8 februari 2018

CXO Summit 2018

www.cxosummit.nl/
49%

van de organisaties die outsourcen is van plan meer te outsourcen dan ze momenteel doen

7,1

is het gemiddelde cijfer dat klanten hun IT-partner geven

68%

van de organisaties noemt 'het concentreren op de core business' als reden om te outsourcen

Het belang van risicobeheersing binnen outsourcing van IT groeit. De komst van de AVG (Algemene Verordening Gegevensbescherming), vanaf mei 2018 overal in Europa van kracht, legt een zwaardere verantwoordelijkheid bij zowel de outsourcer als de serviceprovider die persoonlijke gegevens verwerkt. Eigenaar Alex Klaassen van NewDay – IT Risk & Assurance Services roept op tot meer bewustzijn én actie. Bouw zekerheden in met certificeringen, waarborg informatiebeveiliging. ‘Zie het niet als het zwaard van Damocles, maar als een kans om je bedrijfsvoering meer succesvol te laten zijn.’

Klaassen ziet het al om zich heen gebeuren. Bedrijven, overheidsinstanties, toezichthouders, eigenlijk de gehele maatschappij: ze vragen steeds meer om zekerheden als het aankomt op informatiebeveiliging binnen IT-dienstverlening. Hij maakte zelfs al mee dat een bedrijf het in een outsourcingsrelatie heel scherp stelde: als je die zekerheden niet kunt bieden, dan stoppen we acuut de dienstverlening.

‘Het is niet gek dat ze steeds vaker vragen: hoe weten we zeker of jij als onze serviceprovider je werk nou zorgvuldig doet?’ zegt Klaassen, die met NewDay bedrijven helpt met informatiebeveiliging en privacy- en IT-audits. ‘Natuurlijk, al die performance-criteria die al op ons netvlies staan, blijven gelden. Wat is je prijs, wat is mijn uptime, mijn downtime, kan ik je altijd bereiken? Maar je kunt nog zo’n mooie infrastructuur hebben, nog zulke goede processen en nog zulke deskundige medewerkers, als jij de zekerheden op het gebied van informatiebeveiliging niet kunt waarborgen… Laat ik het zo stellen: in de financiële sector is het al een must have. Als jij pensioenuitvoerder bent en je kunt geen waarborgende verklaringen overleggen, dan ben je out of business. Nu is het nog onderscheidend, maar die kant gaat het ook op in de technologiesector. Op termijn wordt het basishygiëne. De norm ISO27001 voor informatiebeveiliging is al vanzelfsprekend, de ISAE-verklaringen worden steeds meer gevraagd. Nieuwe staan al in de wachtkamer. De vraag is: hoe ga je ermee om? Ga je het zien als een kostenpost? Of ga je het bewust zien als een bedrijfsmiddel? Doe je het laatste, dan kan het je succes betekenen.’

Opwarmertje

De Wet Meldplicht Datalekken was niets anders dan een ‘opwarmertje’ voor de AVG, stelt Klaassen. ‘De Europese Unie ziet de bewegingen in de markt ook en zegt: wacht even. We zien dat welvaart en welzijn in Europa in sterke mate afhankelijk van zijn verdere digitalisering van de samenleving. Dat kan alleen maar succesvol zijn als we voldoende checks invoeren, die de rechten en plichten van bedrijven en personen in balans houden. We vinden het in Europa terecht belangrijk digitalisering zo te faciliteren, dat het niet misbruikt wordt. De AVG breidt daarom de verantwoordelijkheid uit van zowel de outsourcer als de serviceprovider die persoonlijke gegevens verwerkt. Partijen moeten zelfstandig laten zien dat ze voldoen aan deze wet.’

Dat betekent voor insourcers onder meer dat ze een privacybeleid moeten hebben, dat ze – in sommige gevallen – een functionaris gegevensbescherming moeten hebben en dat ze impactanalyses moeten uitvoeren. Maar ook voor organisaties die het beheer van hun IT uitbesteden ligt er een belangrijke rol weggelegd. Klaassen wil een tip meegeven: ‘Wees je ervan bewust dat je in staat moet zijn om verantwoording af te leggen over de wijze waarop je IT-processen en IT-risico’s worden beheerd door je serviceprovider. Outsourcers moeten daar scherp op zijn. Vaak wordt er naar technische oplossingen gezocht. Dat moet je niet nalaten natuurlijk, maar wil je dingen aantoonbaar maken, dan is er meer nodig dan techniek alleen. Je kunt je ook afvragen: hoe zorgen we ervoor dat er geen problemen ontstaan?’

Objectivering zoeken

Zie daar het belang van erkende kwaliteitskeurmerken op het gebied van informatiebeveiliging. Klanten van IT-dienstverleners hebben dankzij zulke certificeringen de garantie dat er zekerheden zijn ingebouwd. Klaassen noemt een voorbeeld van een traject dat hij begeleid heeft: Xcellent heeft in 2017 de Type 1-verklaring van de ISAE 3402 behaald, de erkende standaard voor outsourcing binnen IT. Daarmee toont het Amersfoortse IT-bedrijf aan dat het de interne beheersingsmaatregelen met het oog op de risico’s voor de processen van de klant helemaal op orde heeft. Xcellent richt zich nu op de aansluitende Type 2-verklaring.

Klaassen: ‘Xcellent zegt hiermee: ‘We vinden het zo belangrijk om zekerheden te waarborgen, dat we ons door een onafhankelijke, gespecialiseerde partij laten toetsen. We zeggen niet alleen dat we het goed doen, het is ook bewezen.’ En dit wordt steeds belangrijker. Dat komt doordat we onze ziel en zaligheid bij IT-dienstverleners neerleggen. In IT zit alles. De afstand en de afhankelijkheid die klanten ervaren is zo groot, dat het maakt dat ze zekerheden en objectivering zoeken.’

Netwerkeconomie

Om dit te verduidelijken schetst Klaassen de ontwikkeling van outsourcing binnen de economie. ‘We hebben een periode gekend waarin het voor bedrijven strategisch slim was om enkel en alleen te focussen op dat waar ze goed in zijn. Stafactiviteiten horen daar niet bij. Sindsdien zie je dat er veel uitbesteed wordt. Daar draagt ook de intrinsieke ontwikkeling van de technologie zelf aan bij. Die is voor veel partijen toegankelijk geworden. Functionaliteiten die ze vroeger niet konden betalen, kunnen ze inmiddels wél betalen. We zien de afgelopen decennia dus een toename in automatisering, om maar een ouderwets woord te gebruiken, maar ook in het aan elkaar knopen daarvan. Met z’n allen automatiseren we specifieke functies op verschillende niveaus binnen de bedrijfsvoering, die belegd worden bij gespecialiseerde partijen, die vervolgens niet alleen in relatie staan met die klant, maar ook met leveranciers.’

‘Het probleem dat zich daarbij voordoet: we kennen elkaar niet meer zo goed’, vervolgt Klaassen. ‘Vroeger deden we zaken met mensen die we al lang kenden. We hadden bij elkaar op school gezeten, wisten van elkaar waar we woonden, kenden elkaars goede en kwade eigenschappen. Er was meer sociale controle, ook binnen de business. Die zekerheid is er in een netwerk- of keteneconomie minder. Als je met elkaar samenwerkt leer je elkaar pas echt kennen. Mooi bruggetje naar mijn hobby, enkelspan mennen. Een paard kan nog zo mooi zijn, ik leer het pas kennen door ermee te werken. Bij mensen is dat niet anders. Hoe meer we gaan specialiseren en automatiseren, hoe meer we als mensen van elkaar af komen te staan, hoe meer de behoefte ontstaat om die IT-processen veilig te stellen en de juiste zekerheid te bieden. We zijn op het punt beland dat deze behoefte zo is gegroeid, dat het kaf van het koren gescheiden gaat worden.’

 

 

'Zie risicobeheersing binnen outsourcing als een kans om succesvol te zijn'

Gerelateerde artikelen