Geplaatst 31-01-23
Hogeschool Saxion is een onderwijs- en kennisinstelling met vestigingen in Enschede, Deventer en Apeldoorn. Saxion telt ongeveer 26.000 studenten en zo’n 3.000 medewerkers, verdeeld over staf en organisatie, onderwijs en onderzoek en ondersteunend personeel.
Saxion begon in 2021 te werken met TrustBound GRC, aanvankelijk alleen als Privacy Information Management System (PIMS), maar nu ook als omvattend systeem voor informatiebeveiliging (ISMS).
De implementatie is voor de hele organisatie een kwestie van lange adem en kleine stappen, vertellen Monique Witlam en Henry Meutstege. Witlam werkt bij Saxion als Senior Privacy Officer, teamleider van het privacyteam, gedelegeerd FG en tevens projectleider voor de implementatie van TrustBound GRC. Meutstege is als Chief Information Security Officer (CISO) verantwoordelijk voor de sturing en naleving van het informatiebeveiligings- en privacybeleid van de hogeschool. Meutstege moet wennen aan de manier waarop TrustBound het risicomanagement benadert en Witlam benadrukt dat je er regelmatig mee moet werken om je de systematiek eigen te maken. Dat neemt niet weg dat beiden grote voordelen zien aan het werken met TrustBound.
Verschillende niveaus
Wat was de situatie bij Saxion voordat jullie TrustBound introduceerden?
Witlam: “Saxion was, zoals alle onderwijsinstellingen, al aangesloten bij SURF (een coöperatieve vereniging waarin Nederlandse universiteiten, hogescholen, mbo-instellingen, umc’s en onderzoeksinstellingen samenwerken op het gebied van inkoop en innovatie van digitale diensten). Vanuit het Team Informatiebeveiliging & Privacy kwamen steeds meer signalen dat de aanpak van de privacy een stuk beter kon. We waren veel tijd kwijt met het zoeken naar de documenten die je nodig hebt om het register van verwerkingen, een Excelbestand, compleet te maken. Dat wilden we beter gestroomlijnd en werkbaar krijgen.”
Meutstege: “Het probleem was dat we alles bijhielden in steeds grotere en complexere Excelbestanden. Daardoor werd met name het register van verwerkingen heel complex, zeker als je alle verwerkingen goed wil registreren en administreren. Het was echt nodig om het register te borgen in een gestructureerd systeem.
Het punt is dat je, naarmate je je meer in risicomanagement verdiept, steeds beter wilt snappen hoe het werkt. Welke gegevens gaan erin en eruit? Bij welke bedrijfsmiddelen of systemen speelt dat een rol? Welke risico’s brengt dat mee, en zijn die ergens vastgelegd? Welke maatregelen moet je nemen om die te verkleinen? Al die elementen hebben op verschillende niveaus relaties met elkaar en als je dat in een tweedimensionaal systeem als Excel probeert vast te leggen, kom je daar niet meer uit. Dat is precies waar TrustBound wél ondersteuning bij biedt.”
Witlam vult aan: “TrustBound heeft verschillende ingangen. Je kunt privacybeveiliging benaderen via bedrijfsmiddelen, via verwerkingen of via de betrokken medewerker, dat vindt iedereen hier erg handig.”
Toetsing volwassenheidsniveau
Het College van Bestuur van Saxion besloot, nadat de Universiteit van Maastricht in 2019 slachtoffer van een hack was geworden, de informatie- en privacybeveiliging naar een hoger niveau te brengen. Binnen SURF werd afgesproken dat alle hogescholen en instellingen in Nederland zouden moeten voldoen aan niveau 3 van het SURF-toetsingskader voor de zogenoemde ‘volwassenheid’ van een organisatie.
Bovendien was in 2018 in Nederland de AVG geïntroduceerd; Saxion startte een groot project om de AVG-bepalingen goed te integreren in de organisatie, maar dat bleek niet mee te vallen.
Meutstege: “Eind 2019, begin 2020 constateerden we dat we daar niet verder mee kwamen. We liepen vast en zochten naar een manier om gestructureerder te werken. We konden meer investeren in mensen en middelen en toen zijn we TrustBound gaan gebruiken als meetinstrument: waar staan we nu, wat moeten we nog doen en waar gaan we naartoe?
Bovendien is het SURF-toetsingskader voor volwassenheid vooral vanuit informatiebeveiliging opgezet. Er is vanuit SURF ook wel een AVG-toetsingskader, maar dat is minder ver ontwikkeld. TrustBound heeft in zijn systeem een completer AVG-toetsingskader ingebouwd en dat helpt ons om hierin een voorsprong te nemen."
De systeemopbouw van TrustBound is heel intuïtief, als gebruiker vind je je weg heel snel.
Monique Witlam, privacy officer
Bij informatiebeveiliging stijgen we langzaam in volwassenheid. We begonnen op 1,9, ik denk dat we nu op 2,7 of 2,8 zitten, we zijn net weer aan het meten. Bij informatiebeveiliging is verhoging van het volwassenheidsniveau een complex proces, bij privacy gaat het wat makkelijker.”
Witlam: “Vorig jaar zaten we met privacy op volwassenheidsniveau 2,1, volgens onze self-assessment zitten we nu gemiddeld op 3,1. Maar bij privacy toets je op 28 onderdelen, bij informatiebeveiliging op 69, dat is een groot verschil.”
Van dreiging naar risico, of andersom?
Meutstege vestigt de aandacht op een belangrijk principieel punt en maakt duidelijk dat je risicomanagement van twee kanten kunt benaderen.
Meutstege: “TrustBound benadert risicomanagement vooral vanuit de risico’s van binnenuit: je analyseert de verwerkingen en systemen en kijkt welke risico’s daar kunnen optreden. Vanuit mijn achtergrond als IT-er ben ik gewend om risicoanalyse van de andere kant te benaderen: eerst nadenken over de risico’s die je ziet, en die administreren en koppelen aan verwerkingen. Dat is een verschil in benadering en eerlijk gezegd moet ik daar soms nog aan wennen. Ik vermoed dat dat komt doordat TrustBound is ontstaan vanuit de privacybeveiliging: risicomanagement wordt bekeken van binnenuit, vanuit het systeem. Ik denk meer van buitenaf. We zijn daarover wel in gesprek met Arjaan en Robert-Jan van TrustBound en het fijne is dan weer dat ze daar zeer voor openstaan.”
Wie gaat er mee werken?
De introductie van TrustBound gaat bij Saxion stap voor stap. Er zijn eerst beleids- en visiestukken ontwikkeld, met daaruit voortvloeiende operationele kaders, zodat mensen ermee kunnen gaan werken.
Meutstege: “Het is met dergelijke tooling altijd de vraag wie er zelf mee moeten gaan werken en wie je alleen wilt aansturen met de uitkomsten. Uit het dashboard kan ik bijvoorbeeld makkelijk aflezen waar we aan moeten werken om hoger te komen in de volwassenheidstoets. Die prioriteiten kan ik makkelijk doorgeven aan mijn College van Bestuur; het is niet nodig dat het College er zelf in gaat kijken.
Witlam: “Het dashboard vind ik echt een grote vooruitgang, want daarmee kan ik op ieder moment een rapportage op maat genereren. Zo heeft iedereen op ieder moment inzicht in waar ze staan in het proces.”
Meutstege: “We hadden het net over risico’s en risicomanagement, en dat is bijvoorbeeld wel een onderwerp waar we onze ‘business’, onze academies en diensten, bij willen gaan betrekken. Nu zeggen wíj nog op centraal niveau wat het risico is, wie de eigenaar ervan is en welke maatregelen we willen nemen; daarna vragen we de eigenaar om daarmee aan de slag te gaan. Eigenlijk wil je dat men dat lager in de organisatie allemaal zelf gaat doen, maar dat is een transitie die tijd kost.”
Als organisatie wil je het liefst dat nieuwe softwaretools kunnen worden gekoppeld aan bestaande systemen die goed functioneren. Bij Saxion speelt dat bij de bestaande service-managementomgeving (SMO).
Meutstege: Saxion heeft een organisatiebrede SMO ingericht. We gaan bekijken hoe we onze SMO kunnen koppelen aan TrustBound, zodat we het register incidenten en het register verzoeken van TrustBound optimaal kunnen gebruiken.”
Witlam: “De IB&P-coördinatoren van de afdelingen en academies hebben veel interesse. Voor 2023 zou het een mooie stap zijn als we met hen kunnen kijken hoe TrustBound kan werken voor de afdelingen en academies. Iedereen is erg enthousiast en de implementatie kan zeker lukken, maar niet met te grote stappen, en Henry en ik moeten heel goed weten wat we in elke volgende stap willen bereiken.”
Meutstege: “Voor ons en voor TrustBound zou het een belangrijke volgende stap zijn als we volwassenheidsmeting per academie of afdeling kunnen uitvoeren. Nu meten we op Saxion-niveau en proberen per academie een inschatting te maken.”
Rust in de organisatie
Witlam: “Op centraal niveau hebben we de verschillende aspecten van privacybescherming en informatiebeveiliging beter uitgewerkt; we weten waar we naartoe willen en met TrustBound weten we ook hoe ver we ermee zijn. Daardoor kunnen we nu betere ondersteuning geven aan wetenschappelijk onderzoekers die in hun werk stuiten op vragen rond AVG.
Op die vragen konden we vroeger nooit een bevredigend antwoord geven. Het was duidelijk dat die onderzoekers een AVG-verantwoordelijkheid hadden, maar we konden nooit goed aangeven aan welke eisen ze moesten voldoen en hóe ze dat moesten doen, kortom wat de kaders waren. Dat was voor beide partijen onbevredigend en leidde tot discussies. Die kaders zijn er nu wel en dat helpt enorm om rust te krijgen in de organisatie, omdat we kunnen laten zien hoe ons AVG-beleid eruit moet zien, dat we de voortgang kunnen meten en hoe we dat doen. Als team kunnen we steeds beter concrete antwoorden geven en dat werkt heel prettig.”
Grote verandering
De implementatie van de GRC-tool is dan wel een geleidelijk proces dat in stappen verloopt, maar sommige veranderingen zijn ingrijpend.
Witlam: “Als ik zie hoe we eerst in Excel het register van verwerkingen in elkaar probeerden te zetten en hoe we dat nu doen, dan is dat echt een wezenlijke verandering, ook door de kruisverbindingen die nu mogelijk zijn. En de dashboardoverzichten zijn heel prettig, want je kunt ze op elk moment van de dag bekijken.”
Meutstege: “De essentiële verandering is dat we nu echt in control zijn. We deden wel van alles, maar wisten niet of we de goede kant op gingen, omdat alles door elkaar heen liep. Nu werken we veel gestructureerder en hebben we een veel beter grip op wat we moeten doen, dat is echt grote winst.”
Witlam, tot slot: “Een ander heel sterk punt is de flexibiliteit bij TrustBound, de snelheid waarmee ze aanpassingen voor je klaarzetten of ontwikkelen. Dat zie je maar weinig en dat is echt een heel sterk punt.”
Wil je snel verbeteren?
Download onze whitepaper over het eenvoudig opzetten van een beheersysteem voor informatiebeveiliging en privacy met gebruiksvriendelijke GRC-Software.
