| Datum | |
|---|---|
| Tijd | |
| Thema | |
| Location |
|
| Role | |
| Description | |
| More info |
- Artikel
Een gedistribueerde data-architectuur is vooral een kwestie van (anders) organiseren
- Data
Neem contact op
Insight
Wat is Data Governance?
Op weg naar succes dankzij een sterk databeleid
Insight
Wat is Data Governance?
Op weg naar succes dankzij een sterk databeleid
Wat is data governance?
In veel organisaties wordt data steeds meer beschouwd als een waardevol bezit. Data vervult niet alleen op operationeel vlak, maar ook op tactisch en strategisch vlak een steeds belangrijkere rol bij het nemen van de juiste beslissingen. Zoals met alle waardevolle bezittingen, moet je ook met data zorgvuldig omgaan. Daarom voeren meer en meer organisaties een databeleid in, waarin staat beschreven hoe het bedrijf met data wil omgaan. Dit wordt ook wel data governance genoemd.
Data governance en -management
In deze Insight nemen we je in vogelvlucht mee door het onderwerp ‘data governance’ en geven we een aantal praktische ervaringen en tips mee. Dit doen we via een veel gebruikt raamwerk voor datamanagement, genaamd Data Management Body of Knowledge (DMBoK). Waar data governancevooral beschrijft wat er allemaal gedaan moet worden om op een juiste manier met data om te gaan, maakt datamanagement concreet wat er allemaal nodig is om dit beleid vorm te geven. Wij hopen dat je met het lezen van deze Insight meer inzicht krijgt in data governance en datamanagement en in het belang hiervan voor uw organisatie.
Data governance proces & rollen
Voor een succesvolle data governance-implementatie moeten er meerdere rollen binnen een organisatie worden onderkend. In de literatuur is een grote verscheidenheid hierover te vinden die onder andere veel in naamgeving verschillen. Info Support heeft in de praktijk geleerd dat het vooral van belang is dat er over de gehele as in de organisatie –van operationeel tot aan strategisch niveau, zowel bottom-up als top-down –rollen worden gedefinieerd en actief worden ingevuld. Hiermee wordt gelijk het benodigde draagvlak binnen de organisatie gecreëerd.
Strategisch
Om data governance succesvol te maken, moet het belang van data governance op strategisch niveauworden erkend. Met andere woorden, binnen de organisatie moet er dus iemand verantwoordelijk zijn voor de uitvoering van het beleid.
Tactisch
Op tactisch niveau is er een eindverantwoordelijke voor een of meerdere datadomeinen (een data owner). Deze data owner moet idealiterzo dicht mogelijk bij het betreffende domein betrokken zijn.Toch zien we nog te vaak dat de financieel manager de data owner is van alle data in het financieel domein.Dit terwijl de financieel manager verder van de data staat dan andere mensen.
Operationeel
Op operationeel niveau zien we de rol van data steward. Deze beheert en monitort dagelijks de kwaliteit van de data en zorgt ervoor dat eventuele problemen worden geadresseerd.
Nederlandse wegennet
Deze niveaus zien we ook terug in het beleid rondom het Nederlandse wegennet. De regering (strategisch niveau) bepaalt bijvoorbeeld dat de CO2-uitstoot verlaagd moet worden. Het Ministerie van Infrastructuur en Waterstaat (tactisch niveau) stelt daarom de regel op dat auto’s overdag nog maar 100 km/u mogen rijden op de snelwegen. Vervolgens regelt Rijkswaterstaat (operationeel niveau) dat de borden op de snelwegen worden veranderd.
Een goed begin…
De juiste rollen over de gehele as van de organisatie bepalen is natuurlijk een goede start. Het is echter minstens net zo belangrijk voor het succes van data governance in de organisatie dat deze rollen hun werk ook daadwerkelijk uitvoeren volgens vastgestelde processen. Dankzij deze processen kan er namelijk op een gestructureerde manier worden gewerkt met de data binnen de organisatie.
Ook wanneer er incidenten plaatsvinden. Stel je bijvoorbeeld eens voor dat er een serieus probleem rondom datakwaliteit is gevonden.
Het is dan van cruciaal belang om dit snel maar op een adequate en veilige manier op te lossen. In een situatie waar de druk hoog is, zorgt het werken volgens de processen ervoor dat de situatie niet escaleert.
Nederlandse wegennet
Bij het wegennet werkt het precies zo. Bij een pechgeval op de snelweg wordt bijvoorbeeld eerst de rijbaan via matrixborden afgesloten. Vervolgens zet de weginspecteur zijn auto en pylonen op de weg. Op deze manier kan er uiteindelijk op een veilige manier hulp worden geboden.
Relevante thema’s
Naast de processen en rollen zijn er ook een aantal thema’s die essentieel zijn binnen data governance, die direct of indirect in het DAMA Wheel uit DMBoK staan vermeld. Binnen Info Support vinden wij hiervan datakwaliteit, datacatalogus, dataprivacy, databeveiliging en metadata het belangrijkst en daarom gaan wij in deze brochure hier dieper op in. De andere thema’s uit het DAMA Wheel kunnen overigens ook zeker van waarde zijn, dus we raden u aan om ook hier aandacht aan te besteden.
Datakwaliteit
Datakwaliteit gaat over de accuraatheid, compleetheid en consistentie van data. Dit is uiterst belangrijkvoor een organisatie, omdat medewerkerszich door de data laten informeren en op basis daarvan keuzes maken. Als de datakwaliteit niet op orde is, dan kunnen er verkeerde inzichten worden opgedaan en daardoor verkeerde keuzes worden gemaakt.
Praktijk
In de praktijk zien we dat er tijdens de ontwikkeling veel aandacht is voor datakwaliteit, maar dat deze vervolgens niet meer wordt gemonitord. Dit kan later problemen opleveren, omdat data altijd in beweging is en altijd kan veranderen. Zorg er daarom voor dat er een proces is om regelmatig de datakwaliteit te monitoren.
Rollen
Om ervoor te zorgen dat de datakwaliteit goed blijft, moeten er regels worden opgesteld en moeten deze regels worden gehandhaafd. Hier spelen data stewards een belangrijke rol. Zij controleren immers de datakwaliteit tijdens hun dagelijkse werkzaamheden.
Nederlandse wegennet
Het belang van datakwaliteit is ook zichtbaar in het Nederlandse wegennet. Als de borden of de wegbelijning ontbreken of onjuist zijn, dan kunnen er gevaarlijke situaties ontstaan. Denk hierbij aan een missend voorrangsbord op een onoverzichtelijk kruispunt of aan de komst van zelfrijdende auto’s en hoe deze omgaan met het ontbreken van de juiste informatie.
Datacatalogus
Een datacatalogus maakt het vinden van data eenvoudiger en bevordert de kans op goed gebruik. Door de data in de catalogus te voorzien van beschrijvingen (metadata) kan deze ook beter begrepen worden wat het vertrouwen en gebruik ten goede komt. Zoals de navigatie een weggebruiker helpt om eenvoudig een gewenste locatie te vinden, maakt een datacatalogus het eenvoudig om de data binnen je organisatie te vinden. Gebruikers kunnen zo de informatie gemakkelijker vinden en krijgen informatie over bijvoorbeeld de data, de kwaliteit en use cases.
Praktijk
In de praktijk zien we gelukkig steeds vaker de inzet van een datacatalogus en de waarde die deze met zich meebrengt. Let hierbij wel op dat de informatie die in de datacatalogus is opgenomen actueel en van goede kwaliteit is. Onze ervaring leert dat je dit het beste kunt doen door deze mee te nemen in de processen, rollen en verantwoordelijkheden van bijvoorbeeld de data steward en data owners.
Nederlandse wegennet
Het belang van een datacatalogus is ook zichtbaar in het Nederlandse wegennet. Een voorbeeld hiervan zijn de navigatie/wegenkaarten. Zonder navigatie/wegenkaarten kunnen weggebruikers nog steeds op hun bestemming aankomen, maar dit gaat dan waarschijnlijk een stuk minder efficiënt.
Dataprivacy
Dataprivacy gaat over de correcte verwerking van vertrouwelijke gegevens. Het gaat hierbij vooral om persoonsgegevens, maar ook om financiële gegevens en gegevens over intellectueel eigendom. Hiervoor gelden vaak wettelijke eisen, in Europa vastgelegd in de Algemene verordening gegevensbescherming (AVG).
Cruciaal binnen data governance
Dataprivacy is een belangrijk onderdeel van data governance, al staat deze term niet in het DMBoK-wiel. Toch voelt bijna iedereen wel aan dat dataprivacy alles te maken heeft met data governance. Er is immers van alles in de relevante wet-en regelgeving (zoals de AVG) vastgelegd over het bewaren van privacygevoelige informatie. Maar waarom staat dataprivacy dan niet in het DMBoK-wiel? Dataprivacy is dan geen expliciet onderdeel van het DMBoK-wiel, maar is wel degelijk verwerkt in de kennisgebieden Data Quality Management en Data Development. DAMA, de organisatie achter DMBoK, beschrijft voor deze kennisgebieden een aantal guidingprinciples,die rechtstreeks betrekking hebben op dataprivacy. Een voorbeeld hiervan is: “Personal data shouldnotbekeptfor longerthannecessaryfor the specifiedpurpose or purposes.” Dit is een principe dat we kennen uit de AVG: doelbinding en bewaartermijnen. Naar personen herleidbare gegevens mogen alleen bewaard worden wanneer daar een noodzaak voor is. En sowieso niet langer dan noodzakelijk.
Op grond van de Wet politiegegevens mag de politie dit onder voorwaarden doen om de dagelijkse politietaak uit te voeren. Met andere woorden, er is een noodzaak, ofwel een doelbinding. De politie moet daarbij echter wel rekening houden met de privacy van automobilisten. Agenten moeten gescande kentekens die niet leiden tot een hit dus direct vernietigen en mogen deze niet bewaren voor eventuele toekomstige onderzoeken.
Ook al lijkt dataprivacy dus geen onderdeel te zijn van data governance, het is het wel degelijk. Ook in uw bedrijf moet als onderdeel van een data governance-initiatief regelgeving worden opgesteld om te bepalen hoe er met de privacy van persoonsgegevens wordt omgegaan. De definities, principes en best practices in DMBoK helpen bij het komen tot deze regelgeving. Dataprivacy vormt hierbij niet een apart kennisgebied, maar valt dus onder Data Quality Management en/of Data Development. Hoe dan ook, dataprivacy is een uiterst belangrijk onderdeel van ieder data governance-initiatief.
Nederlandse wegennet
Een mooi voorbeeld van het genoemde principe is het mogen bewaren van kentekens door de politie. Zo’n kenteken is een gegeven dat herleidbaar is naar een persoon en de politie mag deze op automatische wijze vergelijken met kentekens in politiebestanden. Op deze manier kan de politie verdachten signaleren, bijvoorbeeld voortvluchtige personen.
Privacy by design
Info Support neemt dataprivacy vanaf het begin van de ontwikkeling van een oplossing serieus. Dit doen we onder andere door een BIV-classificatie (beschikbaarheid, integriteit en vertrouwelijkheid) te bepalen en door dataprivacy impact assessments (DPIA’s) uit te voeren. Dit zijn instrumenten om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Privacy officer
Binnen een organisatie is de directie verantwoordelijk voor het correct omgaan met vertrouwelijke gegevens. Vaak laat deze zich ondersteunen en adviseren door een privacy officer (PO). Voor sommige organisaties is het aanstellen van een data protection officer (DPO) of in het Nederlands de functionaris gegegevensbescherming (FG) zelfs verplicht. De PO en DPO/FG zijn dezelfde rollen, met het verschil dat de invulling van de DPO-rol wettelijk is vastgelegd. Omdat privacy zo belangrijk is, moet ieder bedrijf de rol van DPO dus hebben belegd. BIV-classificaties en DPIA’s doen we bij Info Support dan ook altijd in nauwe samenwerking met de DPO.
Databeveiliging
Databeveiliging heeft betrekking op het beschermen van digitale informatie tegen ongeautoriseerde toegang, manipulatie of diefstal gedurende de gehele levenscyclus.
Veiligheid van data
Net als op de weg moet de toegang tot data goed geregeld en auditeerbaar zijn en moet oneigenlijk gebruik ervan worden voorkomen. Met andere woorden, er moeten security safeguards worden ingebouwd, zodat oneigenlijke toegang en het gebruik van data door bijvoorbeeld hackers direct wordt gedetecteerd. Daarnaast moeten datalekken zo snel mogelijk kunnen worden opgemerkt.
Nederlandse wegennet
Op de weg is bescherming van de weggebruikers welbekend en heel goed geregeld. We hebben er zelfs een instantie voor: Veilig Verkeer Nederland. Voordat je de weg op mag, moet je een rijbewijs halen, zodat er alleen geautoriseerde gebruikers op de weg zijn. Daarnaast is op snelwegen oneigenlijk gebruik van de weg door bijvoorbeeld voetgangers of fietsers niet toegestaan en hebben we een scala aan voorzorgsmaatregelen, zoals hoogtemeters bij tunnels, om ongelukken te voorkomen. Alle maatregelen die je neemt om de beveiliging van data te garanderen, moeten passend zijn. Een BIV-classificatie dient hierbij als basis, want deze laat zien welke data assets beveiligd moeten worden en in welke mate.
Bescherming tegen alle datalekken
Databeveiliging is belangrijk om de informatie van een organisatie te beschermen tegen cybercrimineleactiviteiten. Daarnaast biedt databeveiliging bescherming tegen
bedreigingen van binnenuit en menselijke fouten. Deze vormen vandaag de dag nog steeds een van de belangrijkste oorzaken van datalekken en kunnen worden voorkomen met een goed ingerichte gegevensbescherming.
Apache Log4j
Datalekken worden steeds groter. En ze hoeven niet altijd uit eigen systemen te komen. Een ernstige kwetsbaarheid binnen Apache Log4j zorgde onlangs nog voor veel tumult, omdat de meeste bedrijven deze software wel ergens gebruiken.
Verantwoordelijkheid binnen de organisatie
Gegevensbescherming is de verantwoordelijkheid van de Chief Information Security Officer (CISO). In grote organisaties, wordt deze ondersteund door de Information Security Officer (ISO), die wat meer ‘midden in de organisatie’ staat. Deze rol wordt ook vaak kortweg Security Officer genoemd. De operationele bewaking van de gegevensbescherming gebeurt veelal vanuit het SOC, wat weer onder de verantwoordelijkheid van de (C)ISO valt.
Info Support en beveiliging
Net als bij privacy, neemt Info Support ook beveiliging vanaf het begin serieus (security by default). Elke oplossing wordt zo ontworpen dat deze uiterst veilig is. Ons eigen Security Operations Center (SOC) waakt vervolgens over de oplossingen die we zelf gebruiken én de oplossingen die we voor onze klanten beheren. Zij waren dan ook een van de eersten die al onze ontwikkelaars, architecten en beheerders waarschuwden voor het lek binnen Apache Log4j.
Metadata
Metadata is data die iets zegt over andere data. Denk hierbij aan een datacatalogus, waarin definities,beschrijvingen en de locaties van data worden vastgelegd. Organisaties kunnen metadata gebruiken om hun data, systemen en werkstromen beter te begrijpen.
Praktijk
In de praktijk zien we dat er steeds meer metadata wordt vastgelegd en dat hier beleid voor ontbreekt. Aangezien het beleid ontbreekt, kan er een wildgroei ontstaan aan de grote hoeveelheden metadata, waardoor deze niet meer op een makkelijke manier gebruikt kan worden. Daarnaast kan er privacygevoelige data in de metadata zitten en het kost dan veel tijd om deze data te verwijderen.
Rollen
Om ervoor te zorgen dat er geen problemen ontstaan bij het vastleggen van de metadata, moet er dus beleid worden bepaald. Hierbij speelt een data ownereen belangrijke rol. Deze persoon is namelijk verantwoordelijk voor een datadomein en kan relevante regels opstellen.
Nederlandse wegennet
Een voorbeeld van metadata kan ook worden teruggevonden in het Nederlandse wegennet. Denk hierbij aan de verschillende eigenschappen van een weg, zoals het soort asfalt, de leeftijd van het asfalt, de maximumsnelheid van de weg en of de weg een eenrichtingsweg is.
Vervolgstappen voor data governance
Data is een steeds belangrijker onderdeel van nagenoeg iedere organisatie. Zo hebben gegevens een grote toegevoegde waarde als ze op een juiste manier worden toegepast en bij sommige bedrijven staat data zelfs op de grootboekrekening. Net zoals er personeelsbeleid, financieel beleid en inkoopbeleidis, moet er dus ook beleid zijn over hoe je met data omgaat: data governance. Bij de inrichting van data governance komt heel wat kijken. Organisatorisch, maar ook op technisch gebied. En daarbij bieden wij u graag een helpende hand.
Op weg naar succes
Als je wilt groeien in data-driven volwassenheid, dan is het essentieel om eerst te peilen waar je nu staat. Met onze online Data-driven Maturity Scan
bepaal je aan de hand van tien dimensies wat je huidige volwassenheid is. De scan geeft je richtlijnen hoe te verbeteren en laat zien welke dimensies je als eerste aan moet pakken. Ook kun je jezelf vergelijken met andere data-driven organisaties.
Data governance boekje
Wilt u meer weten over Data Governance? Download dan ons boekje met meer verdieping op ieder onderdeel.