Toekomstvaste compliance, feit of fabel?

Maat: px
Weergave met pagina beginnen:

Download "Toekomstvaste compliance, feit of fabel?"

Transcriptie

1 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? 1.6 Toekomstvaste compliance, feit of fabel? De sterk toegenomen belangstelling voor IT-governance wordt voor een belangrijk deel veroorzaakt door de noodzaak te voldoen aan de externe eisen die aan een organisatie worden gesteld: met een mooi woord compliance. De komst van ISO versterkt dit effect. Rudolf Liefers, Johan Sturm en Daniel van Burk analyseren op uitnodiging van de redactie de situatie ten aanzien van compliance, en de relevantie daarvan voor ITservicemanagement INTRODUCTIE Gebeurtenissen met maatschappelijke impact (fraudes, aanslagen) zien we enige tijd later terug in nieuwe en veranderende regelgeving. Zo zagen de Sarbanes-Oxley Act (SOX), de Nederlandse Corporate Governance Code (Tabaksblat), de Wet Bescherming Persoonsgegevens (WBP), Basel II, de Wet Computer Criminaliteit (WCC) en het Intellectueel Eigendomsrecht (IE) het licht. Niet alleen overheden zorgen voor regels en toezicht, organisaties leggen elkaar, bijvoorbeeld in uitbestedingsrelaties, ook eisen op en vereisen van elkaar bewijslast in de vorm van bijvoorbeeld een SAS-70 verklaring. De verwachting is dat de nieuwe ISO norm voor nog meer druk zal gaan zorgen. Tenslotte worden leveranciers van software steeds kritischer naar hun klanten, wanneer het gaat om bewijslast ten aanzien van het legale gebruik van software. Flink wat nieuwe eisen en regels zijn dus de afgelopen jaren uitgestort over de diverse marktsectoren. In het kielzog van de regels volgen de toezichthouders die willen weten of die regels ook worden nageleefd. Veel van de regels worden vertaald naar eisen aan de ICT-voorzieningen en -procedures. De vraag die dan opkomt is hoe ervoor te zorgen dat de organisatie in kwestie op een toekomstbestendige manier aan de regels kan voldoen. EXTERNE EISEN AAN BEHEERSING VAN IT Compliance is een blijvertje geworden. Dit betekent dat wanneer de acute aandacht voor compliance vermindert, de noodzaak om aantoonbaar aan de eisen te voldoen blijft bestaan. De genoemde gebeurtenissen met maatschappelijke impact en de daaropvolgende veranderende regelgeving hebben dus iets fundamenteels veranderd in het ITwerkveld. Het aantonen van de beheersing van het ontwikkelen en beheren van IT is namelijk een externe verplichting geworden, waarbij de overheid en haar toezichthouders eisen stellen aan de kwaliteit van IT. Het gaat dan meestal om vertrouwelijkheid, integriteit en beschikbaarheid van IT, maar ook om de controleerbaarheid van procedures en processen. Het aantoonbaar voldoen aan weten regelgeving zal de komende jaren nog steeds van iedereen de nodige aandacht blijven vergen, ook doordat het aantonen van de compliant status een jaarlijks terugkerend fenomeen wordt en vaak al is. Dit maakt het meer dan de moeite waard om goed te kijken naar de mogelijkheden om de kosten voor compliance omlaag te brengen. IT Service Management, best practices, deel 4

2 46 DE SPELERS IN HET COMPLIANCE- VELD De verschillende wetten en regels en bijbehorende toezichthouders zorgen voor een breed spectrum aan eisen, die regelmatig worden onderzocht met een audit. Doelstelling en scope van de onderzoeken van de diverse auditors variëren echter sterk. Niet altijd is volledig helder wie waarom naar welke aspecten kijkt. Ook kunnen de vragen van een auditor van toezichthouder B wellicht erg bekend voorkomen na het eerdere bezoek van een auditor van toezichthouder A. Minstens zo lastig is dat de wet- en regelgeving niet altijd volledig onderling consistent is. De ITorganisatie heeft echter wel de verantwoordelijkheid om deze zaken zo effectief en efficiënt mogelijk aan te pakken. Omdat wet- en regelgeving een organisch ontstane lappendeken is, is het lastig een indeling te maken voor een eenduidige classificatie van alle wetten en regels. Bij de classificatie is relevant wie de spelers zijn, welke wet- en regelgeving zij hebben uitgevaardigd en wat de effecten daarvan voor IT zijn. In tabel 1 volgt een lijst met spelers. Deze geeft geen uitputtende opsomming, maar slechts een beeld van de spelers die er ten aanzien van compliance zijn. PERSPECTIEVEN VAN WET- EN REGELGEVING Wet- en regelgeving is steeds vanuit een ander doel en perspectief opgesteld. De eisen die hieruit voortvloeien sluiten daardoor bijna per definitie niet op elkaar aan of vertonen overlap. Bekende voorbeelden buiten de ITsfeer zijn de restauranteigenaar in een grote Nederlandse stad, die van de gemeente de vuilnis niet buiten mocht zetten, maar van de Keuringsdienst van Waren mocht het niet binnen blijven staan. Of denk aan het voorbeeld van de vloer: deze moet soms volgens de arbonorm stroef zijn en volgens de hygiënewetgeving glad. Een verschil met bovengenoemde wetten is het aspect dat bij diverse wet- en regelgevingen een omkering van de bewijslast nodig is. In plaats van een opsporingsinstantie die moet aantonen dat een or- Spelers ten aanzien van compliance Karakter Overheden: veelal opstellers van wet en regelgeving Nederlandse wetgever Wetgeving (verplichtend) Europese Unie Wetgeving (verplichtend), direct danwel indirect door middel van implementatie in de Nederlandse wetgeving Amerikaanse wetgever Direct voor in Amerika (VS) genoteerde bedrijven Indirect, via eisen gesteld door bijv. Amerikaanse (VS) bedrijven Toezichthouders: toezichthouders zijn weliswaar geen wetgevende instanties, maar door hun macht om al dan niet goed te keuren hebben hun regels feitelijk de zwaarte van wetgeving. De Nederlandsche Bank (DNB) Regelgeving (verplichtend) (incl. Pensioen- & Verzekeringskamer (PVK)) Europese Commissie Toezicht op naleving richtlijnen door lidstaten Autoriteit Financiële Markten (AFM) Regelgeving (verplichtend) Algemene Rekenkamer Eisen vanuit controleperspectief (dwingend adviserend) College Bescherming Persoonsgegevens (Adviserend) Accountants Eisen vanuit controleperspectief (dwingend adviserend) Securities and Exchange Committee (SEC) Eisen vanuit controleperspectief (dwingend adviserend) Zelfregulering: de regels van brancheorganisaties gelden veelal als norm binnen het maatschappelijk verkeer. In specifieke gevallen kan/mag je daar wel van afwijken, maar dan alleen op basis van een goede argumentatie. Brancheverenigingen Adviserend (tamelijk dwingend karakter) Tabel 1 Spelers in de wet- en regelgeving

3 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? ganisatie zich niet aan de wet houdt, dient de organisatie zelf aan te tonen dat zij zich wel houdt aan de wet. Een bekend voorbeeld is het in control statement dat een onderneming voor SOX opstelt. WET- EN REGELGEVING VEREISEN CONTROLS Omdat wet- en regelgeving op het gebied van IT-beheer meer principle-based dan rulebased is, worden geen hele specifieke beheersmaatregelen ( controls ) vereist. Wel zal een organisatie die maatregelen moeten treffen waarmee zij zelf in control is. SOX vereist hiervoor het in control statement. In dit wettelijk voorgeschreven document verklaart de leiding van de organisatie dat zij dusdanig beheersmaatregelen hebben getroffen dat zij hun organisatie beheersen. Hiervoor dient de organisatie zelf een effectief control framework in te richten en de maatregelen te toetsen. Dit lijkt wel heel veel ruimte aan een organisatie te geven om iets in te richten en zelf aan te geven dat goed te vinden. Het dwingt een organisatie echter wel om haar eigen verantwoordelijkheid te nemen en op basis van een risicoanalyse haar beleid te bepalen en maatregelen te treffen. Een organisatie kan niet volstaan met het eenvoudig implementeren van een voorgeschreven set maatregelen en hopen dat dit afdoende is. Deze eigen verantwoordelijkheid om op basis van een risicoanalyse de juiste maatregelen te treffen geldt naast SOX ook voor bijvoorbeeld eisen van DNB (ROB) en privacy-wetgeving (WBP). VAN CONTROL-FRAMEWORK NAAR ORGANISATORISCHE MAATREGELEN Het control-framework geeft de eisen (control objectives) waaraan de organisatie moet voldoen. Om deze eisen in de praktijk werkend krijgen kan gebruik worden gemaakt van methoden, technieken en best practices die al veelvuldig worden toegepast. Hierbij wordt onderscheid gemaakt in requirements en practices (zie tabel 2). Alhoewel deze indeling geen eenduidig beeld geeft van specifieke normen per organisatie ontstaat wel standaardisatie en uniformering bij diverse branches. Organisaties die aan SOX-regelgeving moeten voldoen hanteren vaak CobiT, IT-dienstverleners hanteren vaak ISO/IEC 17799, terwijl software-ontwikkelaars CMM en ASL hanteren, om invulling te geven aan wettelijke eisen. Sommige van deze normen kunnen extern getoetst en gecertificeerd worden (ISO), andere normen kunnen intern of extern getoetst worden zonder specifieke certificering. De manier waarop aan deze normen kan worden voldaan vraagt een gestructureerde inrichting en proces matig werken van de IT-organisatie. Ook hier zijn meerdere modellen toepasbaar. Vooralsnog is het gebruik maken van de al toegepaste normenkaders binnen een organisatie en deze mappen op de van toepassing zijnde wetgeving de beste aanpak. Hierbij wordt zo veel mogelijk gebruik gemaakt van reeds bestaande processen en werkwijzen en niet voor bijvoorbeeld SOX een afzonderlijk en geheel nieuw changemanagementproces voor de SOX-kritische applicaties ingericht Requirements Voor het defi niëren van de controlemaatregelen kan gebruik worden gemaakt van de Control Objectives van CobiT en BS (Code voor Informatiebeveiliging). Ook het onlangs geïntroduceerde ISO/IEC (voorheen BS15000) biedt een normenkader, in dit geval gericht op IT-servicemanagement. Aan de hand van deze requirements kan worden gerapporteerd over de wijze waarop aan wet- en regelgeving wordt voldaan. Tabel 2 Onderscheid tussen requirements en practices Practices Voor de inrichting kan gebruik worden gemaakt van de ruim voorhanden zijnde best practices op het gebied van IT-processen en servicemanagement. Bijvoorbeeld ITIL, ISO/IEC (best practices voor securitymanagement) en ISO/IEC Part 2 (best practices voor servicemanagement). IT Service Management, best practices, deel 4

4 48 Wet Aspecten met impact op IT Services ISO/IEC Confidentiality (beveiliging, privacy, intellectueel eigendom) Wet computercriminaliteit (WCC) CobiT Adequate beveiliging Security mgt DS5 4 Beleid omgang met computergerelateerde Incident mgt DS5 13 beveiligingsincidenten Monitoren gebruik bedrijfsnetwerk Security mgt DS13 10 Bewaren bewijsmateriaal (logging en herleidbaarheid naar personen) Capacity mgt DS11 13 Auteursrecht (IE 1 ) Distributie computerprogramma s Release mgt AI7 12 Kopieerbeveiliging Security mgt AI2 11 Wet bescherming persoongegevens (WBP) Achtergrondstudies & Verkenningen nr. 23 (CBP) Gedragscodes per branche Bepalen Verantwoordelijke versus Bewerker Service level mgt PO4 7 Passende beveiliging Security mgt DS5 4 Gedragscode Internet en gebruik Security mgt DS7 8 Verplichtingen en aansprakelijkheid bewerker Service level mgt PO4 6 Beperking doorgifte gegevens buiten de EU Security mgt DS11 10 Maximale bewaartermijnen Capacity mgt DS11 7 Telecommunicatiewet Melden elektronische communicatiedienst Service level PO1 6 mgt Medewerking aftappen Security mgt DS5 10 Beveiligen netwerken, diensten en Security mgt DS5 4 persoonsgegevens Integrity (betrouwbaarheid, transparantie, beheersing) Aanbestedingsrecht Transparantie, objectiviteit en non-discrimimatie bij aanbesteding Supplier mgt AI5 6 Wetboek elektronische handel Sarbanes-Oxley PCAOB Auditing Standard Nr. 2 Titel 9 Boek 2 BW / IFRS (Verplichtingen Jaarrekeningen) Besluit voorschrift informatiebeveiliging rijksdienst 1994 (VIR) (ex art. 9 Besluit IVR 1990) ISO/IEC Raadpleegbaarheid overeenkomst Continuity mgt DS11 10 Authenticiteit en integriteit overeenkomst Security mgt DS5 10 Tijdstip totstandkoming overeenkomst (juiste systeemtijd) Security mgt DS13 10 Program Development Release mgt AI2 12 Program Changes Change mgt AI6 12 Computer Operations Continuity mgt DS13 10 Access to Programs and Data Security mgt DS5 11 Toegangsbeveiliging Security mgt DS5 11 Functiescheiding Security mgt PO4 10 Change management Change mgt AI6 12 Continuïteitsmaatregelen Continuity mgt DS4 14 Beleidsdocument Informatiebeveiliging Security mgt DS5 5 Bepalen van maatregelen Security mgt DS5 4 Vastleggen, Implementeren, Uitvoeren en Security mgt DS5 6 Controleren 1 IE = Intellectueel Eigendom is een verzamelbegrip voor meerdere rechten, waaronder Auteursrecht

5 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? Availability (continuïteit, stabiliteit, toegankelijkheid) Archiefwet 1995 Duurzaamheid opslag Continuity mgt DS11 15 Minimale bewaartermijnen Capacity mgt DS11 7 Algemene Wet Rijksbelastingen Goedkeuring conversie Change mgt AI7 12 Minimale bewaartermijnen Capacity mgt DS11 7 Wet Financieel Toezicht (Wft) - ROB Informatiebeveiliging Security mgt DS5 4 - Kader BCP Continuïteit van IT Continuity mgt DS ROB 2.6 Risico s, afspraken en toezicht bij uitbesteding Supplier mgt DS2 6 Wet Financiële Dienstverlening (Wfd) Basel II (Operationele risico s) Wet melding ongebruikelijke transacties (MOT) Beheer op orde Service level mgt DS1 10 Beveiligingsrisico s Security mgt DS5 4 Continuïteitsrisico s Continuity mgt DS4 14 Bewaartermijn transacties Capacity mgt DS11 7 Tabel 3 Relevante wet- en regelgeving, en de impact op IT-services en de meest bekende formele normenstelsels 49 1 WET- EN REGELGEVING MET IMPACT OP IT-SERVICES In Nederland is een verzameling wetten en regels van toepassing op diverse organisaties. Dit is ongeacht de aard van de bedrijfsvoering of de doelstelling van de organisatie. Daarnaast bestaan er wetten en regelstelsels, die specifiek voor een branche zijn opgesteld, bijvoorbeeld voor banken of voor de telecomsector. Deze wetten gaan, vooral vanwege outsourcing, in toenemende mate ook gelden voor partijen die zich buiten de betreffende branche bevinden. In de voorgaande paragrafen is ingegaan op welke manieren veel organisaties de afgelopen jaren zijn omgegaan met het (her)bruiken van onder andere best practices en formele normenstelsels. Tabel 3 bundelt de bij de auteurs beschikbare kennis over relevante wet- en regelgeving, de impact die deze heeft op IT-services (èn daarmee op IT-servicemanagement) en de meest bekende formele normenstelsels, waarmee de onderkende aspecten kunnen worden ingevuld. De tabel heeft niet de pretentie compleet te zijn, maar geeft wel een overzicht van de problemen en de mogelijke oplossingsrichtingen. Per aspect is een verwijzing opgenomen naar het primair betrokken IT-servicemanagementproces (conform ISO/IEC 20000), waar de verantwoordelijkheid belegd kan worden. Een verwijzing is opgenomen naar de processen van CobiT en de hoofdstukken van ISO/IEC waarin toepasbare maatregelen zijn uitgewerkt, waarmee aan de eisen kan worden voldaan. Daarnaast is nadere regelgeving voor de betreffende wet cursief aangegeven. De paradox van beheersing In een tijd waarin onder druk van de trend naar transparantie en nieuwe wet- en regelgeving steeds meer aandacht is ontstaan voor de beheersing van IT is er ook een flink aantal nieuwe modellen en best practices ontstaan. Vijf jaar geleden waren veel organisaties met name in de weer met de invoering of verfijning van servicemanagementprocessen op basis van de ITIL best practices. Tegenwoordig kunnen organisaties kiezen uit een veelheid aan modellen en best practices. 2 ROB = Regeling Organisatie en Beheersing (van De Nederlandsche Bank) IT Service Management, best practices, deel 4

6 50 ISPL, ASL en BiSL werden geïntroduceerd, CobiT kende als gevolg van SOX een flinke opleving. Ook de BS/ISO standaarden voor beveiliging en servicemanagement mogen zich in een toenemende belangstelling verheugen. Al deze modellen en best practices kennen verschillende doelen en aandachtsgebieden, maar kennen ook op onderdelen overlap. In de praktijk wordt op diverse plekken in de organisatie gebruik gemaakt van één of meerdere van deze modellen, vaak zonder dat mensen of afdelingen het van elkaar weten. Totdat men erachter komt dat het wel praktisch is als bijvoorbeeld de incidentafhandeling binnen de processen uit ITIL, ASL en BiSL op elkaar aansluit, omdat deze processen niet los van elkaar gezien kunnen worden. Door introductie van een veelheid aan processen en controls is het maar de vraag of de beheersing van de IT-processen daadwerkelijk toeneemt, of dat organisaties de grip juist dreigen te verliezen. We noemen dit de paradox van beheersing. BEVINDINGEN UIT DIVERSE COM- PLIANCE-ONDERZOEKEN In de periode juni 2005 tot april 2006 heeft de afdeling Beheer van het NGI een onderzoek gehouden naar de impact van de verhevigde aandacht voor compliance op het beheer van de informatievoorziening. Een ander onderzoek op hetzelfde terrein is van de hand van Atos Consulting. Hierin werd gekeken naar de mogelijkheden om de eisen vanuit wet- en regelgeving in combinatie met de interne ITgovernance eisen te verenigen in één compliance framework. Beide onderzoeken geven interessante waarnemingen. Onderwerp Onduidelijke eisen Kosten voor compliance zijn hoog Reorganisaties maken complianceprojecten moeilijk Controlfuncties blijken wegbezuinigd Waarnemingen In brede kring bestaat de perceptie dat er nog geen echte duidelijkheid is over de werkelijke impact van compliance op IT-servicemanagement. Voor organisaties is niet precies duidelijk welke wet- en regelgeving nu echt van invloed is op de manier waarop het IT-beheer wordt uitgevoerd en waaruit die invloed bestaat. Ook wordt niet altijd het onderscheid gemaakt tussen de eisen die wet- en regelgeving stelt aan de informatiesystemen en de eisen die worden gesteld aan het beheer van de informatievoorziening. Wat meespeelt is dat veel wet- en regelgeving weinig tot geen concrete normen biedt waaraan voldaan moet worden. Daarnaast verschillen de eisen ten aanzien van de verantwoording nogal per wet of regel. Ten slotte is het voor velen onduidelijk welke aanvullende wet- en regelgeving er nog op stapel staat en welke gevolgen dat met zich meebrengt. Het voldoen aan wet- en regelgeving lijkt vooralsnog met name kosten en inspanningen met zich mee te brengen, die bovendien aanzienlijk zijn. Bij sommige organisaties is de inspanning die nodig is om compliant te worden, veel groter dan bij andere organisaties. De mate van chaos uit het verleden bepaalt vaak de hoogte van de kosten voor ITcompliance. Veel IT-organisaties zijn de afgelopen jaren gefuseerd met andere IT-organisaties. Vaak is er gereorganiseerd. Soms hanteert men diverse werkwijzen voor hetzelfde proces, omdat dit historisch zo is gegroeid. Dan moet de effectiviteit van controlemaatregelen ook steeds separaat worden aangetoond. In het kader van effi ciëntieverbeteringen is in de jaren voordat wet- en regelgeving prominent in beeld kwam bezuinigd op overhead zoals procesmanagement-activiteiten. Voorbeeld is het opheffen van internal-controlafdelingen die bij veel bedrijven heeft plaatsgevonden. De aandacht voor de kosten van compliance wordt versterkt door het feit dat wet- en regelgeving niet alleen een eenmalige investering vereist, maar tevens een jaarlijks terugkerende overhead genereert.

7 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? Onderwerp Nieuwe functies Gebruik van best practices Waarnemingen In organisaties ontstaan nieuwe rollen en functies als gevolg van de invoering van nieuwe wet- en regelgeving. De compliance offi cer is een rol/functie die tegenwoordig in veel organisaties wordt waargenomen. Ten aanzien van de borging valt op dat er moeilijk een trend is te ontdekken in de manier waarop de werkzaamheden in de organisatie worden belegd (centraal of decentraal, lijn of staf, hoog of laag in de organisatie). Blijkbaar is hier nog niet een soort de facto best practice gevormd. Veel organisaties maken voor een groot deel van de invulling van de controlemaatregelen gebruik van frameworks en best practices waar zij reeds mee werkten. Waar mogelijk worden deze gebruikt en/of aangescherpt om aantoonbaar te maken dat aan eisen uit wet- en regelgeving wordt voldaan. 51 Tabel 4 Waarnemingen uit recent onderzoek 1 Tabel 4 geeft aan dat de introductie van nieuwe wet- en regelgeving een forse impact heeft op het IT-servicemanagement. Het blijkt dat velen nog zoekende zijn naar de balans tussen de geleverde inspanning ten opzichte van het te bereiken resultaat. Hier zal mogelijk de komende jaren meer ervaring ontstaan. Waarbij het ongewis is welke invloed toekomstige wet- en regelgeving zal hebben op IT-servicemanagement. NAAR EEN TOEKOMSTVASTE COMPLIANCESTRUCTUUR Uit de bovenstaande onderzoeksresultaten kan worden afgeleid dat er voor veel organisaties ten aanzien van compliance nog veel winst te boeken is door: duidelijkheid te verkrijgen in de eisen waaraan men moet voldoen en deze op elkaar af te stemmen; deze eisen uit te werken in een framework waarin interne en externe eisen samenkomen en resulteren in een externe verantwoording die voldoet aan de eisen van de toezichthouders; keuzes te maken in de frameworks en best practices die worden toegepast en vooral ook welke niet; organisatorische en procesmatige complexiteit terug te dringen zodat met een eenvoudiger en uniforme set maatregelen kan worden volstaan. Bovengenoemde stappen helpen om de weten regelgeving die nu van kracht is op een efficiënte wijze in te passen in de bedrijfsvoering. Daarnaast helpen ze om ook de baten te verkrijgen die het professionelere beheer van de informatievoorziening met zich mee zou moeten brengen. Daarmee is voor de huidige wet- en regelgeving een belangrijke stap gezet. Daarnaast is geconstateerd dat veel organisaties niet weten welke nieuwe eisen er nog op hen afkomen als gevolg van nieuwe of veranderende wet- en regelgeving. En dat er nog het nodige aan zit te komen, daar lijkt iedereen het wel over eens. VERLENGEN VAN DE HOUDBAAR- HEID VAN COMPLIANCE Dat werpt de vraag op hoe organisaties hiermee om moeten gaan. Gezien de veranderlijkheid van de lappendeken van wet- en regelgeving, de veelheid aan toezichthouders èn de eigen verantwoordelijkheid van de onderneming om aan te tonen dat zij compliant is, kan een organisatie elk jaar wel weer een nieuw complianceproject starten. Hierin is het risico van het wiel opnieuw uitvinden levensgroot aanwezig. De sleutel ligt hier in het inrichten van een Corporate Compliance Programma waarmee het voldoen aan wet- en regelgeving zit ingebakken in de bestaande processen binnen de organisatie. Hiermee verkrijgt de organisatie een proactief IT-complianceprogramma dat integraal deel uitmaakt van de reguliere IT-processen. De bestaande processen worden dan periodiek bekeken en IT Service Management, best practices, deel 4

8 52 zonodig aangepast aan gewijzigde regelgeving. Een dergelijk Corporate Compliance Programma voor de IT laat de organisatie het compliancevraagstuk besturen vanuit interne beheersing, vertaalt de externe eisen naar interne eisen, maakt verbeterprojecten mogelijk en maakt de interne proceskwaliteit zichtbaar voor externe belanghebbenden. Het initiatief ligt dan weer waar het hoort: bij de eigen organisatie. Dat is heel wat effectiever dan worden geleid door de wet- en regelgeving. Een Corporate Compliance Programma moet op de juiste plaats binnen de organisatie worden belegd en gezien de overstijgende belangen ligt het voor de hand dit op CIO-niveau onder te brengen. Een Corporate Compliance Programma voor de IT bestaat minimaal uit de volgende stappen (figuur 1): Bijhouden van wet- en regelgeving - Door de externe eisen en de ontwikkelingen, zoals toelichtingen van toezichthouders en jurisprudentie te volgen kan proactief op wijzigingen worden ingespeeld. Uitvoeren van IT Compliance Impact Analysis - De impact van externe eisen wordt vertaald in interne eisen voor de beheersing van IT. Dit is onderdeel van organisatiebrede Business Impact Analysis. Inrichten/bijwerken van het IT Risk & Compliance framework - Op basis van de interne eisen worden de vereiste maatregelen bepaald door een mapping op de gebruikte beheersingsmechanismen binnen de organisatie. Dit betreft bijvoorbeeld CobiT, CMM, ITIL, PRINCE2, et cetera. Inregelen van beheersingsmaatregelen - De gedefinieerde maatregelen worden ingevoerd of verder aangescherpt binnen de bestaande beheersingsmechanismen. Monitoren van naleving - De effectiviteit van de maatregelen wordt bewaakt. Hiervoor wordt gebruik gemaakt van de bestaande monitormechanismen in de vorm van KPI s en managementrapportages. Evalueren van naleving - Een periodieke evaluatie vindt plaats op het realiseren van de doelstellingen van het Corporate IT Compliance Programma. Verantwoorden naleving - De wijze waarop de organisatie voldoet aan de wet- en regelgeving wordt gerapporteerd en gecommuniceerd aan belanghebbenden, zoals toezichthouders. Met het inrichten van een Corporate Compliance Programma is het mogelijk de last om te zetten in een lust, door de toegenomen professionaliteit in te zetten voor het verbeteren van de IT-dienstverlening en het verhogen van de transparantie. IT-compliancemaatregelen zorgen voor deze transparantie. Dit zorgt voor inzicht in de interne proceskwaliteit en dat is een goed vertrekpunt voor verdere professionalisering. Als bijvoorbeeld blijkt dat het proces voor het toekennen van autorisaties sterk gefragmenteerd is, biedt dit een kans om de business op een eenduidige wijze van dienst te zijn. Het Corporate Compliance Programma vormt hiermee een driving force achter het verbeteren van de ITdienstverlening. TOEKOMSTVISIE: STRATEGIC REGULATORY MANAGEMENT Eerder in dit artikel is de vraag aan de orde geweest hoe organisaties ervoor kunnen zorgen dat nieuwe wet- en regelgeving geen verstorende invloed heeft op de efficiënte uitvoering van compliancemaatregelen. De theorie over strategic regulatory management geeft inzicht in de mogelijke strategische reacties van bedrijven op wet- en regelgeving, met als doel het economische resultaat te maximaliseren. Het gaat bij deze strategische reacties om de vaardigheden en werkwijzen waarover een organisatie beschikt om te opereren in de omgeving, zowel intern als extern, waar eisen gesteld worden aan het beheer van de informatievoorziening. Bij intern gericht gaat het dan om de vaardigheden en werkwijzen die (kunnen) worden gehanteerd om een optimum te bereiken of na te streven in het voldoen aan wet- en regelgeving. Bij extern gericht gaat het om de invloed die (kan) worden gebruikt om de totstandkoming van nieuwe wet- en regelgeving te beïnvloeden.

9 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? Bijhouden van wet- en regelgeving 53 Uitvoeren van een IT Compliance Impact Analysis Verantwoorden naleving Evalueren naleving Corporate Compliance Programma Inrichten / bijwerken IT Risk & Compliance Framework 1 Inregelen beheersingsmaatregelen Monitoren naleving Figuur 1 Stappenschema voor een Corporate Compliance Programma Er is een aantal strategische reacties mogelijk: Niet-bestaand (ad hoc) - Er is geen strategie gedefinieerd voor aanpassingen in de eisen uit wet- en regelgeving. Reactief - Maximaliseren van de toegevoegde waarde van compliance door interne processen efficient en effectief af te stemmen op de eisen uit wet- en regelgeving. Anticiperend - Er wordt inspanning geleverd om te anticiperen op aankomende wet- en regelgeving met behulp van een kennisvoorsprong over nieuwe wet- en regelgeving, die de organisatie in staat stelt nieuwe werkwijzen snel te adopteren en hier voordeel mee te behalen ten opzichte van organisaties die later starten. Defensief - De organisatie wendt zijn invloed aan om ongewenste wet- en regelgeving tegen te houden danwel de status quo te handhaven. Proactief - De onderneming wendt zijn invloed aan om de totstandkoming van wet- en regelgeving dusdanig te beïnvloeden dat deze voor de organisatie gunstig uitpakt. De strategieën reactief en anticiperend zijn intern gericht, defensief en proactief zijn extern gericht. Er kan gekozen worden voor een combinatie van een interne en een externe strategie. In de praktijk blijkt dat organisaties voor verschillende strategieën kunnen kiezen, afhankelijk van de wet- of regelgeving waar het om gaat, en gebaseerd op het specifieke belang voor de organisatie. Organisaties die willen voorkomen dat hun ingebedde controlframework en complianceproces door nieuwe en veranderende wet- en regelgeving wordt verstoord zullen dus actief na moeten denken over hun strategie in deze. IT Service Management, best practices, deel 4

10 54 TOT SLOT Compliance toekomstvast organiseren is dus geen fabel. Door slim te opereren is het niet nodig om bij iedere nieuwe wet of regel een nieuw controlframework in te richten. Door het handig inrichten en testen van maatregelen kan naar meerdere toezichthouders verantwoording worden afgelegd zonder dubbel werk te doen. Het moeten voldoen aan externe eisen kan tevens worden vertaald naar een interne benefit, want het externe toezicht en de media-aandacht hebben de professionaliteit van de IT-organisatie hoog op de managementagenda geplaatst. Kortom, de tijd is rijp voor het gebruiken van het momentum om de reeds lang gewenste, maar vaak niet goedgekeurde, kwaliteitsverbeteringen alsnog de juiste prioriteiten te geven en door te voeren. Johan Sturm, Daniel van Burk en Rudolf Liefers zijn werkzaam als adviseur bij de World Class IT adviesgroep van Atos Consulting. Zij richten zich daar op opdrachten die vaak de onderwerpen compliance en IT-governance betreffen. Johan Sturm is binnen Atos Consulting de trekker van de Compliance Solution, Daniel van Burk en Rudolf Liefers hebben mede vanuit hun NGI-bestuursrol een leidende rol gehad in een in 2006 verschenen NGI-publicatie over Compliance & IT-beheer. BRONNEN Duthler, mr. Dr. A.W. (red.) (2005). IT- Recht, Quick reference voor IT-auditors. NOREA, Kluwer. Franken, prof.mr. H., prof.mr. H.W.K. Kaspersen en prof.mr. A.H. de Wild (red.) (2004). Recht en computer, deel 36. Serie recht en praktijk. Kluwer. Geest, mr. E. van (2006). Van herkenning tot aangifte, Handleiding Cybercrime. Govcert.nl (KLPD). Hofman, P. en E. Tuin (2006). Het Speelveld van de CIO. Tutein Nolthenius. Liefers, R. en D. van Burk (2006). Compliance en IT-beheer, Impact van wet- en regelgeving op het beheer van de informatievoorziening. Academic Service/SDU. Oliver en Holzinger (2007). The Effectiveness of Strategic Regulatory Management: A Dynamic Capabilities Framework. Concept artikel, in reviewfase voor publicatie in Academy of Management Review. Wettenreferenties: Wet computercriminaliteit (WCC II): Wetboek van Strafrecht. wetten.overheid.nl Auteursrecht, Auteurswet 1912, Hoge Raad, 4 januari 1991, Van Dale/Romme Wet bescherming persoonsgegevens (WBP). Telecommunicatiewet. wetten.overheid.nl Aanbestedingsrecht, aanbestedingswet. en org Wetboek elektronische handtekening. Sarbanes-Oxley Act 2002, also known as the Public Company Accounting Reform and Investor Protection Act of Auditing Standard No. 2 of the Public Company Accounting Oversight Board (PCAOB). Titel 9 Boek 2 BW, Voorschriften met betrekking tot externe financiële verslaggeving, Richtlijnen voor de jaarverslaggeving Besluit voorschrift informatiebeveiliging rijksdienst 1994 (VIR). wetten.overheid.nl Archiefwet wetten.overheid.nl Algemene Wet Rijksbelastingen. wetten. overheid.nl Wet op het financieel toezicht (Wft). en Regeling Organisatie en Beheersing. Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur (Kader BCP). Wet Financiële Dienstverlening (Wfd). en Basel II, herziene richtlijn banken en kapitaaltoereikendheid. Wet melding ongebruikelijke transacties (MOT).

Onderstaand artikel is de bijdrage van Hans Keller aan het boek:

Onderstaand artikel is de bijdrage van Hans Keller aan het boek: Onderstaand artikel is de bijdrage van Hans Keller aan het boek: Compliance en IT Beheer 2006 Impact van wet- en regelgeving op het beheer van de informatievoorziening Een verkenning van de actuele situatie

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Security manager van de toekomst. Bent u klaar voor de convergentie?

Security manager van de toekomst. Bent u klaar voor de convergentie? Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Waarde creatie door Contract Management

Waarde creatie door Contract Management Waarde creatie door Contract Management Value Next voor opdrachtgever en opdrachtnemer Herman van den Hoogen M: 06-53.96.36.14 www.hoogen- Procurement.com Nick Piscaer M: 06-37.60.03.12 nick.piscaer@ziggo.nl

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

8.5 Information security

8.5 Information security H08-Jb.IT Beheer 2006 18-10-2005 16:20 Pagina 321 8.5 Information security governance Casus bij financiële instellingen Na corporate governance en IT-governance duikt binnen (Nederlandse) organisaties

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz

De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz Group Director, QHSE 11 September 2014. ABOUT US FTS Hofftrans Oil transportation

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Eibert Dijkgraaf Kijk verder dan je test neus lang is: Life Cycle Testing Scan Voorjaarsevent Testnet: 30 juni 2008

Eibert Dijkgraaf Kijk verder dan je test neus lang is: Life Cycle Testing Scan Voorjaarsevent Testnet: 30 juni 2008 Titel, samenvatting en biografie Eibert Dijkgraaf Kijk verder dan je test neus lang is: Life Cycle Testing Scan Voorjaarsevent Testnet: 30 juni 2008 Samenvatting: Eibert Dijkgraaf (testconsultant Test

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) 7 november 2013 1 Inhoud

Nadere informatie

BOS+COHEN+ STRATEGIE ADVISEURS

BOS+COHEN+ STRATEGIE ADVISEURS BOS+COHEN 1 Introductie (Sterblok) Bos+Cohen Strategie Adviseurs staat voor hoogwaardige dienstverlening binnen de ICT branche. De missie van Bos+Cohen is de afstand tussen ICT aanbieders en afnemers te

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Security Management Een principle-based aanpak met ISM & FSM

Security Management Een principle-based aanpak met ISM & FSM Security Management Een principle-based aanpak met ISM & FSM Jan van Bon @Servitect 18 september 2014 PvIB Jan van Bon Ontwikkeling & verspreiding van kennis mbt Service Management Dir. Inform-IT Manager

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

De toegevoegde waarde van een ISAE 3402-

De toegevoegde waarde van een ISAE 3402- De toegevoegde waarde van een ISAE 3402- verklaring Een isae 3402-verklaring is een specifieke vorm van third party assurance en heeft toegevoegde waarde voor services en gebruikerss. Er is echter nog

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Workshop Pensioenfondsen. Gert Demmink

Workshop Pensioenfondsen. Gert Demmink Workshop Pensioenfondsen Gert Demmink 13 november 2012 Integere Bedrijfsvoering Integere bedrijfsvoering; Bas Jennen Bestuurderstoetsingen; Juliette van Doorn Integere bedrijfsvoering, beleid & uitbesteding

Nadere informatie

ICT compliancy Een kluwen van risico s, normenkaders, groeimodellen, wet- en regelgeving

ICT compliancy Een kluwen van risico s, normenkaders, groeimodellen, wet- en regelgeving ICT compliancy Een kluwen van risico s, normenkaders, groeimodellen, wet- en regelgeving Datum : 03 mei 2007 Status : Definitief Betreft : Afstudeerscriptie post doctorale EDP-audit opleiding VU Amsterdam

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie no 4: 1 juli

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Onderzoeksresultaten Cloud Computing in Nederland Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau

Nadere informatie

Uw specialist in technisch management

Uw specialist in technisch management IP-Solutions Het technisch beheer van installaties staat onder druk. De toenemende concurrentie, kostendruk en veranderende wet- en regelgeving vraagt om grotere transparantie, flexibiliteit en efficiency.

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Juridische uitdagingen van CC

Juridische uitdagingen van CC Juridische uitdagingen van Cloud Computing IIR Cloud Computing 2010 Louis Jonker 17 november 2010 Juridische uitdagingen van CC Gebruikelijke aandachtspunten bij uitbestedingsrelatie Transitie Service

Nadere informatie

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection

Nadere informatie

Registeropleiding Financieel Recht Certified Specialist Financial Law (CSFL )

Registeropleiding Financieel Recht Certified Specialist Financial Law (CSFL ) Eggens Instituut Module 3: Goed Bestuur Registeropleiding Financieel Recht Certified Specialist Financial Law (CSFL ) Registeropleiding Financieel Recht Certified Specialist Financial Law (CSFL ) Module

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Lange cursus beschrijving van de cursus: ITIL basics

Lange cursus beschrijving van de cursus: ITIL basics Lange cursus beschrijving van de cursus: ITIL basics ALGEMEEN Het inrichten van een ICT Beheerorganisatie is een complexe en tijdrovende aangelegenheid. Het resultaat is afhankelijk van veel aspecten.

Nadere informatie

Charco & Dique. Trustkantoren. Risk Management & Compliance. DNB Nieuwsbrief Trustkantoren

Charco & Dique. Trustkantoren. Risk Management & Compliance. DNB Nieuwsbrief Trustkantoren Trustkantoren DNB Nieuwsbrief Trustkantoren Sinds 2012 publiceert De Nederlandsche Bank (DNB) drie keer per jaar de Nieuwsbrief Trustkantoren. Zij publiceert de Nieuwsbrief Trustkantoren om de wederzijdse

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Gegevensbescherming & IT

Gegevensbescherming & IT Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands 36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom T +31

Nadere informatie

Balanced Scorecard. Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec

Balanced Scorecard. Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec Balanced Scorecard fvv Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec Het CAF Model FACTOREN RESULTATEN 1. Leiderschap 3. Human Resources Management 2. Strategie & Planning

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

IT risk management voor Pensioenfondsen

IT risk management voor Pensioenfondsen IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,

Nadere informatie

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement AAN DE SLAG MET INFORMATIEMANAGEMENT Masterclass Informatiemanagement AAN DE SLAG MET INFORMATIEMANAGEMENT INTRODUCTIE Informatie is voor elke organisatie een cruciale asset. Efficiënte uitvoering van

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Mogelijkheden zien waar niemand ze ziet. CPI Governance: pragmatische en transparante governance-oplossingen.

Mogelijkheden zien waar niemand ze ziet. CPI Governance: pragmatische en transparante governance-oplossingen. Mogelijkheden zien waar niemand ze ziet CPI Governance: pragmatische en transparante governance-oplossingen. Risicobeheersing begint aan de top CPI Governance CPI (Corporate, Public en Internal) Governance

Nadere informatie

Sourcing. Analyse Sourcing Management

Sourcing. Analyse Sourcing Management Sourcing Analyse Sourcing Management Sourcing Business Driven Sourcing Wij nemen het woord sourcing letterlijk. Welke bronnen zijn nodig om uw organisatie optimaal te laten presteren, nu en in de toekomst?

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? ITIL CHECKLIST: Algemeen A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? A-2: Wordt gebruik gemaakt van een geautomatiseerd administratie systeem waar alle gegevens in kunnen

Nadere informatie

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE Corporate Governance Novisource streeft naar een organisatiestructuur die onder meer recht doet aan de belangen van de onderneming, haar klanten,

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

Programme Power. De weg van Portfoliomanagement naar Programmaregie

Programme Power. De weg van Portfoliomanagement naar Programmaregie Programme Power De weg van Portfoliomanagement naar Programmaregie Agenda Introductie Stedin Historie van Project- en Portfoliomanagement Van Portfoliomanagement naar Programmaregie Waar staan we nu Oog

Nadere informatie

30-06-2015 GASTVRIJ EN ALERT

30-06-2015 GASTVRIJ EN ALERT AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5

Nadere informatie

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013 Cloud & Privacy B2B Clouddiensten Robert Boekhorst Amsterdam 27 juni 2013 Inleiding Privacyrecht: in vogelvlucht Knelpunten Hoe hier mee om te gaan? toekomstige ontwikkelingen Privacyrecht in vogelvlucht

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie CIBER Nederland BV Agenda SURF 1. Introductie CIBER 2. Visie Cloud Services 3. Visiei Position Paper Beliefs 4. Hoe kan CIBER hepen 2 Titel van de presentatie 1. Introductie CIBER Nederland? Feiten en

Nadere informatie

De waarde van de IT-organisatie: meetbaar of niet?

De waarde van de IT-organisatie: meetbaar of niet? De waarde van de IT-organisatie: meetbaar of niet? Quintica BV Marconibaan 10b 3439 MS Nieuwegein Tel: 030 630 10 52 Fax: 030 630 13 43 www.quintica.nl info@quintica.nl Inhoudsopgave 1. Inleiding... 3

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie