24 mei 2018
Als het gaat om financiën, is het aanleggen van een audit trail bij kwaliteitscontroles en interne controle vanzelfsprekend. Maar bij vraagstukken vanuit privacy en informatieveiligheid is dit minder vanzelfsprekend. Waarom is dat zo en kan dit ook beter?
Privacy aantoonbaar geregeld?
Als gemeente wilt u de privacy voor uw burgers goed regelen. De nieuwe privacywetgeving geeft een extra impuls, maar ook vanuit bijvoorbeeld de BIG, DigiD, BRP en Suwi werkte u er al hard aan om te voldoen aan de vele normen rond de privacy en informatieveiligheid. In veel organisaties worden deze zaken vervolgens handmatig vastgelegd, bijvoorbeeld in Excel of een documentbeheersysteem. Bij interne controlewerkzaamheden over financiële verantwoording is het vanzelfsprekend dat u als gemeente een controlespoor vastlegt. Hiermee kunt u intern en aan de accountant aantonen op welke grond u voldoet aan de vastgestelde norm. Dit volgens het principe ‘show me, don’t tell me’. Zo’n controlespoor wordt ook wel een audit trail genoemd. Ook bij privacy en informatieveiligheid is een audit trail van groot belang.
Wat is een audit trail?
Een audit trail is het controlespoor dat je aanlegt bij controlewerkzaamheden; van de verklaring dat je voldoet aan de gestelde norm tot het brondocument waarop je deze conclusie (mede) baseert. Als een controleur van een gemeente bijvoorbeeld wil onderbouwen dat een besluit rechtmatig is genomen, kan dat door een kopie van de beschikking of rapportage toe te voegen. Uit dit document blijkt dat het besluit gegrond is en een correcte beschikking verstuurd is. Zonder een audit trail zou een toezichthouder, zoals de accountant, slechts weten dát er controlewerk uitgevoerd is en wat de bevindingen zijn, maar kan de deugdelijkheid van de controle zelf niet getoetst worden. Door een audit trail te eisen, vergroot u de transparantie en zekerheid in het proces.
Aandachtspunten bij een goed audit trail als het gaat om privacy en informatieveiligheid
De kern van een audit trail is dat documenten samen het controlespoor vormen. Bij elke verantwoording verklaart u te voldoen aan de vastgestelde normen en onderbouwt u uw conclusie met brondocumenten. Deze documenten kunnen zich op elke plek bevinden: op een gedeelde harde schijf, in een zaaksysteem of binnen een procesapplicatie. Het spreekt echter voor zich dat de kwetsbaarheid per gekozen variant verschilt. Een map waar iedere medewerker toegang toe heeft en waar niet aan versiebeheer gedaan wordt, is kwetsbaarder dan een opslaglocatie in een zaaksysteem waarin dat document niet meer gemuteerd kan worden. Uw audit trail-oplossing onder de loep nemen is dus absoluut een aandachtspunt. Neem maatregelen en zet vervolgacties uit als u constateert dat uw audit trail ondermaats ingericht is. Controleer dit periodiek omdat privacy en informatieveiligheid een proces is dat continu aandacht vraagt.
Voordelen van een goede audit trail
In het algemeen geldt; hoe dichter de bewijslast bij de norm ligt, hoe beter. Dat is mede om deze redenen:
- Het is veel duidelijker welke bewijslast bij welke norm hoort (het vermindert foutgevoeligheid);
- Het wordt veel moeilijker om de bewijslast na de controledatum nog te kunnen wijzigen. Het gaat dan om zowel opzettelijke (fraudegevoeligheid) als onbedoelde wijzigingen (versiebeheer);
- Voor een toezichthouder is het makkelijk om de bewijslast van bepaalde normen te zien en te reproduceren;
- Als controleur, CISO of FG kun je altijd aantonen op basis van welke informatie of versie jij je conclusie getrokken hebt; zo bescherm je ook de integriteit van je eigen conclusies.
Vanzelfsprekend; maar niet voor privacy en informatieveiligheid!
De diverse Informatie Security Management Systemen (ISMS) gaan verschillend om met audit trails. Als er een beveiligingsincident of een datalek heeft plaatsgevonden, moet u meestal aantonen welke acties u ondernomen hebt die dit hadden moeten voorkomen. En u moet aantonen in hoeverre u ‘in control’ bent. Op die wijze zal de Autoriteit Persoonsgegevens (AP) onderzoek verrichten. Met de focus op de implementatie van de AVG en het creëren van een privacybewuste organisatie, is men minder bezig met de vastlegging van de bewijslast en meer met het realiseren van de implementatie.
Het is echter niet houdbaar om bewijslast in het controlespoor te hebben die na de controledatum nog te muteren is of waarvan de link niet meer goed functioneert na een locatiewijziging. Vergelijkbaar aan de good practice in de (financiële) rechtmatigheidsverantwoording, is voor privacy en informatieveiligheid een audit trail nodig die keihard gekoppeld is aan de verklaring dat u voldoet aan de privacynorm zoals die is geformuleerd. Voeg bijvoorbeeld bij ‘beveiligingsbeleid’ (de maatregel) de bewijzen toe dát en wanneer het besproken is in het college (de norm).
Het antwoord van Stimulansz; een audit trail waar geen speld tussen te krijgen is
Door het kwaliteitcontrolesysteem KiC heeft Stimulansz ervaring met audit trails en snappen we het belang ervan in het kader van gemeentelijke verantwoording. Daarom is het een belangrijk onderdeel geworden van onze ISMS-oplossing. Hierin is het mogelijk om per norm bewijslast toe te voegen, is deze bewijslast voorzien van een stempel met controledatum, en is de bewijslast niet meer te muteren na de controledatum. Verder zijn er in de documentenbeheermodule overzichten te genereren voor specifieke normen die u zelf interessant vindt; bijvoorbeeld als de gemeenteraad, het college of de AP bij een incident wil weten welke preventieve maatregelen concreet genomen zijn om dergelijke incidenten te voorkomen.
Wilt u meer weten over KiC Privacy en KiC Informatieveiligheid? Neem voor vragen contact op met Maarten Simons.
