5 tips bij Identity Management projecten

Dit lijkt lang maar veel organisaties hebben ook lang gewacht met het doorvoeren van de nodige wijzigingen. Mede daarom is Identity & Access Management (IAM of IDM, zonder ‘Access’) momenteel booming. Leveranciers van software die de IAM-processen ondersteunt,  kunnen de vraag naar goede consultants nauwelijks aan.

IDM-projecten hebben zo hun eigen dynamiek en aandachtspunten. Wie nu nog moet beginnen voor de AVG is natuurlijk te laat, maar hieronder toch 5 tips om je projecten goed op orde te hebben, ook als je al ‘AVG-ready’ denkt te zijn.

1. Data kwaliteit is de belangrijkste randvoorwaarde: Garbage-in is garbage-out

Bij een Engels bedrijf dat een migratie naar een nieuw IDM systeem uitvoerde, stond de IT-afdeling voor het raadsel dat veel medewerkers verschillende soorten accounts hadden. Namen waren vaak verschillend gespeld maar kennelijk doken ook medewerkers met vergelijkbare namen, meerdere keren op binnen één afdeling.

Na analyse bleek dat afdelingsmanagers bij nieuwe interne medewerkers (joiners) eerst een externe account aanvroegen omdat daarmee zaken als de bestelling van laptop en toegangspas sneller verliepen. Later, bij daadwerkelijk in dienst treden, werd dan de interne identiteit via de HR-afdeling aangevraagd en aangemaakt en werd de account omgezet.

Het was daarna alsnog een hele klus om de juiste personen bij de goede identiteit in het systeem te vinden en op te schonen.

Dit voorbeeld toont aan hoe belangrijk het is om de gegevens in de bron én bij degene die de gegevens kent, op te schonen. Het is daarom van belang om de data-eigenaren op de hoogte te brengen van het principe ‘garbage-in is garbage-out’.

2. Combineer systeem- en stakeholder analyse

Bepaal (vooraf!) duidelijk welke systemen, welke gegevens gebruiken en waarvoor. Het laatste dat je wilt is dat een wijziging in Unieke ID vanuit HR leidt tot problemen in het salarissysteem waardoor er niet uitbetaald kan worden. Elk systeem kan een ander authenticatiemechanisme hebben, maar de dataleveringen vanuit IDM systemen (provisioning) blijft de basis hieronder.

In veel organisaties is het niet haalbaar om voor alle aangesloten systemen een integratietestomgeving in te richten. Samenwerking met data en systeemeigenaren is daarom nuttig en noodzakelijk. Voor projectmanagers is een gecombineerde systeem- & stakeholderanalyse hierbij erg nuttig. Je krijgt zo goed inzicht in wie, vanuit welk systeem, belanghebbende is en je dus kan helpen bij het inrichten van of aansluiten op de juiste processen.

3. Creëer een Single point of Truth

Zeker in grotere bedrijven, waar meerdere applicaties hun eigen protocollen, gegevens en accountstructuur hebben, is het van groot belang om een plek te creëren waar de basis vastligt. Een Single point of Truth, soms ook wel Identity Vault genoemd.

Bij het inrichten van data provisioning van en naar verschillende bron- en doelsystemen is dit een belangrijke randvoorwaarde voor het op orde krijgen (en houden) van datastructuren en processen. Als projectmanager kun je door je dit te realiseren controle houden op datastromen en bij analyses vaak terugvallen op een goede basis.

4. Data privacy gaat om mensen

Het verwerken van persoonsgegevens, of het nu om klanten gaat, eigen medewerkers of burgers, het gaat om de mens achter de data. Hun privacy moet in elke organisatie gewaarborgd zijn. Een kritische Ondernemingsraad kan het je flink moeilijk maken, als je processen niet duidelijk zijn.

Grotere organisatie hebben vaak een functionaris of afdelingen die kunnen adviseren over Data privacy, of informatiebeveiliging. Met de AVG is het hebben van een Data Privacy Officer functie verplicht voor veel bedrijven. Deze adviseert over wettelijke procedures, benodigde beveiligingsniveau van gegevens en bijbehorende vastlegging daarvan in procedures of registers. Juist omdat het om mensen gaat, is het op orde hebben van je bureaucratie van groot belang. Deze instemming kan flink wat tijd kosten, plan dit dus mee in je project.

5. Definieer business benefits

IAM is niet het meest sexy onderwerp binnen organisaties. Veelal is het slechts een randvoorwaarde om het werk te kunnen uitvoeren. Daarom is de prioriteit van IAM vaak laag en de business case gericht op kostenreductie. Naast de dreiging van torenhoge boetes vanuit de AVG (tot €25 miljoen of 4% van de jaaromzet), zijn er wel degelijk positieve effecten voor de bedrijfsvoering die je in een goede business case kunt vatten en die kunnen helpen om je IAM-project hoog op de agenda te krijgen. Enkele daarvan zijn:

• Betrouwbaarheid en stabiliteit van gegevens en de omgang hiermee
  De zekerheid dat medewerkers of klanten de juiste toegang hebben om hun werk te kunnen doen en dat aanvragen en wijzigingen snel en goed doorgevoerd worden, levert op vele plekken in de organisatie winst op.
• IT support kosten
  Vaak is er bij IAM veel handmatig werk met bijbehorende foutgevoeligheid. Daar komt dan weer werk uit voort, voor de helpdesk. Automatiseren en hanteren van goede business logica kan hier veel kosten besparen. Ook een goede self-service mogelijkheid kan hier sterk aan bijdragen.
• Efficiency
  Wat kost het de organisatie als een nieuwe medewerker of iemand die naar een andere afdeling gaat, niet snel aan de slag kan omdat de juiste autorisaties ontbreken? Goed ondersteunen van de Joiner-Mover-Leaver processen kan veel efficiencywinst opleveren. Ook voorkomt dit ergernis en frustratie bij medewerkers of klanten.

Zo zijn vanuit IAM directe voordelen voor eindgebruikers te definiëren die kunnen helpen bij het draagvlak, prioritering en “verkopen” van je project. Maak daar dus gebruik van!

Identity Management is een uitgebreid terrein met flink wat specialismen. Verschillende bedrijven en organisatie hebben heel verschillende eisen en wensen voor wat betreft het omgaan met persoonsgegevens. Met deze vijf tips in het achterhoofd kun je als projectmanager een basis leggen onder een goed IAM-project.