Grip op ongevraagd ingeschakelde functionaliteit

Privacy

Organisaties hebben steeds vaker te maken met producten waarin leveranciers eenzijdig functionaliteit toevoegen en die standaard inschakelen terwijl dit inbreuk kan maken op de privacybescherming. Collega's noemen het ook wel 'whack-a-mole': een intensief spel waarbij je reageert op dingen die uit het niets als popcorn oppoppen en waar je iets mee moet. Alleen is het geen spel, het is de harde werkelijkheid. Maar, steeds ad hoc  moeten reageren kost tijd en capaciteit die er eigenlijk niet is. Die willekeurig poffende maïskorrels wil je liever opvangen in een zakje. Daarbij helpt een integrale aanpak. In dit artikel vind je daarvoor een aantal handvatten.

47

0 Praat mee

Heldere afspraken en regelmatige controle een must

Heldere afspraken met je leverancier en stelselmatige controle ervan (volgens de PDCA-verbetercyclus) is sowieso een must. Hoe groter het risico, hoe vaker dat moet. Dit helpt om controle over de functionaliteit te houden. Maar als dezelfde mensen bij iedere maïskorrel die popt iets moeten doen, dan moet je het budget en de capaciteit vergroten, of het helemaal anders aanpakken. 

Handvatten voor meer grip

Er zijn een paar punten waarop (het management van) je organisatie zich kan focussen om grip op de onvoorspelbare wijzigingen behapbaar te houden: 

 

  • De organisatie kiest op een duidelijke manier en in overeenstemming met de code voor goed bestuur voor een bepaald product (verantwoordelijkheid van het hoger management).
  • Er is heldere sturing en afstemming; de positie van het hoger management moet duidelijk zijn, en verantwoord kiezen heeft draagvlak nodig in de organisatie, het is immers vaak niet de makkelijkste weg.
  • Accepteer zo nodig minder functionaliteit of minder gebruiksgemak als alternatieve opties via een andere leverancier beter inspelen op de missie en visie van de organisatie (de grote aanbieders hebben immers vaak meerdere modules gecombineerd in hun product).
  • Leg risicomanagement op de juiste plek; degene die de eindverantwoordelijkheid heeft, is steeds betrokken bij spannende keuzes.
  • Weeg bij iedere uitbreiding of verlenging het risico, de noodzaak en de beheerlast af.
  • Weeg keuzes expliciet af tegen je afhankelijkheid (functionaliteit, kosten, vendor lock-in).
  • Zorg ervoor dat de inkoopafdeling inhoudelijk betrokken is bij de privacyprincipes en de medewerkers weten waar ze op moeten letten (bijvoorbeeld: als een leverancier niet transparant is over datastromen en -opslag/-verwerking, dan kies je een andere leverancier)
  • Kijk kritisch naar wat je als organisatie kunt faciliteren binnen budget en capaciteit en snoei waar mogelijk.
  • Leg de focus op het zakelijk gebruik van de werkplek met essentiële software (meer mogelijkheden hebben is mooi, maar levert ook meer risico’s en beheer op).

Met deze handvatten als basis voor je integrale aanpak, kun je binnen de organisatie gemakkelijker voor producten kiezen waarbij je niet door je leverancier wordt verrast. Heb jij voorbeelden die ook helpen, of een best practice? Deel je inzichten in de reacties onder dit artikel. 

Andere communities

Publieke Waarden

Dit artikel heeft 0 reacties

Gerelateerde artikelen

  1. Privacyrede 2025: 'Nooit meer pauze'?

    Privacy

  2. Privacyprofessional? Deze tools zijn voor mij onmisbaar ...

    Privacy

  3. Privacypareltjes juni & juli

    Privacy