Register opslag externe data.
Dit project vond plaats bij een Nederlands Netwerkbedrijf met ca 2.3mio klanten. Om haar taken goed uit te kunnen voeren heeft het netwerkbedrijf de beschikking over persoonlijke informatie gerelateerd aan de 2.3 mio klanten van het bedrijf en deelt deze in een geïntegreerde systeem omgeving met diverse marktpartijen. De verantwoordelijkheid voor de juistheid, volledigheid en veiligheid van deze informatie ligt bij het netwerkbedrijf.
Taak
De opdracht was om inzichtelijk te maken welke persoonsinformatie met welke partijen werd uitgewisseld, de veiligheidseisen van deze informatie inzichtelijk te maken en een proces van controle in te richten op de compliance aan de security maatregelen vast te stellen en periodiek te toetsen.
Actie
Op basis van de architectuurplaat van de organisatie hebben we de data geclassificeerd Vervolgens zijn de bijbehorende security maatregelen vastgesteld en is getoetst of het huidige beheer conform de vastgestelde eisen plaatsvindt. Tevens zijn er met verwerkers van de data afspraken gemaakt over de toetsing van de genomen maatregelen (SAS70 verklaring).
Resultaat
Het resultaat van dit project is dat er een overzicht beschikbaar is waarin de compliance van externe gebruikers tav de data beveiligingseisen wordt vastgelegd. Tevens wordt hiermee het proces van controle en opvolging van de status ondersteund.
Reflectie
De gekozen pragmatische benadering heeft geholpen om een start te maken met deze complexe materie. Door stap voor stap inzicht te creëren in de data en de gebruikers hebben we theoretische discussies kunnen voeden met voorbeelden waardoor besluitvorming snel en efficiënt kon plaatsvinden.