Compliance-aanpak

Wat is de compliance-aanpak vanuit verschillende gezichtspunten?

54 Views 0 26 oktober 2021 Updated on 18 July 2022 myobi

Volgens het Van Dale woordenboek betekent compliance dat een persoon of een organisatie werkt in overeenstemming met de geldende wet- en regelgeving. “Gehoorzamen”, “naleven”, “voldoen aan” of “zich ernaar schikken”, sluiten aan bij de Engelse woorden “to comply”.

Wij vinden de verantwoordingsplicht in wetgeving, in contractafspraken met partners, in codes voor bijvoorbeeld good governance (de Nederlandse Corporate Governance Code) en in sectorale afspraken. Ook een bedrijfsbeleid, dat door de bedrijfsleiding is geformuleerd, bevat vaak een verantwoordingsplicht dan wel deze volgen daaruit.De compliance-aanpak van MYOBI leidt tot een verantwoording door de bedrijfsleiding voor het organiseren van compliance met wettelijke en contractuele verplichtingen. Onder het motto “leuker kunnen wij het niet maken, maar gemakkelijker wel” hebben wij de compliance-aanpak integraal en dynamisch gemaakt. Het doel is de totale kosten en inspanningen voor compliance werkzaamheden tot een aanvaardbaar minimum 

De compliance-aanpak kent de volgende kenmerken:

  • De bedrijfsleiding omarmt een wet, een overeenkomst, een code of een bedrijfsbeleid en legt periodiek over het organiseren van compliance met de verplichtingen verantwoording af aan toezichthouders, partners of het maatschappelijk verkeer;
  • De compliance verplichtingen leiden veelal tot het aanpassen van het organiseren van de bedrijfsactiviteiten in bedrijfsprocessen waarin beheers- en beveiligingsmaatregelen “by design” zijn opgenomen; en
  • De compliance heeft betrekking op het “by default” vaststellen van de effectieve werking van de getroffen beheers- en beveiligingsmaatregelen, in bedrijfsprocessen ingebouwd en ondersteund door IT-systemen.

In samenwerking met registerfunctionarissen voor gegevensbescherming, registeraccountants en IT Auditors van Duthler Associates, heeft MYOBI voor gebruikers van het vertrouwensnetwerk een effectieve en kostenefficiënte compliance-aanpak uitgewerkt. De compliance-aanpak is eenvoudig uit te breiden naar een bedrijfsspecifieke integrale compliance-aanpak.

De compliance-aanpak gericht op het voldoen van de verantwoordingsplicht voor het organiseren van compliance met wettelijke en contractuele verplichtingen is onderdeel van de TTP-policy.[1] Afhankelijk van de aard en omvang van de bedrijfsactiviteiten en de TTP Gedragscode AVG formuleert de bedrijfsleiding een relevante verzameling van normen of een toetsingskader. Bij het organiseren van de bedrijfsactiviteiten met bedrijfsprocessen waarin “by design” beheers- en beveiligingsmaatregelen zijn opgenomen gaat de bedrijfsleiding, aan de hand van het toetsingskader “by default” na in hoeverre de getroffen beheersmaatregelen effectief zijn; dus effectief persoonsgegevens beschermen.

Als een bedrijf een dergelijke compliance-aanpak toepast dan spreekt de bedrijfsleiding zich uit over de mate waarin de bedrijfsorganisatie compliant is met wettelijke en contractuele verplichtingen en neemt zij verantwoordelijkheid voor de effectiviteit van getroffen beheersmaatregelen. Anders gezegd, de leiding is accountable of verantwoordelijk voor het organiseren van de compliance met wettelijke, contractuele en beleidsmatige verplichtingen.

Het organiseren van de verantwoordingsplicht voor het organiseren van compliance met wettelijke, contractuele en beleidsmatige verplichtingen wint aan effectiviteit door:

  • Het kennen van alle relevante bedrijfsspecifieke verplichtingen en deze te vertalen naar een integrale verzameling van normen; functionele eisen aan beheers- en beveiligingsmaatregelen;
  • De beheers- en beveiligingsmaatregelen “by design” op te nemen in bedrijfsprocessen;
  • De compliance-maatregelen “by design” opnemen in bedrijfsprocessen waaruit “by default” de compliance blijkt; en
  • Een passend verantwoordingsmechanisme in te richten.

De uitgangspunten voor de compliance-aanpak zijn logisch en sluiten aan bij wetgeving gericht op het beschermen van bedrijfs- en persoonsgegevens. Het is dan ook een logisch gevolg dat MYOBI in de TTP-policy de TTP Gedragscode AVG heeft opgenomen. Deze gedragscode is opgesteld zoals deze door de Europese wetgever in de artikelen 40 tot en met 43 AVG en hiermee samenhangende richtlijnen van de toezichthouders is bedoeld.

Als de verantwoordingsplicht van de bedrijfsleiding voor het organiseren van compliance met wettelijke, contractuele en beleidsmatige verplichtingen op het vlak van verwerken van bedrijfs- en persoonsgegevens aansluit op de jaarlijkse reguliere financiële, fiscale, statistische en bancaire verantwoordingen, dan ontstaan de volgende synergie-effecten:

  • De bedrijfsleiding vraagt aan het management en de medewerkers slechts één vragenlijst uit voor meerdere verantwoordingsplichten in plaats van steeds een lijstje met vragen voor elke verantwoording afzonderlijk. De voordelen van minder ergernis, minder tijdsbesteding en minder kosten spreken tot de verbeelding; en
  • Afhankelijk van de omvang van de bedrijfsactiviteiten dient de bedrijfsleiding in het bestuursverslag zich te verantwoorden over het organiseren van de bedrijfsactiviteiten (artikel 2: 391, vijfde lid BW); in het bijzonder de effectiviteit van de getroffen beheers- en beveiligingsmaatregelen in bedrijfsprocessen gericht op het beschermen van persoonsgegevens en bedrijfsgeheimen. De compliance-aanpak houdt uitdrukkelijk rekening met de bredere verantwoordingsplicht van de bedrijfsleiding.
  • De compliance-aanpak sluit aan bij een bedrijfsspecifieke complianceprogramma. Een complianceprogramma bestaat uit een opsomming van onderzoeken gericht op het effectief organiseren van de bedrijfsactiviteiten. Bij het uitbesteden van verwerkingen aan verwerkers of het ontwikkelen van IT-systemen waarmee de bedrijfsleiding bedrijfsprocessen ondersteunt zullen onderzoeken naar het toepassen van effectieve beheers- en beveiligingsmaatregelen “by design” voor het beschermen van persoonsgegevens en bedrijfsgeheimen uitgevoerd worden. Veelal organiseert het bedrijf de veranderingen van het organiseren van bedrijfsactiviteiten op een “agile” wijze. Er ontstaat substantiële meerwaarde als het complianceprogramma aansluit op de agile veranderingsprojecten. 

De bedrijfsleiding ontvangt kortom de meeste toegevoegde waarde als de compliance-aanpak aansluit op de gebruikelijke periodieke cyclus van verantwoordingprocessen en de bedrijfsagenda voor het voorbereiden en doorvoeren van veranderingen bij het organiseren van de bedrijfsactiviteiten.

[1] Nb. In artikel 5.2 AVG spreekt de wetgever over de verantwoordingsplicht. MYOBI Vertrouwensnetwerk gaat verder omdat ook de Wbb (Wet bescherming bedrijfsgegevens) meegenomen wordt in de TTP-policy. MYOBI spreekt over verantwoordingsplicht.

Was this helpful?

 
Related Articles

Didn't find your answer? Contact Us