Projectmanagement voor informatiebeveiligings- en privacyprojecten


Bij veel informatiebeveiligings- en privacyprojecten zie ik dat het in de praktijk soms ontbreekt aan projectmanagementcapaciteiten. En natuurlijk, een privacy of security officer is ook geen projectleider. Maar desondanks krijgen ze wel vaak projectmatig werk op hun bordje. Het is daarom van belang om over een bepaalde set (basis)projectmanagementvaardigheden te beschikken. In deze blog laat ik je zien hoe je projectmatig te werk kunt gaan.

Wat is eigenlijk een project?

Voordat ik verder inga op het ontwikkelen van projectmanagementvaardigheden en hoe je dit in de praktijk toepast, is het belangrijk om te definiëren wat een project precies is?

‘Een project is een tijdelijke manier van samenwerken, gericht op het opleveren van een vooraf gedefinieerd resultaat met beperkte middelen en binnen beperkte tijd, dat bijdraagt aan het behalen van doelen en waarbij de belangrijkste werkzaamheden te inventariseren zijn.’


In de praktijk zie ik dat security en privacy officers vaak projectwerkzaamheden hebben in hun werk. Wil je dit goed uitvoeren, dan moet je toch over enkele projectmanagementvaardigheden beschikken. Het is daarom van belang dat je enkele van deze vaardigheden ontwikkelt en toepast in je werk. Je hoeft natuurlijk niet meteen een hele projectorganisatie op te tuigen. Ook in een kleine pragmatische vorm kun je de basisprincipes van projectmanagement toepassen in je werk om de voortgang en het resultaat te kunnen blijven bewaken (en uiteraard ook de kosten). Je voorkomt hiermee dat je aan het einde van het jaar tot de ontdekking komt dat je niet de voortgang hebt gemaakt die je voor ogen had en eigenlijk ook niet weet waardoor dit komt. Door projectmatig te werk gaan zorg je ervoor dat zaken wat minder vrijblijvend zijn. Niet alleen voor jezelf, maar ook voor anderen.

Een businesscase opstellen

Een succesvol project begint vaak met een goede businesscase. Dat betekent dat er voldoende overwegingen zijn waarmee de nut en noodzaak van het project is aangetoond, afgewogen tegen de kosten die voor het project gemaakt moeten worden, ofwel een kosten-baten analyse. Nu is dit in het geval van een informatiebeveiligings- of privacyproject niet altijd direct van toepassing. Want voldoen aan de wet Algemene Verordening Gegevensbescherming (AVG) of Baseline Informatiebeveiliging Overheid (BIO) zijn verplichtingen voor een gemeente. Toch kan het wel goed zijn om hiernaar te kijken. Er zijn namelijk meerdere wegen die naar Rome leiden. De pragmatische implementatie van deze verschillende ‘wegen’ kan enorm verschillen in kosten en doorlooptijd, je hoeft niet noodzakelijkerwijs te kiezen voor de duurste oplossing. Veel van de activiteiten om te voldoen aan de AVG of BIO kun je projectmatig oppakken, maar waar moet je beginnen? Voer daarom eerst een risicoanalyse uit en kijk wat écht nodig is binnen de volwassenheid van je eigen organisatie. Waar ligt de behoefte en waar liggen de meeste risico’s? Zorg dat het gekozen project hierop aansluit. Daarnaast kan een goede businesscase ook helpen bij het krijgen van commitment van het management. Het toont de nut en noodzaak van het project aan en kan helpen de juiste middelen hiervoor vrij te maken.

Projectcertificering?

Vaak wordt gedacht dat je voor het leiden van een project een PRINCE2 of andere projectcertificering nodig hebt. Maar dit is afhankelijk van de grote en complexiteit van het project. Gaat het om een project wat afdelingsoverstijgend en erg complex is? Dan is het inderdaad aan te raden hier een ervaren projectleider op te zetten (in plaats van een security of privacy officer die ook nog andere taken vervult). Maar in alle andere gevallen, dus bij de kleinere eenvoudige projecten, is het heel goed mogelijk dat je als security of privacy officer projectmatig te werk gaat. Maar hoe doe je dit? 

Projectmatig werken

Ik geef je hieronder graag een aantal basisaspecten van projectmanagement mee, waar je mee aan de slag kunt.

  1. Stel een projectgroep samen

De eerste stap is het samenstellen van een projectgroep. Al is het mogelijk dat in de praktijk hier niet de formele naam ‘projectgroep’ aan wordt gegeven. Een projectgroep bestaat uit diverse collega’s uit verschillende disciplines die betrokken zijn bij het realiseren van het resultaat. Inventariseer wie je nodig hebt om dit project tot een succes te maken en plan een kick-off meeting in met deze collega’s. Tijdens deze kick-off kunnen de projectleden kennis maken met elkaar en worden er afspraken gemaakt over wie wat doet. Kortom, welke inzet wordt er verwacht van eenieder? Zie het als verwachtingsmanagement zodat iedereen zijn rol in het traject beseft. Het (concept) plan van aanpak bespreken kan hier een goed startpunt zijn.

  1. Stel een stuurgroep samen

Een stuurgroep klinkt misschien wat zwaar voor informatiebeveiligings- en privacyprojecten, maar toch is het wel goed om ook bij kleinere projecten een of meerdere stakeholders te betrekken bij de voortgang van het project. Dit kan bijvoorbeeld een lijnmanager of directielid zijn. De stuurgroep heeft als belangrijkste taak het vervullen van een initiërende, signalerende en op doelstellingen bijsturende rol ten aanzien van het project. Door met regelmaat aan hen te rapporteren kunnen zij het projectresultaat, de projectdoelstelling en de projectrisico’s beoordelen en indien nodig bijsturen door het bijvoorbeeld de juiste prioriteit te geven.  

  1. Zorg voor een plan van aanpak

Vervolgens is ‘wat gaan we doen?’ een heel goede startvraag. Het antwoord zet je in een projectplan of een plan van aanpak. Hier staat in wat je in het project gaat doen, hoe je dit gaat doen, wanneer en met wie. Breng ook fasen/stappen aan in je projectplan, zodat je de voortgang goed kunt volgen. Bedenk deze vooraf, zodat de volgordelijkheid (en daarmee eventuele afhankelijkheid) duidelijk is. Je werkt dus in stappen. Let op dat een projectplan niet perse uit 20 pagina’s hoeft te bestaan. Zie het als communicatiemiddel om te communiceren wat er moet gebeuren, wat het te verwachten resultaat is en wie erbij betrokken zijn. Ik raad je wel aan hier al een aantal risico’s voor het project in te benoemen en de mogelijke maatregelen die hierop van toepassing zijn.

  1. Maak een planning 

Als je eenmaal weet wat er gedaan moet worden, dan kun je de uitvoering gaan plannen. Je werkt de fasering uit en stelt een activiteitenplanning op, zodat het inzichtelijk is wat wanneer af moet zijn. Dit is ook handig voor de projectleden die meewerken. Hierin wijs je namelijk activiteiten toe aan leden in je projectgroep en je plant ze in de tijd. Zo weet iedereen wanneer er iets van hen verwacht wordt. 

  1. Rapporteer over de voortgang

Rapporteer met regelmaat richting de opdrachtgever over de voortgang van je project. Dit doe je middels een voortgangsrapportage. Zie het als een communicatiemiddel over de status van je project. Het handige ervan is dat je met zo’n rapportage makkelijk en eenduidig belanghebbenden (stakeholders) kunt informeren. Voordelen hiervan zijn dat je hiermee ook periodiek beoordeeld kan worden waar bijsturing nodig is, of wellicht dat het management de prioritering weer helder zet binnen de organisatie. De voortgangsrapportage is periodiek, dit hoeft niet elke week te zijn, kies hiervoor een rapportageperiode die bij het project past. Vergeet hierbij ook niet de risico’s mee te nemen die van invloed zijn op het project. 

  1. Zorg voor goede en heldere communicatie

Communicatie is een belangrijk onderdeel van het project. Zowel richting de projectgroep als richting je stakeholders. Ga bijvoorbeeld in overleg met de projectgroep – dit kan als gehele groep, maar plan ook individuele gesprekken met de projectleden om de voortgang te bespreken. Ter aanvulling kan er in Teams of Trello een speciale omgeving worden gecreëerd welke de communicatie ondersteunt. Voor een geslaagde implementatie is het managen van stakeholders op strategisch niveau cruciaal. Hoe beter de stakeholders betrokken zijn, hoe groter de kans dat het project zal slagen. Het is daarom belangrijk om hen vooraf goed te informeren, zodat zij niet voor verrassingen komen te staan en vervolgens gedurende het project te blijven betrekken. Indien nodig kun je een communicatieadviseur aanhaken.

  1. Zorg voor projectborging

Je project is afgelopen als je het projectresultaat hebt bereikt. In de projectwereld zie je nog weleens dat de projectborging eigenlijk niet meer tot de projectfase behoort. Een misbegrip als je het mij vraagt. Juist voor de projectleider is het belangrijk om wanneer je project is afgelopen ervoor te zorgen dat het wordt overgedragen aan de organisatie zelf (bijvoorbeeld via de opdrachtgever). Dus het beste is om dit ook onderdeel te maken van je project zelf. Wanneer er bijvoorbeeld bepaalde procedures moeten worden geïmplementeerd, is het van belang dat de medewerkers en de leidinggevende deze procedures mede ontwikkelen en opnemen in de werkwijzen van de afdelingen. Hiermee voorkom je dat je procedures hebt opgesteld die verder niemand gaat gebruiken. Zorg je niet voor borging in de organisatie, dan loop je het risico dat er uiteindelijk niks met het resultaat wordt gedaan. Dit zou zonde zijn! Toch gebeurt het in de praktijk veel. Men is vaak al tevreden wanneer het projectresultaat is bereikt. Het tijdens het project borgen van het resultaat zorgt voor een hoge betrokkenheid met als doel dat de medewerkers en leidinggevenden een goede bijdrage leveren aan de borging en creëren van (mede)eigenaarschap van het projectresultaat.

Ik hoop je met deze blog meer inzicht te hebben gegeven in hoe jij als security of privacy officer de basisaspecten van projectmanagement kunt toepassen in je werk. Veel succes!

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan even weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?