compliance

Inhoud De dynamiek van de kansspelmarkt heeft de laatste jaren een constante stroom van verandering en aanpassing gekend. Echter, de afgelopen jaren hebben we een ongekende versnelling van verschuivingen en uitdagingen gezien die de industrie op haar grondvesten hebben doen schudden. Vanuit het perspectief van de bedrijven in deze branche zijn er hordes genomen, maar er blijven ook nieuwe uitdagingen opdoemen die aandacht en voorbereiding vergen. De aankondiging van het verbod op ongerichte gokreclames en sponsoring, welke inging in juli 2023, markeerde een significante omwenteling. Het jaar 2023 bracht een nieuwe realiteit voor kansspelaanbieders, waarin het beperken van reclames voor risicovolle online kansspelen en het geleidelijk uitfaseren van sponsormogelijkheden centraal staan. Dit heeft de manier waarop bedrijven hun merk en aanbod presenteren ingrijpend veranderd. Hoewel deze maatregelen gericht zijn op het beschermen van kwetsbare groepen, hebben ze bedrijven ertoe gedwongen hun marketingstrategieën opnieuw te evalueren en creatieve manieren te vinden om zich te onderscheiden binnen de nieuwe grenzen.   Legaal De legalisatie van online kansspelen bracht nieuwe kansen met zich mee, maar bracht ook nieuwe verantwoordelijkheden voor bedrijven in de branche. Het vinden van de juiste balans tussen het aantrekkelijk maken van legale aanbiedingen en het voorkomen van ongezond speelgedrag is een continue uitdaging geworden. Hoewel deze balans cruciaal is voor het succes van bedrijven, blijft het een uitdaging om innovatieve manieren te vinden om spelers te betrekken zonder hen aan te hoge risico's bloot te stellen. Naast de huidige uitdagingen is het belangrijk om te anticiperen op wat nog kan komen. Een van de urgente kwesties is het verkrijgen van nauwkeurige identificatiegegevens van spelers. Het ontbreken van een wettelijke basis voor toegang tot deze gegevens bemoeilijkt effectief toezicht en handhaving. Dit kan bedrijven blootstellen aan risico's en het vermogen van toezichthouders om illegale activiteiten tegen te gaan beperken.   Verslaving Het CRUKS, bedoeld om kansspelverslaving tegen te gaan, heeft niet het gewenste effect gehad vanwege het lage aantal onvrijwillig ingeschreven personen. Bedrijven in de branche moeten samenwerken met toezichthouders om dit instrument effectiever te maken en te voldoen aan de behoeften van degenen die risico lopen. Offline kansspelen blijven ook een focuspunt, aangezien veranderende omstandigheden en technologische ontwikkelingen de behoefte aan een modernere aanpak aantonen. Herstructurering van de huidige regelgeving is aannemelijk om effectief toezicht te kunnen houden en tegelijkertijd beleidsveranderingen te weerspiegelen. Als we vooruitkijken, zien we een complex landschap van uitdagingen en kansen voor bedrijven in de kansspelmarkt. Het is cruciaal dat bedrijven proactief samenwerken met toezichthouders en beleidsmakers om een veilige, eerlijke en verantwoordelijke omgeving te creëren. De evolutie van de industrie zal doorgaan en bedrijven moeten zich aanpassen, innoveren en blijven leren om succesvol te blijven opereren. In deze tijd van verandering kunnen bedrijven in de kansspelmarkt een positieve impact hebben door samen te werken aan duurzame groei en het bevorderen van verantwoord spelen. Alleen door gezamenlijke inspanningen kunnen we een omgeving creëren waarin de belangen van alle belanghebbenden worden gerespecteerd en beschermd. Benieuwd naar wat Mavim voor jouw organisatie kan betekenen bij het voldoen aan de Wet op de Kansspelen? Lees er hier meer over! Door: Ramon Bruijnesteijn, Business Development Representative bij Mavim

Inhoud Eind maart vond de derde editie van het online congres Overheid365 plaats. Tijdens tien kennissessies verspreid over drie dagen spraken verschillende experts over de uitdagingen, oplossingen en kansen rondom digitalisering binnen de overheid. Informatiehuishouding, procesoptimalisatie en het beheer van IT en compliance waren een paar van de onderwerpen die dit jaar voorbij kwamen. Met praktijkvoorbeelden van onder andere het Ministerie van Financiën, de Gemeente Katwijk en Waterschap Zuiderzeeland kregen bezoekers een kijkje achter de schermen van de initiatieven die worden genomen voor een toekomstbestendige overheid. Heb je het evenement gemist? Geen zorgen! In deze blog delen we drie belangrijke takeaways van Overheid365. Alle sessies zijn daarnaast ook nog hier on-demand terug te kijken.   1. Er moeten duidelijke afspraken gemaakt worden over het opslaan en delen van informatie   Bij veel overheidsinstanties zorgt de informatiehuishouding voor problemen in de bedrijfsvoering. Informatie ligt vaak versnipperd in documenten, mappen, systemen en e-mails, waardoor deze moeilijk te achterhalen is wanneer het nodig is. Veelal Met als gevolg dat iedereen anders omgaat met het archiveren en organiseren van gegevens, uniformiteit ontbreekt. Met het oog op meer transparantie, de strengere wet- en regelgeving en een betere dienstverlening is een omslag nodig van de manier waarop overheidsinstanties hun informatiehuishouding inrichten. Door processen rondom de informatiehuishouding duidelijk vast te leggen, zoveel mogelijk te standaardiseren en voor iedereen toegankelijk te maken op een centrale plek, kunnen organisaties sneller en efficiënter reageren op verzoeken en nieuwe ontwikkelingen. De juiste informatie is dan in de juiste vorm snel terug te vinden voor bijvoorbeeld audits, het aantonen van compliance of WOB-verzoeken. Dit draagt tevens bij aan een betere weerbaarheid en uitvoering wat uiteindelijk zorgt voor een betere dienstverlening.   2. Goed procesbeheer is nodig voor meer samenwerking en een betere dienstverlening   Een belangrijk streven van de overheid is het verbeteren van de dienstverlening. Deze wordt persoonlijker, centraler, herkenbaar en gebruiksvriendelijker. Als een burger bij de overheid terechtkomt, vind hij het belangrijk om goed en snel geholpen te worden. Het liefst wordt de burger zo min mogelijk van het kastje naar de muur gestuurd, het maakt daarbij niet uit door wie deze uiteindelijk geholpen wordt. Om dit te realiseren moeten overheidsinstanties meer met elkaar samenwerken en meer gegevens uitwisselen. Het samenbrengen van verschillende afdelingen en teams kan echter zorgen voor problemen. Elke afdeling heeft ten slotte een eigen manier van werken en gebruikt daarvoor vaak verschillende IT-systemen. Voor een succesvolle samenwerking zijn er dus duidelijke en uniforme afspraken nodig over de werkprocessen, IT-processen en betekenis van begrippen. Ook deze processen moeten vervolgens weer inzichtelijk en toegankelijk zijn voor iedereen die betrokken is. Een tool voor procesmanagement biedt hier een oplossing voor.   3. Digitalisering zorgt voor nieuwe kansen   Hoewel de nieuwe doelstellingen en digitale transformatie de overheid voor een ingewikkeld vraagstuk stelt, brengt het natuurlijk ook nieuwe kansen. Door digitalisering meteen mee te nemen bij het inrichten van de processen, worden alle mogelijkheden hiervan optimaal benut. Dit draagt bij aan een efficiënte en effectieve bedrijfsvoering, iets wat essentieel is voor een overheid die het steeds drukker krijgt en minder middelen beschikbaar heeft. In een wereld waar verandering een continu is, kan goed procesmanagement en technologie daarnaast zorgen voor wendbaarheid en flexibiliteit zodat de overheid ook in de toekomst de burger goed van dienst kan zijn. Ben je benieuwd naar hoe andere organisaties binnen de overheid omgaan met specifieke veranderingen zoals de rechmatigheidsverantwoording of het Digitaal Stelsel Omgevingswet (DSO)? Bekijk dan nu onze gratis on-demand webinars!

Inhoud Alle organisaties willen voldoen aan informatiebeveiligings- en privacynormen. Het gebruik van tooling daarbij is anno 2021 essentieel. Audittrail levert samen met Mavim het Compliance Management Framework (CMF). Hoe helpt dit systeem aan deze normen te voldoen, de administratieve last te verminderen én maximaal inzicht te verkrijgen in wat goed of minder goed geregeld is binnen een organisatie? Een gesprek daarover met Ralph Drijver, Business Developer bij Audittrail. Het opzetten van de administratie rondom het voldoen aan informatiebeveiligings- en privacynormen is complex, begint Ralph het gesprek. “Als je naar informatiebeveiliging en privacywetgeving kijkt, zijn er bij alle organisaties extreem veel spreadsheets, Word-documenten en andere informatiebronnen die worden gebruikt en toegepast voor de vastlegging. De administratieve last en druk is hoog maar men moet natuurlijk wel voldoen aan de wet. Dus men moet vastleggen, organiseren en borgen ten behoeve van de verantwoordingsplicht.”   Eenvoudiger en geoptimaliseerd Het is voor beide disciplines essentieel de risico’s te mitigeren en maximaal inzicht te hebben in de staat van compliance, de actualiteit van verplichte en noodzakelijke documenten en de consistentie van de volledige inhoud. Ralph: “Maar kun je dat bereiken door niet de juiste instrumenten toe te passen? In andere woorden: de administratie rond informatiebeveiliging en privacy moet eenvoudiger en geoptimaliseerd worden.”   Tweedimensionaal beeld en drukke officers Door bij informatiebeveiliging en privacy alleen gebruik te maken van bijvoorbeeld Microsoft Office en losse documenten, creëer je volgens Ralph een tweedimensionaal beeld van de staat van compliance. “Dit beschermt de organisatie niet voldoende en levert behoorlijke risico’s op. Daarnaast hebben de privacy- en security officers vaak zo’n administratieve druk en moeten ze zoveel handelingen uitvoeren, dat ze hun adviserende en regievoerende rol amper kunnen oppakken.” “Het is zoals bij een voetbalelftal; iedere speler heeft een of meerdere rollen in het veld. Het schakelen tussen deze rollen levert echter het grootste risico op voor een counter en een tegengoal. En omdat deze officers met zoveel druk te maken hebben en steeds moeten omschakelen, neemt de kans op een fout alleen maar toe.”   Essentiële tooling Gebruikmaken van de juiste tooling is daarom essentieel, gaat Ralph verder. “Dit geeft je organisatie veel meer vrijheid en een hogere mate van control. Informatieonderdelen kunnen eenmalig vastgelegd worden en vervolgens binnen verschillende disciplines worden hergebruikt voor automatische, consistente rapportages en BI-inzichten. Maar ook de verbinding tussen mensen, processen en systemen wordt hierdoor duidelijker. Dat verkrijg je niet wanneer je alleen gebruikmaakt van Excel of Word. Wanneer je vragen kunt beantwoorden zoals ‘wie doet wat en binnen welk proces’, ‘waarom doen we deze handeling’ en ‘welke maatregelen dekken deze risico’s af’, dan heb je een goede tool in huis. De tooling hoort je een driedimensionaal inzicht te bieden zodat je kunt sturen, managen en anticiperen vanuit inzicht en op feiten gebaseerde informatie.”   Verbinding met bredere uitdagingen Daarbij is het belangrijk om met de tooling de verbinding te zoeken met de bredere uitdagingen binnen de organisatie. Ralph: “Heb je deze verbinding niet, dan is een nieuw systeem slechts een pleister op de wond. Stel je voor dat de privacy-afdeling een apart systeem zoekt voor privacymanagement zonder de verbinding te zoeken met de informatiebeveiligingsuitdagingen en het GRC-domein. Dan gaat iedereen zijn eigen systeem hanteren zonder echt de link te leggen naar de organisatiestrategie en het GRC. Het systeem is dan snel niet meer afdoende of te auditen. Het organiseren van de verantwoording of de toetsing hiervan wordt dan wel erg lastig.”   Compliance Management Framework Om organisaties te helpen wél over deze samenhang te beschikken, levert Audittrail het Compliance Management Framework (CMF). Ralph: “Dit is een blauwdruk om vanuit informatiebeveiliging de verbinding te zoeken naar privacymanagement en vice versa. Ook kun je met het CMF de business faciliteren met correcte, overzichtelijke informatie ten behoeve van sturing en besluitvorming. Binnen het systeem wordt de volledige administratieve last van de compliance-administratie afgedekt en verkrijgt de organisatie maximaal inzicht in alle zaken die goed of minder goed geregeld zijn.”   Ondersteuning naar volwassen compliance Voor veel organisaties is nu hét juiste moment om aan de slag te gaan met het CMF, vertelt Ralph: “Men is vaak al druk bezig met alle typen en soorten documenten en spreadsheets, ook al hebben deze als instrument voor informatiebeveiligings- en privacynormen meer nadelen dan voordelen. Vaak zegt men wel eerst ‘de boel op orde’ te willen krijgen voordat een visie wordt gevormd of een serieuze tool wordt aangeschaft. Het tegenargument is: als het in de afgelopen drie jaar – of zelfs langer – niet gelukt is de basis op orde krijgen, waarom zou je dan steeds hetzelfde blijven proberen?” “Ons argument is om het nu andersom te doen en vanuit een vooraf door experts gedefinieerde visie, met een goed instrument te gaan werken aan de volwassenheid van de organisatie. Het CMF neemt organisaties bij de hand en heeft alle inrichtingselementen en inhoudelijke voorwaarden in zich om het project stapsgewijs naar volwassen compliancemanagement te kunnen ondersteunen. Zo investeer je als organisatie juist in een platform wat multidisciplinair kan bijdragen aan deze volwassenheidsreis en de strategische doelstellingen van de organisatie. Dat zal zich dan altijd terugverdienen op meer vlakken dan meetbaar is in droge cijfers.”   Microsoft Office, maar dan geïntegreerd Het CMF is gebouwd op Microsoft-technologie maar maakt gebruik van Mavim. “Dit geeft organisaties bijvoorbeeld de mogelijkheid om processen uit te tekenen in Microsoft Visio, Word of Excel, waarna de processen kunnen worden hergebruikt in andere documentatie. Omdat namelijk alles wordt vastgelegd in een database, is het mogelijk om veel zaken als informatie-element vast te leggen waarna je vanuit één waarheid die informatie kunt toepassen. Bijvoorbeeld in rapportages of in BI-dashboards. Daarnaast is het grote voordeel van Mavim-technologie dat veel zaken heel logisch en begrijpelijk zijn. Het is Microsoft Office, maar dan geïntegreerd in een database. Die herkenning maakt het ook in gebruik een stuk eenvoudiger voor medewerkers.”   Integraal werken aan GRC Op donderdag 8 juli geeft Audittrail tussen 09:00 en 10:30 een webinar over het gebruik van het CMF. “Hierin gaat het met name over integraal werken aan GRC,” sluit Ralph af. “Want alleen als een team win je deze wedstrijd. Naast een visiepresentatie zullen wij ook een demo geven van het platform en de inhoud van onze oplossing. Zo kunnen bezoekers de meerwaarde van het CMF voor de organisatie ervaren, zien hoe je de verplichtingen rondom vastlegging, verantwoording en rapportage afdekt én ervaren hoe het systeem het management faciliteert.”   Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail ondersteunt organisatie met het opzetten van bewustwordingsprogramma’s en biedt organisatie inzicht in het bewustwordingsniveau van haar medewerker. Ben je geïnteresseerd in hoe jouw organisatie reageert op een phishingmail of heb je vragen naar aanleiding van dit artikel? laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet.    

Inhoud Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project waar de nieuwe wetgeving de trigger heeft gegeven om privacy in te gaan richten. Overal werden projectteams samengesteld en er werd gewerkt aan een opzet van privacy met een beleid, procedures, een verwerkingsregister en het organiseren van rechten voor betrokkenen. Vanuit dit projectteam is ook nagedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris gegevensbescherming (FG). Alle verplichte documenten zijn destijds opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam heeft decharge gekregen en de aangewezen Privacy Officer (PO) is zelf aan de slag gegaan. Inmiddels zijn we een paar jaar verder. De projectgroep was natuurlijk een veilige omgeving waar meerdere mensen bezig waren en het belang ervan ook hebben ingezien. Eenmaal uit de projectgroep en terug in het hart van de organisatie razen alle andere prioriteiten en continue veranderingen als een straaljager langs de PO heen. Privacy compliance is ineens één van de vele onderwerpen op de prioriteitenlijst en bovendien een onderwerp wat toch al geregeld was? Dus nu is een ander onderwerp aan de beurt, ook binnen de budgettering.   Situatie Helaas! Privacy gaat niet weg, plichten verminderen niet maar worden alleen maar groter, risico’s bij het niet aantonen van een bepaalde mate van control zijn nog steeds aanwezig. Documenten verouderen en Excel spreadsheets worden niet of nauwelijks bijgehouden of zijn veel te complex geworden. Verantwoordelijkheden liggen nog (steeds) niet in de organisatie maar bij enkele individuen in plaats van bij de proceseigenaren. De vragen die nu gesteld kunnen worden zijn: Waar en hoe dient privacy nu eigenlijk ondergebracht te worden? Hoe kan privacy onderdeel worden van het grotere geheel, het organisatie brede compliance vraagstuk? Hoe kan de afdeling control een grotere rol gaan spelen bij toetsing en implementatie? Steeds vaker zijn organisaties bezig met het zoeken naar softwareoplossingen die ervoor kunnen zorgen dat “het allemaal gemakkelijker” kan worden gemaakt of geautomatiseerd kan worden. Slim om dat te doen! Daar kan ik het niet oneens mee zijn. Alleen, is er ook een strategie geformuleerd die hieraan ten grondslag ligt? Heeft het management en de organisatie uitgesproken aan welke doelstellingen de keus voor een instrument moet gaan bijdragen? En is dit een korte of lange termijnstrategie?   Impact In deze bijzondere tijden is investeren en de juiste keuze maken niet eenvoudig. Nú investeren in een point solution, een goedkoop en klein instrument wat één specifiek vraagstuk, of erger nog, een deel daarvan voor nu even oplost, is dat wel of geen passende oplossing? Misschien wél voor nu, maar dit zal uiteindelijk een desinvestering blijken te zijn, áls deze niet volledig aansluit bij de toekomstvisie en compliance strategie van de organisatie. Alle kosten, duidelijk en verborgen, tijd, verspilling van draagvlak, energie, uren die erin gestoken worden om er later achter te komen (bij een basis audit of assessment) dat het instrument niet volledig voldoet aan de vereisten van informatievoorziening en de verschillende disciplines niet met elkaar verbindt of laat samenwerken. Een investering in een instrument dient altijd bij te dragen aan de duidelijke doelstellingen van de organisatie en dient ook een duurzaam karakter te hebben. Selecteer dus verstandig en laat je helpen bij het maken van de juiste keuze voor jouw organisatie. De afgelopen maanden hebben wij vele organisaties gesproken over de meest logische vervolgstappen om compliance, risicomanagement, informatiebeveiliging en privacy management beter in de organisatie te gaan beleggen. Veel organisaties zijn actief op zoek naar tooling op het gebied van P(I)MS Privacy (Informatie) Management Systeem en/of een ISMS, Information Security Management Systeem. Dit komt met name door nieuwe richtlijnen en eisen vanuit de overheid voor zorginstellingen, GGD en GGZ-organisaties, Lokale en regionale overheden, etc. Met de introductie van de Baseline Informatiebeveiliging Overheid (BIO) is ineens ook ISMS bezig met een hernieuwde opleving. Vanuit de IT-afdelingen worden initiatieven opgetuigd om dit vorm te gaan geven, projecten worden gestart en investeringen in software en/of dure consultants gedaan. Zelfs aanbestedingen worden uitgeschreven met alle kosten die daarbij komen kijken. De keuze waar je ongetwijfeld ook mee geconfronteerd gaat worden als organisatie: Investeren wij in diverse losse software-instrumenten voor deze vraagstukken of kiezen wij ervoor om gebruik te gaan maken van een multifunctioneel en integraal in te zetten platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld en kan het meest bijdragen aan de organisatiedoelstellingen? Dé vraag voor 2021 is voor ons dan ook: “Zet de transitie naar integraal, gecontroleerd (GRC) compliance management door?”. Het magische woord in deze vraag is, wat ons betreft, integraal. De behoefte die uitgesproken wordt bij veel onderzoeken is dat zij de organisatie naar een hoger volwassenheidsniveau willen brengen, vooral als het gaat om risicomanagement en compliance. Hier hoort echter altijd een goede governance bij, ofwel, zonder processen en control ben je aan de leeuwen overgeleverd! De enige oplossing die wij kunnen verzinnen is er één die al vele jaren door de experts geuit wordt, niet eenvoudig, wel noodzakelijk.   “Door de verbinding te zoeken binnen de organisatie tussen processen, (mensen) rollen en verantwoordelijkheden, (systemen) IT-applicatielandschap en datamodellen, (compliance) wet- en regelgeving, normeringen, risico’s, beheersmaatregelen, de audit en control cycli, krijg je als organisatie écht grip op alle verplichtingen die jouw organisatie al heeft en die nog op jouw organisatie afkomen”.    Compliance Management Framework (CMF) Een manier om hiermee te starten is door gebruik te maken van een Compliance Management Framework (CMF) en de verbinding te gaan zoeken tussen de kernafdelingen die hier een belang bij hebben. Het CMF is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden Informatiebeveiliging, Privacy, Risicomanagement, Legal en Governance. Het CMF zorgt ervoor dat je in control komt, bent en blijft over je compliance vraagstukken.   Webinar Van onbewust onbekwaam naar onbewust bekwaam Compliance Management De kernvraag voor iedere organisatie is: ga je als organisatie investeren in diverse losse software-instrumenten voor compliance vraagstukken of kies je ervoor om gebruik te gaan maken van een multifunctioneel en compleet platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld? Klik hier voor meer informatie en aanmelding.   Wil je geïnspireerd worden, feedback geven, de dialoog aangaan? Neem dan contact op! Ook wij leren, zoals iedereen, iedere dag! Ralph Drijver | Telefoon: +31 6 13 84 77 44 | rdrijver@audittrail.nl | www.compliancemanagementframework.nl     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet. Of meld je aan voor het Webinar Compliance in control in de publieke sector.  

Inhoud Zuiderzeeland is een Waterschap in Lelystad. Zuiderzeeland bedient een gebied dat bestaat uit 8 gemeenten en 414.000 inwoners. Zuiderzeeland beheert 365 stuwen, 1200 kilometer aan watergangen en 255 kilometer aan dijken. Dit alles verspreid over een gebied van 250.000 hectare. In de polders die het waterschap beheert liggen zuiveringen, gemalen en dijken. Daarmee zorgt het waterschap voor schoon en voldoende (drink)water en zorgen ze dat alle inwoners in veiligheid kunnen leven, zowel in de steden als op het platteland.   Uitdaging Zuiderzeeland benaderde Audittrail vanuit de wens om effectief werk te maken van informatiebeveiliging. Het waterschap had al enige stappen ondernomen richting informatieveilig werken, bijvoorbeeld door een audit op de Baseline informatiebeveiliging Waterschappen(BIWA). Daarnaast had Zuiderzeeland al Mavim aangekocht en hierin de architectuur van applicaties en systemen en alle processen vastgelegd. De vraag vanuit de organisatie was om de informatie die reeds in Mavim was vastgelegd aan te vullen en uit te breiden met een stuk informatiebeveiliging (BIWA). Naast de operationele invoer wilde Zuiderzeeland ook het beheer makkelijker maken. Omdat er al veel gegevens in Mavim stonden, zochten ze een oplossing die daarop aansloot. Met de komst van de BIO werd besloten om daarop te sturen en de BIWA-audit mee te nemen als startpunt voor een BIWA-BIO omschakeling. Het management was ook op zoek naar een oplossing die meer grip op de status van informatiebeveiliging bood. Daarbij was er de wens voor overzichtelijke rapportages. Deze konden gebruikt worden als verantwoording naar het bestuur maar ook naar de procesverantwoordelijken. Zo had Zuiderzeeland de behoefte om eenvoudig de huidige status van “hun” beheersmaatregelen in te zien.   Oplossing We zijn begonnen met een inventarisatie van wat reeds in Mavim was opgenomen. Deze informatie is gekoppeld in het door Audittrail opgeleverde Compliance Management Framework (CMF), dat in de reeds bestaande Mavim-omgeving is geïmplementeerd. Het framework is zodanig aangepast en uitgebreid dat het past bij de wensen van Zuiderzeeland. Vervolgens is er begonnen met de daadwerkelijke invulling van het framework met bijvoorbeeld de uitslag van de BIWA-audit. Door deze gegevens te verwerken in het CMF werden de aandachtspunten duidelijk. Om de rapportagemogelijkheden van het framework uit te breiden zijn er dashboards toegevoegd met het gebruik van Microsoft Power BI Hierdoor zijn er meer filter mogelijkheden en kunnen de rapporten op verschillende plekken in het framework worden geïntegreerd.   “We willen ons Compliance Management Framework zelf in de hand houden, maar wel professionele begeleiding inschakelen. Audittrail laat ons zelf aan de knoppen zitten en ondersteunt waar nodig met bijsturing. Zo blijven we samen in control.” Foeke Sijtsma | Waterschap Zuiderzeeland   Resultaten Zuiderzeeland is erg tevreden met het resultaat tot nu toe. Het CMF biedt de gewenste grip op informatiebeveiligingscompliance. Inmiddels zijn we een jaar verder en gaat het traject nog een stuk verder. De wens vanuit de CISO is dat hij overzicht en inzicht heeft zonder zelf aan de knoppen te zitten. Hiervoor worden er momenteel mooie Power BI dashboards gemaakt voor de verschillende doelgroepen. Overall overzicht voor het bestuur, voor de proceseigenaar/stakeholder zijn/haar eigen actiepunten en daarbij de voortgang en voor de CISO een combinatie van beide. De komende tijd gaan Audittrail en Zuiderzeeland verder met de invulling en landing van het framework binnen de organisatie. Eind vorig jaar is Zuiderzeeland na een Quickscan op het gebied van Privacy ook gestart met het privacy onderdeel in het CMF. De komende tijd worden de dashboards aangevuld met informatie over privacy. Hierdoor komen Informatiebeveiliging en privacy weer mooi samen en krijgt het bestuur een snel overzicht hoe ze er voor staan.     Bron: Audittrail

Inhoud Organisaties zijn de laatste jaren en masse bezig geweest met het aanpakken van privacy en informatiebeveiliging. Maar waar het verbeteren van deze thema’s tijdens een project vaak wel lukt, is het borgen van de aanpassingen in de organisatie lastiger. Hoe zorg je ervoor dat ook na het traject privacy en informatiebeveiliging de aandacht krijgen die ze verdienen? Om organisaties daarbij te helpen kwam Audittrail met het Compliance Management Framework en wij spraken daarover met Business Developer Ralph Drijver. Het antwoord op de vraag ‘hoe je moet omgaan met thema’s als privacy en informatiebeveiliging’ is een lastige voor organisaties, ziet Ralph in de praktijk: “We horen vaak dat er van alles geprobeerd is maar dat thema’s niet lijken te landen bij medewerkers. En dat is wel te verklaren. Organisaties hebben privacy en informatiebeveiliging opgepakt als project met een beperkte groep mensen. Er is veel tijd en moeite gedaan om de basis op orde te krijgen, en daarna is overgegaan tot de orde van de dag. Een projectmatige aanpak leidt echter tot beperkte zichtbaarheid en betrokkenheid, en draagt niet bij aan een organisatie die volwassener of professioneler te werk gaat. De grote uitdaging is dan ook; hoe kun je de transformatie maken van projectmatig naar programmatisch werken en hiermee het eigenaarschap en verantwoordelijkheid van de thema’s beleggen bij die mensen die deze ook horen te dragen.”   Grote administratie Een bijkomstigheid bij de wens om te voldoen aan privacywetten en informatiebeveiligingskaders is een grotere administratie. Ralph: “In bijvoorbeeld een verwerkingsregister ben je verplicht vast te leggen wat je doet met de data binnen jouw processen, wie iets mag doen met welke gegevens, welke applicatie toegang heeft tot welke data, etc. Feitelijk ieder onderdeel in de organisatie wordt geraakt en heeft verantwoordelijkheden. Hoe borg je dit in mensen, rollen, processen of systemen zonder de controle te verliezen? In de praktijk betekent dit dat het bijhouden en actueel houden van informatie tijd kost op verschillende niveaus en binnen verschillende bedrijfsonderdelen, het voorbereiden van een audit heel veel tijd kost wanneer de basisinformatie niet in orde is en de audit zelf ook veel tijd in beslag neemt omdat er teveel onduidelijkheden of omdat informatie niet direct voorhanden is. Dat zijn uiteindelijk allemaal verborgen kosten.”   Koers en ambitie Bij het nemen van de volgende stap rond het onder controle krijgen van compliance én dit naar een volgend niveau te tillen, is allereerst een goede koers en ambitie essentieel. Ralph: “Het begint allemaal bij het management. Zodra vanaf bovenaf een koers wordt bepaald én een ambitie wordt geformuleerd voor de komende drie tot vijf jaar, kun je compliance management verder inrichten en daar de juiste tools voor kiezen.”   Handvatten aanreiken “Daarnaast is het belangrijk dat organisaties de handvatten aangereikt krijgen om met de geleerde lessen uit een project aan de slag te gaan. Nu wordt vaak nog bij het einde van een project een USB-stick, OneDrive-folder of ordners met papier achtergelaten waarmee de klant verder kan gaan. Alleen gebeurt dit vaak niet. Dat kun je ook wel kapitaalvernietiging noemen. Consultancybedrijven zullen zich daarom moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij klanten.”   Compliance Management Framework Om organisaties wel een handvat te geven, levert Audittrail het Compliance Management Framework (CMF). “Dit is een best practice instrument om alle losse en relevante informatie omtrent informatiebeveiliging en privacy op een pragmatische en gestructureerde wijze vast te leggen in een database. Zo worden resultaten van het ‘normale’ inhoudelijke advieswerk geborgd in software voor de organisatie. Daardoor wordt onder andere consistentie afgedwongen en eenmalig gebruikte informatie vastgelegd waardoor het binnen de gehele GRC-organisatie te gebruiken is. De eerder beschreven onduidelijkheden en verlies van tijd worden hiermee voorkomen en de organisatie verlaagt de druk op de vele control- en auditmomenten.”   Visie en besluit bij elkaar brengen Omdat binnen het CMF alle informatieonderdelen met elkaar worden verbonden en geanalyseerd, hebben organisaties meer transparantie, inzicht en kansen voor impact en verandermanagement. “Zo kunnen bijvoorbeeld de juiste keuzes op het goede moment genomen worden en worden besluiten beter beargumenteerd. Op die manier is het CMF een instrument dat organisaties in staat stelt visie en besluit beter bij elkaar te brengen. Daarbij is informatie binnen het systeem real-time en direct beschikbaar en te bestuderen vanuit ieder gewenst perspectief of vanuit iedere rol met zijn of haar belangen. Zo kan de organisatie zich richten op continue verbetering.”   Snel inzicht bieden Volgens Ralph kunnen organisaties met het CMF hun PDCA-cyclus ondersteunen. “Neem bijvoorbeeld de registratie en vastlegging van incidenten. Hiervoor heb je beleid nodig (P), de incidenten vinden plaats, worden gemeld, vastgelegd en er kan op geanticipeerd worden door het verantwoordelijke team (D). De uitkomsten bepalen of er aanpassingen gedaan dienen te worden binnen applicaties, autorisaties, verwerkingsregister of een ander onderdeel (C), en daar kan vervolgens naar gehandeld worden (A). Hiervoor is impactmanagement en informatieanalyse nodig, anders kun je niet anticiperen. En dat is precies de kern van het CMF, dat snel inzicht biedt waardoor duidelijke keuzes gemaakt kunnen worden.”   Compliance écht beleggen Het CMF helpt middels de toename aan transparantie eigenaarschap in de lijnorganisatie te beleggen, gaat Ralph verder. “Proceseigenaren en uitvoerende onderdelen van een organisatie willen bezig zijn met klanten. Logisch, want klanten zijn leuk en daarom heeft men de rol gekozen en het bedrijf om te mogen werken. Alles wat erbij komt – zoals privacy en informatiebeveiliging – is afleiding. Dat leidt tot weerstand bij medewerkers. Wanneer eenvoudige informatie duidelijk en makkelijk vindbaar is voor deze personen, zie je het begrip en transparantie toenemen. Mensen zien het dan niet langer als het ‘lastige’ extraatje van die compliance-mensen, maar als iets dat groter en belangrijker is. En dat helpt pas echt om compliance in de organisatie te beleggen.”   Blinde vlekken “De functionaliteiten van het CMF zijn ongelimiteerd als het gaat om rapporten,” sluit Ralph af. “De standaarden zijn ruim gevuld met veel soorten en typen rapportages, templates die minimaal weergeven wát je moet hebben vastgelegd vanuit de wetgeving of norm waar je als organisatie moet of wilt voldoen. De rapportages worden verder gevisualiseerd middels Power-BI. Als iets niet is ingevuld, dan is de informatie niet beschikbaar en moet het worden behandeld. Zo zie je direct wat er nog moet gebeuren en welke informatie mist. Het systeem maakt ‘blinde vlekken’ meedogenloos duidelijk en visueel. Als je compliant wilt zijn is het dus noodzakelijk om deze vlekken aan te vullen of op te nemen in het risicomanagementplan als geaccepteerd risico.”   Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy, GRC en kwaliteit en partner van Mavim. Met zijn team van bevlogen vakspecialisten voeren zij adviesopdrachten, audits uit bij woningcorporaties, zorginstellingen, gemeenten en overheden. Ook verzorgt Audittrail al jaren diverse privacy en securitytrainingen op maat. Wil je contact met Audittrail? Neem dan contact op via koffie@audittrail.nl of 071 – 747 17 17.   Interview is afgenomen door Johan van den Beld van vdBeld Communicatie.   Bron: Audittrail  

Inhoud Meten is weten. Het is een belangrijk onderdeel van iedere verbetercyclus. De Check in Plan Do Check Act, de M uit SMART. Het komt om de hoek kijken bij het opstellen van een stuk bij het jaarverslag, het aanvragen van een budget, het opstellen van een plan van aanpak en de evaluatie van een project. Maar hoe weet je wat je moet meten als het op zaken als privacy of informatiebeveiliging aankomt? In deze blog gaat Audittrail in op het meten van compliance en hoe zij tot deze aanpak van het meten in volwassenheidsniveaus zijn gekomen.   Wat is compliance? Compliance betekent naleving. Dat kan het naleven van wetten en regelgeving zijn, van gedragscodes, van standaarden zoals de ISO, integriteitsnormen of van het intern gekozen beleid. Het meten van compliance is daardoor geen eenvoudige taak. Ga je overtredingen tellen, of hoe vaak het juist goed gaat? Of het aantal maatregelen dat is geïmplementeerd? En spreek je specifieke KPI’s af? Hoe pak je dat aan en hoe weet je wat je niet weet?   Hoe compliant moeten we zijn? Dat is voor juristen een lastige vraag. De wet is de wet en die horen we te kennen en te volgen. Het is alsof je vraagt hoe vaak je door rood mag rijden. Echt een goed idee is het nooit, maar we kunnen ook niet zeggen dat je iedere keer beboet zult worden of een ongeluk zult krijgen. In beveiligingsstandaarden heb je meer ruimte om een eigen keuze te maken op basis van jouw risicobereidheid. Zolang je die afwegingen (in redelijkheid) maakt, ben je dus compliant aan de standaard. Hoewel de wet- en regelgeving en standaarden veelal het nodige papierwerk vereisen, zit naleving vooral in de uitvoering. Een meting op de naleving in processen zal per definitie een momentopname zijn en zoals zo vaak geldt bieden resultaten uit het verleden geen garantie voor de toekomst.   KPI’s Het tellen van het aantal datalekken kan een voor de hand liggende KPI zijn; datalekken zijn concrete gevallen van privacyschendingen en die wil je terugdringen, nietwaar? Een bedrijf zonder datalekken is dus een veilig bedrijf als het op privacy aankomt. Maar wat als datalekken wel voorkomen, maar niet gemeld worden, of niet eens herkend of ontdekt worden? Dan zul je aan bewustwording moeten werken en dan is het een goed teken als er juist een stijging in het aantal (gemelde!) datalekken is. Het vaststellen van KPI’s moet passen bij de stand van zaken en de ambities van de organisatie. Een assessment kan helpen om een logische verzameling KPI’s vast te stellen.   Assessment op volwassenheidsniveaus Door te meten op volwassenheidsniveaus kijken we naar de mate waarin regels in de organisatie, mensen en processen zijn ingebed. Van ad hoc naleving, tot volledig beschreven, geïmplementeerde, bekende en gecontroleerde processen. Hiermee heb je geen 100% garantie op compliance, net zomin als ad hoc opvolging een garantie voor overtredingen is, maar het is een goede indicatie van hoe makkelijk en vanzelfsprekend het naleven voor de organisatie is geworden. De kans op een overtreding als gevolg van onwetendheid, een gebrek aan afspraken of het moeten terugvallen op houtje-touwtje oplossingen is vele malen kleiner binnen een volwassen organisatie. Wat overblijft zijn de overtredingen die veroorzaakt worden door een bewuste overtreding van de regels, uit kwade opzet of een zorgvuldige risico-afweging.   Consequent meten Uiteindelijk is er niet één gouden standaard voor het meten van compliance. Het belangrijkste is dat je een methode kiest die aansluit bij hetgeen de organisatie in beeld wil krijgen en dat je deze consequent toepast. Door de meting met regelmaat, volgens dezelfde aanpak, te herhalen, kun je heel goed de verandering over tijd meten. Gaan we vooruit, staan we stil of lopen we op sommige punten misschien zelfs terug? Dat is waardevolle informatie als je wilt meten welke effecten de inspanningen van de organisatie teweegbrengen. Door alle voorwaarden uit de Algemene verordening gegevensbescherming (AVG) en de informatiebeveiligingsstandaard ISO 27001/2 (en ook de BIC, BIO, etc.) op een rij te zetten en in te delen in volwassenheidsniveaus die volgens onze best practice aansluiten bij de praktijk, krijg je een goed overzicht van waar de organisatie staat en wat er al bereikt is. Op basis daarvan is in één oogopslag te zien welke onderwerpen meer aandacht verdienen en waar juist de processen goed ingebed zijn. Zo stel je gemakkelijk nieuwe ambities en verbeterplannen op, leg je verantwoording af en kun je met recht zeggen dat je weet hoe het met de compliance in de organisatie gesteld is.   Bron: Audittrail   Audittrail heeft in Mavim het Compliance Management Framework (CMF) gebouwd. Hiermee kunnen organisaties hun privacy en informatiebeveiliging compliance management borgen. Lees hier meer over het Compliance Management Framework.      

Inhoud De rol van software in het consulting vak De bewezen waarde van het Compliance Management Framework Zoals je wellicht weet maakt Audittrail al vele jaren gebruik van software om de klanten duurzaam te faciliteren. Audittrail heeft dan ook het Compliance Management Framework (CMF) gebouwd in een op Microsoft gebaseerd software platform, een best practice gebaseerd op basis van 20 jaar ervaring. Dit artikel is bedoeld om duidelijk te maken; Waarom Audittrail als organisatie ervoor kiest om klanten te faciliteren met software Hoe wij dit doen Wat de meerwaarde hiervan is voor jouw organisatie De “oude” manier van werken, continue verandering Verandering wordt steeds meer gezien als een constante en daarmee als een normaal onderdeel van de bedrijfsvoering. Steeds meer organisaties streven echter naar continu verbeteren in plaats van veranderen puur gebaseerd op ingevingen. De ‘zachte’ kant van organisaties krijgt meer en meer aandacht. Gedrag en interactie tussen (groepen) mensen tot en met klant of leverancier bepalen in grote mate het succes van een verandering. De gewenste verandering motiveert zich dan zelf. Er is sturing, een richting, de lijn en de gebruikers gaan aan de slag. Het is de filosofie van scrum en agile. Met eenvoudige hulpmiddelen, een LEAN- mentaliteit en afspraken over de besluitvorming houdt men de vaart erin. Steeds vaker begint men op deze manier ook te werken ook bij projectmanagement en bij innovaties. Consultancybedrijven die hierbij ondersteunen zijn vaak een beetje “vastgeroest” in hun manier van werken. Anticiperen op alle snelle veranderingen die bij klanten vormgegeven worden, is iets wat een soort allergische reactie kan veroorzaken bij consultants. Hoewel consultants vaak graag faciliterend willen zijn aan de klanten en de scope van de opdracht, is de ervaring van klanten ook dat consultants vaak moeite hebben zich aan te passen als de scope van de opdracht flexibel is of aan de cultuur en dynamische werkwijze van de organisatie. Audittrail doet dit anders! Veel bedrijven verwachten van een consultant dat er uiteindelijk een oplevering plaatsvindt en het resultaat van het project wordt gepresenteerd (PowerPoint), berekend wordt (Excel) en beschreven wordt in een document (Word). De consultancybedrijven en consultants voldoen vaak prima aan de opdracht en laten uiteindelijk een USB-stick, folder op OneDrive en drie ordners met papier achter voor de klant om hiermee verder te gaan. Naar onze (bescheiden) mening is deze manier van werken niet meer van deze tijd of duurzaam genoeg. Klanten verwachten meer van een consultant en dit merken ook wij meer en meer. Over een aantal jaren zal de consultancymarkt volgens onderzoeksbureaus, zoals Gartner en Forrester, zich moeten gaan aanpassen aan deze nieuwe realiteit, zich moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij de klanten. Wij zien deze trend al enige jaren bewegen. Audittrail heeft dan ook mét haar experts al vele jaren geïnvesteerd in het borgen van kennis en kunde in softwareproducten zoals onder andere het CMF.   Onze manier van werken Door kennis, kunde en software te combineren en een oplossing te bouwen die écht van waarde is voor een organisatie in diverse domeinen van compliance, is Audittrail in een unieke positie om van meerwaarde te kunnen zijn. Ons team kan naast het “normale” inhoudelijke advieswerk de uitkomsten en resultaten voor jou borgen in het CMF en dus in de software. Door het kernprincipe van voordoen, samendoen en zelf doen te hanteren leveren wij een toekomstbestendige en duurzame oplossing op waar jij als klant de toekomstige veranderingen en vraagstukken zelf kunt borgen. Naast deze manier van werken, dichtbij onze kernwaarden, hebben wij inmiddels op verzoek van klanten ook een servicemodel ontwikkeld waarmee klanten volledig worden ontzorgd; de managed service. Binnen dit bedieningsmodel neemt Audittrail de functionele, technische en inhoudelijke leiding én eigenaarschap over het CMF voor jouw organisatie: een verlengstuk voor jouw compliance organisatie!   De meerwaarde van het CMF Het Compliance Management Framework (CMF) is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden informatiebeveiliging, risicomanagement, privacy, legal en governance. Alles wat software in de ogen van deze professionals miste, hebben wij er wél in gebouwd! Daarom is de privacy- en security compliance software van het CMF een echte best practice. Met het CMF ben je in control over je privacy- en securityprogramma. De volledige PDCA- cyclus wordt ondersteund; van het vastleggen en laten redigeren van beleid tot het uitvoeren van assessments en van het afleggen van verantwoording tot het registeren van incidenten en datalekken. Het CMF creëert de mogelijkheid om eigenaarschap in de lijnorganisatie te gaan beleggen. Dit kan bijdragen aan een organisatiecultuur en gedragsverandering waarbij men bewust is van governance en compliance en de mogelijke risico’s en maatregelen die hiermee gepaard gaan. In één tool leg je de verbinding tussen privacy- en informatiebeveiligingsvraagstukken en pas je eenvoudig aanvullende normenkaders toe zoals BIC, BIO, ISO27001/2, NEN7510, NIST, ISAE3402, KWH, of HKZ en wetgeving zoals AVG en CCPA. Het zorgt niet alleen voor de verplichte vastlegging, maar maakt ook alle “blinde vlekken” binnen de organisatie zichtbaar. Kortom, het biedt vanuit de procesinrichting inzicht, overzicht en een handvat om in control te raken en blijven van de huidige status en alle mogelijke of noodzakelijke verbeterpunten. Verder faciliteert het CMF je om beter en effectiever samen te werken. Hierdoor worden rollen met elkaar verbonden op strategisch, tactisch en operationeel niveau. Ook het management wordt hierdoor betrokken bij het formuleren en nog beter begrijpen van doelstellingen, de impact van te maken keuzes en men zal steeds meer een “gevoel” kunnen krijgen bij het vakgebied. En…, de informatie is eenvoudig te delen met collega’s!   Wil je meer informatie over hét ideale instrument voor compliance management? Ga dan naar deze pagina. Of kijk op www.compliancemanagementframework.nl     Auteur: Ralph Drijver, Audittrail  

Inhoud Tijd te kort? Het takenpakket van een Privacy Officer (PO), functionaris gegevensbescherming (FG), Security Officer (SO) of CISO is uitgebreid. Een hoop losse compliance onderdelen komen samen binnen deze ene rol of rollen. In veel gevallen is de rol van Privacy of Security Officer een kwestie van “tikkie, jij bent ‘m” geweest, waarbij een van de bestaande collega’s deze rol erbij heeft gekregen voor 8 uur in de week. Dat leek genoeg in de opzet of projectfase, maar nu compliance meer en meer een vaste plek in de organisatie krijgt, blijkt deze 8 uur bij lange na niet genoeg te zijn. Wanneer wij bij opdrachtgevers vragen wat het grootste struikelblok is om compliance goed voor elkaar te krijgen is tijdsgebrek een veelgehoord antwoord. Zonde, vinden wij! Want compliance is een belangrijk onderdeel van de bedrijfsvoering waar genoeg aandacht aan besteedt moet worden om dit levend en geborgd te houden. Keuzes maken Door chronisch gebrek aan tijd moeten SO’s en PO’s een keuze maken. Wat doen we wel in de 8 uur die we voor compliance hebben, en wat laten we liggen of negeren we? Binnen deze tijd moeten alle datalekken en beveiligingsincidenten conform proces worden gemeld en opgelost. Daarbij moeten DPIA’s worden uitgevoerd, moet dataminimalisatie worden toegepast, naast het toepassen van dataclassificatie en bewaartermijnen. Veel te veel taken voor één dag in de week. Deze opzet beperkt compliance tot een ad-hoc project. Terwijl het doel juist is om compliance uit te laten groeien tot een volwaardig, langetermijnprogramma. Verantwoordelijkheid verschuiven Om weer grip te krijgen op compliance is een verschuiving van de verantwoordelijkheid nodig. Door deze voorzichtig richting proceseigenaren te verschuiven, kunnen zij verantwoordelijk worden voor hun eigen compliance vraagstukken binnen de eigen processen. De PO/SO wordt in dit scenario meer en meer een sparringpartner en adviseur. Proceseigenaren kunnen eigenaarschap en de verantwoordelijkheid krijgen voor het up-to-date houden van het verwerkingsregister voor hun proces, initiëren van DPIA’s bij wijzigingen, implementeren dataminimalisatie, houden bewaartermijnen in het oog en classificeren data aangezien zij het beste zicht hebben op risico’s binnen hun proces. Terug in de regie Door de verantwoordelijkheid voor compliance terug in de organisatie te leggen krijgt de CISO/FG/PO/SO meer ruimte om de rol als adviseur en sparringpartner aan te nemen, zoals het ook hoort. Daarbij komen ook nog overkoepelende taken zoals het onderhouden van bewustwording in de organisatie. Het verschuiven van verantwoordelijkheden naar de proceseigenaren geeft de PO/SO ruimte om de regie te nemen over het compliance programma. Wanneer we de verantwoordelijkheid voor compliance naar proceseigenaren willen verschuiven, zullen we ze hierin moeten faciliteren.   Bron: Audittrail

Inhoud Compliance zou in 2020 voor iedere organisatie een prioriteit moeten zijn. Eenvoudiger zal het zeker niet gaan worden en de impact van komende aanvullingen op de wetgeving voor de zorg en publieke sectoren zal gemanaged moeten worden. Als je budget wilt aanvragen bij jouw manager dan krijg je ongetwijfeld deze vragen; Waarvoor? Wat gaat dit opleveren? Wat is het verbeterplan en de waarde van het resultaat? Wat gaat dit kosten? Het is lastig om een pragmatisch plan te ontwikkelen met meetbare doelstellingen. Dit is nu juist waarom wij de Audittrail AVG- en IB-audit hebben ontwikkeld. Geen systematische één-op-één toetsing van praktijk aan een kader, maar een meting van de volwassenheid van jouw organisatie.   Hoe werkt een AVG “Audit”? Wij controleren de opzet, bestaan en – tot op zekere hoogte – de werking van jouw AVG-compliance en bepalen een volwassenheidsniveau (1-5) per genomen maatregel. Dit geeft een helder inzicht in het algemene volwassenheidsniveau van de organisatie. Aan de hand hiervan bepalen we samen het ambitieniveau van de organisatie én verkrijgen we input voor een jaarplan. Per maatregel zetten we uiteen hoe te komen tot het ambitieniveau. Pragmatisch en laagdrempelig. Ons advies aan eenieder is om een plan van aanpak te maken gebaseerd op feiten waardoor je kunt gaan toewerken naar een continu verbeterprogramma. Spreadsheets alleen gaan hierbij niet helpen, verbeteren doe je samen!   Rendement op jouw AVG-investering In 2017 wisten we niet hoe snel we geld moesten reserveren voor de implementatie van de AVG met als streefdatum om op 25 mei 2018 “klaar” te zijn. De investeringen zijn groot geweest, maar wat heeft het nu opgeleverd? Na 25 mei 2018 is geconstateerd dat vele managers een beetje AVG-moe zijn en men niet echt weet waarom er in dit vraagstuk verder geïnvesteerd moet worden. Waarom zoveel tijd, geld en resources investeren terwijl er zo weinig rendement te behalen valt? Op zich (deels) een valide standpunt. Ongetwijfeld zijn er ook in jouw organisatie weer vele zaken veranderd het afgelopen jaar. Nieuwe werknemers, nieuwe systemen, nieuwe processen. Allemaal onderdeel van jouw organisatie en stuk voor stuk onderdelen waarin (meestal) persoonsgegevens worden verwerkt. Privacy compliance is echter geen eenmalig ding, maar hoort vast en continu onderdeel uit te maken van de strategie en de organisatiedoelstellingen. Daarbij komt dat de ontwikkelingen binnen IT zo snel gaan dat ze bijna niet meer te volgen zijn. Als het werk uit 2018 niet goed is onderhouden, loop je het risico dat je al het eerder uitgegeven geld dus weggegooid heeft. AVG-moe of niet.   Grijp daarom nu in! Goed en gecontroleerd compliance management is een kans om de cultuur van de organisatie te professionaliseren en tevens een mogelijkheid om risico’s te herkennen en te mitigeren. Goed en volwassen compliance management vraagt een kritische blik op processen en welke informatie hierin rondgaat. Door processen goed in te richten en te managen sla je een optimalisatieslag. Bovendien vraagt informatieveilig werken een risicoanalyse om zo tot passende beveiligingsmaatregelen te komen. Combineer dan ook informatiebeveiliging met risicomanagement voor efficiënt compliance management. Wanneer de processen helder in kaart zijn is het ook makkelijker om proceseigenaren te ondersteunen bij het naleven van de AVG. Beleg verantwoordelijkheden bij de juiste personen en geef de Privacy Officer de regie terug. Zorg dat verplichte documentatie zoals het verwerkingsregister en datalekkenregister dynamische documenten worden, die inzicht bieden in de organisatie en haal daar jouw voordeel uit. Wij begrijpen dat dit allemaal klinkt als een fikse opgave maar juist daarom heeft Audittrail het Compliance Management Framework gebouwd in het Mavim Platform. Hiermee kun je in één keer al bovengenoemde onderdelen duurzaam inregelen. En speciaal voor de AVG-moeie manager: het jaarplan zoals beschreven, is geborgd in het systeem en geeft inzicht in de behaalde resultaten en geeft je handvatten voor de komende jaren als er wederom budget noodzakelijk is voor continue verbetering.   Bron: Audittrail   > Meer weten over informatiebeveiliging, de privacy audit en het Compliance Management Framework? Download hier de Productsheet