Spring naar inhoud

Van wie is de data: de systeemeigenaar of de proceseigenaar

24 november 2018

Gegevenseigendom moet worden gedefinieerd om data integriteit te waarborgen. Maar wie is eigenaar van de gegevens? Is dat de eigenaar van het (software)systeem waarin de gegevens zijn opgeslagen, of is dat de proceseigenaar die verantwoordelijk is voor het creëren, verwerken, opslaan of vernietigen van de gegevens.

De proceseigenaar is verantwoordelijk voor het definiëren van de bedrijfsprocessen die door het systeem worden ondersteund. De proceseigenaar zal de details voor het beoogde gebruik van de systemen vaststellen. Dit vereist dat de proceseigenaar de gebruikersvereisten voor het systeem vaststelt en goedkeurt. Het is essentieel voor het succes van de systeemvalidatie dat de informatie die wordt verstrekt voor het vaststellen van de gebruikersvereisten nauwkeurig wordt gecommuniceerd door personen die het meest bekend zijn met de gegevensverwerking die door het systeem moet worden geautomatiseerd. In het geval van een complex systeem, kunnen er veel bedrijfssysteemperspectieven zijn die moeten worden overwogen en geharmoniseerd. Er moeten deskundige vertegenwoordigers van alle betrokken eindgebruikers worden ingeschakeld om een uitgebreide en nauwkeurige interpretatie van de vereiste systeemfuncties en gegevensverzamelingen te bieden. Regelgevingsvereisten die van invloed zijn op de bedrijfsvoering moeten ook worden meegewogen en gedurende de hele levensduur van het systeem worden gecontroleerd op naleving. De procedures en werkwijzen met betrekking tot het gebruik van het systeem moeten ook worden vastgesteld ter ondersteuning van vakkundig gebruik van het systeem. Training specifiek voor de operationele rol die personeel binnen het systeem zal vervullen, moet worden geïdentificeerd in procedures en geleverd aan eindgebruikers om ervoor te zorgen dat ze hun toegewezen verantwoordelijkheden adequaat kunnen uitvoeren. Rolspecifieke autorisatie voor systeemgebruik moet worden beperkt tot gekwalificeerd personeel met specifiek gedocumenteerde training. Gebruikersaccounts moeten uniek zijn voor individuele gebruikers en moeten periodiek worden beoordeeld gedurende de levensduur van het systeem om de toegangscontrole te behouden.

De systeemeigenaar moet ervoor zorgen dat het systeem gedurende zijn gehele levenscyclus de gegevensverwerking ondersteunt conform de wensen en eisen van de proceseigenaar. De systeemeigenaar is de persoon die verantwoordelijk is voor de beschikbaarheid, beveiliging, naleving, onderhoud, back-up en ondersteuning van het geautomatiseerde. Voorafgaand aan de implementatie van het systeem moet er een plan zijn voor het onderhoud en de ondersteuning van de productieomgeving van het systeem. Dit omvat de operationele procedures voor ondersteunend personeel. De systeemeigenaar is in eerste instantie verantwoordelijk voor het toezicht op de validatie van het computersysteem en is uiteindelijk gedurende de hele levensduur van het systeem verantwoordelijk voor het in een gevalideerde status houden van het systeem.

Validatiedocumentatie moet worden goedgekeurd en gecontroleerd. De systeemeigenaar moet ten minste het validatieplan, de gebruikersvereisten, systeemconformiteitsbeoordelingen, validatierapporten en de validatiesamenvatting formeel goedkeuren. De proceseigenaar is minimaal verantwoordelijk voor het goedkeuren van de gebruikersvereisten, de validatiesamenvatting en alle procedures en werkinstructies die het gebruik beschrijven. Periodiek moet de gegevensintegriteit opnieuw worden gevalideerd om te verifiëren dat kritieke gegevens niet zijn aangetast en dat de systeemaspecten die zijn ontworpen om de gegevensintegriteit te waarborgen, voldoende worden onderhouden. De verantwoordelijkheden voor deze periodieke validatie moeten worden gedefinieerd door de proceseigenaar.

Het bovenstaande geeft aan dat zowel de systeemeigenaar als de proceseigenaar hun eigen verantwoordelijkheid hebben om data integriteit te waarborgen. Er is dus geen eenvoudig antwoord op de vraag wie de gegevenseigenaar is: dit is afhankelijk van het systeem en het gebruik. In het geval van complexe systemen kan meer dan één proceseigenaar verantwoordelijk zijn voor de integriteit van gegevens die op het systeem zijn verwerkt. Daarnaast moet rekening worden gehouden met de dataflow. Gegevens worden van het ene naar het andere systeem getransformeerd ten behoeve van analyse, rapportage, archivering of back-up. Is de dataflow van een gegevensobject niet duidelijk, dan is de data integriteit niet te waarborgen. Daarnaast zijn er nog hybride systemen; systemen die zowel uit elektronische gegevensbestanden, als papieren gegevensformaten bestaan. Hybride systemen hebben hun specifieke aandachtspunten ten aanzien van data integriteit.

Toewijzing van de rol van systeemeigenaar is vaak afhankelijk van het gebruik van het softwaresysteem. In het geval van kleinschalige lokale systemen kan de eigendomsrol ook worden toegewezen aan de proceseigenaar. In het geval van complexe systemen of systemen die door meerdere gebruikersgroepen of vestigingen worden gebruikt wordt de eigendomsrol meestal toegewezen aan een aangewezen ICT persoon die dichter bij de bron van het systeem staat en in een betere positie verkeert om de prestaties van het systeem te beheersen. In deze gevallen worden deze rollen, systeemeigenaar en proceseigenaar, door afzonderlijke onafhankelijke personen vervuld. Deze rollen moeten worden gedefinieerd en onder andere beschreven in het validatieplan van het systeem.

Om de samenwerking tussen de proces- en systeemeigenaar te beheersen moeten de proceseigenaren een serviceovereenkomst aangaan met de systeemeigenaren om de verantwoordelijkheden met betrekking tot de data integriteit te beschrijven. Back-up / herstel- en bedrijfscontinuïteitsplannen moeten ook worden goedgekeurd om ervoor te zorgen dat het systeem, het bedrijfsproces en de gegevens ervan niet worden aangetast in het geval van een systeemstoring. Technische ondersteuning moet worden geleverd op een manier die systeemonregelmatigheden tijdig identificeert en oplost.

Advertenties
No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

%d bloggers liken dit: