De omvang van de toegevoegde waarde van de compliance-aanpak hangt af van de scope en reikwijdte die de bedrijfsleiding aangeeft.

Regie over bedrijfs- en persoonsgegevens

MYOBI spreekt met alle gebruikers de TTP-policy af. Gebruikers op het vertrouwensnetwerk maken onderling afspraken over uiteenlopende zaken en spreken (zijdelings) daarbij ook af hoe partners omgaan met de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van elkaars persoonsgegevens en bedrijfsgeheimen. Uitgaande van de TTP-policy maken partners daarbij gebruik van de verwerkers-, gegevensuitwisselings-, regieovereenkomsten of geheimhoudingsovereenkomsten. Als gevolg van het maken van afspraken met partners ontstaat voor een gebruiker een informatie ecosysteem met bedrijfs- en persoonsgegevens. De gebruiker presenteert zich aan zijn partners met vertrouwelijke, betrouwbare en beschikbare bedrijfs- en persoonsgegevens en beschermt hiermee zijn reputatie. Als elke partner zich met behulp van de compliance-aanpak verantwoordt aan het maatschappelijk verkeer bevat het informatie ecosysteem vertrouwelijke, betrouwbare en beschikbare bedrijfs- en persoonsgegevens. 

Een adequaat informatie ecosysteem is een randvoorwaarde voor het effectief organiseren van bedrijfsactiviteiten. De gebruiker is een interessante partij om zaken mee te doen voor (potentiële) partners. Partners zijn interessante partijen om relaties mee aan te knopen. Er ontstaan nieuwe afzetkanalen, terwijl de transactie- en relatiekosten bescheiden zijn en nare en kostbare escalaties worden vermeden.

Een adequaat informatie ecosysteem is ook een randvoorwaarde voor het organiseren van effectievere bedrijfsactiviteiten. Denk aan het organiseren van de bedrijfsjuridische functie of het opzetten en beheren van kennis- en veranderingsmanagement. Met het organiseren van de bedrijfsjuridische functie formuleert de bedrijfsleiding expliciet de contractuele verplichtingen en maakt zij de compliance-aanpak daarmee expliciet. De bedrijfsleiding kan het afdelingsmanagement vragen in hoeverre rechten uitgeoefend worden en aan verplichtingen wordt voldaan.

Als ook bedrijfsgeheimen onder regie worden gedeeld, adviseren wij de toepassing bedrijfsgeheimen af te nemen en de contractenportfolio waarin geheimhoudingsovereenkomsten zijn opgenomen.

Integrale compliance

De compliance-aanpak is zodanig opgezet dat het gemakkelijk is de aanpak uit te breiden naar andere verantwoordingsgebieden. De compliance-aanpak die MYOBI toepast is een combinatie van wettelijke privacy verplichtingen (bescherming van persoonsgegevens onder de AVG) en het voeren van regie over bedrijfs- en persoonsgegevens binnen de tijdlijnen van het verantwoorden van de financiële maatschappelijke verantwoording (met name de jaarrekening en fiscale verantwoordingen). De bedrijfsleiding verruimt de integrale compliance aanpak door:

• Verantwoordingsplichten die dezelfde scope en reikwijdte hebben als het beschermen van bedrijfs- en persoonsgegevens toe te voegen aan de compliance-aanpak. Wij kunnen denken aan het beschermen van bedrijfsgeheimen zoals intellectueel eigendom en bedrijfsinformatie (Wet bescherming bedrijfsgeheimen en de Data Governance Act), voor overheids-, financiële en zorginstellingen de DigiD-audit, of het organiseren van compliance van contractuele verplichtingen die leiden tot een ISAE 4302 verklaring; en
• Het verantwoordingsdomein te vergroten. In essentie beperkt het beschermen van persoonsgegevens en bedrijfsgegevens zich niet tot alleen de algemene infrastructuur (veelal het cloud platform). In de praktijk zien wij echter dat de bedrijfsleiding zich bij het beschermen van persoonsgegevens en bedrijfsgeheimen vooral concentreert op de IT-beveiliging en minder op de effectiviteit van beheers- en beveiligingsmaatregelen die in bedrijfsprocessen zijn opgenomen. Door expliciet de organisatie van de bedrijfsactiviteiten met bedrijfsprocessen op te nemen in het verantwoordingsdomein, wordt de integrale compliance-aanpak verruimd.

De professionals van Duthler Associates, die voor MYOBI de organisatie van de compliance-aanpak verzorgen, bespreken met de bedrijfsleiding en management graag de mogelijkheden van een bedrijfsspecifieke compliance-aanpak.

Kennis- en verandermanagement

Als gevolg van veranderende wetgeving, keuzes voor bedrijfsactiviteiten en vooruitgang in technologische mogelijkheden om bedrijfsprocessen beter te automatiseren, start de bedrijfsleiding kennis- en veranderingsprojecten die impact hebben op:

• De werkprocessen van medewerkers;
• Het effectief organiseren van de bedrijfsactiviteiten met passende bedrijfsprocessen; en/ of
• IT-systemen die bedrijfsprocessen effectief ondersteunen.

Randvoorwaarde voor een succesvol veranderingsproces is de verandercapaciteit van de medewerkers: zijn medewerkers bereid en in staat een veranderproces succesvol te doorlopen. In het onderstaande ADKAR-model bespreken wij de verschillende fases.

Veelal geven medewerkers aan waarom bedrijfsactiviteiten beter georganiseerd moeten worden. Soms initieert de bedrijfsleiding een veranderingsproces. De aanleiding voor veranderen volgt de bedrijfsleiding op met het voeden van het verlangen bij medewerkers de verandering daadwerkelijk door te voeren. Hierbij is kennis nodig en het helpt dat er een prototype van de beoogde organisatie beschikbaar is. Nadat de medewerkers voldoende kennis hebben opgebouwd en het management het prototype verder heeft ontwikkeld zijn de randvoorwaarden vervuld de beoogde veranderingen door te voeren en in de organisatie te bestendigen.

In dit veranderingsproces past de compliance-aanpak. Het in een vroeg stadium van het veranderingsproces uitvoeren van compliancewerkzaamheden versterkt de “user story”, de prototypen en de uiteindelijke processen die ondersteund worden met IT. Er ontstaat een effectieve organisatie van bedrijfsactiviteiten waarbij de realisatiekosten beheersbaar blijven.

Het organiseren van bedrijfsactiviteiten met steeds weer effectievere bedrijfsprocessen waarin steeds weer effectievere beheers- en beveiligingsmaatregelen zijn opgenomen en waar de IT, met name betrouwbare bedrijfs- en persoonsgegevens een belangrijkere rol spelen vraagt van de bedrijfsleiding doortastende sturing. Duthler Associates die ten behoeve van MYOBI de compliance-aanpak verzorgt, helpt bedrijven de veranderingsprocessen succesvol te organiseren.