Deze blog is de laatste in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De zesde is hier te vinden.
Het schrijven van beleid voor IAA zette mij aan het denken. Wanneer is ‘beleid’ goed? Zonder compleet te willen zijn, beleid leek mij goed als:
-
Het goede doelen dient:
Wat een goed doel is bepaal ik natuurlijk niet zelf of alleen, maar is gekoppeld aan onze strategische doelen als organisatie. -
Het concreet is:
Dat blijf ik een uitdaging vinden omdat concreetheid snel kan leiden tot te ‘gedetailleerd’, te ‘smal’, te ‘waan-van-de-dag’ of te ‘operationeel’. Uiteindelijk poog ik om generieke beginselen op te schrijven, die nog uitwerking qua inrichting en dagdagelijks werk behoeven. Terwijl ze wel handreikingen bieden voor anderen om besluiten weloverwogen te nemen. -
Het realistisch is:
Ik zoek altijd de balans tussen ‘dogmatisch’ en ‘pragmatisch’ zijn. Beleid mag best een ‘wettisch’ tintje hebben (Gij zult …), maar als je niet uitkijkt diskwalificeer je de huidige situatie compleet. Andersom, als het te pragmatisch is, dan vertrek ik alleen vanuit de huidige situatie en accepteer ik teveel onwenselijke situaties.
Dus voor mij mag beleid best prikkelen en kan het verandering in gang zetten, mits er dan ook maar oog is voor de verandering zelf.
Voor het IAA beleid hebben we daarom gekeken naar:
Geschiktheid
Dit beleid is getoetst en akkoord bevonden door de Functionaris Gegevensbescherming. Daarnaast is het ter review aangeboden bij ons Architectenplatform en een vertegenwoordiging van Functioneel Beheerders. Tot slot heeft het College van Bestuur het aangenomen als bestuursbesluit.
Koppelbaarheid
Beleid moet niet rondzweven als het ware en is op zijn beurt weer onderlegger voor andere documenten. Deze relaties expliciet benoemen helpt in een later stadium weer de borging van het beleid.
-
Aan wetgeving:
Dit beleid geeft uitvoering aan de algemene verordening gegevensbescherming (EU-AVG- 2016/679). -
Aan strategische en tactische documenten:
- Het IBP Beleid en Normenkader.
- Onze Richtlijn voor gebruikersnamen: volgens welke conventies we een uniek account bepalen.
- De richtlijn voor wachtwoorden: welke eisen we aan sterke wachtwoorden stellen.
- Het Reglement “Verantwoord Netwerkgebruik”
- De procedure “Autorisatie tot netwerk en kernsystemen”.
-
Aan operationele documenten:
- Beheerdocument per kernsysteem: deze bevat een overzicht van de autorisatiematrix van het specifieke kernsysteem en het beheerproces hierop (en nog veel meer natuurlijk).
- De werkinstructies van de processen.
Sommige van deze documenten zijn er nog niet of zijn niet volledig. Beleid schrijven is leuk maar leidt dus altijd tot nog meer werk, merk ik zo.
Onderhoudbaarheid
Dit beleid wordt jaarlijks onderhouden met de volgende cyclus.
- Oktober: Peiling stand van zaken realisatie.
- December: Evaluatie met stakeholders.
- Februari: Concept nieuwe versie bepalen.
- April: Vaststelling nieuwe versie.