Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Belang van `soft controls` voor privacy

advertisement 
Belang van ‘soft
controls’ voor privacy
In de huidige samenleving neemt de
aandacht voor de verwerking en opslag
van persoonsgegevens toe als gevolg
van technologische ontwikkelingen,
individualisering en marktwerking.
Hierdoor wordt privacywetgeving en de
juiste implementatie van deze wetgeving
steeds belangrijker.
Thomas Rijneveld, Assurance
Sander Willems, Assurance
1. Toenemende aandacht voor privacy
Door de politiek en andere belanghebbenden wordt vaak
met argwaan naar de privacyaspecten van grootschalige
innovatieve projecten gekeken. Zo was men bij de invoering van de OV-chipcard bezorgd over de vastlegging
en traceerbaarheid van het traject dat wordt afgelegd
via het openbaar vervoer. En bij de invoering van het
elektronisch patiëntendossier is men bezorgd over de
waarborgen van de vertrouwelijkheid en de beveiliging
van het systeem. Deze bezorgdheid is vaak terecht
omdat ondernemingen de impact van privacywetgeving
vaak nog onderschatten, zeker aangezien de belanghebbende steeds kritischer wordt over de dienstverlening die
geboden wordt.
De onderschatting van de impact die privacy heeft op een
onderneming wordt echter pas zichtbaar op het moment
dat zich incidenten voordoen. De personen van wie de
privacy wordt beschermd, hebben over het algemeen
geen moeite met het prijsgeven van een stukje privacy als
daar iets positiefs tegenover staat (bijvoorbeeld veiligheid
of service). Pas wanneer een organisatie negatief in het
nieuws komt vanwege een privacyincident wordt het imago
aangetast.
40
Als gevolg van de marktwerking zijn non-profitorganisaties
hun dienstverlening aan het verbeteren. De consequenties
van deze verbeteringen worden, zoals gezegd, niet altijd
goed overzien. Zo bleek recentelijk dat een arbodienst aan
een werkgever inzicht verschafte in de medische gegevens
van werknemers. Een opmerkelijke situatie omdat je zou
verwachten dat iedereen op de hoogte is van het feit dat
medische gegevens bijzonder gevoelig zijn.
Een ander voorbeeld, dat zich op een heel ander niveau
afspeelt, heeft betrekking op de netwerksite Facebook.
Deze netwerksite kwam onlangs in het nieuws doordat ze
privacygerelateerde artikelen uit de algemene voorwaarden
had gewijzigd zonder adequate communicatie naar haar
klanten toe. Door de wijziging in de voorwaarden was het
voor Facebook mogelijk om de klantgegevens langer vast
te leggen dan initieel afgesproken was met de klant, zonder
dat de klant hierover geïnformeerd werd. De wijziging in
de algemene voorwaarden leidde vervolgens tot een hoop
negatieve publiciteit. Ook dit voorbeeld laat zien dat men de
impact van imagoschade als gevolg van het niet naleven van
privacy wet- en regelgeving onderschatte.
Het niet voldoen aan privacyaspecten kan het imago van de
organisatie in negatieve zin aantasten terwijl organisaties
PricewaterhouseCoopers
die privacy op een adequate wijze hebben geregeld niet
beloond worden door het ‘publiek’. Kortom, de kosten in het
kader van privacy leiden tot minder risico voor de reputatie,
terwijl de voordelen moeilijk tastbaar zijn.
2. Complicerende factoren bij implementatie
privacywetgeving
Een belangrijke ontwikkeling voor de bescherming van
persoonsgegevens werd in Nederland wettelijk geregeld
door de invoering van de Wet persoonsregistraties (Wpr)
in 1988. Inmiddels is deze wet vervangen door de Wet
bescherming persoonsgegevens (Wbp). De Wbp bevat
een raamwerk van algemene regels die strekken ter
bescherming van gegevens die tot natuurlijke personen
te herleiden zijn. De wet stelt regels voor de bewerking
van persoonsgegevens zoals het verzamelen, opslaan,
bewaren, vergelijken, koppelen, raadplegen en verstrekken
van persoonsgegevens aan of door derden. Daarnaast
stelt de Wbp natuurlijke personen in staat om na te gaan
op welke wijze instellingen zijn of haar persoonsgegevens
kunnen verwerken.
De Wbp bevat een groot aantal open normen waardoor
organisaties gedwongen zijn om met ‘eigen’ beleid invulling te geven aan de door de Wbp gestelde open normen
(zoals de eis dat medewerkers niet meer persoonsgegevens mogen raadplegen dan strikt noodzakelijk voor de
uitvoering van bijvoorbeeld een overeenkomst). Om te
voldoen aan wet- en regelgeving is het van groot belang
om een adequaat systeem van controlemaatregelen in te
richten binnen de organisatie. In de praktijk zien we vaak
dat bij de implementatie van wetgeving veel aandacht
wordt besteed aan de ‘harde’ beheersingsmaatregelen,
zoals procedurele of technische beheersmaatregelen als
het opstellen en implementeren van een klachtenprocedure
of het inbouwen van een autorisatiematrix in de systemen.
Naast dergelijke harde beheersingsmaatregelen, zijn de ‘soft
controls’, zoals training, ‘code of conduct’, ‘tone at the top’,
misschien nog wel belangrijker om te kunnen voldoen aan
de privacywet- en regelgeving. Deze soft controls hebben
voornamelijk betrekking op de beïnvloeding van het gedrag
van medewerkers en het toezicht op dit gedrag (zoals een
privacytraining voor medewerkers die met klantgegevens
omgaan).
Samenvatting
Dit artikel gaat in op enkele complicerende
factoren bij de implementatie van privacywetgeving. Hiernaast wordt gekeken hoe gemeten kan
worden hoe soft controls kunnen bijdragen aan
(privacy)compliantgedrag. Tevens wordt de rol
van de compliance officer / privacy officer en de
internal auditor nader toegelicht.
3. Soft controls en (privacy)compliantgedrag
Hoe dragen soft controls bij aan (privacy)compliantgedrag?
De huidige praktijk laat vaak zien dat medewerkers op wie
soft controls van toepassing zijn, deze als onduidelijk en
subjectief ervaren. Tevens vindt men het vaak moeilijk om
de soft controls in de juiste context te plaatsen en ze toe te
passen in de dagelijkse praktijk. Een extra complicerende
factor is het ontbreken van duidelijke toetsingskaders voor
soft controls, referentiemodellen en toetsingsmethodes.
Daarnaast zijn soft controls moeilijk meetbaar. Immers, op
welke wijze toon je aan dat het bewustzijn op het gebied
van privacy binnen een bedrijfsonderdeel verandert? Vooral
in de situatie waarin een compliance officer of auditor
een bevinding heeft ten aanzien van de werking van een
soft control, is het moeilijk om dit specifiek te maken en
de noodzaak van wijziging bij de verantwoordelijke aan te
geven. Mede hierdoor krijgt de werking van soft controls in
de praktijk weinig aandacht tijdens de compliancemonitoring en controlewerkzaamheden.
Voor soft controls geldt dat het lastig is om het effect en de
impact ervan te meten. Je kunt bijvoorbeeld met een toets
wel meten of een medewerker iets heeft begrepen van de
training of instructie die hij gevolgd heeft, maar dan weet je
nog niet of hij de opgedane kennis later ook in de praktijk
gaat toepassen. Met andere woorden: wat de impact is van
de training of instructie? Toch vormen soft controls een
essentieel onderdeel van het stelsel van controlemaatregelen waar een onderneming over moet beschikken om het
management in staat te stellen zich een oordeel te vormen
over de mate waarin de onderneming voldoet aan alle relevante wet- en regelgeving.
De praktijk laat zien dat het management zich niet altijd
bewust is van het belang en de aanwezigheid van soft
controls. Het beeld van het management is vaak gebaseerd
Spotlight Jaargang 16 - 2009 | Uitgave 3
41
op een beoordeling van de harde controls en een ‘gut
feeling’ met betrekking tot de soft controls. Door het
management te informeren over een adequate toepassing
van soft controls en hen een goed inzicht te geven in de
werking hiervan, kan de compliance functie en/of de internal
auditor meer toegevoegde waarde leveren. Hiertoe kan een
objectieve analyse gemaakt worden van de status waarin de
onderneming zich bevindt ten aanzien van de soft controls.
De werking van het stelsel van controlemaatregelen is
namelijk pas optimaal als de soft controls op een adequate
wijze werken en worden beoordeeld.
4. Risk Control Self Assessment ‘hard’ of ‘zacht’?
Naast de eerder genoemde soft controls zoals trainingen
en ‘tone at the top’ kan een Risk Control Self Assessment
(RCSA) ook als een soft control worden beschouwd. Het
doel van het RCSA is periodiek de inherente risico’s en de
bijbehorende mitigerende maatregelen te evalueren. Een
van de belangrijkste uitgangspunten van het RCSA is dat
mensen zelf aan de hand van vooraf opgestelde vragenlijsten hun eigen werkzaamheden of bedrijfsprocessen
bediscussiëren en vervolgens kritisch beoordelen. Het
proces van het RCSA draagt bij aan het meten van de effectiviteit van de interne-beheersingsmaatregelen voor een of
meerdere bedrijfsprocessen.
Naast deze ‘harde’ componenten heeft een RCSA wel degelijk
ook ‘zachte’ componenten. Immers, door tijdens het RCSAproces over de risico’s en de effectiviteit van de controls te
praten, wisselen alle deelnemers aan het RCSA kennis uit.
Maar misschien nog wel belangrijker: de deelnemers worden
getriggerd om over het onderwerp na te denken waardoor
het bewustzijn verbetert. Door bijvoorbeeld een RCSA over
privacy te houden, komen allerlei privacyvraagstukken aan
bod waar men in de dagelijkse praktijk niet snel of goed over
nadenkt. Zo kan worden stilgestaan bij het onnodig inzien van
informatie door een medewerker of het delen van informatie
met derden terwijl bewust of onbewust niet wordt voldaan aan
de hiervoor geldende eisen vanuit de privacywetgeving.
De kracht van deze soft control is dat de verantwoordelijke
medewerkers zelf de inherente risico’s in kaart brengen,
de bijbehorende normen formuleren, de controlemaatregelen ontwerpen en de werking ervan kritisch beoordelen.
Doordat de verantwoordelijke medewerkers zelf het beoordelingsproces uitvoeren, is de acceptatiegraad van de uit te
voeren mitigerende maatregelen hoog.
42
5. Rol compliance officer en de internal auditor bij
RCSA
Een van de belangrijkste aspecten van een goede RCSA
is dat de compliance officer of internal auditor niet verantwoordelijk is voor de inschatting en beoordeling van de
risico’s. Deze verantwoordelijkheid ligt namelijk bij de
medewerkers op wie de controlemaatregel van toepassing
is. Om te voorkomen dat uitsluitend de verantwoordelijke
zichzelf controleert, is het van belang dat een onafhankelijke
beoordelaar bij de totstandkoming van het RCSA aanwezig
is. Wanneer de compliance officer en/of de internal
auditor aanwezig is, kan hij kritische vragen stellen over
de geïdentificeerde inherente risico’s, de geformuleerde
norm en ontworpen controlemaatregelen, om zo invulling te
kunnen geven aan de ‘harde’ component van het RCSA. Het
beoordelen van de ‘zachte’ component van het RCSA wordt
ingevuld doordat de compliance officer of internal auditor
zich een beeld kan vormen van de uitvoering van het RCSA
en hiermee van het bewustzijn van de deelnemers van het
betreffende onderwerp. Het RCSA dient immers een realistisch beeld te geven van de situatie waarin de onderneming
zich bevindt ten aanzien van het object van onderzoek.
Of anders gezegd: de werking van de soft controls dient
beoordeeld te worden.
6. Beoordelen open normen in wet- en
regelgeving
Een van de redenen waarom organisaties vaak moeite
hebben met de implementatie en toepassing van wetgeving,
en dus het inrichten van harde en soft controls is veelal
gelegen in de open normen die voorkomen uit wet- en regelgeving. Het gaat bij het invullen van open normen immers
niet om het sec uitvoeren van activiteiten zoals beschreven
in de wet, maar juist om de vraag: Hoe wil de organisatie
invulling geven aan deze normen? Dit vraagt om andere
inspanningen dan die nodig zijn voor het ontwerp en de
invoering van beheersmaatregelen op basis van gesloten
normen die een meer ‘voorschrijvend’ karakter hebben.
Bij het vaststellen in hoeverre een organisatie compliant
handelt ten aanzien van de open normen die uit wet- en
regelgeving voortvloeien, ondervinden organisaties vaak
problemen. Een eerste punt waar organisaties tegenaan
lopen is: hoe worden de eisen uit wet- en regelgeving
concreet vertaald naar beleid? De vraag echter, die
vervolgens naar voren komt, is: hoe kan het beleid worden
PricewaterhouseCoopers
geïmplementeerd in processen en procedures, anders
gezegd: hoe implementeer ik de harde beheersingsmaatregelen? Als een organisatie er al in slaagt bovenstaande
punten goed uit te voeren, is er nog een derde punt waar
men in de praktijk tegen aanloopt. Hoe krijg je het gewenste
gedrag tussen de oren van medewerkers, anders gezegd:
hoe implementeer ik de soft controls?
Een belangrijke taak van compliance officers en auditors
is het management te ondersteunen bij het verkrijgen van
zekerheid ten aanzien van de status van de werking van het
interne stelsel van controlemaatregelen. Mede als gevolg
van het onvoldoende invullen van de open normen die
voortvloeien uit wet- en regelgeving en het feit dat er onvoldoende aandacht is voor soft controls, resulteert erin dat
ondernemingen eigenlijk de ‘belofte’ van ‘wij zijn doorlopend
in control’ moeilijk kunnen waarmaken.
Spotlight Jaargang 16 - 2009 | Uitgave 3
43
Related documents
Risicocultuur - Accent Organisatie Advies
Risicocultuur - Accent Organisatie Advies
Tien bouwstenen voor de flexibele organisatie
Tien bouwstenen voor de flexibele organisatie
Soft Controls in de audit
Soft Controls in de audit
Top 10 lessons learned SOx
Top 10 lessons learned SOx
soft en hard controls
soft en hard controls
TriMetrix® een driedimensionale kijk op mensen in hun
TriMetrix® een driedimensionale kijk op mensen in hun
VOOR VEELVULDIG GEBRUIK Skinman Soft Protect
VOOR VEELVULDIG GEBRUIK Skinman Soft Protect
Laat kosten renderen
Laat kosten renderen
Seminar Privacy in Zorg: `zorginstellingen moeten
Seminar Privacy in Zorg: `zorginstellingen moeten
SPSS Statistics 24.0.0 Wat is nieuw in versie 24?
SPSS Statistics 24.0.0 Wat is nieuw in versie 24?
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
Utrecht - Control in balans
Utrecht - Control in balans
Soft controls - Focus op verbeteren
Soft controls - Focus op verbeteren
Download
advertisement