Actueel

Nog veel onduidelijkheid over de GDPR

Enkele maanden geleden is het “Kennisgroep privacy” van het Nederlandse ISACA-chapter van start gegaan, die aansluit op de privacy-activiteiten van wereldwijde ISACA-organisatie. Een inventarisatie onder de leden van de kennisgroep leverde ruim 20 knelpunten op die een organisatie ondervindt om te kunnen voldoen aan de AVG-eisen. De knelpunten kwamen in alle publieke en private sectoren voor, zowel bij grote als kleine organisaties. Doordat de Europese privacy-verordening open normen bevat was natuurlijk te verwachten dat het interpreteren en vertalen van algemene privacy-vereisten naar praktische maatregelen moeizaam zou zijn. Temeer omdat er nog beperkte aanvullende richtlijnen beschikbaar zijn gekomen of rechtszaken zijn geweest die verduidelijking gaven.

Organisaties die onvoldoende bekend waren met de voorganger, de Wbp, hadden (en hebben veelal nog steeds) een grote inhaalslag te maken. Gezien de matige Wbp-naleving betekende dit dat de meeste organisaties grote uitdagingen hadden. De top 3 knelpunten zijn vooral gericht op de onderwerpen ‘privacy by design’, omgaan met verwerkers in ketenverband en inzicht krijgen in alle (locaties van alle) type verwerkingen van persoonsgegevens in een organisatie (zowel gestructureerde als ongestructureerde gegevens).

Hieronder worden alvast wat highlights van deze knelpuntenanalyse gedeeld en toegelicht.

Privacy by design
Wat ‘privacy by design’ nu precies is en welke eisen hieraan worden gesteld, is voor veel organisaties nog onduidelijk. De meeste organisaties vragen zich af hoe ze dit goed in hun projecten en systemen kunnen toepassen.

Verantwoordelijk of verwerker (controller vs processor)?
In toenemende mate werken organisaties in ketens of netwerken van organisaties, die zich over de hele wereld kunnen bevinden. Wie in dergelijke ketens dan de verantwoordelijke controller is, kan nog een flinke discussie opleveren. Ook wordt een leverancier of ketenpartij snel als verwerker aangewezen, terwijl dat niet altijd het geval hoeft te zijn (denk aan bepaling van doel en middelen), er kunnen b.v. ook meerdere verantwoordelijken in één keten samenwerken. Hoe maak je dan toch goede afspraken met je ketenpartners, als die op hun beurt verschillende partijen bedienen, maar op hun beurt ook weer verschillende service providers weer kennen.

Wat mag er nu wel en niet?
Opvallend in de knelpunten was dat ondanks de gedetailleerde uitwerking van de verordening, dat er nog veel onduidelijkheid is hoe deze in de praktijk toegepast moeten worden. Onduidelijkheid leeft onder andere op het gebied van toestemming en doelbinding, b.v. inzake (big) data-analyses. De vele toestemmingsmails en verwerkersovereenkomsten die rond 25 mei in grote getalen zijn rondgegaan illustreren dit.

Conclusie
Uit deze kleine inventarisatie kwam een beeld naar voren dat er nog veel onduidelijkheid bestaat hoe de GDPR-regels in de praktijk moeten worden toegepast. Wij verwachten dat vele van onze ISACA-leden in hun beroepsuitoefening te maken krijgen met bovengenoemde dilemma’s. Wij horen dan ook graag of deze thema’s worden herkend en welke behoefte er leeft bij onze leden zodat wij hier in het kennisgroep op kunnen inspelen. We zien graag jullie mailtjes via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. tegemoet.

 

EU GDPR datos 320x190 1

Namens het kennisgroep privacy,

Krijn Kalma, Jessica Maes en Ronald Koorn

Research in IT-auditing: A Multidisciplinary view

Research IT Auditing VU

Naar aanleiding van het LinkedIn bericht van Professor Abbas Shahim RE met betrekking tot boekpublicatie Research in IT-auditing: A Multidisciplinary view, zijn de Young professionals van ISACA en NOREA bij de Postgraduate opleiding IT-Audit, Compliance & Advisory (ITACA)  van de Vrije Universiteit van Amsterdam geweest, om Abbas Shahim (Professor van de IT-Audit opleiding) een aantal vragen te stellen over het eerste boek van ITACA opleiding, welke toeziet op wetenschappelijk onderzoek in het vakgebied van de IT-Audit.

abbasProf. dr. ing. A. Shahim MSc RE CGEIT CRMA Abbas is hoogleraar op het gebied van de IT-Auditing, Governance, Risk en Compliance (GRC) en voorzitter van ITACA. Hij is ook actief in de praktijk en is onlangs aangesteld als Global Head of GRC bij Atos Consulting. Als lid van het internationale managementteam, leidt en stuurt Abbas de GRC-consulting wereldwijd. Abbas was in de periode 2006-2011 actief bestuurslid van ISACA Nederland waar hij verantwoordelijk was voor de academic relations.

Hoe is het idee ontstaan om als opleiding een boek uit te geven?
Abbas geeft aan dat het idee voortkwam uit het feit dat de opleiding maar zeker ook het vakgebied van de IT-Audit meer een onderzoek karakter moet krijgen. Het vak van de IT-Auditor is een relatief jong beroep in vergelijking tot bijvoorbeeld dat van de Financial Auditor (Accountant). Dit zie je ook terug in de literatuur. Binnen het vakgebied IT-Audit zijn tot op heden veel praktische relevante boeken uitgebracht, maar het ontbreekt aan publicaties, die in de kern een onderzoek karakter hebben. Met de publicatie van “Research in IT-Auditing: A Multidisciplinary view” proberen we dit te doorbreken.

Wat kunnen we verwachten als we het boek Research in IT-Auditing lezen?
U kunt een boek verwachten met een brede variatie aan actuele onderwerpen op het gebied van de IT-Auditing. Door de redactie en de kerndocenten van de ITACA-opleiding zijn alle masterscripties beoordeeld en de meest relevante scripties voor de IT-Auditpraktijk, van het studiejaar 2016/2017, zijn gebundeld in deze publicatie. Om de omvang aantrekkelijk te houden, hebben de studenten speciaal voor deze publicatie hun scriptie kernachtig in een artikel samengevat.

Indien de interesse is gewekt, zijn de meeste scripties te raadplegen op de website van VUrORE. (VUrORE is de studievereniging van onze IT-Audit opleiding en de voorloper van de NOREA).

Deze artikelen hebben een onderzoek karakter en gaan over interessante, hedendaagse onderwerpen. Ik zal verder niet inhoudelijk ingaan op de verschillende artikelen, die zijn opgenomen maar het betreffen alle zeer actuele onderwerpen. Wij hebben de overtuiging dat het lezen van deze uitgave een toegevoegde waarde heeft voor elke IT-Auditor.

[In onderstaande figuur ziet u welke onderwerpen zijn opgenomen in deze publicatie.]

figuur Research IT Auditing VU

Was het lang zoeken naar een gepaste titel?
De titel is zeer bewust gekozen. De titel: Research in IT-Auditing: A Multidisciplinary view, geeft weer dat het boek een weerspiegeling is van de aanwezige kennis bij de studenten, die ter afronding van hun opleiding onderzoek doen in het vakgebied van de IT-Auditing. Door de bundeling van IT-Audit gerelateerde artikelen van de studenten ontstaat er een multidisciplinary kijk.

Welk doel heeft de opleiding met deze publicatie?
Het doel van deze publicatie is drieledig.Ten eerste toont deze publicatie de kennis die aanwezig is in de opleiding. Met behulp van deze publicatie trachten wij de kennis die aanwezig is in de scripties van onze opleiding samen te brengen ofwel ”capture knowledge”. Waar in het verleden de kennis die aanwezig was verborgen bleef voor de praktijk, is het met de komst van deze publicatie mogelijk om op een gestructeerde wijze vorm te geven aan de “knowledge transfer”. Tot slot is dit het eerste boek in Nederland met een ”research character” binnen het veld van de IT-Audit.

Hoe wilt u de ”knowledge transfer” bereiken?
Dit bereiken we door de inzet van sociale media, maar ook door direct contact met kantoren, beroeps­organisaties en aanverwante opleidingen. De knowledge transfer is zo belangrijk dat ik u kan verklappen dat het niet bij een eenmalige publicatie zal blijven. Ons voornemen is om jaarlijks een versie uit te brengen van de “research in IT-Auditing”. Wij vinden het ook van belang om de wetenschappelijke kennis die binnen de opleiding aanwezig is te delen, derhalve voeren wij op dit gebied een actief beleid. Daarbij zien we ook een rol voor NOREA en ISACA als belangrijkste belangenverenigingen van de IT-Auditors, zij zijn ten slotte het eerste aanspreekpunt voor onze alumni en de professionals in het vakgebied.

Hiernaast wil ik u ook wijzen op de studievereniging VUrORE welke zich in het bijzonder inzet voor de knowledge transfer tussen de opleiding en de professionals. Jaarlijks houden ze een symposium over een actueel thema binnen het vakgebied, het afgelopen voorjaar stond dit symposium in het teken van blockchain; En in het najaar geeft VUrORE een seminar met enkele scriptanten die zijn opgenomen in deze publicatie.

Is het mogelijk een exemplaar van de publicatie Research in IT-Auditing te verkrijgen?
Zoals  hierboven aangegeven is “knowledge transfer” een belangrijk speerpunt. Graag bieden wij van de ITACA-opleiding aan de VU, de publicatie “Research in IT-Auditing: A Multidisciplinary view” kosteloos aan, voor iedere geïnteresseerde in IT-Audit gerelateerde onderwerpen met een onderzoek karakter die gaan over interessante, hedendaagse onderwerpen.

Een digitale versie van de publicatie kunt u vinden op de websites; van VUrORE (via deze link) of van onze opleiding (via deze link). Wilt u een fysiek exemplaar, dan kunt u een aanvraagmail sturen naar: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

Download de PDF.

 
 
 

CISA 

ISACA geeft examentrainingen om de titel CISA te mogen voeren. CISA is een wereldwijd erkend certificaat voor IS audit control. Het toont aan dat u de benodigde ervaring, skills en kennis heeft om veiligheidsrisico's te detecteren en betrouwbare audits uit te voeren.

Lees meer over de CISA-training

CISM

Als CISM bent u in staat om zelfstandig informatieveiligheid te analyseren. ISACA verzorgt een examentraining voor CISM, die zowel ruimte biedt voor het bijspijkeren van kennis als concrete oefeningen voor het examen.

Lees meer over de CISM examentraining