Compliance-aanpak

Wat is het verantwoordingsmechanisme?

82 Views 0 26 oktober 2021 Updated on 19 July 2022 myobi

Het verantwoordingsmechanisme gaat uit van de verantwoordingsplicht van de bedrijfsleiding zoals uitgewerkt in onder andere artikel 5, tweede lid AVG en de gebruikelijke financiële, fiscale, statistische, bancaire maatschappelijke verantwoordingsplichten. Het nakomen van de verantwoordingsplicht voor het organiseren van compliance met bedrijfsverplichtingen is een interne controle aangelegenheid. Er zijn dus geen auditwerkzaamheden gericht op een assurance product nodig.

Het verantwoordingsmechanisme van het organiseren van compliance met bedrijfsverplichtingen steunt op de effectiviteit van interne controlemaatregelen die in bedrijfsprocessen zijn getroffen. Wij hebben in onderstaand figuur het mechanisme uitgewerkt voor het beschermen van persoonsgegevens en bedrijfsgeheimen, en het afleggen van verantwoording over de getrouwheid van financiële gegevens.

Figuur 1 Verantwoordingsmechanisme

Verantwoordingsstappen

De bedrijfsleiding formuleert (1) beleid en geeft hierbij aan de mate waarin aan wettelijke en contractuele verplichtingen zal worden voldaan. Het beleid geeft richting aan het effectief organiseren van bedrijfsactiviteiten door (2) bedrijfsprocessen (in ondersteunende IT-systemen) waarin passende (3) beheers- en beveiligingsmaatregelen ‘by design’ zijn opgenomen.

Er wordt een compliance mechanisme ingericht waarbij de aantoonbare continue effectieve werking van de getroffen beheers- en beveiligingsmaatregelen ‘by default’ wordt gemeten en vastgelegd. De vastlegging, oftewel de (4) privacy & security boekhoudingmet bewijs van effectieve werking, vormt de grondslag voor de bedrijfsleiding om zich te verantwoorden naar het maatschappelijk verkeer met een (5) Declaration of Accountability (DoA).

De Declaration of Accountability (DoA) vormt de basis voor:

  • De Accountabilty Seal die de bedrijfsleiding publiceert in het Accountability Seal Register op de website van MYOBI. Hiermee voldoet de bedrijfsleiding aan het organiseren van de wettelijke verantwoordingsplicht aan het maatschappelijk verkeer; en
  • Specifieke verantwoording aan betrokkenen, toezichthouders alsmede een paragraaf over het beschermen van bedrijfs- en persoonsgegevens in het (6) bestuursverslag van een controleplichtige bedrijfsentiteit.

Functioneel

De functionaris voor gegevensbescherming (FG) geeft de bedrijfsleiding (niet vrijblijvend) advies over het formuleren van het gegevensbeschermingsbeleid en ziet er op toe dat het treffen van beheers- en beveiligingsmaatregelen in bedrijfsprocessen, ondersteund door IT, leidt tot het effectief beschermen van de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van persoonsgegevens. De bedrijfsleiding wenst veelal ook een dergelijke bescherming voor de bedrijfsgeheimen (bedrijfsinformatie).

De FG ziet toe op het beheren van het register van verwerkingsactiviteiten van persoonsgegevens. Het register maakt onderdeel uit van een boekhouding waarin het afdelingsmanagement het bewijs van effectieve werking van de getroffen beheersmaatregelen vastlegt, alsmede de datalekken en beheers- en beveiligingsincidenten. Deze privacy en security boekhouding vormt de basis voor het formuleren van een Declaration of Accountability (DoA). De DoA wordt door de volgende functionarissen bevestigd:

  • Bestuur – zelfverklaring;
  • FG – bevestiging van de zelfverklaring van het Bestuur; en
  • Eventueel Interne Audit/ Compliance – bevestiging van de zelfverklaring van het Bestuur.

De compliance-professionals van MYOBI voeren een plausibiliteitscontrole uit op het organiseren van de verantwoordingsplicht met behulp van een effectieve compliance-aanpak.

Toepassen

De compliance-aanpak, als onderdeel van de TTP-policy, heeft betrekking op het verantwoorden over het nakomen van verplichtingen van het bedrijf aan zijn partners, en van partners aan het bedrijf. Wij kunnen het informatie ecosysteem van een bedrijf opvatten als een netwerk van vertrouwen tussen partners. De volgende voorbeelden maken dat duidelijk:

  • in het kader van het beschermen van persoonsgegevens rust er een wettelijke verantwoordingsplicht aan het maatschappelijk verkeer op de schouders van de verwerkingsverantwoordelijke inclusief de achterliggende (sub)verwerkers van de persoonsgegevens. Het maatschappelijk verkeer bestaat uit de personen van wie de verwerkingsverantwoordelijke gegevens verwerkt of laat verwerken, en de toezichthouder; en
  • in het kader van een verantwoorde bedrijfsvoering wenst een bedrijf met partners afspraken te maken over het verwerken van bedrijfsgegevens, in het bijzonder van bedrijfsgeheimen inclusief de intellectuele eigendommen (de kroonjuwelen van het bedrijf).

Omdat partners zich verantwoorden over de naleving van de TTP-policy, in het bijzonder de Bedrijfs- en Persoonsgegevensovereenkomst, verantwoorden ze zich ook over de kwaliteit van hun eigen bedrijfs- en persoonsgegevens, althans over de kwaliteit van de gegevens waarvoor zij verantwoordelijkheid dragen in de zin van de wet. Een belangrijk onderdeel van de Bedrijfs- en Persoonsgegevensovereenkomst is de verplichting dat alle gebruikers van MYOBI verantwoordelijk zijn voor de juistheid, actualiteit en volledigheid van hun bedrijfs- en persoonsgegevens in het vertrouwensnetwerk. Bedrijven kunnen daardoor in hoge mate vertrouwen op de integriteit van deze gegevens van hun partners. Dit leidt er tevens toe dat het informatie ecosysteem en daarmee het vertrouwensnetwerk voor verkopen als een verkoopkanaal kan gaan functioneren, voor inkopen als een inkoopkanaal en voor HR als onder meer een belangrijk kanaal voor haar personeelsmanagement.

Was this helpful?

 
Related Articles

Didn't find your answer? Contact Us