Informatiehuishouding en informatiebeveiliging:

Van muurbloem tot pronkstukken

Gepubliceerd op

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over onze activiteiten en meld je aan voor de nieuwsbrief.

Aanmelden

In augustus 2018 zijn wij een blogreeks gestart in de aanloop naar de cybersecurity week 2018. Dat vonden wij een goed idee omdat we er wel wat over te melden hebben – zo is ook gebleken uit de uiteenlopende bijdragen van verschillende adviseurs – maar ook omdat cybersecurity voortdurend de aandacht verdient.

We kunnen terugkijken op een mooie en interessante blogreeks, en we zouden ook nog wel even door kunnen gaan. Want, zoals gezegd, het onderwerp verdient voortdurende aandacht. Maar tegelijkertijd zijn wij bij PBLQ natuurlijk ook op andere gebieden actief, en ook die andere onderwerpen verdienen een podium. Daarom sluiten we deze blogreeks nu af met de blog over informatiehuishouding en informatiebeveiliging, geschreven door Matthijs Kerkvliet.

Informatiebeveiliging als hygiënefactor 

In een eerdere blog schreef ik al eens over informatiebeveiliging als dissatisfier: Je doet het als informatiebeveiliger eigenlijk nooit goed. Bij een incident wordt er naar jou gewezen: ‘hoe kon dit gebeuren?’ en als er lang niets gebeurt vindt iedereen dat eigenlijk niet meer dan normaal, hoor je niets, of nog erger: je bent als eerste aan de beurt bij een bezuiniging. Ziehier, informatiebeveiliging als dissatisfier, of hygiënefactor. 

Informatiehuishouding op orde? 

In mijn vorige professionele leven kwam ik een vergelijkbaar vraagstuk tegen in een onderzoek naar informatiehuishouding. Ofwel, de wijze waarop informatie wordt gecreëerd, opgeslagen, geraadpleegd, gewijzigd en uiteindelijk ook hoe deze wordt gearchiveerd. Ook hier geldt, op het moment dat de informatiehuishouding gewoon goed op orde is, lijkt iedereen dat de normaalste zaak van de wereld te vinden. De juiste versie van bepaalde informatie staat dan op de plaats waar je het verwacht en ook andere gebruikers weten deze informatie zonder enig tijdsverlies aan zoeken te vinden.  

In het verleden in de papieren situatie gold: ‘wat je niet weg gooide, dat bewaar je’, maar in de digitale wereld anno nu geldt: ‘wat je niet bewust en gestructureerd bewaart, ben je kwijt’. 

Helaas komt dat maar zelden voor 

Ok, voordat je nu denkt dat ik een sprookjesverhaal aan het schrijven ben: In de praktijk kom je dit niet of nauwelijks tegen. Ga maar eens na: je ontvangt een mailtje met daarbij een document. Je denkt bij jezelf, dat gaat over dit onderwerp, en je slaat het vervolgens op in die ene map over dat onderwerp. Vervolgens, drie weken later heb je dat document weer nodig en je denkt, waar had ik die ook alweer opgeslagen? Als je geluk hebt komt je logica van dat moment overeen met die van die drie weken daarvoor. Maar als je pech hebt interpreteer je het nu anders en verzand je in een zoektocht langs ‘mijn documenten’, de gezamenlijke ‘L-schijf’, de projecten-‘P-schijf’ of de afdelings-‘I-schijf’. Of was het toch een mailtje dat je naar mapje ‘projecten’ had gesleept?  

De informatieparadox 

Herkenbaar? Vast wel. Het is de informatieparadox in een notendop: De technieken om informatie te creëren, op te slaan en te ontsluiten worden steeds beter, maar desondanks – mede als gevolg van de explosief groeiende hoeveelheid digitale informatie en ruwe data – wordt de informatie minder makkelijk vindbaar. In het verleden in de papieren situatie gold: ‘wat je niet weg gooide, dat bewaar je’, maar in de digitale wereld anno nu geldt: ‘wat je niet bewust en gestructureerd bewaart, ben je kwijt’. En de inspanning die je moet verrichten om die informatiehuishouding dus netjes op orde te brengen is hoog. En de opbrengst? Ja, ook hoog, maar helaas ook ‘onzichtbaar’ want die opbrengst wordt als vanzelfsprekend ervaren. Zie hier de parallel met informatiebeveiliging. 

De technieken om informatie te creëren, op te slaan en te ontsluiten worden steeds beter, maar desondanks – mede als gevolg van de explosief groeiende hoeveelheid digitale informatie en ruwe data – wordt de informatie minder makkelijk vindbaar.

Informatiehuishouding als voorwaarde voor goede informatiebeveiliging 

Het onderzoek waaraan ik refereer is alweer enige jaren oud, maar onlangs in een gesprek moest ik er weer aan terugdenken. Dat gesprek ging over informatiebeveiliging, en wat we nu eigenlijk moesten doen om die informatiebeveiliging te verbeteren. Wat bleek: We moesten vooral eerst de informatiehuishouding op orde brengen. Ofwel: als je niet weet waar informatie staat, wat de status van informatie is en wie allemaal bij die informatie kan, kun je het ook niet beveiligen. Trek maar even de parallel met de fysieke wereld: Als je niet weet waar die kroonjuwelen zich bevinden, wie er allemaal een sleutel, of toegangscode voor het alarmsysteem heeft, dan stelt de beveiliging – hoe technisch geavanceerd ook – niet zoveel voor.  

Focus niet alleen op de primaire taak

Dus die informatiehuishouding, die moet op orde. Maar hoe doe je dat? Veel van de informatievoorziening is ingericht op de primaire taak waarvoor deze is bedoeld: Het bijdragen aan de primaire doelstellingen van een organisatie (bijvoorbeeld het uitvoeren van regelingen, het maken van nieuw beleid, etcetera). Logisch natuurlijk. Maar naast die primaire organisatiedoelstellingen heeft informatie ook nog andere waarden die minstens zo belangrijk zijn. En zo breng ik graag onder uw aandacht ‘de informatiebloem’ (zie afbeelding, bron: Algemene Rekenkamer). 

Informatiebloem

De waarden van informatie 

De informatiebloem is een weergave van informatie in de vorm van een bloem, waarbij informatie de kern is (daar gaat het om) en een ring bloemblaadjes visualiseert de verschillende fasen van informatie (van creatie tot archivering: fasen die in de papieren wereld volgtijdelijk plaatsvonden maar anno nu gelijktijdig) en een ring visualiseert verschillende waarden:  

  • Het bedrijfsproces  
  • Institutioneel geheugen  
  • Verantwoording  
  • Cultureel erfgoed  
  • Recht- en bewijszoekenden  

Deze bloem is ooit ontsproten uit de gedachten van de helaas overleden oud-president van de Algemene Rekenkamer, Saskia J. Stuiveling. En zij doorzag dat in de digitale wereld de andere bloemblaadjes dan die van het bedrijfsproces verwaarloosd werden. Het gevolg: Informatie is onvindbaar of onleesbaar, de juiste versie is niet onomstotelijk vast te stellen etcetera. Daardoor was geen goede verantwoording mogelijk, het institutioneel geheugen was een zeef, de cultureel historici van de toekomst met de handen in het haar én, de recht- en bewijszoekende burger stond machteloos tegenover de grote overheid.  

Nieuwe rondes nieuwe kansen

Dus zo lag de analyse er, maar de oplossing nog niet. Want hoe kom je ertoe om al die verschillende waarden gelijk te wegen en gelijk te behandelen? Lastig. En ik moet eerlijk zeggen, ik had dat antwoord ook niet paraat. Maar inmiddels heeft de recht- en bewijszoekende burger de wind mee. Met de komst van de AVG is zijn positie versterkt en geldt het ‘privacy by design’-uitgangspunt. Dus daar waar de afgelopen jaren het optimaliseren van het bedrijfsproces centraal stond (denk aan het steeds meer delen van informatie binnen het jeugddomein of in het sociale zekerheidsdomein) moet nu steevast de vraag gesteld worden: ‘Wat betekent dit voor de rechtspositie van de burger?’ En overheden moeten zich bovendien meer dan voorheen kunnen verantwoorden (richting de Autoriteit Persoonsgegevens).  

Laat informatiebloemen bloeien

Voilá. Al drie bloemblaadjes die weer de volle aandacht krijgen. En met bloemen is het nu eenmaal zo, als je die grotendeels verwaarloost, verwelken ze, maar als je ze voldoende aandacht geeft, dan gaan ze geweldig mooi bloeien. (En dat laatste kan ik uit eigen ervaring bevestigen want in een nog verder verleden heb ik jarenlang bij een bloemenkweker gewerkt.) 

Blogreeks

Dit blog maakt onderdeel uit van een blogreeks over informatiebeveiliging

Lees hier de overige blogs in deze reeks

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over onze activiteiten en meld je aan voor de nieuwsbrief.

Aanmelden