Compliance

Wat is compliance?

De Engelse term compliance betekent in het Nederlands letterlijk naleving. Binnen organisaties ligt de betekenis van compliance op de mate waarin je voldoet aan wetten en richtlijnen die voor die organisatie van toepassing zijn.

Bij compliance wordt vaak vooral gedacht aan financiële regels en verplichtingen maar je moet als bedrijf of overheidsinstelling ook compliant zijn met bijvoorbeeld privacyrichtlijnen, arbo-regels en milieuwetten. Bij compliance gaat het ook niet alleen om officiële wetten, het kunnen ook sectorspecifiek afspraken zijn of intern ontwikkelde richtlijnen. Door hiermee aantoonbaar compliant te zijn, voorkom je sancties maar je kwalificeert je op die manier ook als betrouwbare partner of klant. Veel organisaties hebben dan ook actieve compliance programma’s met uitgebreide trainingen, rapportages en audits.

Wat is een compliance officer?

In met name financiële organisaties is hiervoor een zogeheten compliance officer aangesteld. Dit is een functionaris die erop moet toezien dat de organisatie als geheel voldoet aan de wet- en regelgeving. Zo’n rol is verplicht bij onder andere banken, verzekeraars en pensioenfondsen die onder toezicht staan van de DNB (De Nederlandse Bank), AFM (Autoriteit Financiële Markten) en/of BFT (Bureau Financieel Toezicht). Zo’n compliance officer is bijvoorbeeld verantwoordelijk voor:

• Toezicht op de naleving van wet- en regelgeving, inclusief de eigen interne beleidsregels.
• Toezicht op privé-aandelentransacties van werknemers.
• Bewaking van de integriteit van de onderneming en werknemers.
• Zelfstandig incidenten (laten) onderzoeken en deze melden bij de directie of toezichthouders.
• Opzet van een compliance programma (trainingen, beleidsregels etc.) voor management en medewerkers.

De nadruk van compliance officers op financiële aspecten heeft te maken met de enorme impact van financiële onregelmatigheden op bedrijven en markten; denk aan grootschalige fraudes, witwaszaken of marktmanipulatie. Tegelijkertijd zijn er steeds meer andere gebieden (van milieuregels tot privacy) waar de bedrijfsrisico’s steeds groter worden. Denk bijvoorbeeld aan grootschalige datalekken waarbij gevoelige privégegevens van miljoenen gebruikers op straat terecht kunnen komen met soms enorme financiële impact. Je ziet dan ook dat naast de echte compliance officers er andere zulke ‘interne waakhonden’ komen. Denk aan de Functionaris Gegevensbescherming die binnen organisaties ervoor verantwoordelijk is dat iedereen veilig en correct persoonsgegevens verwerkt en ook de relaties met de Autoriteit Persoonsgegevens (AP) onderhoudt.

Wat is een Audit?

Een krachtig middel om je compliance aan te tonen, is een audit. Bij zo’n audit wordt beoordeeld of processen, methodieken, rapportages etc. voldoen aan de relevante wetten en richtlijnen. Zo’n audit richt zich meestal op één specifieke wet of richtlijn en beoordeelt de compliance op een gestructureerde manier aan de hand van documenten, rapportages en interviews met medewerkers. Bij een financiële audit door een accountant zal bijvoorbeeld worden gecontroleerd of de financiële verslaglegging voldoet aan de daarvoor geldende regels. Een audit van de informatiebeveiliging zal beoordelen in hoeverre de organisatie compliant is met de vastgestelde beveiligingsplannen en – indien van toepassing – standaard normen op dat onderwerp. Er zijn zowel interne als externe audits:

• Bij een interne audit wordt de controle uitgevoerd door eigen specialisten met als doel voor de eigen organisatie een beeld te krijgen van de compliance en de noodzakelijke verbeterpunten.
• Een externe audit wordt uitgevoerd door een volledig onafhankelijke en gekwalificeerde auditor en de auditresultaten zijn daarmee meer gezaghebbend en bruikbaar voor bijvoorbeeld een officieel certificatietraject.

Dat maakt interne audits overigens niet minder waardevol. Vaak worden interne audits uitgevoerd als een voorbereiding op externe audits. Bovendien laten professionele organisaties interne audits altijd uitvoeren door professionals of afdelingen met voldoende autoriteit en een onafhankelijke positie binnen de organisatie; bijvoorbeeld door de eigen compliance afdeling. Op die manier weet je zeker dat de uitkomsten ervan serieus worden genomen.

Welke wetten zijn belangrijk voor informatiebeveiliging?

Informatiebeveiliging en privacy wordt steeds belangrijker en bij het plannen van de informatiebeveiliging leunen organisaties daarbij meer op algemene beveiligingsnormen en privacywetten. Sinds 2016 moeten bijvoorbeeld alle organisaties compliant zijn met de AVG (Algemene Verordening Gegevensbescherming)[1]. Ook baseren meer organisaties hun informatiebeveiliging op standaard normen zoals de ISO 27001. De compliance daarmee kun je aantonen door middel van een certificatie. Er zijn daarnaast ook veel sectoren die een eigen norm hebben ontwikkeld die zijn afgeleid van ISO 27001. Bijvoorbeeld de BIO (Baseline Informatiebeveiliging Overheid) en de NEN 7510 (informatiebeveiliging binnen de zorg). Ook binnen het onderwijs zijn er normen ontwikkeld voor de informatiebeveiliging en de privacy.

Waarom zou je compliant worden?

De genoemde sectorspecifieke normen zoals BIO of NEN 7510 zijn verplicht voor organisaties binnen de betreffende sectoren; er is dus geen keuze, je moet simpelweg compliant zijn en voor de NEN 7510 moet je je als zorginstelling officieel certificeren. Ook aan de AVG moet iedereen voldoen. Tegelijkertijd is het voor commerciële organisaties bijvoorbeeld niet verplicht om compliant te zijn met de ISO 27001 standaard, maar zo’n security compliance levert wel een enorm voordeel op. Gebruik je namelijk een eigen set beveiligingsregels dan is het ingewikkeld om aan te tonen dat jouw informatiebeveiliging en privacybescherming voldoen aan de eisen van bijvoorbeeld klanten en partners. Door jouw beveiligingsplannen te organiseren aan de hand van zo’n algemeen geaccepteerde norm kan men jouw informatiebeveiliging objectief beoordelen aan de hand van die norm. Sterker nog, als een organisatie officieel is gecertificeerd, zullen klanten en partners het oordeel van de externe auditor vertrouwen en is je compliance een ‘tick in the box’.

Tips om te zorgen voor compliance

Een belangrijk hulpmiddel om binnen organisaties de compliance met de relevante wetten en richtlijnen te borgen, is zogeheten compliance management software. Dit is een verzamelnaam voor applicaties voor onder andere het managen van risico’s, het registreren en beheren van beleidsregels, en het toewijzen van taken en verantwoordelijkheden. Ook rapportagetools en business dashboards zijn belangrijke hulpmiddelen voor je compliance team.

Om specifiek compliant te zijn met informatiebeveiligingsrichtlijnen is Identity en Access Management software belangrijk. Met HelloID bijvoorbeeld automatiseer je de uitgifte van accounts en toegangsrechten, zoveel mogelijk geautomatiseerd aan de hand van iemands rol(len) binnen de organisatie. Op deze manier voldoe je aan het zogeheten ‘Principle of Least Privilege’ dat bij veel beveiligingsnormen tegenwoordig een uitgangspunt is. Iemand heeft daarbij alleen toegang tot die applicaties en gegevens die hij of zij nodig heeft om het werk te kunnen doen.

Bovendien worden alle toegangsrechten en wijzigingen volledig geregistreerd en voortdurend gemonitord in zo’n systeem. HelloID registreert onder andere alle zogeheten business rule wijzigingen, alle individueel gewijzigde toegangsrechten (inclusief de aanvragers en betrokken functionarissen) en alle toegangspogingen tot de infrastructuur. Daarmee is dat deel van je compliance op ieder moment aantoonbaar en bij een incident zoals een datalek is eenvoudig een audit trail beschikbaar. Gegevens zijn beschikbaar via standaard rapportages maar klanten kunnen ook zelf analyses configureren. Zo heb je met HelloID alle input voor interne beveiligingsevaluaties, externe audits en formele certificatietrajecten.

Tips om compliant te blijven

Compliance begint dus met je verdiepen in de relevante wetten en richtlijnen, om vervolgens je processen en systemen zo te implementeren dat je in lijn bent met de regels. Maar hoe onderhoud je vervolgens die compliance? Een paar tips:

• Regelmatige risico analyses. Veel normen zijn tegenwoordig risico gebaseerd. Dat betekent dat je niet domweg allerlei regels moet implementeren. Je moet steeds beoordelen welke zaken in jouw organisatie daadwerkelijks risico’s opleveren en je daar op richten. Het is dan ook belangrijk om dat regelmatig te beoordelen. Zijn er nieuwe risico’s? Dan moet je je processen en systemen aanpassen om compliant te blijven.
• Het management moet verantwoordelijk zijn voor de compliance. Je compliance aan wet- en regelgeving moet geen stand-alone bezigheid zijn van een paar specialisten binnen een stafafdeling. Het betreft sleutelprocessen van je organisatie en de compliance moet regelmatig worden beoordeeld en besproken binnen het MT.
• Audits en monitoring. Zelfs al zijn audits niet verplicht, bouw toch een professionele control-cyclus in binnen je organisatie. Zo kun je regelmatig toetsen of je nog steeds compliant bent en weet je of er maatregelen nodig zijn.

Meer weten hoe HelloID kan worden ingezet bij jouw compliance? We hebben whitepapers over onze ondersteuning bij onder andere ISO 27001, de BIO, NEN 7510 en de onderwijsnormen. Onze business consultants vertellen je er graag meer over.

[1] AVG is de Nederlandse implementatie van de Europese privacywetgeving GDPR (Global Data Protection Regulation)