ISACA – GRC en GDPR – Governance tool, Breukelen Van der Valk – 3 februari 2020
Met de komst van General Data Protection Regulation is er steeds meer behoefte gekomen aan tools om privacy-processen in bedrijven te beheersen. Kan een integrale aanpak als onderdeel van Governance Risk Compliance voordelen bieden?
Deze vraag staat centraal tijdens de ISACA kennisavond op 3 februari jl. Volgens spreker Paul Bruggeman helpt het om GPDR en GRC te zien als twee kanten van dezelfde medaille. Samen met de aanwezigen gaat hij tijdens de kennisavond in op de parallellen en de vraag of eenzelfde technische oplossing mogelijk is.
In control zijn
Volgens Bruggeman willen veel bedrijven met de komst van de AVG (GPDR, red.) in control zijn. Ze zoeken daarbij naar creatieve oplossingen. In control zijn gaat daarbij al lang niet meer over alleen over de financiële situatie van een bedrijf. Het gaat steeds vaker ook over de processen, de data, de compliance, de derde partijen en soms ook over de cultuur. Daarbij wordt altijd gestart met een risico beoordeling: waar liggen de risico’s? Soms zijn er ook periodieke risicobeoordelingen, aanleidingen vanuit incidenten, is er een te laag bewustzijn of zijn er onvoldoende beheersingsmaatregelen.
Cultuurverandering
Bruggeman laat zien dat ter ondersteuning van de processen vaak wordt gezocht naar een software oplossing die geautomatiseerd signalen geeft bij het overschrijden van drempelwaarden. Vroeger lag de aandacht met name op de ondersteuning van de tweede verdedigingslijn, tegenwoordig moet juist de eerste verdedigingslijn ondersteund worden. Het verleggen van de beheersmaatregelen van de tweede naar de eerste lijn is een behoorlijke cultuurverandering. In het begin moet je veel nadruk leggen op nut en noodzaak om het in de eerste lijn te kunnen beleggen, juist omdat het jarenlang in de tweede lijn als verantwoordelijkheid was belegd. De voordelen om de beheersmaatregelen in de eerste lijn te beleggen zijn niet voor iedereen gelijk evident.
In de eerste lijn is men druk met het primaire voortbrengingsproces en sinds kort heeft men daar nu extra taken bijgekregen voor GRC en GDPR. Zo zijn voor Cerrix (het bedrijf van Bruggeman red.) deze vragen ontstaan:
‘Kunnen we GDPR-maatregelen als een subset van de GRC-maatregelen zien’? Gaat het om dezelfde controls? Kunnen we dit oplossen met dezelfde software oplossing?’
Focus op third-party management
In de financiële dienstverlening hebben De Nederlandse Bank en de Europese Centrale Bank haar focus op third-party management behoorlijk aangescherpt. Juist ook bij GDPR blijkt het aspect third-party management tijdrovend te zijn (vaak kent een dataverwerker vele subverwerkers; al die sub-verwerkers moeten in beeld worden gebracht). Lijken GDPR-controls en GRC-controls voldoende op elkaar om een kruisbestuiving te maken in processen, data en software-oplossingen?
Bruggeman concludeert dat er behoorlijk veel overeenkomsten zijn. De insteek dat GDPR een deelverzameling van de controls en werkzaamheden betreft, is herkenbaar en pragmatisch. De GDPR-controls hebben een specifieke insteek maar hebben hetzelfde karakter. Voorbeelden zijn:
- Een risicobeoordeling heeft een smallere scope maar hetzelfde karakter bij een DPIA;
- Een incident heeft een smallere scope maar zelfde karakter bij een datalek;
- Controlmanagement heeft een smallere scope als we spreken over privacy-controls.
De beheersmaatregelen en de dataverzamelingen die nodig zijn voor de GDPR kennen grote overeenkomst met de maatregelen van een meer algemeen raamwerk voor GRC. Veel bedrijven willen ondersteuning voor het beheerwerk rondom de GDPR maar er is weinig vraag naar een specifieke GDPR-technische oplossing.
Templates
Bruggeman geeft aan dat Cerrix in haar technische oplossing de nadruk heeft gelegd op het invullen van webformulieren via een template. Hierbij kunnen bedrijven gebruik maken van een bestaande bron met data zodat ze niet iedere keer bestaande data moeten invoeren. De noodzaak om een zwaar control framework te leveren dat bijvoorbeeld aansluit op het GDPR control raamwerk van NOREA is er nog niet. De klanten van Cerrix laten wel een trend zien van een groeiende noodzaak om de control-executie te ondersteunen. Men zoekt ondersteuning in de administratie die hoort bij de control-testen en het doen van controles op de testresultaten.
Tot slot geeft Bruggeman een duidelijk standpunt mee: ‘GRC en GDPR gaan feitelijk over eenzelfde soort data en worden ondersteund door gelijksoortige processtructuren. Het blijven nog gescheiden werelden, maar het helpt als je ziet dat het twee kanten zijn van dezelfde medaille.’
Over de spreker:
Paul Bruggeman (Cerrix)
Paul heeft het bedrijf CERRIX in 2015 opgericht. CERRIX levert geïntegreerde GRC Tooling in een SaaS propositie. Daarvoor was hij oprichter van Artena dat in 2014 is overgenomen door Keylane. Zijn kerncompetentie is de ontwikkeling van softwareproducten voor business management en consultancy. Paul heeft een theoretische achtergrond in informatica en finance (Msc). Vóór zijn eigen ondernemerschap heeft hij management- en directieposities vervult bij PWC, RTL en Imtech.
