Dat niet iedere corporatiemedewerker zomaar bij alle data kan vindt iedereen logisch. Maar hoe richt je zo'n autorisatieproces efficiënt en veilig in zonder een soepele procesgang in de weg te zitten? CorporatieGids.nl ging hierover in gesprek met Kevin Moes van woningcorporatie Portaal: "Autorisaties inrichten is constant zoeken naar balans tussen controle en soepele processen."
Twee jaar geleden stapte Portaal over op een nieuw ERP-systeem, Dynamics Empire van cegeka-dsa. "We hebben toen gekeken hoe wij autorisaties opnieuw konden inrichten," vertelt Kevin. "In de oude opzet werden rechten op basis van rolniveau verdeeld. In andere woorden, iedere werknemer had een eigen profiel waarin stond tot welke data hij of zij wel of geen toegang had. Inmiddels zijn wij overgestapt naar autorisaties op functieniveau, en bepaalt de functie van een werknemer tot welke gegevens hij of zij toegang heeft."
Nulpunt
"Bij het opnieuw inrichten van de autorisaties zijn we echt bij het nulpunt begonnen," legt Kevin uit op de vraag hoe Portaal dit heeft ingericht. "We hebben eerst gekeken hoe onze organisatie in elkaar steekt. Per functie hebben we in beeld gebracht wat de taken zijn, waar ze voor staan, welke rollen hierbij voorkomen, hoe het systeem wordt gebruikt." Uiteindelijk duurde de inrichting van het nieuwe systeem - inclusief acceptatie-, test- en nazorgfase een jaar. "Hierna hoefden wij de autorisaties alleen te finetunen, want door bij het nulpunt te beginnen zit de nieuwe inrichting als gegoten over de organisatie."
Functieniveau
Dit maakt het autorisatie-proces een stuk efficiënter, legt Kevin uit. "Als er nu een verandering wordt doorgevoerd met betrekking tot welke medewerkers bij bepaalde gegevens mogen, is dat veel makkelijker door te voeren. Vroeger ontbrak het aan uniformiteit en moest je per persoon de verandering doorvoeren. Nu wordt het per functie aangegeven, waarna het organisatiebreed wordt doorgevoerd. Dit ontzorgt en verkleint de kans dat werknemers bij gegevens kunnen waar ze eigenlijk geen toegang tot zouden moeten hebben."
Het beschermen van gevoelige gegevens is een belangrijk onderwerp bij Portaal. Kevin: "Wij zijn momenteel erg bezig met de privacywetgeving. Dat betekent dat sommige gegevens voor personeelsleden worden afgeschermd. Dat kan alleen maar via autorisaties. Zo voorkom je fraude omdat medewerkers niet zelf het hele proces kunnen doorlopen. Daarnaast wordt ook de kans op fouten verkleind, simpelweg omdat medewerkers niet bij bepaalde data kunnen. Spreekwoordelijke schoenmakers blijven zo bij hun leest."
Zoektocht naar balans
"Wij hebben bijvoorbeeld recent een wijziging doorgevoerd in het proces waarmee inkooporders worden aangemaakt," vertelt Kevin op de vraag of hij een voorbeeld kan geven van zo'neen aanpassing in de autorisaties. "In dat proces moet een scheiding zitten van functie zodat medewerkers niet zelf het hele proces kunnen doorlopen. Maar alle orders langs de manager sturen maakt het proces omslachtig en onnodig lang. Daarom hebben wij doorgevoerd dat alle orders onder een bepaald bedrag geen goedkeuring van bovenaf nodig hebben. Zo wordt de verantwoordelijkheid laag binnen de organisatie neergelegd. Door deze wijziging door te voeren per functie, zorgen wij er snel en efficiënt voor dat alle betreffende werknemers de extra bevoegdheden krijgen. Dat maakt het werk voor iedereen een stuk duidelijker."
"Het is constant zoeken naar balans," gaat Kevin verder. "Aan de ene kant wil je zo min mogelijk autorisaties omdat processen dan efficiënter kunnen verlopen, terwijl je aan de andere kant controle wil uitoefenen en risico's wilt dekken. Kennis en ervaring zijn hierbij essentieel. Je moet goed kunnen uitleggen waarom zaken soms niet mogelijk zijn, maar ook waarom wij als corporatie sommige dingen niet toestaan. Zo zorg je tegelijkertijd voor begrip binnen de organisatie."
Raamwerk
Portaal maakt hierbij gebruik van de autorisatiesoftware van 2-Control. "Dit is het raamwerk van al onze autorisaties. Alle definities van functies en bevoegdheden zijn hierin vastgelegd. Dit gebruiken wij dagelijks om de autorisaties scherp te houden."
Van elkaar leren
Portaal is één van de vijf corporaties in het samenwerkingsverband SWEMP. "Alle organisaties maken gebruik van dezelfde software maar gaan anders om met hun autorisaties," vertelt Kevin op de vraag of er sprake is van uniformiteit. "Dat maakt eenduidige processen lastig. Maar we staan wel open voor wijze lessen van andere partijen, en kijken hoe wij van elkaar kunnen leren."
Evaluatie
Als tip voor andere corporaties die stappen willen maken met autorisaties, zegt Kevin dat een evaluatie van de huidige structuur onontbeerlijk is: "Waar loop je als corporatie tegen aan, wat zijn de beperkingen en wat is de visie van de organisatie op autorisaties? Moeten medewerkers alle stappen kunnen doorlopen, of wil je een duidelijke functiescheiding? Op basis van de antwoorden op die vragen kun je helder de processen inrichten en toegang geven aan de juiste medewerkers. Maar richt dit echter wel altijd in op functieniveau. Zo borg je dat je autorisatieproces een efficiënt proces wordt."
Bron: Johan van den Beld | CorporatieMedia - 21 juli 2017
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine September 2024 - Digitale Transformatie Inhoud Madeleine Hamburg (Pré Wonen): De digitale transformatie is bij uitstek…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.