De exponentiële groei van data en de toenemende wet- en regelgeving zorgen ervoor dat organisaties worstelen met uitdagingen rond de naleving van compliancyregels op het gebied van informatiebeheer. De grote vraag is: hoe kunnen we onze informatie het beste beheren, opslaan, archiveren en opvragen met het oog op compliancy? En tegelijkertijd ervoor zorgen dat onze waardevolle informatie gemakkelijker kan worden ingezet voor innovatie?
Vaak verschilt de wet- en regelgeving op het gebied van informatiebeheer per land. Er moet rekening gehouden worden met talloze stukken wet- en regelgeving, waarbij grote multinationals soms moeten voldoen aan duizenden internationale wettelijke vereisten. Voor organisaties die actief zijn in meerdere landen, is dan ook een bedrijf omvattende, integrale, internationale benadering nodig voor het beschermen, bewaren en verwijderen van gegevens. Daar komt nog eens bij dat wetten of regels vaak worden gewijzigd. Dit betekent dat tegen de tijd dat een organisatie eindelijk grip heeft op een bepaalde wet of regel, deze inmiddels misschien al verder is ontwikkeld en aangepast. Daardoor zijn de processen die hier intussen voor zijn ingericht, mogelijk niet meer van toepassing of rechtsgeldig.
Het implementeren van processen die ervoor zorgen dat informatie effectief en automatisch volgens compliancyregels beheerd wordt, biedt vele voordelen. Het maakt het mogelijk om de levenscyclus van informatie effectief te managen, evenals gecentraliseerd en beleid gestuurd data management. Tegelijkertijd worden ontoegankelijke, inefficiënte informatiesilo’s geëlimineerd. Zo kunnen organisaties de hoogst mogelijke waarde uit hun informatie halen, om de innovatie te stimuleren, het klantverloop te minimaliseren en nieuwe omzetkansen te identificeren en te benutten.
Concreet biedt information governance voordelen op onder andere de volgende gebieden:
- Gegevensgroei: zorgt ervoor dat alle soorten data beheerd, behouden, geïnventariseerd, beschermd en geanalyseerd kunnen worden, om te voldoen aan governance-eisen. Tegelijkertijd maakt dit e-discovery mogelijk, waarmee nieuwe en vaak waardevolle informatie in data kan worden ontdekt.
- Kosten: verhoogt de efficiëntie en het gebruik van informatiemiddelen, terwijl de geïmplementeerde data-infrastructuur gereed is voor de toekomst.
- Complexiteit: ontkoppelt de data van applicaties en infrastructuur, en maakt informatie makkelijker beschikbaar voor e-discovery of andere zakelijke doeleinden.
Holistische benadering
Bij het toepassen van information governance wordt niet langer iedere wettelijke verplichting afzonderlijk aangepakt, maar gaat het om een holistische benadering op basis van geautomatiseerde processen en effectief beleid. Information governance beschrijft hoe informatie binnen een organisatie dient te worden gecontroleerd om te kunnen voldoen aan zowel wet- en regelgeving als aan de operationele en andere vereisten van de onderneming. Voor de organisaties draait het daarbij om het adresseren van de uitdagingen waar de belangrijkste stakeholders binnen de organisatie voor staan. Een cio kan zich bijvoorbeeld afvragen: ‘Hoe lang moeten we informatie bewaren’. Iemand die verantwoordelijk is voor compliancy wil weten: ‘Hoe kunnen we zorgen voor compliancy in meerdere rechtsgebieden?’. En bij een informatiemanager gaat het om de vraag: ‘Hoe kunnen we snel en op de beste wijze voldoen aan informatieverzoeken van regelgevers?’.
In mijn optiek is information governance gebaseerd op een compleet scala aan automatische processen, controles en technologieën die organisaties helpen om maximale waarde uit hun data te halen, terwijl de risico’s en kosten worden geminimaliseerd. Een organisatie die compliancy wil aanpakken, moet om te beginnen kijken hoe dit momenteel binnen de organisatie is ingericht en vervolgens de nodige beleidsregels opstellen, implementeren en afdwingen. In de praktijk is dit echter een niet te onderschatten taak. Alleen het verkrijgen van goed overzicht van en inzicht in alle vereisten waaraan moet worden voldaan, is al een flinke klus.
Inventarisatie
Er zijn echter wel degelijk praktische richtlijnen en methodes om information governance effectief aan te pakken. Er moet bijvoorbeeld een zo volledig beeld gevormd worden van welke soorten gegevens er binnen de organisatie aanwezig zijn, van gestructureerde tot ongestructureerde data (tekstdocumenten, spreadsheets, Powerpoint-bestanden, geluidsopnamen, video’s, sensor- en logdata , of externe gegevens, zoals informatie uit social media). Daarbij moet ook worden vastgelegd hoe deze informatie wordt verzameld, opgeslagen , gebruikt en beheerd – voor de lange termijn. Vervolgens moet er een diepgaande audit van die informatie plaatsvinden, om te bepalen waar de informatiemiddelen zich bevinden, wie ze gebruikt, of ze van belang zijn voor wet- en regelgeving en hoe ze momenteel beveiligd zijn. Essentieel voor het slagen van een dergelijk programma is dat ook de belangrijkste executive stakeholders het governance-raamwerk en het hieruit voortvloeiende beleid ondersteunen.
De volgende stap betreft het vaststellen van een robuust beleidsraamwerk dat alle wettelijke en statutaire bepalingen en standaarden adresseert, evenals het bedrijfsbeleid. Hierbij gaat het onder andere om beleidsregels voor de retentie van informatie, de classificatie van legacy content, het identificeren van dubbele data en het vaststellen hoe meta data gebruikt kan worden voor compliancy. Doel is een solide fundament voor de toekomst te realiseren, met een beleidsraamwerk op basis waarvan de informatiemiddelen op kosteneffectieve wijze automatisch kunnen worden beheerd, en om te identificeren welke informatie de meeste waarde biedt of juist voor de grootste pijnpunten zorgt. Is het beleidsraamwerk eenmaal opgesteld, dan moeten policies uitgerold en afgedwongen worden die betrekking hebben op alle data die de onderneming opslaat, beheert en gebruikt.
Gezien de omvang van de gegevens die in ogenschouw genomen moeten worden en om de complexiteit en kosten onder controle te houden, is vergaande automatisering van de processen die het beleidsraamwerk moeten ondersteunen een absolute voorwaarde. En dankzij geautomatiseerde processen op basis van beleidsregels, is het ook mogelijk om relatief eenvoudig te voldoen aan nieuwe of gewijzigde wet- en regelgeving. Het interessante is dat de organisatie ook meteen nieuwe mogelijkheden krijgt om meer waarde te genereren uit de informatie die op deze wijze beheerd wordt. Met een helder inzicht in de behoeften op regelgevend, zakelijk en corporate niveau kan een organisatie ook beter begrijpen hoe best practices het beste kunnen worden ingezet, waar gebruik gemaakt kan worden van bestaande processen en beleidsdefinities en hoe de kosten ook in de toekomst onder controle gehouden kunnen worden.
Een ding is zeker: de omvang en de complexiteit van gegevens die bedrijven creëren, opslaan en beheren, groeien exponentieel. De naleving van wet- en regelgeving is steeds meer een punt van zorg, nu de risico’s en de hoogte van mogelijke boetes drastisch toenemen. Effectieve information governance-praktijken kunnen ervoor zorgen dat de naleving minder complex en kostbaar worden. Het is duidelijk dat vooral de bedrijfskundige en organisatorische aspecten van information governance de grootste uitdaging zullen zijn voor bedrijven. In mijn optiek zijn de ondersteunde technologische oplossingen die hiervoor nodig zijn, beschikbaar en (verhoudingsgewijs) eenvoudig in te richten.
Information Forum 2014
Information Governance is een van de onderwerpen die uitgebreid aan bod komen tijdens het Information Forum 2014, dat op 5 februari 2014 in Santpoort plaatsvindt.
Een zeer interessant stuk van Rob Hilterman. Feitelijk kun je de governance opdelen in twee sectoren en het je daarmee een stukje makkelijker maken.
Corporate data
Onder corporate data verstaat men doorgaans alle data die gegenereerd worden of worden geïmporteerd om productiviteit mogelijk te maken. Deze zijn gebonden aan vrij eenvoudige regelgeving behalve als het grensoverschrijdende data is. In dat geval is het handig de wetgeving van het betreffende land van ‘storage’ er eens op na te slaan.
Personal data
Hier word bedoeld alle data die sec betrekking hebben om personen binnen en buiten de organisatie. Daar gelden in Nederland vrij aanzienlijke wet en regelgeving voor die, m.i. best wel meevallen.
Voor beiden hier geld feitelijk, in geval van twijfel, gewoon niet doen.
Ik kan me de stelling en het artikel wel indenken overigens. Met de nog in de steigers staande regelgeving van Brussel die meer en meer een rol gaan spelen op de Nederlandse regelgeving, word een eenduidige governance er ook niet echt makkelijker op.
Wat dat betreft ben ik een groot voorstander van een heldere Nederlandse autonomie, ook op dit vlak. Het scheelt namelijk zeer veel hoofdbrekens.
Mooi artikel.
@Rob
De correcte term is : “compliance” en niet “compliancy”.
IT Governance & compliance zijn vooral na de SOX wetgeving een grotere rol gaan spelen in bedrijven, vooral omdat in sectie 302, CEO en management verantwoordelijk worden gesteld voor de juistheid van hun financiele rapportages. De maatregelen die getroffen worden hebben dan ook vooral tot doel om aan te kunnen tonen dat er voldoende inspanningen zijn gedaan op het gebied van ICT beveiliging, zodat in geval van grootschalige fraude, het management er heelhuids vanaf komt.
Governance & Compliance zijn vooral van belang voor het management.
aandeelhouders, klanten, medewerkers en leveranciers hebben echter meer aan daadwerkelijke security maatregelen. Een goede security policy richt zich dan ook op het beveiligen van de informatiesystemen en de daarin opgesloten data.
Compliance is dus niet hetzelde als security.
Gezien het toenemende aantal data breaches en schade ten gevolge van computercriminaliteit zou binnen IT Governance een groter accent moeten worden gelegd op security.
@ KJ
SOX heeft hier in het verhaal van Rob weinig mee te maken. Tenminste, ik kom dat woordje niet tegen. Rob stelt dat bedrijven zich moeten opmaken, voorbereiden, inrichten, dat data enorm zal groeien en dat dit gevolgen heeft voor elke organisatie. Hoe ga je daarmee om in het licht van de (inter)nationale wetgeving en hoe bezie je welke data.
IT wise kun je alvast na gaan denken over het soort data en het beveiligen daarvan en vooral, hoe voorkom je dubbele data. Je SOX verhaal is hier een beetje irrelevant vanuit mijn beleving.
@NumoQuest
SOX is US federale wetgeving en de US bedrijven die hier opereren : IBM, HP, Microsoft etc, vallen onder die wetgeving.
Het stuk is wat algemeen van karakter en gaat niet echt in op relevante ontwikkelingen in de wetgeving zoals bijvoorbeeld de European Union Data Protection Regulation voorstel van 2012. Deze wetsvoorstellen bevatten een aantal belangrijke verplichtingen tav. bedrijven die data van derden beheren en verwerken.
Anders dan jij denkt is het bewerkstelligen van IT security wel degelijk een uitdaging voor information governance (zie titel van het stuk). Security maatregelen die in het kader van compliance worden genomen, schieten meestal gewoonweg tekort om daadwerkelijk effectief te zijn.
Information governance zal een belangrijkere rol moeten toebedelen aan ICT security, want compliance maatregelen dekken de risico’s niet voldoende af.
@ KJ
Ik geloof niet dat jij mijn reactie goed heb gelezen. Ja, ik weet wat SOX is en ja, ik weet wat EUDR beoogt wat nog zeer ver van enige implementatie is verwijderd.
Governance stelt alleen op welke wijze en structuur, rollen en verantwoordelijkheden binnen een onderneming worden geregeld en onderhouden, intern en extern. Het zegt verder helemaal niets over enige techniek die men daarvoor inzet. dat is ook niet de rol van hetgeen met verstaat onder governence. Binnen een governence worden corporate doelen gesteld die men ‘wenst’ te behalen en hoe die te bereiken.
Dat heeft verder weer niets te maken maken met (inter)nationale wet en regelgeving.
We hebben het hier over de nog steeds individueel geldende legislatie van de individuele lidstaten.
Wat de titel betreft…. ‘Information Governance’ heeft weer weinig met IT te maken. IT kan namelijk als zodanig in het idee en zicht van governance geen onderdeel zijn van….
Hier zo even over nadenkend zou wellicht ‘Worstelen met uitdagingen information under Governance’ o.i.d. passender zijn. Maar goed, ik ben natuurlijk niet de auteur.
@NumoQuest
Ik geloof niet dat je mijn reacties goed leest.
Waar precies lees jij dat ik iets zeg over een techniek die gebruikt moet worden ?
verder moet ik je (alweer) op een onjuiste aanname wijzen :
Het is algemeen bekend dat IT governance een subset is van Corporate governance (zie definitie : http://en.wikipedia.org/wiki/Corporate_governance_of_information_technology ) en het artikel gaat uiteraard over IT governance aangezien het gaat over de bedrijfsgerelateerde data die ligt opgeslagen in de informatiesystemen.
Verder is governance een werkwoord en kan je er dus geen lidwoord als “een” voorplakken.
@ KJ
Mocht ik je niet helemaal juist hebben geinterpreteerd dan bij deze mijn excuses, meende namelijk dat je die koppeling maakte. Ten dele volg ik je waar het de governance betreft, niet helemaal waar het de corporate IT governance betreft, die is wat dat betreft helemaal nog niet zo ingevoerd waar jij en ik dat graag ‘beter’ zouden zien.
Overigens zitten er flink wat fouten in de weergave van Wikipedia. ITGI is wat dat betreft wat helderder en consistenter. Maar goed, kniesoor die…
Ik ben wel benieuwd wat Rob daar zelf van vind want de echte ruling hebben wij op EU niveau nog steeds niet. Vanuit die perceptie zie ik zijn punt wel.