Ga naar de inhoud

Voldoen aan de wettelijke verantwoordingsplicht

MYOBI gebruikt van Duthler Associates de compliance-methodiek voor het accountable zijn of voldoen aan de wettelijke verantwoordingsplicht voor het organiseren de verplichtingen uit de TTP-policy, in het bijzonder de wettelijke en contractuele verplichtingen die voortvloeien uit de Europese Algemene Verordening Gegevensbescherming (AVG). Inmiddels bestaan er ook andere wettelijke kaders die gebruik maken van de systematiek van de AVG. Een sprekende voorbeeld is de AI Act; regelt het gebruik van kunstmatige intelligentie. 

Het is voor een bedrijfshuishouding efficiënt om het voldoen aan de TTP-policy die de wettelijke verantwoordingsplicht voor het beschermen van gegevens afdekt. Het is prettig dat de wetgever het gebruik van een gedragscode in de wet regelt. Door de tijdlijnen voor de verantwoordingen van het financieel- en gegevensbeschermingsbeleid op elkaar af te stemmen ontstaat synergie in compliancewerkzaamheden en kunnen inspanningen en kosten teruggedrongen worden. De efficiency wordt verhoogd met een integrale compliance-aanpak van al deze verplichtingen.

Interesse? Neem contact met ons op.

Wat is het en wat zijn de voordelen?

Een informatie ecosysteem met vertrouwelijke, betrouwbare en beschikbare gegevens van partners helpt effectief zakendoen en de operationele kosten en risico’s van zakendoen te beperken en beheersbaar te houden. Wij noemen voor de bedrijfshuishouding een aantal voordelen:

  • Het onder regie aan partners (klanten, interne en externe medewerkers en leveranciers) toegang verschaffen tot bedrijfs- en persoonsgegevens, waaronder ook bedrijfsgeheimen. Hiermee wordt de bedrijfsreputatie beschermd;
  • Het onder regie toegang verschaffen tot bedrijfs- en persoonsgegevens, waaronder bedrijfsgeheimen van partners; 
  • Voor het effectief organiseren van de bedrijfsjuridische functie (legal operations) zijn de bedrijfs- en persoonsgegevens uit het informatie ecosysteem essentieel; en
  • Het fundament leveren aan de bedrijfsleiding verantwoordelijk te zijn voor het organiseren van compliance met wettelijke, beleidsmatige en contractuele verplichtingen. Hiermee wordt het overzicht en inzicht verschaft dat nodig is voor een praktisch bedrijfsrisicomanagement.

Zie de waardeproposities en voorbeelden van businesscases.

Hoe kan ik mijn verantwoording organiseren?

Jaarlijkse controle

Om aan het eind van een jaar verantwoording te kunnen afleggen over het gehele jaar moeten gedurende het jaar voldoende compliancewerkzaamheden uitgevoerd worden. Tussentijdse uitkomsten van verantwoordingen kunnen aanleiding zijn tot bijsturing.

Uitgaande van een kalenderjaar als verantwoordingsperiode wordt in het eerste kwartaal van het nieuwe jaar opgesteld over het voorgaande jaar:

  • de zelfverklaring van de directie; en
  • de bevestiging van de zelfverklaring door de functionaris voor gegevensbescherming (FG).

De zelfverklaring bestaat uit een uitspraak door de directie over het gehaalde volwassenheidsniveau en de ambitie voor het komende jaar. Deze verklaring wordt door de FG van het bedrijf of een aangewezen FG bevestigd.

Wat is onze aanpak?

Het verantwoorden over de compliance met wettelijke (AVG en of Wbb) en contractuele eisen vraagt een doortastende aanpak. Voor het beschermen van persoonsgegevens beginnen we met het inventariseren van de bedrijfsactiviteiten, de processen die deze activiteiten ondersteunen, de risico’s die voor het bedrijf en/of de betrokkenen zich kunnen voortdoen en het treffen van maatregelen die effectief werken.

Zoveel als mogelijk wordt aangesloten op beschikbare (standaard) baselines die aangevuld worden met bedrijfsspecifieke maatregelen. Op basis van de risicoanalyse kan bepaald worden hoe vaak vastgesteld moet worden dat een maatregel effectief werkt. Vervolgens komt het inregelen in de organisatie van verantwoordelijken en uitvoerenden die de effectiviteit van de beheersmaatregelen conform de bepaalde periodiciteit vaststellen.

Waar moet ik beginnen?

Een bedrijf loopt aansprakelijkheids- en kostenrisico’s als het niet instaat is te voldoen aan de verantwoordingsplicht. Het gaat niet alleen om boetes of claims van de toezichthouder maar ook van degenen wiens persoonsgegevens worden verwerkt. Bovendien bestaat het risico op reputatieschade als zich datalekken voordoen die niet ontdekt zijn of foutief zijn afgewerkt. Om zich te kunnen verantwoorden is het nodig dat het bedrijf het beschermen van persoonsgegevens effectief heeft georganiseerd.

Het MYOBI Vertrouwensnetwerk biedt bedrijven een praktisch verantwoordingsmechanisme. Hierbij staat centraal het door het bedrijf organiseren van compliance met wettelijke en contractuele verplichtingen, in het bijzonder de TTP-policy en daarmee ook aan de TTP Gedragscode AVG. Jaarlijks spreekt de leiding zich uit in een zelfverklaring over het nakomen van deze gedragscode, uitgedrukt in een volwassenheidsniveau. Het volwassenheidsniveau wordt op de website van MYOBI gepubliceerd. 

Het verantwoordingsmechanisme is op de kennisbank uitgelegd. Zie verantwoordingsplicht en verantwoorden. Wij zorgen in opdracht van MYOBI de interne controle van het verantwoordingsmechanisme. 

Veelgestelde vragen

Als wij gebruik maken van de Accountability Seal van MYOBI kunnen wij dan verder bouwen aan een effectieve bedrijfscompliance waarin risk- en compliancemanagement, contractmanagement en de ondersteuning van de rol van FG is opgenomen?

Jazeker. Een bedrijf kan de compliance-aanpak uitbouwen naar een bedrijfsspecifieke compliance functie gericht op de gebruikelijke risk- en compliancemanagement onderwerpen en de specifieke IT-Cloud vraagstukken.

Geeft MYOBI aandacht aan IT-Cloud en het beschermen van persoonsgegevens?

IT-Cloudtoepassingen zijn niet meer weg te denken in de dagelijkse praktijk. Publicaties geven aan dat 80% van de bedrijven gebruik maken van MS 365, een populaire cloudoplossing voor het organiseren van een kantooromgeving (en meer). In opdracht van MYOBI beheert Duthler Associates de TTP-policy compliance-aanpak waarin meer en meer specifieke cloudmaatregelen zijn opgenomen.

Zouden wij het MYOBI Vertrouwensnetwerk kunnen zien als een toepassing van de bedrijfsjuridische en de -compliance functie? 

Ja. Vanuit het perspectief van MYOBI Vertrouwensnetwerk, desgewenst sectoraal of regionaal netwerk of het bedrijfsnetwerk (informatie ecosysteem). De netwerken maken allemaal gebruik van enkele (interoperabele) IT-cloudleveranciers die daarmee een operationele standaard faciliteert. MYOBI, een sector of een bedrijf gebruikt de semantiek voor het opbouwen en onderhouden van een eigen informatie ecosysteem.

Wat zijn de voordelen van een informatie ecosysteem?

Bedrijfsmatig beheert een bedrijf haar reputatie en maakt gebruik van de reputaties van haar partners. Hiermee kan een bedrijf effectief en kostenefficiënt zaken doen. Het MYOBI Vertrouwensnetwerk en of een sectoraal of regionaal netwerk versterkt de voordelen van de deelnemers aan het netwerk omdat er een effectieve basis van vertrouwen ontstaat.

Laatste nieuws

Blog
Effectief organiseren van een Coordinated Vulnerability Disclosure

Geplaatst op door André Biesheuvel

Door: Caroline Willemse en André Biesheuvel Effectief en kosten efficiënt organiseren In de vorige b…

Organiseren van de verantwoordingsplicht
Wat is de noodzaak van het toepassen van een Coordinated Vulnerability Disclosure (CVD)?

Geplaatst op door André Biesheuvel

Door: Caroline Willemse en André Biesheuvel Is uw organisatie weerbaar tegen cyberaanvallen of ander…

Organiseren van de verantwoordingsplicht
Heeft u uw verantwoording over 2020 en uw jaarplan voor 2021 al klaar?

Geplaatst op door André Biesheuvel

U staat op het punt verantwoording af te leggen over de toereikendheid en effectiviteit van de behee…

Leg uw vraag voor aan onze experts

Vragen over onze dienstverlening? Neem gerust contact met ons op, wij staan u graag te woord.

Contact opnemen