Tijdlijn, compliance aanpak

Een aanpak voor het afleggen van verantwoording bestaat uit het expliciet maken van verplichtingen (formuleren van een norm, een baseline) en het aantonen dat in overeenstemming met de verplichtingen is gehandeld (compliant zijn met de baseline). Als een organisatie een dergelijke aanpak toepast dan spreekt de leiding zich uit over de mate waarin verplichtingen worden nagekomen en neemt zij verantwoordelijkheid voor de effectiviteit van getroffen beheersingsmaatregelen. Anders gezegd, de leiding is accountable voor de organisatie van de compliance met wettelijke, contractuele en beleidsmatige verplichtingen.

Het verantwoordingsmechanisme van compliant zijn met de verplichtingen steunt op de interne controle van een organisatie. In de onderstaande figuur hebben wij dat uitgewerkt voor gegevensbescherming.

Het verantwoordingsmechanisme van compliant zijn met de verplichtingen steunt op de interne controle van een organisatie. In de onderstaande figuur hebben wij dat uitgewerkt voor gegevensbescherming.

Het verantwoordingsmechanisme

Het bestuur formuleert beleid en geeft hierbij aan de mate waarin aan wettelijke en contractuele verplichtingen zal worden voldaan. Het beleid geeft aanleiding tot het treffen van passende technische en organisatorische beheersingsmaatregelen. Er wordt een compliance mechanisme ingericht waarbij de effectieve werking van de getroffen beheersingsmaatregelen wordt gemeten en vastgelegd. Deze “boekhouding” vormt de grondslag voor de leiding om zich te verantwoorden naar het maatschappelijk verkeer.

De compliance-aanpak, als onderdeel van de TTP policy, heeft betrekking op het verantwoorden van nakomen van verplichtingen van het bedrijf aan partners, en van partners aan het bedrijf. De volgende voorbeelden maken dat duidelijk:

  • In het kader van het beschermen van persoonsgegevens rust er een wettelijke verantwoordingsplicht aan het maatschappelijk verkeer op de schouders van de verwerkingsverantwoordelijke inclusief de achterliggende (sub)verwerkers van de persoonsgegevens. Het maatschappelijk verkeer bestaat uit de personen van wie de verwerkersverantwoordelijke gegevens verwerkt en de toezichthouder; en
  • In het kader van een verantwoorde bedrijfsvoering wenst een bedrijf met partners afspraken te maken over het verwerken van bedrijfsgegevens, in het bijzonder van bedrijfsgeheimen en intellectuele eigendommen (de kroonjuwelen van het bedrijf).

Bedrijven hebben niet alleen:

1.) een integrale compliance-aanpak voor relevante wettelijke en contractuele verplichtingen nodig; maar ook
2.) een compliance-aanpak die praktisch toepasbaar is voor samenwerkende partijen.

MYOBI, in de rol van trusted third party (TTP), faciliteert bedrijven, die de TTP policy omarmen, met een integrale en interoperabele compliance-aanpak. De compliance-aanpak maakt gebruik van het MYOBI Vertrouwensnetwerk en hierbinnen de informatie ecosystemen die bedrijven gebruiken voor:

  • het maken van afspraken over het verwerken van bedrijfs- en persoonsgegevens;
  • het naleven van een Accountability Seal Policy waarin ook de TTP Gedragscode AVG is opgenomen; en
  • het voldoen aan de wettelijke en contractuele verantwoordingsplicht voor gegevensbescherming en informatieveiligheid.

Het verantwoordingsmechanisme bedrijven

Op verzoek van de Vereniging van deelnemers aan Informatie Ecosystemen (Vereniging), die houder is van de TTP Gedragscode AVG, heeft MYOBI de bovenstaande aanpak toegepast voor gegevensbescherming en informatieveiligheid om aan te tonen dat aan de TTP Gedragscode AVG wordt voldaan. Hiermee wordt aangesloten bij de verantwoordingscyclus van de maatschappelijke verantwoording (jaarrekening, toelichting en overige gegevens). Aan de hand van baselines “Bescherming van persoonsgegevens” en “Informatieveiligheid” spreekt de leiding van een bedrijf zich uit over het volwassenheidsniveau van het voldoen aan de gedragscode. De baselines zijn gebaseerd op relevante wetgeving en op de kaders van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) en de Nederlandse Orde van Register EDP-Auditors (NOREA). Deskundigen van MYOBI vullen de baselines aan met specifieke vereisten van de gedragscode en hebben handreikingen opgesteld hoe de baselines te gebruiken.

Met behulp van LEM kennen bedrijven bevoegdheden toe aan medewerkers die verantwoordelijk zijn voor het uitvoeren van de taken in het compliance- en verantwoordingproces.

Ten behoeve van bedrijven organiseert MYOBI het proces van compliant zijn met de TTP Gedragscode AVG en desgewenst andere bedrijfsspecifieke wettelijke en contractuele verplichtingen. Hiermee kan een bedrijf een integrale compliance aanpak organiseren met als doel een effectieve en kostenefficiënte organisatie.

De TTP Gedragscode AVG gaat uit van een verantwoordingsproces met eenduidige baselines en kwaliteitsbewaking dat uitkomt op verschillende volwassenheidsniveaus. Dit verantwoordingsproces is afgestemd met de Vereniging, waarvan gebruikers van het MYOBI Vertrouwensnetwerk lid zijn. Dit biedt de individuele gebruiker veel comfort. Bedrijven worden onderling vergelijkbaar in hoeverre zij compliant zijn met de wettelijke verplichtingen van de AVG en laten dat ook zien aan het maatschappelijk verkeer. Dit inzicht heeft niet alleen betrekking op het bedrijf zelf maar ook op de achterliggende verwerkers en subverwerkers van (persoons)gegevens. Op deze manier ontstaat een keten van vertrouwen gebaseerd op een controleerbaar verantwoordingsproces tegen beheersbare kosten.

Tijdslijnen

Het is verstandig om de uitvoering van het verantwoordingsproces van de TTP Gedragscode AVG gelijk te laten lopen met de financiële verantwoording. MYOBI biedt diverse hulpmiddelen aan om het verantwoordingsproces in te richten. Het blijven wel hulpmiddelen. Een bedrijf moet het verantwoordingsproces zelf operationaliseren.

Om te weten waar zich de risico’s bevinden, wordt begonnen met een risicoanalyse. Deze analyse kan voor een geheel bedrijf worden gedaan of per bedrijfsonderdeel. Wij kunnen ons voorstellen dat voor een klein of middelgroot bedrijf één risicoanalyse voldoende is om inzicht te krijgen in de risico’s. Bij een groot bedrijf met verschillende activiteiten en verschillend gebruik van persoonsgegevens, kan de keuze voor meerdere risicoanalyses beter zijn. Op basis van de risicoanalyse(s) kan de frequentie worden bepaald hoe vaak het volwassenheidsniveau van een beheersdoelstelling moet worden vastgesteld aan de hand van effectief werkende beheersingsmaatregelen.

De beheersdoelstellingen zijn opgenomen in de baselines. Het is raadzaam om per risicoanalyse de baselines te gebruiken en hiervoor de frequentie te bepalen. De frequentie kan per baseline en vervolgens per beheersdoelstelling in MYOBI worden vastgelegd. Op deze wijze bestaat een jaarplan:

In MYOBI wordt per beheersdoelstelling vastgelegd wie de ‘eigenaar’ is van de doelstelling. Het ligt voor de hand dat dit de proceseigenaar is. Deze eigenaar bepaalt vervolgens wie de controle moet uitvoeren. Zowel de eigenaar als de uitvoerder kunnen vastgelegd worden in het LEM.

In MYOBI wordt per beheersdoelstelling vastgelegd wie de ‘eigenaar’ is van de doelstelling. Het ligt voor de hand dat dit de proceseigenaar is. Deze eigenaar bepaalt vervolgens wie de controle moet uitvoeren. Zowel de eigenaar als de uitvoerder kunnen vastgelegd worden in het LEM.

Legal Entity Management

Met behulp van Legal Entity Management (LEM) kennen bedrijven bevoegdheden toe aan medewerkers die voor verschillende bedrijfsactiviteiten verantwoordelijk zijn voor het uitvoeren en afleggen van de verantwoording. Hierbij moet gedacht worden aan medewerkers die verantwoordelijk zijn voor bepaalde beheersdoelstellingen uit de baselines en medewerkers die verantwoordelijk zijn voor het vaststellen van de effectiviteit van beheersingsmaatregelen van een of meerdere beheersdoelstellingen. Ook de FG krijgt een bevoegdheid in het LEM.

Inregelen van verantwoording

Voor de ondersteuning van het afleggen van verantwoording voor de TTP Gedragscode AVG zijn drie baselines beschikbaar:

  • Baseline Bescherming van persoonsgegevens voor de verwerkingsverantwoordelijke;
  • Baseline Bescherming van persoonsgegevens voor de verwerker; en
  • Baseline Informatieveiligheid

Het is mogelijk dat een bedrijf de baseline Bescherming van persoonsgegevens voor de verwerkingsverantwoordelijke voor verschillende organisatieonderdeel wil gebruiken, bijvoorbeeld voor de afdeling Personeelszaken en voor de afdeling Debiteuren. Idem voor de baseline Informatieveiligheid. Het aantal baselines dat per bedrijf gebruikt kan worden is afhankelijk van de licentie.

Zelfverklaring

Op basis van de uitkomsten van onderzoeken spreekt de leiding zich uit – in een zelfverklaring – over het volwassenheidsniveau van het bedrijf en hiermee over het voldoen aan de TTP Gedragscode AVG. Met deze uitspraak maakt de leiding zich accountable voor het naleven van de gedragscode.

Voor de leiding kan er aanleiding zijn voor het uitvoeren van een aanvullend onderzoek door de interne controle & compliance afdeling (IC).

De rol van de FG

De groene blokken hierboven geven de wettelijke taken van de Functionaris voor Gegevensbescherming (FG) weer. De FG adviseert de leiding over het formuleren van beleid, adviseert de operationele organisatie bij het treffen van passende technische en organisatorische beheersingsmaatregelen en ziet toe op de effectieve werking van getroffen beheersingsmaatregelen.

De FG heeft een wettelijke taak om toe te zien op de naleving van de AVG. Door de zelfverklaring te bevestigen, geeft de FG uitvoering aan deze taak.

De FG voert een eigen risicoanalyse uit en maakt op basis hiervan een werkplan. In dit werkplan bepaalt de FG de frequentie waarin uitgevoerde controles door hem of haar worden gecontroleerd. De FG kan de uitkomsten hiervan gedurende de verantwoordingsperiode gebruiken voor het verslag van de FG. Aan het eind van de verantwoordingsperiode kan hij deze gebruiken om de zelfverklaring te bevestigen. Met de bevestiging geeft de FG aan dat het volwassenheidsniveau zoals genoemd in de zelfverklaring wordt onderschreven.

In het verantwoordingsproces wordt veel waarde gehecht aan de bevestiging door de FG. Vandaar dat de FG aan diverse eisen moet voldoen om een bevestiging te mogen geven bij de zelfverklaring. De FG moet passend zijn bij het bedrijf, een adequate FG-opleiding hebben gevolgd, waartoe een module over zijn taak in het verantwoordingsproces behoort en een tentamen met goed gevolg hebben afgelegd.

De rol van MYOBI

MYOBI, in de rol van TTP, faciliteert bedrijven met het organiseren van de verantwoording. Hierbij is de TTP Gedragscode AVG leidend. MYOBI beheert de baselines, geeft trainingen, verzorgt informatiebijeenkomsten en voert toetsen uit op zelfverklaringen. MYOBI bewaakt verder het verantwoordingsproces en spreekt bedrijven aan op het tijdig insturen van de zelfverklaring.

Van zelfverklaring naar Accountability Seal

Na ontvangst van de zelfverklaring zet MYOBI het aangegeven volwassenheidsniveau om in een Accountability Seal en neemt deze op in het Accountability Seal Register. Het Register wordt gepubliceerd op de website van MYOBI en is raadpleegbaar door andere gebruikers en overige belangstellenden.

Voor elk bedrijf worden drie Seals in het Accountability Seal Register getoond:

  • Het volwassenheidsniveau dat de leiding in de zelfverklaring heeft aangegeven;
  • Het volwassenheidsniveau dat de FG heeft bevestigd; en
  • Het volwassenheidsniveau waarop MYOBI op basis van een plausibiliteitstoets uitkomt.

Als een bedrijf niet tijdig een zelfverklaring aanlevert, of als de zelfverklaring niet voldoet aan de formele vereisten (de bevestiging van een bevoegde FG ontbreekt bijvoorbeeld) dan kan MYOBI het volwassenheidsniveau van het bedrijf op ‘0’ zetten.

Uitbreiding van de scope van de verantwoording

De AVG is maar één van de wettelijke verplichtingen waaraan een bedrijf moet voldoen. Er zijn nog andere wettelijke verplichtingen en contractuele verplichtingen, waarvan de naleving integraal georganiseerd kan worden. Voor het expliciet maken van deze wettelijke en contractuele verplichtingen maken wij gebruik van de resultaten van de Contract Board (CB). Uitgaande van bedrijfsactiviteiten inventariseren juristen van de CB relevante wetgeving en stellen een policy framework samen. Policy frameworks vormen voor de professionals van Duthler Associates de kaders voor het samenstellen van baselines waarin contractuele verplichtingen zijn aangegeven. De policy frameworks zijn ook de kaders voor de juristen van de CB voor het samenstellen van de contractportfolio’s waarin contractuele verplichtingen zijn geformuleerd.

MYOBI faciliteert bedrijven met verantwoorden

Bedrijven delen onder de paraplu van de TTP Gedragscode AVG bedrijfs- en persoonsgegevens met elkaar. Zij leggen verantwoording af over het nakomen van deze gedragscode. MYOBI zorgt dat de bedrijven het verantwoordingsproces kunnen inregelen, bewaakt de verantwoordingscyclus en bewaakt de tijdigheid en de juistheid van de processen.

De compliance-aanpak en het operationaliseren hiervan op het MYOBI Vertrouwensnetwerk biedt zakelijke gebruikers van MYOBI veel toegevoegde waarde.

Om de organisatie van de compliance aanpak zo effectief mogelijk te laten verlopen stelt MYOBI de zakelijke gebruikers in staat passende beheersingsmaatregelen te treffen. Het gaat om de volgende maatregelen:

  • Medewerkers van bedrijven, in hun eigen e-learning tenant, krijgen trainingen op het vlak van gegevensbescherming en informatieveiligheid aangeboden. Het doel is de awareness te verhogen en met behulp van toetsen vast te stellen dat deze medewerkers het gewenste kennisniveau bezitten;
  • MYOBI biedt zakelijke gebruikers een contractportfolio met verwerkers- en regieovereenkomsten aan met als doel eenduidige afspraken te maken over het verwerken van persoonsgegevens;
  • MYOBI biedt handige tools en hulpmiddelen aan voor het organiseren van gegevensbescherming;
  • MYOBI biedt administraties aan voor het vastleggen van verwerkingen en beheersingsmaatregelen alsook van het bewijs van effectieve werking van getroffen beheersingsmaatregelen. De administraties zijn voorzien van smart compliance waarmee DPIA’s kunnen worden uitgevoerd; en
  • Op afroep zijn professionals beschikbaar voor het ondersteunen van de operationele staf.

Naarmate MYOBI meer ervaring opdoet met het faciliteren van de verantwoordingsplicht zullen de aangeboden beheersingsmaatregelen evolueren.

De toezichthouder: de Accountability Board

De Accountability Board (AB) is een orgaan van MYOBI dat toezicht houdt of MYOBI en gebruikers van MYOBI compliant zijn met de TTP-policy. De Board bestaat uit deskundige experts met relevante kennis en ervaring op juridisch, auditing en riskmanagement gebied. De AB geeft MYOBI gevraagd en ongevraagd advies ter verbetering van het afleggen van verantwoording. De hulpmiddelen die MYOBI hiervoor beschikbaar stelt, betrekt zij daarbij. De Board kan sancties opleggen als de naleving van de TTP-policy niet goed plaatsvindt.

De AB is gehouden aan een reglement en procedures die gebaseerd zijn op onder meer de TTP Gedragscode AVG. De AB kan eigen onderzoeken uitvoeren om vast te stellen of de verantwoordingscyclus tot het komen van een Accountability Seal juist is uit en kan ingrijpen als zij vindt dat een gebruiker of MYOBI de gedragscode niet goed toepast. Ze kan sancties opleggen zoals het aanpassen van het volwassenheidsniveau in de Accountability Seal en het schorsen of uitsluiten van een bedrijf als toepasser van de gedragscode en daarmee als Gebruiker van MYOBI.

Organiseren van compliance met de TTP policy

Als onderdeel van de compliance aanpak bereidt MYOBI zich jaarlijks voor op de verantwoordingscyclus. Gedurende het jaar informeert MYOBI de zakelijke gebruikers over actualiteiten en accountable zijn met gegevensbescherming, stelt gerichte trainingsmodules beschikbaar en faciliteert bijeenkomsten. De verantwoordingscyclus gebruikt het tijdsbestek van de laatste maanden van het verantwoordingsjaar en het eerste kwartaal van het nieuwe jaar voor het verkrijgen van:

  • de zelfverklaring van de directie;
  • de bevestigingen van de zelfverklaringen door de functionarissen voor gegevensbescherming (FG’s); en
  • het uitvoeren door MYOBI van de plausibiliteittoetsen op zelfverklaringen.

MYOBI streeft ernaar de resultaten van het verantwoordingsproces op te nemen in de managementverklaring van een bedrijf.

De zelfverklaring bestaat uit een uitspraak over het gehaalde volwassenheidsniveau en de ambitie voor het komende jaar. De leiding (het bestuur) heeft voor het doen van een uitspraak over het volwassenheidsniveau de baselines nodig die aansluiten op de TTP Gedragscode AVG. In het Informatie ecosysteem van het bedrijf stelt MYOBI de meest actuele baselines beschikbaar.

Accountability Seal Policy

De Accountability Seal Policy is een onderdeel van de TTP policy van MYOBI. Op basis van deze policy verantwoordt de leiding van een bedrijf zich aan het maatschappelijk verkeer en de overige gebruikers van het Vertrouwensnetwerk in het bijzonder.

Zie Accountability Seal Register voor uitgebreide informatie.

Organiseren van de bedrijfscompliance functie

Bedrijven kunnen de bovenstaande aanpak bedrijfsspecifiek en integraal toepassen voor alle compliance vraagstukken.