De AVG, de NIB en de eIDAS zijn stabiele Europese wettelijke kaders waarbij de interpretatie door uitspraken van toezichthouders en jurisprudentie gekleurd worden. Nieuwe of andere inzichten in beheersen en beveiligen van (persoons)gegevens zijn aanleiding voor het aanpassen deze wettelijke kaders. Het door cloud-leveranciers toepassen van het beveiligingsparadigma Zero Trust in plaats van vertrouwen op firewalls (alleen) is een voorbeeld van een technologische vernieuwing/ verandering dat de wetgever meeneemt in de volgende versie van het NIB. Het massaal toepassen van Artificial Intelligence (AI) geeft ook aanleiding tot het treffen van aanvullende beheersmaatregelen.
De wettekst van de AVG is omvangrijk en dat zijn de teksten van de eIDAS-verordening en NIB-richtlijn ook. De eIDAS regelt binnen de EER de interoperabiliteit van Identity-leveranciers. De NIB-richtlijn is door EER-leden in nationale wetgeving verwerkt. Het kennen van de wettelijke verplichtingen uit de AVG, de eIDAS en de NIB geven bedrijven richting welke beheers- en beveiligingsmaatregelen nodig zijn de bedrijfs- en persoonsgegevens effectief te beschermen. Wetgeving rond het toepassen van AI is lastig te doorgronden. De Europese en nationale wetgevers vragen veel van bedrijven en instellingen. Het bedrijfsspecifieke wettelijke framework waarin de relevante compliance verplichtingen zijn opgenomen vraagt permanente aandacht van de bedrijfsleiding.
De docenten nemen de cursisten mee bij het samenstellen van een bedrijfsspecifiek wettelijke framework. Wij maken gebruik van regelkring (life cycle) voor het onderhouden van een dergelijk framework. De centrale casus richt zich op het samenstellen en beheren van een bedrijfsspecifieke privacy, security en compliance framework waarin de compliance verplichtingen zichtbaar zijn.
Het organiseren van governance & compliance vanuit een internationaal opererend bedrijf vraagt een duidelijke aanpak. Het begint met het bepalen van de verantwoordelijkheids- en aansprakelijkheidsdomein en voor elke entiteit vaststellen van de bedrijfsactiviteiten. Bedrijfsactiviteiten worden met bedrijfsprocessen georganiseerd. Bij het uitwerken van de bedrijfsactiviteiten en -processen van entiteiten kunnen overlappingen bestaan. Vervolgens koppelen wij de bedrijfsspecifieke frameworks aan bedrijfsactiviteiten.
Een noodzakelijke maar niet voldoende voorwaarde voor het slagen van de governance en compliance met het juridische compliance framework is het overtuigen van het management en de staf van het belang van governance en compliance. Als het belang wordt onderkend zullen sleutelmedewerkers vragen om trainen.
De compliance verplichtingen (en aandachtspunten) en de beheersdoelstellingen krijgen een plaats in de bedrijfsspecifieke Risk Register. Het Risk Register geeft richting aan het formuleren van beheersmaatregelen die “by design” opgenomen worden in bedrijfsprocessen én het samenstellen van een integraal compliance-plan.
Het uitvoeren van de compliance-werkzaamheden vraagt een planning en een doortastende uitvoering van werkzaamheden door centrale en de-centrale teams. De bevindingen en conclusies van de compliance werkzaamheden nemen de compliance medewerkers op in het Risk Register. Dit geldt ook voor het ambitieniveau van de bedrijfsleiding en onderzoeken naar aanleiding van incidenten en signalen van management en staf. Er vormt zich een integraal beeld van de goverance en compliance van het effectief georganiseerd zijn van het framework.
Het compliance-plan sluit aan bij de jaarlijkse of driemaandelijkse financiële compliance. De jaarlijkse verantwoording wordt veelal gevolgd door een audit gericht op de bevestiging door een gekwalificeerde deskundige van de integrale verantwoording. Het volgen van de doelstellingen en de mijlpalen van de wettelijke verantwoording bespaart de bedrijfsleiding, het management en de staf onnodig dubbel werk. Bovendien versterken de governance en compliance werkzaamheden van de financiële en administratieve compliance elkaar.
Tijdens de cursus bespreekt de docent verschillende facetten van de governance & compliance vanuit een internationaal perspectief. De docent draagt casussituaties aan en het is mogelijk dat cursisten casussituaties inbrengen.
Doelgroep
Een gemeenschappelijk beeld over het organiseren van governance en compliance bij de bedrijfsleiding, het management, staf en professionals zoals compliance-medewerkers, CISO en FG is een uitgangspunt voor het effectief uitvoeren van de compliance-werkzaamheden (het treffen van interne beheersmaatregelen, uitvoeren van interne controlemaatregelen of het uitvoeren van onderzoeken gericht op het vaststellen van compliance met wettelijke en contractuele verplichtingen.
Internationaal opererende bedrijven kennen een cultuur en wensen hun governance en compliance bedrijfsspecifiek te organiseren. Wij onderkennen deze behoefte met:
- Een bedrijfsspecifieke leeromgeving; en
- Het toepassen van een bedrijfsspecifieke portfolio met bewustwordingen en trainingsprogramma’s.
De door Duthler Academy aangeboden cursussen kunnen dienen de bedrijfsspecifieke programma’s samen te stellen, te beheren en te gebruiken voor het integraal organiseren van governance en compliance.
Cursuscategorie governance en compliance
Voor bedrijven die internationaal opereren is het organiseren van governance en compliance met relevante internationale wettelijke verplichtingen relevant. Een integraal plan van aanpak met realistische doelen en een doortastende uitvoering helpt de aansprakelijkheids- en kostenrisico’s van internationaal opereren beheersbaar te houden.
