Het beoordelen van de kwaliteit van informatiesystemen en beveiliging van de technische informatie infrastructuur

Op basis van de inventarisatie en documentatie van verwerkingen kan worden bepaald welke informatiesystemen kritisch zijn voor de verwerking van persoonsgegevens. Deze systemen komen in aanmerking voor een PIA. Informatiesystemen maken gebruik van technische informatie infrastructuren. De kwaliteit van deze infrastructuren zijn mede bepalend voor de kwaliteit van de verwerking van persoonsgegevens door de informatiesystemen. Het ligt voor de hand de technische systemen mee te nemen in de uit te voeren PIA.

Infrastructuren en informatiesystemen resoneren mee met de bedrijfsactiviteiten van de organisatie. Entiteiten worden gevoegd of juist ontvlochten met de corporate family. Dit geldt ook voor het uitbesteden of juist inbesteden van verwerkingscapaciteit. En technische en bedrijfseconomische ontwikkelingen kunnen aanleiding zijn voor herzieningen van de infrastructuren en informatiesystemen. Steeds wanneer belangrijke aanpassingen worden aangebracht, is het uitvoeren van een PIA aan te bevelen en soms zelfs noodzakelijk.

Aanpak

Voor het uitvoeren van een assessment is een normenkader nodig. Het kader moet aansluiten op het beleid en de geldende wet- en regelgeving. Voor een adequaat en praktisch hanteerbaar normenkader wordt door Duthler Associates gebruik gemaakt van een bedrijfsspecifiek Policy Framework. Een dergelijk framework kan bestaan uit een verzameling van relevante en geldende wet- en regelgeving en hiermee verbonden relevante standaarden, onder meer de Wbp, de aanstaande Europese Algemene Verordening Gegevensbescherming (Avg), de richtlijn Netwerk en Informatiebeveiliging, de NEN 7510, de ISO 27001 en de ISO 25010. Het normenkader kan betrekking hebben op de technische informatie infrastructuur en of de architectuur voor het inrichten van bedrijfsprocessen, business logica en compliance (en privacy) by design en compliace (en privacy) by default.

Contact

Het uitvoeren van een PIA gericht op de beheersmaatregelen van informatiesystemen en de daarmee samenhangende technische informatie infrastructuren vraagt vakinhoudelijke en bedrijfsspecifieke kennis van zaken. Duthler Associates is graag bereid ontbrekende kennis en vaardigheden in te vullen. Graag wisselt drs. André J. Biesheuvel RE RA met u van gedachten hoe Duthler Associates u van dienst kan zijn. Neem gerust contact met hem op.