Momenteel ben ik op vakantie in Californië en word ik er weer eens met m’n neus op gedrukt: de IT-toepassingen zijn niet meer weg te denken uit ons dagelijks leven. Klein voorbeeld: in de hotelwereld heb je nauwelijks echte kamersleutels meer. Met een pasje maak je de deur open en zie ik op de televisie mijn persoonlijke gegevens. Wat zit daar voor systeem achter? Is precies bekend wanneer ik televisie kijk? Zo ja, is dat erg?
Toezichthouders krijgen steeds meer met dit soort situaties te maken, denk maar aan de Europese Privacy Verordening die op 25 mei 2018 van kracht wordt. Kortom, IT is een breed onderwerp. Precies de reden waarom ik samen met Mareke Miedema, een van de nieuwe docenten van De Erkende Toezichthouder, de verdiepingsmodule Toezicht en IT ontwikkelde. In het artikel van deze week leggen we uit waarom IT zo’n belangrijk onderwerp is en hoe toezichthouders die geen IT-specialist zijn er tóch greep op krijgen, met als doel effectief toezicht uit te kunnen oefenen.
IT heeft niet altijd een goede naam: ingewikkeld, duur, lange trajecten, informatielekken. Mede daarom is het een lastig en divers onderwerp. Toch verdient ook dit vakgebied de volle aandacht van toezichthouders legt docent Mareke Miedema uit, want:
- IT in organisaties wordt steeds belangrijker
- IT heeft impact op mensen, middelen, ethiek en wetgeving
- de organisatiekaders voor IT veranderen
Mareke is docent Toezicht & IT bij De Erkende Toezichthouder. Van oorsprong is zij arbeidsorganisatiepsycholoog. Ze heeft veel ervaring in het begeleiden van procesverandering in combinatie met IT-ontwikkeling. Haar missie is te stimuleren dat er op bestuurlijk niveau meer goede IT-gerelateerde beslissingen worden genomen. Als instrument daarvoor ontwikkelde ze een basistraining die ze samen met De Erkende Toezichthouder uitwerkte en afstemde op de opleiding Toezichthouder Nieuwe Stijl. Een pilot van de module draait inmiddels en de deelnemende toezichthouders reageren enthousiast. Zij brengen onder meer onderwerpen in vanuit hun eigen organisatie. Enkele voorbeelden:
- ‘Mijn organisatie is zich er niet van bewust dat ze haar gegevens goed moet beschermen. Alle gebruikers kunnen overal bij, terwijl dat niet nodig is. Hoe kaart ik dit aan?’
- ‘Ik zie veel IT-ontwikkelingen om me heen en ook de impact ervan, maar mijn RvT en mijn bestuurder hebben daar geen aandacht voor. Hoe zorg ik dat ik ze meeneem in die ontwikkelingen?’
- ‘Mijn bestuurder en mijn RvT zitten niet op één lijn op het gebied van IT. Hoe gaan we hier mee om en wanneer grijpen we eventueel in?’
De vragen laten zien dat de aandachtspunten in iedere organisatie anders kunnen liggen. Ook verschilt het belang van IT uiteraard per sector. IT-processen spelen in een organisatie als ‘Marktplaats’ een heel andere rol dan bijvoorbeeld in een bouwbedrijf. De eerste is voor het dagelijks functioneren afhankelijk van IT, bij de tweede is er veel meer sprake van een faciliterende rol. Ook voor de samenstelling van de RvT maakt dat verschil. Los daarvan zouden bestuurder en RvT samen moeten afstemmen wat het belang is van IT voor de organisatie, waar de risico’s en de kansen liggen, of je zelf wilt innoveren of dat je gebruik maakt van bestaande applicaties, waar je met elkaar toezicht op houdt en wat belangrijk is in de uitvoering.
Beoordelingskader
In de praktijk zie je vaak dat RvT’s denken dat ze voor IT-vraagstukken een IT-expert nodig hebben. Voor een organisatie als ‘Marktplaats’ of voor een bank klopt dat wel, maar voor de meeste organisaties geldt het niet. Dit uitgangspunt is dan ook de basis voor de verdiepingsmodule Toezicht en IT. Het kader dat deze verdiepingsmodule biedt, geeft de toezichthouder handvatten om vanuit verschillende perspectieven naar IT-vraagstukken te kijken. Dat maakt het mogelijk om te kunnen beoordelen of een organisatie in control is op het gebied van IT en om hierover het gesprek aan te gaan met de bestuurder, zonder dat je daarvoor een IT-professional hoeft te zijn.
Aan de orde komen onder meer het gezichtspunt van de business, van de medewerkers en van de financiële, juridische en ethische component. De deelnemers aan de pilot zijn enthousiast en verbaasden zich erover hoe makkelijk toegankelijk de stof is. Ze zijn inmiddels aan de slag met een praktische opdracht die past bij de eigen RvT, waarbij de mix tussen het ontvangen en het delen van kennis bijzonder wordt gewaardeerd.
Voorbereiden op Europese wetgeving
Wat in alle organisaties en bedrijven op korte termijn aandacht vraagt, is de voorbereiding op de Europese wetgeving voor het verzamelen, verwerken en gebruiken van persoonsgegevens. De General Data Protection Regulation (GDPR) treedt in werking op 25 mei 2018 en is bedoeld om de privacy van Europese burgers beter te beschermen.
Bij veel organisaties heeft dit nog niet veel prioriteit gehad, terwijl er veel werk mee gemoeid is. Als organisatie moet je verantwoorden welke informatie je vastlegt van je klanten, waarom en hoe je dat doet en of je toestemming hebt van je klanten om dat te doen. Voor een toezichthouder is het dus belangrijk om te weten welke vragen je daarover kunt stellen aan de bestuurder om te beoordelen of de organisatie het onderwerp adequaat aanpakt.
Meer informatie over de verdiepingsmodule Toezicht op digitalisering?
Bekijk die op onze website, of neem contact op met Caroline Wijntjes.