Hoe meet je compliance?
Meten is weten. Het is een belangrijk onderdeel van iedere verbetercyclus. De Check in Plan Do Check Act, de M uit SMART. Het komt om de hoek kijken bij het opstellen van een stuk bij het jaarverslag, het aanvragen van een budget, het opstellen van een plan van aanpak en de evaluatie van een project. Maar hoe weet je wat je moet meten als het op zaken als privacy of informatiebeveiliging aankomt? In dit artikel gaan we in op het meten van compliance en hoe wij tot onze aanpak van het meten in volwassenheidsniveaus zijn gekomen.
Wat is compliance?
Compliance betekent naleving. Dat kan het naleven van wetten en regelgeving zijn, van gedragscodes, van standaarden zoals de ISO, integriteitsnormen of van het intern gekozen beleid. Het meten van compliance is daardoor geen eenvoudige taak. Ga je overtredingen tellen, of hoe vaak het juist goed gaat? Of het aantal maatregelen dat is geïmplementeerd? En spreek je specifieke KPI’s af? Hoe pak je dat aan en hoe weet je wat je niet weet?
Hoe compliant moeten we zijn?
Dat is voor juristen een lastige vraag. De wet is de wet en die horen we te kennen en te volgen. Het is alsof je vraagt hoe vaak je door rood mag rijden. Echt een goed idee is het nooit, maar we kunnen ook niet zeggen dat je iedere keer beboet zult worden of een ongeluk zult krijgen. In beveiligingsstandaarden heb je meer ruimte om een eigen keuze te maken op basis van jouw risicobereidheid. Zolang je die afwegingen (in redelijkheid) maakt, ben je dus compliant aan de standaard. Hoewel de wet- en regelgeving en standaarden veelal het nodige papierwerk vereisen, zit naleving vooral in de uitvoering. Een meting op de naleving in processen zal per definitie een momentopname zijn en zoals zo vaak geldt bieden resultaten uit het verleden geen garantie voor de toekomst.
KPI’s
Het tellen van het aantal datalekken kan een voor de hand liggende KPI zijn; datalekken zijn concrete gevallen van privacyschendingen en die wil je terugdringen, nietwaar? Een bedrijf zonder datalekken is dus een veilig bedrijf als het op privacy aankomt. Maar wat als datalekken wel voorkomen, maar niet gemeld worden, of niet eens herkend of ontdekt worden? Dan zul je aan bewustwording moeten werken en dan is het een goed teken als er juist een stijging in het aantal (gemelde!) datalekken is. Het vaststellen van KPI’s moet passen bij de stand van zaken en de ambities van de organisatie. Een assessment kan helpen om een logische verzameling KPI’s vast te stellen.
Assessment op volwassenheidsniveaus
Door te meten op volwassenheidsniveaus kijken we naar de mate waarin regels in de organisatie, mensen en processen zijn ingebed. Van ad hoc naleving, tot volledig beschreven, geïmplementeerde, bekende en gecontroleerde processen. Hiermee heb je geen 100% garantie op compliance, net zomin als ad hoc opvolging een garantie voor overtredingen is, maar het is een goede indicatie van hoe makkelijk en vanzelfsprekend het naleven voor de organisatie is geworden. De kans op een overtreding als gevolg van onwetendheid, een gebrek aan afspraken of het moeten terugvallen op houtje-touwtje oplossingen is vele malen kleiner binnen een volwassen organisatie. Wat overblijft zijn de overtredingen die veroorzaakt worden door een bewuste overtreding van de regels, uit kwade opzet of een zorgvuldige risico-afweging.
Consequent meten
Uiteindelijk is er niet één gouden standaard voor het meten van compliance. Het belangrijkste is dat je een methode kiest die aansluit bij hetgeen de organisatie in beeld wil krijgen en dat je deze consequent toepast. Door de meting met regelmaat, volgens dezelfde aanpak, te herhalen, kun je heel goed de verandering over tijd meten. Gaan we vooruit, staan we stil of lopen we op sommige punten misschien zelfs terug? Dat is waardevolle informatie als je wilt meten welke effecten de inspanningen van de organisatie teweegbrengen.
Door alle voorwaarden uit de Algemene verordening gegevensbescherming (AVG) en de informatiebeveiligingsstandaard ISO 27001/2 (en ook de BIC, BIO, etc.) op een rij te zetten en in te delen in volwassenheidsniveaus die volgens onze best practice aansluiten bij de praktijk, krijg je een goed overzicht van waar de organisatie staat en wat er al bereikt is. Op basis daarvan is in één oogopslag te zien welke onderwerpen meer aandacht verdienen en waar juist de processen goed ingebed zijn. Zo stel je gemakkelijk nieuwe ambities en verbeterplannen op, leg je verantwoording af en kun je met recht zeggen dat je weet hoe het met de compliance in de organisatie gesteld is.
Wil je meer weten over hoe je compliance kan meten? Vraag dan onze Privacy Assessment en/of Informatiebeveiliging Assessment productsheet aan of neem contact met ons op via mail@audittrail.nl of 071 – 747 17 17.
Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail voert jaarlijks een fors aantal assessments uit bij organisaties in diverse sectoren op de AVG, ISO27001/2, BIO, BIC en vele andere normen. Ook is Audittrail Microsoft Partner op het gebied van security & compliance en helpt organisaties hun Microsoft omgeving secure en privacy compliant in te richten. Heb je vragen naar aanleiding van dit artikel? Laat het ons weten via mail@audittrail.nl of via 071 –747 17 17.