Artikel Ketengovernance Startpunt voor keteninrichting en ketenauditing Adri de Bruijn, Anastacia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren A.J.M. de Bruijn RE RA is partner van PricewaterhouseCoopers Advisory, docent EDP-auditing aan de Erasmus School of Accounting en Assurance en voorzitter van de NOREA. Drs. A.J. van der Meer is onderzoeker en coordinator van de sector onderzoek en marketing van de Belastingdienst (Centrum voor Proces- en Productontwikkeling). M.C.M. Slot RE is IT-auditor bij het Ministerie van Financiën. P.C.J. Nieuwenhuizen RE RA is director bij PricewaterhouseCoopers Accountants. Drs. B.J. van Staveren RE is hoofd IT-audit bij UWV en voorzitter van het Platform Informatiebeveiling. In de huidige samenleving zien we dat samenwerken tussen organisaties een veel voorkomend verschijnsel is geworden. Zowel binnen de overheid als binnen het bedrijfsleven vormt de verbetering van de efficiëntie een belangrijk motief om te gaan samenwerken. Zo vermindert bijvoorbeeld de administratieve en logistieke lastendruk doordat partners aansluiting zoeken voor het gezamenlijk inrichten, uitvoeren en beheersen van één geheel ketenproces. Een gunstig effect van efficiëntieverbetering is het beter bedienen van de klant. Binnen de overheid wordt steeds vaker opgeroepen tot samenwerking in ketens. Naast het beter bedienen van de burger verwacht men dat deze ketensamenwerking ook leidt tot het transparanter en meer decentraal uitvoeren van overheidsprocessen. Diverse publicaties zijn verschenen over deze ketensamenwerking en hierin zijn theoretisch diverse typen ketens benoemd: dynamische ketens, maatschappelijke ketens, vraag- en aanbodgerichte ketens, fysieke ketens, verticale, horizontale en diagonale ketens, beleidsketens, etcetera. Echter voor het opzetten, inrichten en (blijvend) beheersen van ketens zijn deze indelingen naar de mening van de auteurs van dit artikel minder goed bruikbaar. Zij hebben aansluiting gezocht bij de ontwikkelingen rondom corporate en government governance en zijn op basis van een verkenning in de praktijk gekomen tot een viertal ketentypes. Juist omdat het vertrekpunt van de indeling van de types gebaseerd is op de gedachten rondom governance, denken de auteurs dat deze types goed in de praktijk bruikbaar zijn. Want in governance spelen vraagstukken als wie is verantwoordelijk, hoe wordt verantwoording afgelegd en wie monitort dit; vraagstukken die essentiële voorwaarden zijn bij het inrichten en beheersen van ketens. En governance staat daarbij niet op zich zelf; het soort proces en de al dan niet wettelijke regelingen waarover de keten gaat, bepaalt mede de governance. IT speelt een cruciale rol in ketens: IT maakt het mogelijk dat ketens kunnen functioneren. Zo zeer zelfs dat Grijpink, hoogleraar Keteninformatisering in de rechtstaat, stelt dat je eerst moet informatiseren en daarna pas reorganiseren en niet andersom. 1 Hoezeer dit ook voor discussie vatbaar is, duidelijk is voor de auteurs dat inzicht in ketens relevant is voor IT-auditors en één van de onderwerpen die in de toekomst prominent op de agenda van IT-auditors komt te staan. In de EDP-Auditor editie 4 van 2005 is ingegaan op ketenauditing in zijn algemeenheid. In dit artikel zal ingegaan worden op ketentypologiën en de governance van ketens. 28 de EDP-Auditor nummer 1 2006
Beide artikelen tezamen vormen de opstap voor een artikel dat in een volgend nummer van de EDP-Auditor zal verschijnen en zal ingaan op auditing van ketens gerelateerd aan deze ketens. In dit artikel richten wij ons op ketens binnen het publieke domein. Allereerst gaan wij in op enige aspecten van governance, waarna wij de verschillende type ketens definiëren. Hierbij geven wij vervolgens aan hoe naar onze mening de governance per ketentype ingericht zou kunnen zijn. Schematisch is een en ander onderstaand weergegeven (ontleend aan 5 ): Figuur 1. Governance Er zijn verschillende definities over governance. Een echte definitie over keten-governance hebben de auteurs niet aangetroffen. De definitie die we in dit artikel zullen hanteren is gebaseerd op de definitie van good governance als zijnde een definitie in gebruik binnen het publieke domein 2 : Keten-governance is het waarborgen dat de wijze van sturen, beheersen en toezicht houden in een keten, evenals het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden, gebeurt in onderlinge samenhang, gericht op een efficiënte en effectieve realisatie van doelstellingen en in lijn met de bestuurlijke visie. In deze definitie zijn de volgende governance processen onderscheiden: 3 Sturen, dat wil zeggen het stellen van doelen en het uitzetten van de lijnen en inrichten van de organisatie, met bijbehorende verantwoordelijkheden om deze doelen te realiseren. Beheersen, zijnde het geheel van activiteiten om te zorgen dat de uitvoering in lijn (alignment) is met de doel stellingen die zijn geformuleerd, rekening houdend met de risico s die worden gelopen. Onderdeel hiervan is het definiëren van controls, het uitvoeren daarvan en waar nodig bijsturen. Verantwoorden, zijnde het afleggen van verantwoording naar buiten en naar andere delen van de keten toe. over de keten en de uitvoering binnen die keten is een onlosmakelijk element van de keten-governance. Elementen die hierin aan de orde kunnen komen zijn de afspraken die zijn gemaakt, de vraag of deze zijn behaald, de wijze waarop ze zijn behaald, etc. Toezicht houden, wat verschillende elementen kent. Enerzijds het interne toezicht zoals een Raad van Commissarissen toeziet op het functioneren van het bestuur van een organisatie. Dit toezicht vindt plaats binnen de organisatie/ keten en is gericht op het goed laten functioneren van de organisatie/keten. Daarnaast het externe toezicht, door toezichthouders van buiten. Dit laatste hebben we in dit artikel niet betrokken. 4 Deze vier kernelementen zijn, uitgaande van het centrale element verantwoording nader uit te werken in hoofd- en subkenmerken die in de praktijk bij ketens te signa leren zijn: Bij sturen gaat het er om of de verantwoordelijkheden zijn belegd en meer concreet of er een ketenregisseur is, los van de vraag hoe sterk of zwak die ketenregisseur is (zoals Grijpink aangeeft zal er niet altijd sprake zijn van hiërarchie en van een overkoepelend gezag). Bij beheersen gaat het er om of de verantwoordelijkheden voortvloeiend uit de sturing ook zijn vertaald in afspraken hierover, al dan niet in de vorm van contracten. Bij verantwoorden gaat het er om of en welke verantwoording afgelegd moet worden en wat hierover is afgesproken. Bij toezicht houden gaat het er om of de verantwoording die wordt afgelegd ook wordt getoetst, en als deze wordt getoetst door wie en met welke zekerheid. Soorten ketentypes Zoals in de inleiding aangegeven, zijn de ketens naar diverse typen te onderscheiden. In dit artikel zullen we een voorzet doen voor een andere indeling van ketens naar type. We hebben een viertal type ketens onderscheiden, waarbij twee elementen bepalend zijn voor het komen tot het onderscheid maken naar verschillende type ketens. Allereerst de governance van de keten en daarnaast het proces waarover de keten gaat. Bij dit laatste kan naar onze mening onderscheid gemaakt worden in de pure gegevensverstrekking tussen partijen, bijvoorbeeld een pensioenfonds of overheidinstelling krijgt de persoonsgegevens uit de Gemeentelijke Basisadministratie (GBA). Het gaat hierbij alleen om de gegevenslevering. De processen van de verschillende organisaties zijn niet geïntegreerd of met elkaar gekoppeld of aan elkaar uitbesteed. Wij hebben dit aangeduid als een semi-keten (type 3 keten). 29 de EDP-Auditor nummer 1 2006
Schematisch weergegeven: Tabel 1. Governance aspect Hoofdkenmerk Subkenmerken Sturing Verantwoordelijkheden belegd? Wie is ketenregisseur? Beheersing Wat zijn de afspraken n.a.v. de verantwoordelijkheden? Hoe zijn deze vastgelegd? Wordt er verantwoording afgelegd? Wat voor soort verantwoording? Toezicht Wordt er assurance verkregen over de verantwoording Wie is de auditor? Wat is het object van assurance? Wat voor afspraken zijn hierover gemaakt? Een stap verder dan alleen gegevenslevering is het uitbesteden van secundaire processen aan derden (bijvoorbeeld outsourcing van de IT aan een partner buiten het publieke domein) of het laten uitvoeren van processen van de ene overheidsinstantie door een andere zonder dat hierbij sprake is van een wettelijke basis (zoals bijvoorbeeld de salarisverwerking van het Ministerie van Verkeer en Waterstaat door de Belastingdienst). Wij hebben dit aangeduid met de term klassieke uitbesteding (type 1 keten). Als er wel sprake is van een wettelijke basis waarbij de ene overheidsinstantie processen laat uitvoeren door een andere overheidsinstantie (bijvoorbeeld het Ministerie van VROM wat de huurtoeslag door de Dienst Toeslagen laat uitvoeren en idem het Ministerie van VWS de zorgtoeslag door dezelfde dienst) is er sprake van een wat wij genoemd hebben semi-trust keten (type 2 keten). De meest vergaande vorm is het op basis van gelijkwaardigheid samen vormgeven en uitvoeren van elkaars primaire processen: een voorbeeld hiervan is SUB (Samenwerking UWV Belastingdienst) wat gezamenlijk door UWV en Belastingdienst wordt vormgegeven en uitgevoerd: in onze ogen is hierbij sprake van een echte keten (type 4 keten). Schematisch kunnen bovenstaande afwegingen in nevenstaand keuzediagram worden weergegeven. voor haar primaire processen. Daarom is de kwaliteit van die gegevens voor de ontvanger belangrijk. De verstrekker kan een belang hebben bij de zorgvuldige omgang door de ontvanger met de verstrekte gegevens. 4. Echte keten (met gelijkwaardige partners)een zelfverklarende aanduiding: hierbij is sprake van een samenwerking van gelijkwaardige partners in een keten. Figuur 2. Samenvattend komen we op basis van wat we in de praktijk aan ketens zien daardoor tot de volgende vierdeling: 1. De klassieke uitbesteding (klant/leverancierrelatie) Hierbij is sprake van uitbesteding van werkzaamheden zonder dat dit is gebaseerd op wettelijke bepalingen. 2. Semi-trust (uitbesteding op wettelijke basis)hier is sprake van een departement dat werkzaamheden uitvoert ten behoeve van één of meerdere departementen die de eindverantwoordelijkheid dragen. In dit ketentype staat de aard van de relatie centraal. Het betreft een op wettelijke gronden gebaseerde verhouding. 3. Semi-keten (eenzijdige gegevensaanlevering)kenmerkend in dit ketentype is een gegevensverstrekking met veelal vooral een belang bij de ontvanger. Voor de ontvanger ligt het belang bij de essentie van de ontvangen gegevens 30 de EDP-Auditor nummer 1 2006
Tabel 2 Ketenregisseur Opdrachtgever Beleidsdepartement Gedeelde verantwoordelijkheid met ontvanger in initiatierol Bij voorkeur belegd bij sterkste partij Governance processen STUREN BEHEERSEN VERANT- WOORDEN TOEZICHT HOUDEN Hoofdkenmerk Subkenmerk Normatieve invulling TYPE 1, KLASSIEKE UITBESTEDING Kenmerk proces Soort proces Secundaire processen waaronder ICT Koppelvlak Strikt gedefinieerd, contract, bijvoorbeeld SLA Primaire of secundaire processen, waaronder goederen- en geldstromen, diensten, gegevens Gedefinieerd steeds strikter via (1) wet, (2) afspraken bij convenant en (3) uitwerking in procesbeschrijvingen Verantwoordelijkheden belegd afleggen Assurance hierover TYPE 2, SEMI-TRUST TYPE 3, SEMI-KETEN TYPE 4, ECHTE KETEN Gegevensverstrekking waarbij belang Primaire processen primair ligt bij ontvanger en secundair bij verstrekker Afspraken bij voorkeur Gedefinieerd via in de vorm van een wet- en regelgeving contract Afspraken hierover ja/nee Soort verantwoording Uitvoerder Object Afspraken hierover Contract Convenant Wet- en regelgeving en specifieke 1:1 afspraken Wet- en regelgeving Ja, door leverancier of Ja, in beheersverslag Ja, bij verstrekker, Ja, zowel over delen afgesproken diensten door uitvoerende indien omgaan van de keten als ten zijn nagekomen en dienst over de met gegevens behoeve van beleidsdepartement bijvoorbeeld over nakoming van van belang is over incidenten diensten plus dechargeverlening Ja, bij ontvanger, keten als totaal door indien gegevens beleidsdepartement essentieel zijn voor primair proces Vastgelegd in Jaarverslag/beheerverslag Belang vanuit ver- Op basis uniform afspraken/contract door opdrachtstrekker: verslag; normenkader nemer/ Belang vanuit ontvanger: uitvoerder specifieke rappor- tage (op verzoek); Auditor van de Volgens afspraken in Omgaan met gegevens Bij delen: auditors leverancier meestal convenant: auditor van belang: van betrokken TPM van beide departementen Auditor ontvanger ketenpartijen OF auditor Gegevens essentieel Bij totaal: auditor van de opdrachtnemer voor primair proces: namens beleids- Auditor verstrekker departement Betrouwbaarheid Betrouwbaarheid Wijze van omgang Betrouwbaarheid verantwoording beheers- c.q. jaarverslag met gegevens gegevensuitwisseling Betrouwbaarheid en beheer in de keten gegevensaanlevering Contract In convenant 1:1 afspraken Wet- en regelgeving 31 de EDP-Auditor nummer 1 2006
Figuur 3. Governance vertaald naar ketentypes In hoofdstuk 2 hebben we de vier verschillende processen van keten-governance aangegeven. Deze governance processen vertalen zich verschillend per ketentype. In onderstaande tabel hebben we per ketentype aangegeven hoe naar onze mening de keten-governance ( normatief ) ingevuld zou kunnen zijn. We denken dat deze elementen een goed vertrekpunt kunnen vormen voor het inrichten, implementeren en beheersen van ketens en voor audits die in en op deze ketens en op de governance van ketens uitgevoerd kunnen worden. Interessant is vervolgens om na te gaan of in de praktijk deze invulling van keten-governance, zoals we hierboven hebben aangegeven, wordt aangetroffen. In bovenstaand schema hebben we opgenomen welke praktijkvoorbeelden we nader hebben bestudeerd. Een meer uitgebreide beschrijving van deze praktijkvoorbeelden (uit het publieke domein) per ketentype is opgenomen in de bijlage bij dit artikel. Bij het bestuderen van de praktijkvoorbeelden blijkt dat zoals Grijpink ook aangeeft irrationele en onvoorspelbare gebeurtenissen nog wel eens roet in het eten gooien 6, en dat daardoor de normatieve invulling die we hierboven per ketentype hebben aangegeven in de praktijk juist door deze gebeurtenissen niet plaatsvindt. Juist om een goed vertrekpunt te hebben voor het opzetten en inrichten en daarmee in de toekomst blijvend beheersen van ketens is het belangrijk om helder te hebben hoe de governance ingericht zou moeten zijn. Deze keten-governance is cruciaal omdat als het misgaat in ketens dit meestal niet ligt op het uitvoerende niveau maar in de aansturing, beheersing en monitoring van de keten. Vandaar dat deze normatieve keten-governance ons inziens behoort tot de ketenwetten 7. Samenvatting In dit artikel is ingegaan op de governance van ketens en is aangegeven dat deze governance mede bepalend is voor de typologie van ketens. Dit omdat wij denken dat de governance van ketens cruciaal is voor het (voort)bestaan van ketens. Daarnaast is de aard van de uitwisseling (gegevens en/ of processen) bepalend voor de keten typologie. Op basis daarvan zijn vier ketentypes onderscheiden. Een normatief model voor de keten-governance is gepresenteerd. Deze ketengovernance verschilt per ketentype. Het normatieve model is te gebruiken bij het ontwikkelen, implementeren en realiseren van ketens. En het is te gebruiken als vertrekpunt (voor de normen) bij audits. In het volgende nummer van De EDPauditor zal dieper worden ingegaan op de vraag hoe ketenaudits door IT-auditors vormgegeven kunnen worden. Noten 1 Grijpink, Lezing 4 oktober 2005 op Symposium Praktische Keteninformatisering 2 Zoals onder andere opgenomen in Ministerie van Financiën, Externe Governance Toolbox.(concept) 3 In de NOREA publicatie over IT-Governance, een verkenning, zijn drie processen opgenomen, te weten: Beheersen, Verantwoorden en Toezichthouden. Het proces Beheersen is in deze definitie en dit artikel uiteengerafeld in Sturen enerzijds en Beheersen anderzijds. 4 In de Kaderstellende visie op toezicht, brief oktober 2005 aan Tweede Kamer, zijn nog enkele andere vormen van toezicht gedefinieerd, die we hier niet zullen behandelen. In deze Kaderstellende notitie ontbreekt naar onze mening echter het interne toezicht zoals we dat in dit artikel hebben gedefinieerd. 5 Ministerie van Financiën, Externe Governance Toolbox. 6 Grijpink, Lezing 4 oktober 2005 op Symposium Praktische Keteninformatisering 7 Grijpink, Oratie 19 januari 2005, Onze informatiesamen leving in wording 32 de EDP-Auditor nummer 1 2006
Bijlage 1 Verklaringen afkortingen Afkorting Verklaring AWIR Algemene Wet Inkomensafhankelijke Regelingen B/T Belastingdienst/ Toeslagen BD Belastingdienst BZK (Ministerie van) Binnenlandse Zaken en Koninkrijksrelaties CWI Centrum voor Werk en Inkomen EZ (Ministerie van) Economische Zaken FIN FVP (Ministerie van) Financiën Fonds Voorheffing Pensioenen GBA Gemeentelijke Basis Administratie GSD Gemeentelijke Sociale Dienst IWI Inspectie Werk en Inkomen OC&W (Ministerie van) Onderwijs, Cultuur en Wetenschap RDW Rijks Dienst voor het Wegverkeer SLA Service Level Agreement SSC Shared Service Centre SUWI Structuur Uitvoering Werk en Inkomen SZW (Ministerie van Sociale Zaken en Werkgelegenheid TPM UWV Third Party Mededeling Uitvoeringsorgaan Werknemers Verzekeringen VeWa (Ministerie van) Verkeer en Waterstaat VROM (Ministerie van) Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer VWS (Ministerie van) Volksgezondheid, Welzijn en Sport 33 de EDP-Auditor nummer 1 2006
Bijlage 2 Type 1, Klassieke keten en Type 2, Semi-trust Hoofdkenmerk Subkenmerk TYPE 1, KLASSIEKE KETEN Normatieve invulling Outsourcing ICT door UWV Uitbesteding salarisverwerking SAP Payroll Kenmerk proces Soort proces Secundaire processen waaronder ICT Exploitatie en onderhoud ICT systemen en netwerkdiensten Uitbesteding secundair proces salaris betaling en personeelsgegevensbeheer door aantal departementen (VeWa, OC&W, EZ, MINFIN) aan een zelfstandige organisatie: Shared Service Center Koppelvlak Strikt gedefinieerd, contract, bijvoorbeeld SLA Vastgelegd in mantelovereenkomst, SLA s Convenant/SLA tussen elk van de departementen met het SSC Verantwoordelijkheden belegd Ketenregisseur Opdrachtgever UWV Ieder departement is opdrachtgever aan SSC Afspraken hierover Contract Contracten Idem SLA afleggen ja/nee Ja, door leverancier of afgesproken diensten zijn nagekomen en bijvoorbeeld over incidenten Maandelijks als input voor tactisch leveranciersoverleg Door SSC wordt verantwoording afgelegd aan de afzonderlijke opdrachtgevers (departementen) Soort verantwoording Vastgelegd in afspraken/ contract Conform mantelcontract wordt afgelegd door middel van accountants-, TPM of bedrijfsvoeringsverklaringen. Mogelijk worden deze door de opdrachtgevende departement gereviewd dan wel volgens afspraak gezamenlijk met de leverancier opgesteld. Assurance hierover Uitvoerder Auditor van de leverancier meestal TPM Auditor leverancier in de vorm van TPM Auditor SSC Object Betrouwbaarheid verantwoording Kwaliteit geleverde dienstverlening in relatie tot contract Afgesproken kwaliteit van het uitbestede proces Afspraken hierover Contract Mantelcontract met verdere uitwerking in referentiekader Toetsingskader voor de kwaliteit in SLA 34 de EDP-Auditor nummer 1 2006
TYPE 2, SEMI-TRUST Normatieve invulling Project Toeslagen Bijstandsuitkeringen Primaire of secundaire processen, waaronder goederen- en geldstromen, diensten, gegevens Verstrekken door B/T van financiële bijdragen aan rechthebbenden ter compensatie van politiek onaanvaardbaar hoge financiële lasten. Verstrekken van inkomen aan bijstandgerechtigden waarvan het inkomen/vermogen onder de bijstandsnorm ligt tot een politiek bepaald financieel acceptabel niveau. Gedefinieerd steeds strikter via (1) wet, (2) afspraken bij convenant en (3) uitwerking in procesbeschrijvingen Wet: Algemene Wet Inkomensafhankelijke Regelingen (AWIR) Convenanten: Tussen de departementen van enerzijds Fin en anderzijds VROM, VWS en ZSW zijn/ worden convenanten afgesloten waarin afspraken staan over o.a. afbakening beleid en uitvoering. Procesbeschrijvingen: nadere afspraken zijn/worden gemaakt over de BI en de verantwoordingsinformatie die verstrekt gaat worden door B/T en de operationele stuurinformatie. Geregeld in WWB en Gemeentewet Beleidsdepartement Beleidsdepartementen VROM, VWS en SZW SZW Convenant Zie hiervoor Is bij wet bepaald Ja, in beheersverslag door uitvoerende dienst over de nakoming van diensten plus dechargeverlening door beleidsdepartement Conform Door verantwoording in jaarrekening gemeentes en financiële afrekening van verstrekte uitkeringen van gemeentes met SZW Jaarverslag/beheerverslag door opdrachtnemer/uitvoerder Conform Jaarrekeningen van gemeentes Jaarrekening van SZW Volgens afspraken in convenant: auditor van beide departementen OF auditor van de opdrachtnemer Eindverantwoordelijkheid ligt bij de auditors van beide betrokken departementen; dus is altijd AdF erbij betrokken. Aanpak audit en eindrapport van de audit zijn verantwoordelijkheid van beiden. Bij uitvoering is altijd AdF betrokken; ter keuze kan ook de AD van het betrokken departement meedoen. Auditors bij de gemeentes geven oordeel over betrouwbaarheid gegevens en rechtmatige uitvoering van de wet in aparte accountansverklaringen bij verantwoording van gemeentes naar SZW toe. Auditors SZW hebben reviewrecht op de verantwoording door gemeentes. Betrouwbaarheid beheers- c.q. jaarverslag Conform Jaarrekening gemeente Jaarrekening SZW In convenant Conform Bij wet geregeld 35 de EDP-Auditor nummer 1 2006
Bijlage 2 Type 3, Semi-keten en Type 4, Echte keten Hoofdkenmerk Subkenmerk TYPE 3, SEMI-KETEN Normatieve invulling RDW GBA Kenmerk proces Soort proces Gegevensverstrekking waarbij belang primair ligt bij ontvanger en secundair bij verstrekker Aanlevering kentekengegevens door RDW aan Belastingdienst ten behoeve van de motorrijtuigenbelasting Verstrekking van persoonsgegevens uit primaire basisadministraties gemeenten aan afnemers Koppelvlak Afspraken bij voorkeur in de vorm van een contract Op basis van wet- en regelgeving ; uitgewerkt in convenant/contract Op basis autorisatiebesluiten Minister Verantwoordelijkheden belegd Ketenregisseur Gedeelde verantwoordelijkheid met ontvanger in initiatierol RDW Ministerie BZK Afspraken hierover Wet- en regelgeving en specifieke 1:1 afspraken Op basis wet- en regel geving en vastgelegd in convenant/ contract Autorisatiebesluiten Minister afleggen ja/nee Ja, indien privacy-aspecten van belang zijn Ja, indien gegevens essentieel zijn voor primair proces ontvanger Ja, TPM over betrouwbaarheid kentekenregister Afnemersaudit voor hybride (publieke én private) afnemers door 2e Kamer gevraagd BZK legt geen specifieke verantwoording af over GBA; wel indirect via GBA audits op inhoud, privacy en informatiebeveiliging Soort verantwoording Privacy verslag; belang vanuit verstrekker Specifieke rapportage (op verzoek); belang vanuit ontvanger TPM Niets vastgelegd Assurance hierover Uitvoerder Over privacyaspecten: Auditor ontvanger Over primair proces: Auditor verstrekker Auditor verstrekker GBA audits door verstrekkers (gemeenten) Object Wijze van omgang met privacy-gevoelige gegevens Betrouwbaarheid gegevensaanlevering Betrouwbaarheid kentekenregister Kwaliteit gegevens, privacy en informatiebeveiligingsaspecten Afspraken hierover 1:1 afspraken Alleen dat er TPM moet zijn; geen afspraken over inhoud Besluit GBA audits BZK omvat het normenkader 36 de EDP-Auditor nummer 1 2006
TYPE 4, ECHTE KETEN Normatieve invulling SUWI SUB Primaire processen Uitwisseling van gegevens tussen SUWI-partijen t.b.v de diverse eigen processen (CWI; intake WW; UWV; uitkering; GSD; uitkering) Verzamelen (Belastingdienst) en bewaren (UWV) van gegevens t.b.v. primare processen binnem beide organisaties (UWV: uitkeren; Belastingdienst heffen loonbelasting) Ja, aanwezig op basis wet- en regel geving Vastgelegd in de SUWI-wet Vastgelegd in WFSV (wet financiering sociale verzekering) Ja, is noodzakelijk; bij voorkeur belegd bij sterkste partij Niet formeel belegd, maar informeel door keten overleg op niveau van RvB van alle betrokken partijen of hun vertegenwoordiger Niet formeel belegd, maar informeel; samenwerking vastgelegd in convenant en onder liggende overeenkomsten Ja, op basis wet- en regelgeving SUWI-wet Convenant Ja, zowel over delen van de keten als ten behoeve van beleidsdepartement over keten als totaal Als onderdeel jaarverslagen; voor beveiliging voorgeschreven in de SUWI wet Als onderdeel van de jaarverslagen in de lijn van het eigen departement; op het niveau van de keten (nog) niets geregeld (december 2005) Op basis uniform normenkader Op basis van overeengekomen normenkader Op basis van eigen regelgeving van betrokken partijen Bij delen: auditors van betrokken ketenpartijen Bij totaal: auditor namens beleidsdepartement Auditors ketenpartijen (RE) Toezichthouder (IWI) Auditors ketenpartijen voor het eigen deel en joint audit door auditors ketenpartijen op het koppelvlak Betrouwbaarheid gegevensuitwisseling en beheer in de keten Beveiliging suwinet Kwaliteit uitvoering eiegen deel en beveiliging koppelvlak Wet- en regelgeving Suwiwet Convenant 37 de EDP-Auditor nummer 1 2006