Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Onderzoek AO/IB

Het verbeteren van de AO/IB

Non-compliance met wetgeving resulteert veelal in een advies de administratieve organisatie en interne beheersing te verbeteren. Het doorvoeren van dergelijke verbeteringen moet leiden tot meer effectiviteit en minder operationele kosten. De ervaring leert dat het niet altijd gemakkelijk is de bestaande administratieve organisatie te verbeteren en de kosten te drukken. Voordat aan “de verbouwing” wordt begonnen is een onderzoek naar de effectiviteit en kostenefficiency van de technische en organisatorische beheers- en beveiligingsmaatregelen gericht op compliant met wetgeving, gemaakte afspraken en beleidsdoelen, aan te bevelen.

  • Hoe hoog zijn de aansprakelijkheids- en kostenrisico’s van non-compliance met wetgeving (voor ernstige risicogebieden zie ook fraudeonderzoek);
  • Hoe hoog zijn de kosten per prestatie van een organisatie en zijn er verbeteringen denkbaar die de kosten naar beneden kunnen brengen; en
  • Welke wijzigingen in de administratieve organisatie en interne controle zijn nodig om AO/IB effectiever en kostenefficiënter te maken.

Samenstellen van het verantwoordelijkheidsgebied

Bij de start van het onderzoek wordt een overzicht en inzicht in de samenstelling van het verantwoordelijkheidsgebied opgesteld. Van elk onderdeel kennen wij de bedrijfsactiviteiten, de gegevensverzamelingen en de bedrijfsprocessen in hun onderlinge samenhang. Het komt voor dat deze informatie niet voorhanden is en dat een verzameling van bedrijfsactiviteiten worden aangewezen als het object van onderzoek.

De maatregelen van administratieve organisatie en interne controle worden uitgewerkt in de decompositie van de bedrijfsactiviteiten in (bedrijfs)processen en gerelateerd aan rollen. De reikwijdte van de bedrijfsactiviteiten bepaalt de mogelijkheden de bedrijfsprocessen meer effectief en kostenefficiënt in te regelen.

Afhankelijk van de aard van de bedrijfsactiviteiten kiest de organisatie onderzoeksthema’s. Op basis van onze ervaringen komen de volgende thema’s regelmatig voor: SSO & PDS, ACL en het bevoegdheidsregister en applicatiereductie. Wij behandelen de thema’s op hoofdlijnen.

Single Sign On (SSO) & Personal Data Store (PDS)

Vrijwel alle bedrijven gebruiken een Single Sign On (SSO)-toepassing voor het ontsluiten van bedrijfsgegevens. Het komt erop neer dat – op verzoek van een bevoegde functionaris – de systeembeheerder een individu, een medewerker, een gebruikersprofiel toekent met een initieel wachtwoord en eventuele met aanvullende authenticatie mogelijkheid.

Europese en sectorale wetgeving op het vlak van gegevensbescherming geven het individu, de betrokkene, de regie over de eigen (persoons)gegevens. Het gevolg van deze wetgeving is dat als een individu een arbeidscontract sluit met een organisatie er ook afspraken nodig zijn voor het gebruik van persoonsgegevens. Deze afspraken zijn wederzijds (aanbieden en accepteren) en liggen ten grondslag aan het opnemen van een passend gebruikersprofiel plus beveiligingspolicy in de Active Directory van de SSO-toepassing­en.

De organisatie dient compliant te zijn met de gemaakte afspraken over het toepassen van persoonsgegevens en zal zich periodiek verantwoorden aan de betrokkene, in dit geval de werknemer.

De wetgever geeft de regie over de eigen (persoons)gegevens aan de betrokkene. Met behulp van een Personal Data Store (PDS), waarmee smart contracts met een bedrijf kunnen worden afgesloten, kan de vereiste regie worden uitgeoefend. Het is ook mogelijk dat een bedrijf gepersonaliseerde bedrijfsgegevens op basis van een smart contract ontsluit in een PDS van een betrokkene. Hiermee ontstaat een individu-centrische, in plaats van een bedrijfscentrische, verwerking van persoonsgegevens.

MYOBI levert, met behulp van een smart contract en onder de werking van de TTP Policy, aan een individu een PDS. Zie “Rol van MYOBI, de IT-service in het kader van smart compliance”.

Een organisatie zal bij de overweging gepersonaliseerde bedrijfsgegevens te ontsluiten in de PDS mee laten wegen dat de persoon zorgvulling omgaat met persoonsgegevens en dat het ook voor personaliseerde bedrijfsgegevens geldt. Bovendien dalen de operationele kosten en zijn de aansprakelijkheids- en kostenrisico’s voor de organisatie lager. Het beantwoordt aan de wettelijke eis van individu-centrische verwerking van persoonsgegevens en het is een krachtige maatregel van administratieve organisatie. Het gaat om zekerheid omtrent de betrouwbaarheid van de authenticiteit van de identiteit van een persoon, gebruik van encryptie en elektronische handtekening en veilige en gecontroleerde toegang tot persoons- én bedrijfsgegevens.

Access Control List (ACL) en bevoegdheidsregister

De meeste organisaties zijn applicatie centrisch georganiseerd. De wetgever geeft de persoon de regie over de verwerking van de eigen gegevens en dit resulteert in de noodzaak van een data centrische gegevensverwerking.

Een applicatie maakt veelal gebruik van een “Role Bases Assess Control”, RBAC-mechanisme. Een applicatie centrisch organisatie zal beschikken over vele (verschillende) RBAC-mechanismen. Een dergelijke situatie kan leiden tot:

  • Ineffectieve en inefficiënte beheers- en beveiligingsmaatregelen gericht op het beschermen van persoonsgegevens;
  • Beperkt of niet compliant zijn aan wetgeving en gemaakte afspraken omdat het beperkt uitvoerbaar is een persoon afdoende te faciliteren met zijn persoonsgegevens; en
  • Verhoogde kans op non-compliance met als gevolg verhoogde aansprakelijkheids- en kostenrisico’s.

Als gevolg van Europese en nationale wet- en regelgeving op het vlak van beschermen persoonsgegevens is er een noodzaak de ACL’s van een organisatie integraal te beheren. Uiteindelijk zal een traject van digitale transformatie leiden tot een dergelijke situatie. In aanloop zullen de ACL’s worden geïnventariseerd, beoordeeld en in samenhang worden ingevoegd in een integraal overzicht.

Applicatiereductie

Als direct gevolg van het voorgaande zal een organisatie over willen gaan naar applicatiereductie. Op basis van een analyse van de bedrijfsactiviteiten en interne organisatie (met name rollen) wordt nagegaan welke processen kunnen worden vereenvoudigd en of samengevoegd. Hiermee ontvalt de noodzaak van verschillende applicaties.

Na een proces van applicatiereductie kan worden gestart met een traject van digitale transformatie.

Aanpak

Onderzoeken naar administratieve organisatie en interne beheersing zijn gericht op de effectiviteit en kostenefficiency van bestaande en te realiseren beheers- en beveiligingsmaatregelen gericht op compliance.

De doelstelling en de afbakening van het onderzoek vormen de context en de bedrijfsactiviteiten van de organisatie en hiermee het startpunt van het onderzoek. Het onderzoek start met een verkenning, een businesscase en een plan van aanpak. Vervolgens wordt het onderzoek gezamenlijk met sleutelfunctionarissen van de organisatie uitgevoerd. De rapportage is gericht aan de leiding.

De professionals van Duthler Associates hebben ervaring met dergelijke onderzoeken. Met name de noodzakelijke transitie van een bedrijfs- naar een betrokkene-centrische gegevensverwerking is een specialiteit.

Contact

Heeft u vragen? Neem gerust contact op via +31 0 (70) 392 22 09 of info@duthler.nl.