Skip to main content

Projectmanagement voor informatiebeveiligings- en privacyprojecten


Bij veel informatiebeveiligings- en privacyprojecten zie ik dat het in de praktijk soms ontbreekt aan projectmanagementcapaciteiten. En natuurlijk, een privacy of security officer is ook geen projectleider. Maar desondanks krijgen ze wel vaak projectmatig werk op hun bordje. Het is daarom van belang om over een bepaalde set (basis)projectmanagementvaardigheden te beschikken. In deze blog laat ik je zien hoe je projectmatig te werk kunt gaan.

Wat is eigenlijk een project?

Voordat ik verder inga op het ontwikkelen van projectmanagementvaardigheden en hoe je dit in de praktijk toepast, is het belangrijk om te definiëren wat een project precies is?

‘Een project is een tijdelijke manier van samenwerken, gericht op het opleveren van een vooraf gedefinieerd resultaat met beperkte middelen en binnen beperkte tijd, dat bijdraagt aan het behalen van doelen en waarbij de belangrijkste werkzaamheden te inventariseren zijn.’


In de praktijk zie ik dat security en privacy officers vaak projectwerkzaamheden hebben in hun werk. Wil je dit goed uitvoeren, dan moet je toch over enkele projectmanagementvaardigheden beschikken. Het is daarom van belang dat je enkele van deze vaardigheden ontwikkelt en toepast in je werk. Je hoeft natuurlijk niet meteen een hele projectorganisatie op te tuigen. Ook in een kleine pragmatische vorm kun je de basisprincipes van projectmanagement toepassen in je werk om de voortgang en het resultaat te kunnen blijven bewaken (en uiteraard ook de kosten). Je voorkomt hiermee dat je aan het einde van het jaar tot de ontdekking komt dat je niet de voortgang hebt gemaakt die je voor ogen had en eigenlijk ook niet weet waardoor dit komt. Door projectmatig te werk gaan zorg je ervoor dat zaken wat minder vrijblijvend zijn. Niet alleen voor jezelf, maar ook voor anderen.

Een businesscase opstellen

Een succesvol project begint vaak met een goede businesscase. Dat betekent dat er voldoende overwegingen zijn waarmee de nut en noodzaak van het project is aangetoond, afgewogen tegen de kosten die voor het project gemaakt moeten worden, ofwel een kosten-baten analyse. Nu is dit in het geval van een informatiebeveiligings- of privacyproject niet altijd direct van toepassing. Want voldoen aan de wet Algemene Verordening Gegevensbescherming (AVG) of Baseline Informatiebeveiliging Overheid (BIO) zijn verplichtingen voor een gemeente. Toch kan het wel goed zijn om hiernaar te kijken. Er zijn namelijk meerdere wegen die naar Rome leiden. De pragmatische implementatie van deze verschillende ‘wegen’ kan enorm verschillen in kosten en doorlooptijd, je hoeft niet noodzakelijkerwijs te kiezen voor de duurste oplossing. Veel van de activiteiten om te voldoen aan de AVG of BIO kun je projectmatig oppakken, maar waar moet je beginnen? Voer daarom eerst een risicoanalyse uit en kijk wat écht nodig is binnen de volwassenheid van je eigen organisatie. Waar ligt de behoefte en waar liggen de meeste risico’s? Zorg dat het gekozen project hierop aansluit. Daarnaast kan een goede businesscase ook helpen bij het krijgen van commitment van het management. Het toont de nut en noodzaak van het project aan en kan helpen de juiste middelen hiervoor vrij te maken.

Projectcertificering?

Vaak wordt gedacht dat je voor het leiden van een project een PRINCE2 of andere projectcertificering nodig hebt. Maar dit is afhankelijk van de grote en complexiteit van het project. Gaat het om een project wat afdelingsoverstijgend en erg complex is? Dan is het inderdaad aan te raden hier een ervaren projectleider op te zetten (in plaats van een security of privacy officer die ook nog andere taken vervult). Maar in alle andere gevallen, dus bij de kleinere eenvoudige projecten, is het heel goed mogelijk dat je als security of privacy officer projectmatig te werk gaat. Maar hoe doe je dit? 

Projectmatig werken

Ik geef je hieronder graag een aantal basisaspecten van projectmanagement mee, waar je mee aan de slag kunt.

  1. Stel een projectgroep samen

De eerste stap is het samenstellen van een projectgroep. Al is het mogelijk dat in de praktijk hier niet de formele naam ‘projectgroep’ aan wordt gegeven. Een projectgroep bestaat uit diverse collega’s uit verschillende disciplines die betrokken zijn bij het realiseren van het resultaat. Inventariseer wie je nodig hebt om dit project tot een succes te maken en plan een kick-off meeting in met deze collega’s. Tijdens deze kick-off kunnen de projectleden kennis maken met elkaar en worden er afspraken gemaakt over wie wat doet. Kortom, welke inzet wordt er verwacht van eenieder? Zie het als verwachtingsmanagement zodat iedereen zijn rol in het traject beseft. Het (concept) plan van aanpak bespreken kan hier een goed startpunt zijn.

  1. Stel een stuurgroep samen

Een stuurgroep klinkt misschien wat zwaar voor informatiebeveiligings- en privacyprojecten, maar toch is het wel goed om ook bij kleinere projecten een of meerdere stakeholders te betrekken bij de voortgang van het project. Dit kan bijvoorbeeld een lijnmanager of directielid zijn. De stuurgroep heeft als belangrijkste taak het vervullen van een initiërende, signalerende en op doelstellingen bijsturende rol ten aanzien van het project. Door met regelmaat aan hen te rapporteren kunnen zij het projectresultaat, de projectdoelstelling en de projectrisico’s beoordelen en indien nodig bijsturen door het bijvoorbeeld de juiste prioriteit te geven.  

  1. Zorg voor een plan van aanpak

Vervolgens is ‘wat gaan we doen?’ een heel goede startvraag. Het antwoord zet je in een projectplan of een plan van aanpak. Hier staat in wat je in het project gaat doen, hoe je dit gaat doen, wanneer en met wie. Breng ook fasen/stappen aan in je projectplan, zodat je de voortgang goed kunt volgen. Bedenk deze vooraf, zodat de volgordelijkheid (en daarmee eventuele afhankelijkheid) duidelijk is. Je werkt dus in stappen. Let op dat een projectplan niet perse uit 20 pagina’s hoeft te bestaan. Zie het als communicatiemiddel om te communiceren wat er moet gebeuren, wat het te verwachten resultaat is en wie erbij betrokken zijn. Ik raad je wel aan hier al een aantal risico’s voor het project in te benoemen en de mogelijke maatregelen die hierop van toepassing zijn.

  1. Maak een planning 

Als je eenmaal weet wat er gedaan moet worden, dan kun je de uitvoering gaan plannen. Je werkt de fasering uit en stelt een activiteitenplanning op, zodat het inzichtelijk is wat wanneer af moet zijn. Dit is ook handig voor de projectleden die meewerken. Hierin wijs je namelijk activiteiten toe aan leden in je projectgroep en je plant ze in de tijd. Zo weet iedereen wanneer er iets van hen verwacht wordt. 

  1. Rapporteer over de voortgang

Rapporteer met regelmaat richting de opdrachtgever over de voortgang van je project. Dit doe je middels een voortgangsrapportage. Zie het als een communicatiemiddel over de status van je project. Het handige ervan is dat je met zo’n rapportage makkelijk en eenduidig belanghebbenden (stakeholders) kunt informeren. Voordelen hiervan zijn dat je hiermee ook periodiek beoordeeld kan worden waar bijsturing nodig is, of wellicht dat het management de prioritering weer helder zet binnen de organisatie. De voortgangsrapportage is periodiek, dit hoeft niet elke week te zijn, kies hiervoor een rapportageperiode die bij het project past. Vergeet hierbij ook niet de risico’s mee te nemen die van invloed zijn op het project. 

  1. Zorg voor goede en heldere communicatie

Communicatie is een belangrijk onderdeel van het project. Zowel richting de projectgroep als richting je stakeholders. Ga bijvoorbeeld in overleg met de projectgroep – dit kan als gehele groep, maar plan ook individuele gesprekken met de projectleden om de voortgang te bespreken. Ter aanvulling kan er in Teams of Trello een speciale omgeving worden gecreëerd welke de communicatie ondersteunt. Voor een geslaagde implementatie is het managen van stakeholders op strategisch niveau cruciaal. Hoe beter de stakeholders betrokken zijn, hoe groter de kans dat het project zal slagen. Het is daarom belangrijk om hen vooraf goed te informeren, zodat zij niet voor verrassingen komen te staan en vervolgens gedurende het project te blijven betrekken. Indien nodig kun je een communicatieadviseur aanhaken.

  1. Zorg voor projectborging

Je project is afgelopen als je het projectresultaat hebt bereikt. In de projectwereld zie je nog weleens dat de projectborging eigenlijk niet meer tot de projectfase behoort. Een misbegrip als je het mij vraagt. Juist voor de projectleider is het belangrijk om wanneer je project is afgelopen ervoor te zorgen dat het wordt overgedragen aan de organisatie zelf (bijvoorbeeld via de opdrachtgever). Dus het beste is om dit ook onderdeel te maken van je project zelf. Wanneer er bijvoorbeeld bepaalde procedures moeten worden geïmplementeerd, is het van belang dat de medewerkers en de leidinggevende deze procedures mede ontwikkelen en opnemen in de werkwijzen van de afdelingen. Hiermee voorkom je dat je procedures hebt opgesteld die verder niemand gaat gebruiken. Zorg je niet voor borging in de organisatie, dan loop je het risico dat er uiteindelijk niks met het resultaat wordt gedaan. Dit zou zonde zijn! Toch gebeurt het in de praktijk veel. Men is vaak al tevreden wanneer het projectresultaat is bereikt. Het tijdens het project borgen van het resultaat zorgt voor een hoge betrokkenheid met als doel dat de medewerkers en leidinggevenden een goede bijdrage leveren aan de borging en creëren van (mede)eigenaarschap van het projectresultaat.

Ik hoop je met deze blog meer inzicht te hebben gegeven in hoe jij als security of privacy officer de basisaspecten van projectmanagement kunt toepassen in je werk. Veel succes!

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan even weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.