontbreekt het bij juristen vaak specifieke technische kennis die van tijdens projecten wel van belang zijn om mogelijke juridische risico’s inzichtelijk te maken. Er bestaan op dit moment geen cursussen om van juristen alomvattende IT- of cyberspecialisten te maken of vice versa.
Daarbij is het in sommige deelgebieden wel mogelijk een gespecialiseerd advocatenkantoor in te huren, maar ook ingehuurde krachten dienen voldoende inhoudelijke ondersteuning te ontvangen om hun werkzaamheden goed uit te voeren. Bovendien is het van groot belang om alle stakeholders bij een project te motiveren zo goed als mogelijk rekening te houden met het kennisniveau en de achtergrond van de andere stakeholder.
Scenario #2: Ontwikkeling van mijn.stoeptegel.nl
De commercieel directeur van een organisatie gespecialiseerd als stratenmaker heeft een interne opdracht uitgezet het stakeholdermanagement te professionaliseren. In navolging van de best practices uit de eigen sector heeft de directie besloten om een portaal voor klanten en leveranciers te laten ontwikkelen door hun eigen IT-afdeling. Hiermee wil de directeur het voor de in- en verkoopafdeling makkelijker maken om efficiënt hun klanten te bedienen.
Zoals bij ieder project binnen de organisatie wordt er een projectmanager aangesteld om dit project in goede banen te leiden. De commercieel directeur blijft als opdrachtgever en eindverantwoordelijke betrokken. De projectmanager betrekt verschillende afdelingen bij een projectanalyse. Hierin bespreken de verschillende disciplines de doelstellingen van de opdrachtgever . De productowner legt helder uit aan de juridisch adviseur uit (1) dat ze binnen de geldende kaders willen werken, (2) wat de achtergrond is van de oplossing en (3) wat het doel is dat ze willen bereiken. De juridische afdeling geeft aan weinig capaciteit te hebben op dit moment, en dat het niet duidelijk is wat voor gegevens het beoogde platform precies gaat verwerken. Daarom adviseert de jurist om een risicobeoordeling uit te voeren. Daarnaast definieert de productowner mijlpalen in het traject en spreken ze af om bij elke mijlpaal te bekijken of er obstakels zijn.
De eerste mijlpaal is de risicobeoordeling. Uit de risicobeoordeling komt naar voren dat er persoonsgegevens en gevoelige informatie van leveranciers in het platform verwerkt zullen worden. De jurist geeft aan dat hij niet genoeg technische kennis heeft om te weten hoe je hier goed mee omgaat. Daarom zal de bedrijfsjurist door een technisch specialist van de IT-afdeling ondersteund worden om de beoogde inrichting van het platform goed te duiden. Ondertussen wint de jurist extern aanvullende informatie in over de ISO-normen waar het bedrijf aan moet voldoen.
Tijdens de volgende mijlpaal heeft de jurist een goed begrip van het project en snapt hij wat het doel is van de gebruikte techniek. Dus kan hij duiden welke risico’s er gemitigeerd dienen te worden, zoals het goed beschermen van persoonsgegevens en het implementeren van beveiligingsmaatregelen, om het project goed te laten verlopen. Het advies van de jurist stipt een aantal onderdelen aan waar de techniek nog niet aan gedacht had, zoals het regelmatig testen van de back-ups. Ook heeft de jurist scherp dat leveranciersmanagement belangrijk is omdat er software gebruikt wordt van een externe partij. Dus zoekt hij contact met zijn collega van het juridische cluster die hier expertise op heeft. Samen kijken ze mee op de contracten die het productteam afsluit met deze externe leveranciers. Zo voegen ze een clausule toe dat de leverancier jaarlijks aantoont hun beveiliging op orde te hebben. Hierdoor wordt het productteam ontlast en is er breed vertrouwen in de business dat het portaal goed in elkaar zit. Daarmee dient de ISO-norm het doel: risico’s passend mitigeren.
Tijdens de laatste mijlpaal wordt de directie geïnformeerd over het op te leveren resultaat. De jurist geeft een positief advies af en de directie geeft de go. De ISO-certificering wordt ook voor het portaal behaald en klanten zijn enthousiast over het portaal en maken er massaalgebruik van. De ISO-certificering voor het portaal blijkt ook commercieel interessant. Een half jaar later krijgt het bedrijf een grote order binnen en een van de componenten die cruciaal bleek om de opdracht te krijgen dat was dat ze in staat waren om aan te tonen goed nagedacht te hebben over hun digitale veiligheid.
Hoe kom ik meer te weten over risicogedreven werken?
Het NCSC heeft een uitgebreide kennisbank van publicaties waarin risicomanagement centraal staan. Als je meer wilt weten over omgang met wet- en regelgeving, dan heeft het NCSC hier meer informatie beschikbaar.
