icon-arrow icon-check icon-mail icon-phone icon-facebook icon-linkedin icon-youtube icon-twitter icon-cheveron icon-download icon-instagram play close icon-arrow-uturn icon-calendar icon-clock icon-search icon-chevron-process icon-skills icon-knowledge icon-kite icon-education icon-languages icon-tools icon-experience
Werken bij B-able
Nieuws 26/05/2021

Compliance: om hoofdpijn van te krijgen

b-able

Iedere organisatie geeft aan te voldoen aan alle vingerende wet- en regelgeving. Maar wat zeg je als organisatie nu eigenlijk? En bovenal, hoe weet je dat je voldoet? Het is makkelijker gezegd dan voldaan, dus… ‘Hoe doe je dat dan?’

Vanuit B-Able heeft onze Senior Security Consultant Jos Maas het afgelopen jaar een Compliance Framework ontwikkeld waarmee organisaties een volledig beeld krijgen van de eisen die spelen rondom informatiebeveiliging en privacy. We vroegen Jos hoe dit Compliance Framework eruitziet.

Hoe ziet dit Compliance Framework eruit?
"Dit Compliance Framework is op dit moment opgebouwd uit meer dan 250 wetsartikelen uit onder andere het Burgerlijk Wetboek, Wkkgz, Archiefwet en andere meer bekende wetten maar ook uit minder bekende wetten die gerelateerd worden aan informatiebeveiliging en privacy zoals de Wet op de Ondernemingsraden, Besluit allocatie arbeidskrachten door intermediairs en Wet controle op rechtspersonen. Hierdoor wordt een heel breed spectrum gehanteerd om een organisatie een zo volledig overzicht te geven. Branche specifieke overzichten zijn nog in ontwikkeling."

Bestaat het Compliance Framework alleen uit wetgeving?
"Nee, zeer zeker niet. Aan dit Compliance Framework zijn op dit moment 45 standaarden toegevoegd zoals de BIO, ISO, CEN, NIST en NATO op gebied van informatiebeveiliging, privacy, risk, BCM en compliance. Dus indien een organisatie breder compliant wil zijn maar nog niet voor alles gecertificeerd dan biedt dit Compliance Framework de handvatten om alvast kennis te maken met de vereisten uit deze aanvullende normen en deze te implementeren in de organisatie."

Wat is jouw rol hierin?
"Mijn rol is die van Compliance Officer, FG of een combinatie van deze rollen. Dat is afhankelijk van de wensen van de organisatie. Ik stem aan de hand van een stappenplan de inhoud van het Compliance Framework af, beheer deze en zorg dat op alle onderdelen de juiste, passende acties door de organisatie worden genomen om aan alle onderdelen te voldoen. Jaarlijks voer ik een compliance audit uit dat resulteert in een In Control Verklaring. Dat is geen certificaat maar het toont wel aan dat ik, als onafhankelijk deskundige, een oordeel heb geveld over de compliance aan het Framework. De onderdelen waarvoor de organisatie een certificaat heeft, vallen voor mij buiten beschouwing. Ik kan hierin onafhankelijk zijn omdat ik geen invloed heb op de wijze waarop de organisatie invulling geeft aan het Compliance Framework. Ik bewaak het proces dat er invulling wordt gegeven en met de compliance audit toets ik of die invulling voldoet."

Hoe ziet dat stappenplan eruit?
"Zelf ben ik praktisch ingesteld. Allereerst wordt de inhoud van het Compliance Framework bepaald. Tevens wordt een tijdspad met de klant afgestemd. De beschikbaarheid van middelen en mensen is hierin van belang. Vervolgens ben ik periodiek aanwezig bij de organisatie om aan het Compliance Framework te werken maar ook om de organisatie en haar processen te leren kennen zodat ik ten tijde van de compliance audit de invulling van het Framework beter kan relateren aan de organisatie. De afsluiting vindt plaats in de vorm van een compliance audit. Op basis van deze compliance audit wordt een In Control Verklaring opgemaakt dat de organisatie kan gebruiken om richting haar belanghebbenden te communiceren. De meerwaarde komt vervolgens in het vervolg. Ongeveer een dag per maand of per 2 maanden blijf ik betrokken bij de organisatie om zorg te dragen dat het Compliance Framework actueel blijft en de eventuele verbeterpunten worden opgepakt. Elke jaar zal dan ook een compliance audit plaatsvinden."

Dat klinkt erg intensief. Wat is de meerwaarde hiervan voor de organisatie?
"Het voordeel van dit repeterende karakter is dat het geen eenmalige exercitie is. Het wordt een levend geheel in de organisatie waardoor compliance op deze gebieden beter in de bedrijfsprocessen geïntegreerd raken. Daarnaast is het voordeel dat jaarlijkse wetswijzigingen, nieuwe wetgeving en normen binnen de opdracht verwerkt worden in het Compliance Framework. Een organisatie hoeft dus zelf geen inspanningen te verrichten om ook inhoudelijk actueel te blijven."

Wilt u meer weten over deze dienstverlening? Neem dan contact op met Business Manager Frits Hali, via frits.hali@b-able.nl

Overzicht nieuws
Security consultant
Jos Maas /
Security consultant

Benieuwd wat de security-experts voor jouw organisatie kunnen betekenen? Neem contact op!