Informatie is tegenwoordig een van de meest waardevolle bezittingen van een organisatie. Met de juiste informatie kunnen medewerkers klanten beter helpen, adequaat beslissingen nemen en de bedrijfsprocessen optimaal uitvoeren.
Het is dus cruciaal dat de juiste mensen op het juiste moment om de juiste redenen toegang hebben tot de juiste informatie. Toch is het niet de bedoeling dat iedereen zomaar alles kan inzien. Hoe bereik je de optimale balans tussen transparantie en privacy? In deze blog lees je vijf tips.
DOOR: PAOLA ZEE
ALLSOLUTIONS
Het vastleggen van taken en verantwoordelijkheden, autorisaties, tekenbevoegdheden, toegestane acties en toegestane bedragen lijkt bureaucratisch, maar geeft wel duidelijkheid, structuur en rust. Daarnaast stelt de overheid op bepaalde vlakken ook eisen in hoeverre je informatie binnen en buiten je organisatie beschikbaar kan en mag stellen. Denk bijvoorbeeld aan de Algemene Verordening Gegevensbescherming (AVG), die sinds 25 mei 2018 van kracht is.
Het gebruik van persoonsgegevens raakt de privacy van mensen. Het bewustzijn over de risico’s daarvan neemt toe, net als de behoefte aan controle en zeggenschap over persoonsgegevens.
Haaks op de ontwikkelingen rondom privacy staat de trend naar openheid en transparantie. Openheid maakt het vinden van informatie, verbindingen en samenwerking mogelijk, zowel intern als extern. Daarbij verschijnt er een generatie op de werkvloer die met het internet is opgegroeid en eraan gewend is dat informatie altijd en overal beschikbaar is. En via social media wordt alles met iedereen gedeeld, zonder beperkingen.
Het roept de vraag op waar de nieuwe grenzen van de autorisatie liggen. Wat moet er nog wel besloten blijven en welke informatie is voor alle gebruikers toegankelijk? Leg je daarvoor een strakke autorisatie vast in je software? Of kies je voor openheid in de software en regel je de begrenzing buiten het systeem om, bijvoorbeeld in de vorm van een privacy statement of een geheimhoudingsverklaring? Deze vijf tips helpen je om de autorisatie beter in te regelen:
Voordat je in je software aan de slag gaat, is het van belang om goed over dit vraagstuk na te denken. Wat zijn de eisen die aan je organisatie worden gesteld? En welke vorm van openheid past bij jouw organisatie? Je kunt je voorstellen dat voor een marketingbureau de uitkomsten anders zijn dan voor een beursgenoteerde organisatie. Begin dus met het in kaart brengen welke bedrijfsregels er gelden voor je organisatie, zoals functiescheiding, en aan welke wet- en regelgeving je organisatie moet voldoen. Maak daarbij een afweging welke punten voor jullie het zwaarst wegen.
Bij grote(re) organisaties is de accountant doorgaans ook bij het autorisatieproces betrokken. Hij moet immers het geheel van beheersmaatregelen beoordelen. Houd daarbij in gedachten dat de accountant inhoudelijk geen gebruik maakt van gegevens die in het systeem worden vastgelegd. Uiteindelijk is het de organisatie die gebruik maakt van de informatie en ermee aan de slag moet. De autorisaties die je in het systeem inregelt, moeten in de praktijk dus ook werkbaar zijn. Voor accountants is het over het algemeen van belang dat je een goede afweging maakt van de procesrisico’s en welke maatregelen je treft om deze te voorkomen.
Betrek je medewerkers, klanten en overige stakeholders in het proces en laat hen meedenken over de te nemen maatregelen. En leg bij de uitrol van de autorisaties nogmaals heel duidelijk uit welke keuzes waarom zijn gemaakt en wie bij de totstandkoming ervan zijn betrokken. Hoe beter je mensen betrekt in het proces, hoe eenvoudiger er draagvlak ontstaat voor de gemaakte keuzes.
Biedt je softwarepakket de mogelijkheid om een uitleg van de gemaakte keuzes en beschrijving van de werkprocessen direct in het systeem vast te leggen? Maak daar dan gebruik van. Op die manier is de gekozen werkwijze altijd zichtbaar in je organisatie. En ook nieuwe medewerkers zijn zo meteen op de hoogte van het hoe en waarom van de maatregelen.
In een veranderende wereld staat je organisatie niet stil. Dat geldt ook voor de autorisaties die je hebt ingericht. Controleer daarom minimaal één keer per jaar of de autorisaties nog steeds aansluiten op de eisen en wensen van je organisatie. Daarnaast geldt: als er veranderingen zijn in het werkproces, neem dan gelijk de autorisaties daarin mee. Toets dit ook weer aan de bedrijfsregels die gelden binnen je organisatie. En maak (opnieuw) de afweging welke punten hierbij voor jullie het zwaarst wegen.
Weet je waar je als organisatie voor staat? Heb je een duidelijk beeld van waar eventuele risico’s in je bedrijfsprocessen zitten? En heb je voldoende draagvlak gerealiseerd? Dan kun je met een gerust hart de autorisaties in je software gaan (her)inrichten. En zorg daarbij dat het up-to-date houden van de autorisaties als dynamisch proces in je organisatie wordt gewaarborgd.