1. Aanleiding
Het benoemen van taken, bevoegdheden en verantwoordelijkheden van een rol, als onderdeel van een functionele structuur van een organisatie-onderdeel met afdelingen, is een voorwaarde voor adequaat organiseren van bedrijfsactiviteiten met bedrijfsprocessen. Het management van een afdeling koppelt – of beter gezegd delegeert aan – een interne of externe medewerker rollen. De medewerker krijgt bij een bepaalde rol een taak met passende bevoegdheden om de taak uit te voeren. Periodiek zal de medewerker zich voor het uitvoeren van de taak aan het management verantwoorden.
De Functionality Board (FB) heeft in de User story 001 het LEM en het organiseren van bedrijfsactiviteiten en -processen geïntroduceerd. Rollen met taken, bevoegdheden en verantwoordelijkheden verbinden het organiseren van bedrijfsactiviteiten met de functionele organisatie.
In deze blog beschrijven wij het idee achter het toepassen van rollen in het SBC Managementsysteem (SBCM) en waarom het voor de bedrijfsvoering en het organiseren van compliance met wettelijke en contractuele verplichtingen essentieel is.
2. Rol
De functionele organisatiestructuur van een bedrijf bestaat uit een organisatie-eenheid met afdelingen en elke afdeling bestaat uit rollen. Een rol bestaat uit taken, passende bevoegdheden (toegang tot bedrijfsgegevens en toepassingen) en verantwoordingen aan het management van een medewerker voor het vervullen van taken. Uitgaande van de bedrijfsactiviteiten organiseert de bedrijfsleiding de bedrijfsprocessen effectief door het uitwerken van de functionele organisatie in afdelingen en rollen.
IT-systemen ondersteunen bedrijfsprocessen waarmee bedrijfsactiviteiten georganiseerd kunnen worden. De IT-leverancier programmeert rollen met bevoegdheden in de systemen met als doel de beveiliging in de bedrijfsprocessen te organiseren. Deze rollen sluiten niet altijd aan op de functionele organisatie van het bedrijf. Als een bedrijf voor het ondersteunen van haar bedrijfsprocessen meerdere IT-systemen gebruikt is de kans beperkt dat de (alle) rollen uit IT-systemen aansluiten bij de gewenste functionele organisatie.
Wij kunnen zeggen dat het kennen van de functionele organisatie noodzakelijk is voor het maken van de juiste keuzen van IT-systemen. Een foute keuze leidt veelal tot een zwakke interne controle en hoge beheerskosten.
3. Bedrijfsactiviteiten organiseren
Wat verstaat het woordenboek onder bedrijfsactiviteit? Een overzicht van definities:
- één van de vele activiteiten in het functioneren van het bedrijf;
Voorbeeld: Het woonwerkverkeer van werknemers wordt nog steeds niet als een bedrijfsactiviteit gezien.
- de mate waarin een bedrijf actief is;
- het product- of dienstenaanbod van de onderneming; en
Voorbeeld: Voor deze nieuwe bedrijfsactiviteit van de onderneming is een speciale introductiestrategie ontwikkeld.
- een bepaalde klasse van activiteiten van de onderneming.
Wij kunnen zeggen dat bedrijven en instellingen (bedrijven) hun doelen realiseren met het voeren bedrijfsactiviteiten. Elke bedrijfsactiviteit en sub-activiteit draagt bij aan het realiseren van de bedrijfsdoelen. De doelen bepaalt de bedrijfsleiding, bijvoorbeeld het borgen van de bedrijfscontinuïteit, en voldoen relevante wettelijke en contractuele verplichtingen, bijvoorbeeld voldoen aan de verantwoordingsverplichting beschermen van persoonsgegevens.
Een bedrijf organiseert haar bedrijfsactiviteiten met behulp van bedrijfsprocessen waarin interne controlemaatregelen zijn opgenomen. Deze controlemaatregelen liggen in het verlengde van de bedrijfsdoelstellingen. Bedrijfsprocessen worden ondersteund door IT-systemen en aangestuurd door het management en de medewerkers die rollen vervullen. Een taak van een rol draagt bij aan het realiseren van de bedrijfsdoelen of als de taak onsuccesvol wordt uitgevoerd kan dit een bedreiging vormen voor het halen van de bedrijfsdoelen of zelfs de bedrijfscontinuïteit in het geding brengen.
Wij maken in User Story 001 de samenhang tussen de functionele structuur (afdelingen en rollen) en het organiseren van bedrijfsactiviteiten over- en inzichtelijk.
4. Verwachtingen voor 2023
Een bedrijfsmodel waarin functionele structuren en structuren voor bedrijfsactiviteiten en -processen zijn opgenomen dient de bedrijfsdoelstellingen. Het implementeren en beheren van deze modellen vraagt om het ontsluiten van bedrijfsgegevens van (authentieke) bronnen zoals de Kamers van Koophandel en IT-systemen. Zie “Voor het goed organiseren van de bedrijfsactiviteiten heeft u LEF nodig”. Na het realiseren van User Story 001 ondersteunt SBCM het bedrijfsmodel.
Het bedrijfsmodel biedt een stevig fundament voor het organiseren van compliance met wettelijke en contractuele verplichtingen, in het bijzonder het beschermen van persoonsgegevens.
In het SBCM kan een bedrijf al haar IT-systemen opnemen en koppelen aan de bedrijfsprocessen die door deze IT-middelen worden ondersteund (deze bedrijfsprocessen hoeven noodzakelijkerwijs niet de bedrijfsactiviteiten (adequaat) te ondersteunen. Dit geldt overigens ook voor de rollen die een IT-systeem ondersteunt. Met behulp van het SBCM kan een bedrijf haar bedrijfsactiviteiten effectiever organiseren.
Het SBCM is een waardevol gereedschap het beschermen van persoonsgegevens effectief te organiseren.
De Functionality Board (FB) bouwt het SBCM verder uit in de richting van het beschermen van bedrijfs- en persoonsgegevens met behulp van beheersmaatregelen, “privacy control by design” en “compliance by default”. Dit uitgangspunt uit de privacywetgeving ligt in het verlengde van de bedrijfsdoelstellingen en krijgt daarmee ook betekenis voor het effectief organiseren van andere bedrijfsactiviteiten.
5. Toegevoegde waarde voor gebruikers
Het SBCM ondersteunt effectief het organiseren van de privacy-organisatie. Het toevoegen van de functionaliteiten uit User Story 001 vergroot de toegevoegde waarde. Een overzicht:
- Wegnemen van operationele ongemakkelijkheden door betere naamgeving aan een paar gegevenselementen en vergroten van de invoervelden;
- Het managen en kennen van de functionele organisatie (afdelingen en rollen) en het managen en inzichtelijk hebben van de bedrijfsactiviteiten en -processen waarin rollen zijn opgenomen is noodzakelijk voor:
- Het optimaliseren van de organisatie van bedrijfsactiviteiten;
- Het benoemen van te delegeren taken, passende bevoegdheden en beoogde verantwoordingen over uitgevoerde taken. Deze uitwerking vormt de basis voor het autorisatiemanagement; en
- Het kiezen of ontwikkelen van passende IT-systemen die de bedrijfsprocessen adequaat ondersteunen.
Een passende samenhang tussen de functionele organisatie en georganiseerde bedrijfsactiviteiten zorgt voor een beheersbare kosten- en aansprakelijkheidsrisico’s, lagere operationele kosten en effectieve ondersteuning van de bedrijfsactiviteiten.
- De toegevoegde waarde voor het beschermen van persoonsgegevens neemt toe en breidt ook uit naar het beschermen van bedrijfsgegevens, in het bijzonder bedrijfsgeheimen.
De aard en omvang van de bedrijfsactiviteiten bepalen de omvang van toegevoegde waarden.
6. Ten slotte
De FB heeft geluisterd naar de gebruikers van het SBCM en de User Story 001 samengesteld. Het realiseren van de functionele en non-functionele eisen vraagt van SBR Powerhouse een inspanning. In een aantal sprints komt de beoogde functionaliteit beschikbaar voor de gebruikers van SBCM. Steeds zorgt de servicedesk voor het aanpassen van de kennisbank. Na de zomervakantie van 2023 start de FB met het inventariseren van functionaliteiten voor User Story 002.
Met behulp van het SBCM organiseert een bedrijf haar privacy-verplichtingen effectief. Wilt u weten wat voor uw specifieke situatie de toegevoegde waarde is? Neem gerust contact met ons op of vraag een demo aan.