JUYST

JUYST Accountancy Belastingadvies, IT-audit, HR-advies, Business Coaching

Formulier

Fout: Contact formulier niet gevonden.

Nieuwsbrief

ZoekSluit
LoginSluit
MenuSluit

IT-auditing

Klik hier om het document te downloaden.

12 december 2017 van 9:00u tot 12:00u in het Novotel te Maastricht

Op 25 mei 2018 gaat de nieuwe belangrijke AVG wetgeving in. Ook wel bekend als de GDPR (General Data Protection Regulation). Wellicht denkt u nu ‘dat zie ik dan wel…’, maar alle organisaties, bedrijven en overheden dienen vóór 25 mei 2018 AVG-compliant te zijn.

Voor u en uw collega’s houden wij een informatiesessie over dit onderwerp waarin aan de orde komt welke impact deze nieuwe AVG op uw organisatie heeft en hoe u er voor zorgt AVG-compliant te worden.

Onze specialist Wil Peters van Juyst Audit & Monitoring en Tim Willems van RiskRhino ontvangen u graag op 12 december aanstaande van 9:00u tot 12:00u in het Novotel te Maastricht. Na afloop kunt u goed bepalen welke acties u nog moet ondernemen om AVG-compliant te worden. Bij het AVG-compliant maken van uw organisatie kan Juyst Audit & Monitoring u tevens bijstaan en adviseren.

Na de presentatie is er ruimte om uw vragen te stellen en na afloop is het mogelijk om eventueel een afspraak te plannen. Voor drank en spijs wordt gezorgd en u hebt tevens de mogelijkheid om uw netwerk uit te breiden en kennis te maken met personen van verschillende organisaties.

Wij nodigen u van harte uit om deel te nemen aan deze presentatie! Er zijn verder geen kosten verbonden aan uw deelname.

Op dit moment zijn we nog maar een aantal maanden verwijderd van de invoering van de General Data Protection Regulation (GDPR), ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG). Er rest dus nog maar weinig tijd voor organisaties om zich voor te bereiden. Maar hoe kunt u er nu voor zorgen dat uw organisatie AVG-compliant wordt? Als u ernaar op zoek gaat zult u legio aanbevelingen en adviezen vinden. Vaak zijn deze fragmentarisch en beslaan ze slechts onderdelen van het AVG-speelveld.

Een praktische oplossing

Juyst Audit & Monitoring heeft een complete oplossing ontwikkeld die u helpt om in zes eenvoudige stappen uw AVG-vraagstuk op te lossen. Elke wordt ondersteund vanuit slimme software, waarin een groot aantal standaarddocumenten en formulieren zijn opgenomen. U kunt daardoor snel en gericht werken, zodat zelfs dit complexe vraagstuk hanteerbaar wordt.

Juyst Audit & Monitoring heeft een 6-tal pragmatische stappen geïdentificeerd die elke onderneming, groot of klein, moet ondernemen vóór de komst van de AVG.

Stap 1. Bewustwording

De AVG zorgt voor grote opschudding omdat deze nieuwe privacywetgeving impact heeft op uw hele organisatie. Het gaat namelijk in de basis om het verwerken en verspreiden van informatie. En dat vindt plaats in alle geledingen van uw organisatie, óók ver buiten het gezichtsveld van de afdeling juridische zaken. Daarom is een belangrijke eerste stap op de weg naar AVG-compliance het zorgen dat de juiste mensen in uw organisatie op de hoogte zijn van de eisen. Deze sleutelfiguren moeten een inschatting maken van de gevolgen die de AVG heeft in dat deel van de organisatie waar zij verantwoordelijk voor zijn. De standaard vragenlijst helpt u met het identificeren van uw risico’s.

Stap 2. Privacy-Impact-Assessments (PIA)

In deze stap voldoet u aan de verplichting een risicoanalyse voor gegevensverwerking per systeem uit te voeren. Per risico kunt u aangeven wat de impact en ernst van een risico is, zodat u een prioritering kunt aanbrengen bij te nemen beheersmaatregelen. Tevens toetst u zo ‘privacy by design’ en ‘privacy by default’ van uw systemen. De uitvoering van deze PIA’s wordt door veel organisatie als belastend ervaren. Daarom biedt onze oplossing u een standaard PIA (NOREA) en softwarematige ondersteuning bij het invullen en verwerken van de resultaten. Efficiënt en doelmatig.

Wat is privacy-by-design en privacy-by-default?

  • Privacy-by-design ziet op het tijdens het ontwerp van processen en systemen al rekening te houden met privacyaspecten. Lange tijd was het zo dat privacy als een (lastige) bijkomstigheid werd gezien. Veilige systemen vereisen echter dat al in de ontwerpfase wordt nagedacht over privacyaspecten, bijvoorbeeld door het toepassen van versleutelingstechnieken en meer geavanceerde methodes van identificatie en authenticatie van gebruikers.
  • Privacy-by-default wil zeggen dat alle privacybeschermende opties standaard aan staan. Dit is in nogal wat applicaties niet het geval, denk daarbij bijvoorbeeld aan de apps die u installeert op uw telefoon.

Stap 3. Control Framework

De AVG verplicht u tot het vastleggen van veel informatie. Omdat te vereenvoudigen leveren we een standaard AVG Control Framework inclusief templates voor alle vereiste gegevens.

Dataregister

U moet bijvoorbeeld een dataregister van alle persoonsgegevens bijhouden. Dit register geeft inzicht in de verwerkingen van persoonsgegevens door uw eigen organisatie, maar óók door organisaties waaraan u uw dataverwerking heeft uitbesteed. Focus bij het dataregister niet alleen op HR- of CRM-systemen, maar zeker óók op alle digitale kanalen en bijbehorende marketingtools. Enkele aspecten van het data register zijn:

  1. Aard van de verwerkte gegevens
  2. Doelstelling voor de verwerking
  3. Wettelijke grondslag/toestemming voor verwerking inclusief vastlegging wet- en regelgeving
  4. Systemen waarop de verwerking plaatsvindt
  5. Outsourcing van de verwerking, inclusief AVG-conforme bewerkersovereenkomst
  6. Migratie van data naar het buitenland
  7. Bewerkingsverantwoordelijke

Risico’s en Beheersmaatregelen

Uiteraard loopt u risico’s bij de verwerking van persoonsgegevens. Het is daarom noodzaak dat u die risico’s (onder)kent en dat u maatregelen neemt om de risico’s te voorkomen of waar nodig de effecten van het risico te beperken mocht het zich toch voordoen. Om de dataprivacy en -security te waarborgen legt u een reeks van beheersmaatregelen vast, van wachtwoordprocedures, fysieke beveiliging tot de wijze van informeren van de klant (het datasubject) en het ondersteunen van de rechten van het datasubject. De AVG vereist dat elke klant, werknemer of gebruiker begrijpt wat er gebeurt met zijn of haar persoonsgegevens. U kunt dat niet meer regelen in voorwaarden, een privacyverklaring of ergens op uw website. De AVG verlangt dat u deze helderheid expliciet en ondubbelzinnig aan alle belanghebbenden verstrekt. Sterker nog: u zult desgevraagd aan de autoriteiten moeten kunnen tonen dat u dit op de juiste wijze heeft gedaan. Het verdient aanbeveling om het Privacy Statement van uw organisatie te herzien en aan te vullen.

De personen waarvan u de gegevens verwerkt krijgen recht op:

  • Informatie
  • Inzage
  • Rectificatie
  • Overdraagbaarheid
  • Vernietiging van gegevens
  • Indienen van bezwaar

Deze rechten zijn een uitdaging voor nagenoeg alle organisaties en systemen, daarbij aantekenend dat ze ook zien op papieren vastleggingen en gegevens die u bij externe dienstverleners heeft ondergebracht. Op dit moment zult u daarom naar alle waarschijnlijkheid niet compliant kunnen zijn aan de AVG.

Van uw externe dienstverleners zult moeten eisen dat ze uw organisatie in staat stellen om inzicht te geven in de verwerkte persoonsgegevens, deze verwerking aan te passen of zelfs te beëindigen. Dit zou kunnen resulteren in een wissel van dienstverlener. Een organisatie kan het zich namelijk niet permitteren om AVG-risico’s te lopen of de organisatie te belasten met het handmatig naleven van deze rechten.

Data Protection Officer

De Data Protection Officer (DPO) zorgt intern voor naleving van de AVG en is in voorkomende gevallen de contactpersoon voor de autoriteiten. De ondergrens van 250 medewerkers of 5.000 datarecords uit de eerste versies van de AVG staat niet meer in de AVG, maar is wel een goede richtlijn om te bepalen of uw organisatie een DPO moet hebben. Zeker voor kleinere organisaties zal het instellen van een DPO kostbaar zijn. U kunt dan kijken naar de mogelijkheid van het uitbesteden van deze functie. Zeker in combinatie met het gebruik van software ter ondersteuning van uw AVG-compliance, is dit een reële mogelijkheid. We zijn graag bereid om u hierover nader te informeren.

Stap 4. Audits

Naast het vastleggen is het van belang regelmatig te toetsen of de beheersmaatregelen ook daadwerkelijk effectief zijn. Deze 4e stap ondersteunt het regelmatig toetsen van de werking van deze maatregelen. Eventuele issues of bevindingen neemt u mee in uw incidentregister.

Stap 5. Incidenten

De AVG vereist dat uw organisatie processen en beheersmaatregelen heeft om datalekken te herkennen, binnen 72 uur te melden bij de autoriteit en bij mogelijke schade de betrokkenen in te lichten. Van belang is hier om daar waar risico’s bestaan taken, bevoegdheden en verantwoordelijkheden te benoemen, deze te documenteren en zorg te dragen voor continu monitoring op de werking van getroffen maatregelen. Uw organisatie moet kunnen aantonen correct te handelen bij een datalek. Deze documentatie is overigens ook nodig voor cyberverzekeringen. Datalekken kunnen grote schade toebrengen. Om kosten te voorkomen of bij uw verzekering te kunnen claimen zult u moeten kunnen aantonen al het realistisch mogelijke te hebben gedaan om de schade te voorkomen en te beperken. Het voeren van een incidentenregistratie is dan ook ten zeerste aan te bevelen.

Stap 6. Laat zien

Een dashboard laat u vervolgens zien of u nog voldoende in control bent. Uiteraard kunt u rapportages maken die voor u intern of ook voor uw externen aantonen dat u op de juiste wijze omgaat met persoonsgegevens en u compliant bent.

Het naleven van de AVG is niet een eenmalige aangelegenheid, maar een continu proces. Alle voorgaande stappen moeten daarom ook een vanzelfsprekend onderdeel worden van het gegevensverwerkend proces in uw organisatie. Leg daarom kaders, processen en verantwoordelijkheden vast in uw informatiebeveiligingsbeleid.

Juyst Audit & Monitoring werkt samen met RiskRhino voor diverse opdrachtgevers aan het implementeren van bovenstaande stappen. Deze klanten zien met vertrouwen het komende jaar én de toekomst ná 25 mei 2018 tegemoet. Waarom zou u nog langer wachten? U kunt met ons direct aan de slag!

Neem vandaag nog contact op met Wil Peters of bel en plan een afspraak.

Juyst werkt nauw samen met RiskRhino. RiskRhino heeft een uitstekende applicatie ontwikkeld die is gericht op het in control zijn voor de AVG. Kijk voor meer informatie op www.riskrhino.com.

Elke organisatie moet vanaf 25 mei 2018 voldoen aan de richtlijnen van de General Data Protection Regulation (‘GDPR’) – Algemene Verordening Gegevensbescherming (‘AVG’) in het Nederlands – voor het verwerken en opslaan van privacygevoelige informatie. Een kernelement hierbij is dat je kunt herleiden waar die informatie is opgeslagen en wordt gebruikt.

De invoer van de GDPR heeft grote gevolgen voor de informatiehuishouding van organisaties. Toch had deze nieuwe Europese privacywetgeving niet veel later moeten komen. In het bedrijfsleven wordt sinds enkele jaren namelijk steeds meer geïnvesteerd in technologie voor (big) data en analytics. Bedrijven verzamelen daarnaast steeds meer data, zowel van binnen als buiten de organisatie, met als doel hun processen te verbeteren, nieuwe verdienmodellen bloot te leggen, maar vooral – in veruit de meeste gevallen – om de klantervaring te verbeteren. Hierbij wordt per definitie met privacygevoelige persoonsgegevens gewerkt, waardoor de vraag rijst of deze dataverzamelingstrend niet ontzettend conflicteert met de doelstellingen van de GDPR. Deze ogenschijnlijk tegengestelde belangen kunnen elkaar echter ook versterken.

Ondanks het feit dat de GDPR snel dichterbij komt, blijkt dat de invoering ervan bedrijven veel zorgen baart. Zoveel zorgen dat 20% van de ondervraagde bedrijven bang is dat de GDPR en bijbehorende boetes de continuïteit van de bedrijfsvoering in gevaar brengen.

Maar liefst 86% van de bedrijven geeft aan dat non compliance hun bedrijf serieuze problemen zal geven. Daarnaast geeft 47% van de bedrijven aan dat ze niet verwachten op tijd klaar te kunnen zijn. Gedwongen ontslagen en krimp als gevolg van hoge boetes en reputatieschade worden door 21% van de bedrijven nu reeds voorzien. Grote ondernemingen verwachten gemiddeld €1.3 miljoen kwijt te zijn aan hun compliance. Hoe moet dat dan voor alle middelgrote en kleine ondernemingen?

Verder wordt benadrukt dat de wet ook geldt voor organisaties buiten de EU die persoonlijke gegevens van Europese burgers opslaan of verwerken. Dit vergroot de impact nog verder. De vraag is nu hoe al deze bedrijven het beste kunnen omgaan met deze nieuwe situatie. Burgers krijgen namelijk weer de controle terug over wat bedrijven met hun persoonsgegevens kunnen en mogen doen, maar de bedrijven die deze gegevens beheren moeten dit vervolgens faciliteren en alle persoonsgegevens inzichtelijk maken.

Uitgangspunten van de GDPR

De belangrijkste uitgangspunten van de GDPR zijn:

  • Dataminimalisatie – de hoeveelheid persoonsgegevens die wordt opgeslagen moet tot een minimum beperkt worden.
  • Transparantie – organisaties moeten zowel de regelgevende instanties als de burgers zelf inzicht kunnen geven in waar privacygevoelige gegevens opgeslagen en gebruikt worden.
  • Integriteit – de beveiliging van en toegang tot persoonsgegevens moet optimaal geregeld zijn en inzichtelijk gemaakt worden.
  • Opslagbeperking – gegevens moeten waar mogelijk zoveel mogelijk worden geanonimiseerd of worden voorzien van pseudoniemen.
  • Doelbinding – gegevens mogen alleen worden verzameld voor een beoogd doel en niet zomaar worden opgeslagen.

Met name waar het gaat om transparantie zullen bedrijven die zich recent met business intelligence en analytics zijn gaan bezighouden veel herkennen. Die hebben namelijk aan den lijve ondervonden wat het betekent om gestructureerd(er) met hun data om te gaan. Waar komen de gegevens vandaan? Waarvoor worden ze gebruikt en op welke plaatsen zijn ze precies opgeslagen?

Onderdeel van de GDPR-compliance is helderheid geven over welke systemen data verwerken en hoe in deze systemen rekening is gehouden met de privacy (privacy by design). Daarnaast moet helder zijn wat de grondslag is voor de verwerking en welke doelen worden nagestreefd, hoe contracten met bewerkers zijn opgesteld en hoe een aantal verplichte procedures, bijvoorbeeld op het gebied van dataretentie en verwijdering, worden ondersteund. Veel vragen en, als je het niet goed doet, heel veel werk. Het is onontkoombaar dat dit alles vraagt om de invoering van processen en rapportages die nodig zijn om aan de GDPR te kunnen voldoen.

Datahandel en datagraaien

De GDPR maakt in feite een eind aan het klakkeloos verzamelen, opslaan en verhandelen van privacygevoelige gegevens. Bedrijven moeten inzichtelijk maken welke persoonsgegevens precies opgeslagen worden en voor welk doel. En bovendien moet de burger daar zelf toestemming voor geven en moet hij deze op een later moment ook weer kunnen intrekken. Dat is goed nieuws voor de Europese burger, die hiermee weer de controle terug krijgt over waar en door wie zijn persoonlijke gegevens gebruikt worden.

Het probleem is echter dat de meeste bedrijven geen centraal inzicht hebben in waar persoonsgegevens precies zijn opgeslagen. Dat kan namelijk in een traditionele situatie al op allerlei verschillende plekken zijn. Denk bijvoorbeeld aan een CRM, e-commerce website, e-mailmarketingprogramma, Business Intelligence software op desktop-pc’s of laptops, Excel-spreadsheets en zelfs een fysieke dossiers. De uitdaging wordt nog veel groter als er met big data-oplossingen als Hadoop wordt gewerkt. Dan wordt het nog veel lastiger om aan regulerende instanties te melden welke data er zijn opgeslagen, waar ze vandaan komen en of ze ook accuraat zijn.

Toekomstbestendige oplossingen

Een deel van de oplossing voor deze uitdaging is het algehele beheer, de distributie en het gebruik van data binnen een organisatie samen te brengen in een centraal analyse-platform. Hiermee kunnen organisaties de controle terugpakken over hun data die noodzakelijk is om aan de strenge eisen van de GDRP te voldoen.

Daarnaast zal een specifieke, op de GDPR toegespitste GRC-oplossing veel hulp bieden bij het inzichtelijk maken van de risico’s rondom het verwerken van persoonsgegevens, de beheersmaatregelen die daarvoor moeten worden ingericht en de controle die op dit alles moet worden uitgeoefend. De beheersing van GPDR-risico’s opzetten via het vullen en bijhouden van Excel-spreadsheets is bij namelijk voorbaat kansloos. Dit geldt zeker voor (middel)grote organisaties.

Een centraal analyse-platform en een GDPR-GRC-oplossing kunnen samen een brug vormen naar GDPR-compliance. Behalve GDPR-compliance kan hiermee bovendien het fundament worden gelegd om een datagedreven organisatie te worden.

Meer weten?

Het advies is om tot actie over te gaan. Wij praten u graag bij. In één dagdeel kijken we hoe de verschillende aspecten van de wet van toepassing zijn op uw organisatie. Praktisch en resultaatgericht. We leggen uw gegevens gestructureerd vast zodat de eerste stap richting compliance is gezet. Tenslotte stellen we samen een actieplan op. Helder en gestructureerd. Neem vandaag nog contact met ons op.

Auditing en controlling zonder het gebruik van geautomatiseerde ondersteuning is heden ten dage ondenkbaar.

Deze korte video toont een data-analyse toepassing in Arbutus Analyzer, genaamd “SteekwoordenCheck”. Het gaat om de mogelijkheid om met een (groot) aantal steekwoorden te kunnen zoeken in één of meer velden van een bestand. Het voorbeeld dat wordt uitgewerkt gaat uit van een bestand met financiële mutaties, waarin een omschrijving voorkomt in een veld genaamd “Tekst”. Het doel is om na te gaan of er financiële mutaties zijn, die mogelijk onder de fiscale werkkostenregeling (WKR) vallen. Normaal gesproken worden deze mutaties op een specifieke grootboekrekening geboekt. Het is echter de vraag of dit altijd consequent is gebeurd. Mocht dat niet zo zijn, dan loopt de organisatie een risico. Namelijk dat bij een loonbelastingcontrole 80% eindheffing (plus heffingsrente en boete) moet worden betaald over de niet als “WKR” gelabelde posten!

Er is een lijst met enkele honderden WKR-gerelateerde woorden opgesteld, deze lijst is opgenomen in het bestand “WkrSteekwoorden.txt”. De stappen die worden genomen, zijn de volgende:

  • Importeren financiële mutaties in Arbutus Analyzer
  • Opstarten script “SteekwoordenCheck”
  • Aanwijzen tabel waarin moet worden gezocht
  • Aanwijzen veld waarin moet worden gezocht (méér velden aanwijzen is mogelijk)
  • Aanwijzen tekstbestand waarin steekwoorden zijn opgenomen
  • Indien gewenst: exporteren uitkomst naar Excel voor verdere verwerking

Dit is maar een voorbeeld, er kunnen natuurlijk voor allerlei doeleinden steekwoordenlijsten worden samengesteld. Een meer geavanceerde toepassing kan ook rekening houden met kleine afwijkingen in de schrijfwijze. Dit wordt ook wel “fuzzy” zoeken genoemd.

Meer weten? Neem contact op.

Het toepassen van data-analyse biedt grote kansen voor auditors en controllers. Via Continuous Auditing en Monitoring kunnen bedrijfsprocessen en datastromen voortdurend worden gemonitord. Toch blijken audit teams met de implementatie hiervan te worstelen. Een belangrijk struikelblok: legacy-systemen. Is deze horde te nemen?

Onder legacy-systemen verstaan we de mainframe (zSeries) en AS/400 (iSeries) platforms die vandaag de dag nog steeds bij veel organisaties worden ingezet als verwerkingsplatform voor de kernprocessen. Deze platforms zijn echter gesloten, zeker voor eindgebruikers. Eindgebruikers kunnen niet gemakkelijk aankoppelen voor het verkrijgen van data en het uitvoeren van analyses.

Recent nam ik deel aan een bespreking met interne auditors over het inzetten van data-analytics ten behoeve van Audit en Monitoring. Alle aanwezigen waren in meer of mindere mate met dit onderwerp bezig, vanuit de wens om efficiënter vast te stellen dat processen goed werken en data van goede kwaliteit zijn. Een belangrijk struikelblok was het verkrijgen van data uit de legacy-systemen.

Het verkrijgen van data (extract), het transformeren van data voor analyse (transform) en het beschikbaar stellen van data voor analyse (load) wordt ook wel aangeduid met ‘ETL’. Legacy-systemen wijken op nogal wat technische punten af van moderne database-servers. Alleen al de codetabel die deze legacy-systemen gebruiken (‘IBM EBCDIC Character Table’) kan voor veel hedendaagse ETL- en analysesoftware een probleem vormen.

Toch bevreemdt dit mij enigszins. Immers, vanaf de jaren tachtig van de vorige eeuw gebruiken auditors data uit deze systemen voor auditdoeleinden. En als ze voor audit uit deze systemen kunnen worden gehaald, dan kan dat voor controlling doeleinden eveneens. De auditsoftware die toen op de markt was, bestaat ook nu nog. Natuurlijk niet meer in een MSDOS-jasje, maar met een moderne grafische gebruikersinterface die op Windows draait. En deze auditsoftware heeft de functionaliteit om met legacy-systemen te kunnen werken nog steeds aan boord.

Juyst Audit & Monitoring is distributeur van Arbutus Software uit Canada. Arbutus biedt ‘Direct Desktop Access and Control’ aan voor organisaties die beschikken over z/OS, OS/390, MVS, of AS/400 platforms. Via de ‘Arbutus Mainframe Server’ of de ‘Arbutus AS/400 Server’ kunnen eindgebruikers direct toegang verkrijgen tot databronnen in het legacy-systeem. Gewoon vanaf hun laptop of desktop, rechtstreeks vanuit de analysesoftware ‘Analyzer’ en zonder tussenkomst van de IT-afdeling.

Het opzetten van oplossingen voor Continuous Auditing en Monitoring kan een behoorlijke uitdaging zijn. Onze ervaring is dat beginnen met kleine stapjes om ervaring op te doen, om daarna uit te bouwen tot meer veelomvattende toepassingen het beste werkt. Essentieel is daarbij dat de eindgebruikers (in dit geval auditors, controllers en mensen uit de business) zeer nauw moeten worden betrokken bij het opzetten van data-analysetoepassingen. Zij moeten kunnen experimenteren in een veilige omgeving. Tegelijkertijd zal aan alle eisen van controleerbaarheid (audit trail) moeten worden voldaan. De auditsoftware van Arbutus biedt deze mogelijkheid al meer dan 25 jaar.

Contact

Neem contact op met Wil Peters RE RA als u meer wilt weten of Arbutus Software voor het ontsluiten van uw legacy-systemen

Powered by  GDPR Cookie Compliance
Privacyoverzicht

Deze site maakt gebruik van cookies, zodat wij je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in je browser en voert functies uit zoals het herkennen wanneer je terugkeert naar onze site en helpt ons team om te begrijpen welke delen van de site je het meest interessant en nuttig vindt.