Monthly Archives

juli 2017

Hulpeloos na outsourcing?

By | Publicatie

Het uitbesteden van de kantoorautomatisering wordt door vele corporaties gedaan, omdat de kennis en techniek niet meer intern bij te houden zijn. Echter is dit niet simpel een kwestie van het verplaatsen van activiteiten. Hierbij worden de organisatorische consequenties vaak onderschat. Hoe zorg je er nu voor dat het “mannetje van de automatisering” niet wordt gemist?

Iedereen kent ze wel, de man van de automatisering, die de systemen in de lucht houdt. Als er problemen zijn bel je hem, leun je achterover, hij doet wat met je computer en het is opgelost. Vaak een ritueel, dat zich regelmatig herhaalt. Maar de problemen worden groter en complexer en het oplossen kan steeds vaker niet lokaal worden opgepakt, dus gaan we uitbesteden. Geen probleem, dan belt de medewerker toch een servicedesk! Die overdracht gaat echter niet vanzelf, hieronder staan twee tips om bij outsourcing toe te passen.

Tip 1: oorzaak voor de voorgaande situatie is de wat beperkte digitale vaardigheden van de gemiddelde gebruiker. Een eerste stap om het geschetste probleem te voorkomen is het verbreden van de kennis over meer mensen van de organisatie. Bijvoorbeeld door het benoemen van kerngebruikers, die verantwoordelijk zijn voor (delen) van applicaties. Heeft een medewerker een vraag, dan stellen ze die eerst aan de kerngebruiker, die daarmee tevens een buffer vormt naar de leveranciers. De verantwoordelijkheid van de kerngebruiker gaat verder dan alleen eerstelijns helpdesk. Zij volgen ontwikkelingen, doen adviezen voor verbeteringen en hebben een rol in inrichten1, testen2 en live3 brengen van updates. Het is goed om die taken formeel te bevestigen en er ook binnen de functie tijd voor vrij te maken. Vaak wordt het er maar als taak bij gegeven en verdwijnt het naar het tweede plan..

Tip 2: elke leverancier presenteert zich als een partner voor het leven. Maar zoals in elk huwelijk, daar moet wel aan gewerkt worden. Investeer daarom in de onderlinge relatie. Ga leuke dingen doen en leer elkaar kennen. Want het “mannetje van de automatisering” woont nu ergens anders en de medewerkers verwachten wel dezelfde dienstverlening, én meer. Ook dit gaat niet vanzelf, dus zorg dat contractmanagement goed intern belegd. Investeer daarnaast in de analyse van de digitale vaardigheden, de gestelde vragen en de wensen van de medewerkers. Door regelmatig (eens per kwartaal) te sparren met de leverancier kunnen gerichte acties gezet worden op het verbeteren van de informatisering en automatisering, bijvoorbeeld door extra training of het uitbreiden van capaciteit.

Met het uitbesteden van de kantoorautomatisering wordt vaak ook een slag gemaakt in de kwaliteit en een toename in de mogelijkheden, bijvoorbeeld in de vorm van extra beveiliging of extra applicaties als skype-for-business. De corporatie moet zich realiseren, dat dat ook meer beheer vraagt. Het leven wordt dus niet per definitie makkelijker, maar wel mooier als het goed is.

Dus: hulpeloos na outsourcing, niet als je de hulp zelf goed organiseert!

Meer weten?

Wilt u meer weten over het uitbesteden van kantoorautomatisering voor woningcorporaties? Laat het ons weten. Als onafhankelijke adviseur kunnen wij u voorlichten over de (on)mogelijkheden en u daar bewust keuzes in laten maken.

Samenwerking op het gebied van privacy

By | Publicatie

Per 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Dit is een Europese privacywet met als doel te zorgen voor veilige verwerking en uitwisseling van persoonsgegevens binnen de EU. Met de komst van de AVG worden niet alleen de privacyregels flink aangescherpt, maar ook de boetes kunnen vanaf dan oplopen tot 20 miljoen of 4 % van de jaaromzet. Momenteel zijn vele woningcorporaties bezig met het implementeren van maatregelen om te voldoen aan de wet. Het is goed om te zien dat privacy bij veel corporaties de nodige aandacht krijgt. Helaas ervaren deze goedwillende organisaties in de praktijk veel problemen omdat de wet abstract is. Zowel de Wbp als de AVG bevatten veel open normen. Dat wil zeggen dat bepaalde regels nog enige interpretatie vragen.

Corporaties voeren hierdoor vele discussies over wat wel en wat niet toegestaan is en welke verplichtingen er wel en niet zijn. Een goed voorbeeld daarvan is de bewerkersovereenkomst (verwerkersovereenkomst in de AVG). Zijn aannemers en deurwaarders nu bewerkers (verwerkers) of niet? Er wordt gezocht naar zekerheid, maar er is onvoldoende informatie om deze te vinden. Het gevolg hiervan is dat het implementeren van maatregelen in een traag tempo verloopt en overal dezelfde discussies worden gevoerd waarbij het resultaat vaak te wensen over laat . Dit terwijl de wettelijke eisen met de AVG alleen maar toenemen. Dat moet toch anders kunnen?

Concretiseren van open normen

Hoewel de AVG een nieuw startpunt vormt op het gebied van privacy is deze in de basis en qua opzet (open normen) gelijk aan de Wbp. Het risico bestaat dat organisaties hiermee gelijksoortige problemen gaan ervaren als bij de Wbp. De wetgever acht zelfregulering gewenst om de open normen van de wet te concretiseren. Bij zelfregulering kan worden gedacht aan het opstellen van sector brede gedragscodes en het aanstellen van een functionaris voor de gegevensbescherming (FG). Beiden moeten eerst worden goedgekeurd door de Autoriteit Persoonsgegevens (AP), de toezichthouder op de Wbp en AVG. Momenteel is er nog geen goedgekeurde gedragscode voor de woningcorporatiesbranche en zijn er slechts een aantal corporaties die een FG hebben aangesteld. In het kort houden een gedragscode en een FG het volgende in:

  • Gedragscode – In een gedragscode worden open normen van de wet voor een bepaalde sector in meer detail worden uitgewerkt. Vanuit het zelfreguleringsprincipe van de wet mogen organisaties deze zelf opstellen en bij de AP ter goedkeuring voorleggen. Als de gedragscode voldoet aan de wettelijke eisen wordt deze goedgekeurd en vervolgens gepubliceerd op de website van de AP. Gedragscodes hoeven niet op alle gebieden bindend te zijn, maar kunnen ook slechts aanbevelingen bevatten.
  • Functionaris voor de gegevensbescherming (FG) – Een FG is een onafhankelijke persoon die binnen een organisatie toezicht houdt op naleving van de Wbp (en AVG) en adviseert over privacyvraagstukken. Heeft een organisatie een FG, dan stelt de Autoriteit Persoonsgegevens (AP) zich terughoudend op. De AP behoudt echter wel alle sanctiebevoegdheden.

Kansen voor woningcorporaties

Kans 1: het opstellen van een sector brede gedragscode

Woningcorporaties hebben op het gebied van privacy vaak te maken met dezelfde vraagstukken. Het zou dus mooi zijn als er een goedgekeurde sector brede gedragscode komt. Hiermee kunnen veel onnodige discussies worden voorkomen en kan er tevens bespaard worden op (juridische) advieskosten. De Handreiking Gegevensbescherming van brancheorganisatie Aedes vormt hiervoor mogelijk een startpunt.

In de praktijk ervaren organisaties de goedkeuringsprocedure van de AP vaak als een langdurig, tijdrovend en kostbaar proces waar tot nu toe nog weinig concrete voordelen tegenover stonden. Dit is de reden waarom er op dit moment minder dan 10 goedgekeurde gedragscodes op de site van de AP staan. Uit de jaarverslagen van de AP blijkt dat zij de afgelopen jaren maximaal 4 gedragscodes per jaar beoordeeld hebben. Vervolgens is het nog de vraag of deze gedragscodes goedgekeurd worden en geldt er voor een goedgekeurde gedragscode een maximale geldigheid van 5 jaar.

Gelukkig is er ook goed nieuws. Wegens de invoering van de AVG en het toenemende belang van privacy zal de AP naar verwachting het aantal fte met 2,5 tot 3,5 keer moeten vergroten t.o.v. het huidige aantal (momenteel 72,3 fte). Hierdoor zullen gedragscode sneller behandeld kunnen worden. Dit biedt dus mogelijkheden voor sectors die hier behoefte hebben aan. Laten we hopen dat de woningcorporatiesector hier snel van kan profiteren .

Kans 2: het (gezamenlijk) aanstellen van een functionaris voor de gegevensbescherming.

Ook de functionaris voor de gegevensbescherming biedt mogelijkheden om als corporaties de krachten te bundelen. Corporaties kunnen namelijk besluiten om (gezamenlijk) een FG aan te stellen. Een (gezamenlijke) FG biedt veel voordelen:

  • Klanten, medewerkers en andere stakeholders krijgen door het aanstellen van een FG vertrouwen in de omgang met persoonsgegevens door een organisatie.
  • Een FG kan zorgen voor bewustwording op het gebied van privacy door voorlichting te geven over het belang van privacy en te adviseren over de omgang met persoonsgegevens.
  • Door een FG te betrekken bij projecten, waar bijvoorbeeld nieuwe proces- en systeeminrichtingen aan de orde zijn, wordt er vooraf nagedacht over privacyvraagstukken (privacy by design en default). Hiermee kunnen kostbare reparaties achteraf worden voorkomen.
  • Privacy incidenten (waaronder datalekken) kunnen sneller worden afgehandeld, doordat een FG de regels goed kent.

Het gezamenlijk aanstellen is met name interessant voor kleinere corporaties, aangezien deze functie daar geen full time job zal zijn. Voor grotere corporaties is een eigen FG aan te bevelen aangezien zij in de regel op grotere schaal persoonsgegevens verwerken. Door de functie van de FG als corporaties gezamenlijk aan te stellen, kan er gebruik gemaakt worden van de kennis en ervaringen die de FG opdoet bij de verschillende corporaties. Een stap verder is het organiseren van kennisbijeenkomsten voor de FG’s in de branche.

Inmiddels zijn er 800 FG’s geregistreerd bij de AP. Vrijwel alle ministeries en een behoorlijk aantal gemeentes hebben een FG in dienst. Ook zijn er FG’s bij bijvoorbeeld ziekenhuizen, hogescholen en politiekorpsen. Op grond van de AVG zijn vanaf 2018 alle publieke instanties verplicht om een Functionaris voor de Gegevensbescherming aan te stellen. Ook voor sommige andere organisaties wordt dit een verplichting, wanneer zij bijvoorbeeld grootschalige verwerkingen van bijzondere persoonsgegevens verrichten. Woningcorporaties lijken niet te vallen onder een van deze organisaties en zijn daarom ook met ingang van de AVG niet verplicht om een FG aan te stellen. De AP kan echter vaststellen dat voor corporaties wel een FG verplicht is . Ongeacht of dit wel of niet verplicht wordt; door een (gezamenlijke) FG aan te stellen als corporatie zet je een goede stap op het gebied van privacy .

Tot slot

Kans 3 (extra): samenwerking vanuit verschillende vakgebieden

In deze blog zijn verschillende kansen toegelicht die er liggen voor de corporatiebranche om samen te werken. Ook VVA-informatisering wil de samenwerking op het gebied van informatiebeveiliging stimuleren. Aangezien privacy gaat over het snijvlak van wetgeving, organisatie en IT (auditing) valt er ook nog veel te leren door mensen van deze verschillende disciplines bij elkaar te brengen. Om die reden organiseert VVA in gezamenlijkheid met een accountants- en een advocatenkantoor een Leergang Privacy- & Gegevensbescherming. In 6 masterclasses leren deelnemers hierin op een praktische manier hoe zij hun organisaties kunnen voorbereiden op de nieuwe privacywetgeving. De leergang zal starten in het najaar van 2017. Heb je interesse? Kijk dan op onze website. Er is slechts ruimte voor 18 deelnemers en aanmelden kan tot uiterlijk 15 september 2017.