Toekomstvaste compliance, feit of fabel?

Maat: px
Weergave met pagina beginnen:

Download "Toekomstvaste compliance, feit of fabel?"

Transcriptie

1 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? 1.6 Toekomstvaste compliance, feit of fabel? De sterk toegenomen belangstelling voor IT-governance wordt voor een belangrijk deel veroorzaakt door de noodzaak te voldoen aan de externe eisen die aan een organisatie worden gesteld: met een mooi woord compliance. De komst van ISO versterkt dit effect. Rudolf Liefers, Johan Sturm en Daniel van Burk analyseren op uitnodiging van de redactie de situatie ten aanzien van compliance, en de relevantie daarvan voor ITservicemanagement INTRODUCTIE Gebeurtenissen met maatschappelijke impact (fraudes, aanslagen) zien we enige tijd later terug in nieuwe en veranderende regelgeving. Zo zagen de Sarbanes-Oxley Act (SOX), de Nederlandse Corporate Governance Code (Tabaksblat), de Wet Bescherming Persoonsgegevens (WBP), Basel II, de Wet Computer Criminaliteit (WCC) en het Intellectueel Eigendomsrecht (IE) het licht. Niet alleen overheden zorgen voor regels en toezicht, organisaties leggen elkaar, bijvoorbeeld in uitbestedingsrelaties, ook eisen op en vereisen van elkaar bewijslast in de vorm van bijvoorbeeld een SAS-70 verklaring. De verwachting is dat de nieuwe ISO norm voor nog meer druk zal gaan zorgen. Tenslotte worden leveranciers van software steeds kritischer naar hun klanten, wanneer het gaat om bewijslast ten aanzien van het legale gebruik van software. Flink wat nieuwe eisen en regels zijn dus de afgelopen jaren uitgestort over de diverse marktsectoren. In het kielzog van de regels volgen de toezichthouders die willen weten of die regels ook worden nageleefd. Veel van de regels worden vertaald naar eisen aan de ICT-voorzieningen en -procedures. De vraag die dan opkomt is hoe ervoor te zorgen dat de organisatie in kwestie op een toekomstbestendige manier aan de regels kan voldoen. EXTERNE EISEN AAN BEHEERSING VAN IT Compliance is een blijvertje geworden. Dit betekent dat wanneer de acute aandacht voor compliance vermindert, de noodzaak om aantoonbaar aan de eisen te voldoen blijft bestaan. De genoemde gebeurtenissen met maatschappelijke impact en de daaropvolgende veranderende regelgeving hebben dus iets fundamenteels veranderd in het ITwerkveld. Het aantonen van de beheersing van het ontwikkelen en beheren van IT is namelijk een externe verplichting geworden, waarbij de overheid en haar toezichthouders eisen stellen aan de kwaliteit van IT. Het gaat dan meestal om vertrouwelijkheid, integriteit en beschikbaarheid van IT, maar ook om de controleerbaarheid van procedures en processen. Het aantoonbaar voldoen aan weten regelgeving zal de komende jaren nog steeds van iedereen de nodige aandacht blijven vergen, ook doordat het aantonen van de compliant status een jaarlijks terugkerend fenomeen wordt en vaak al is. Dit maakt het meer dan de moeite waard om goed te kijken naar de mogelijkheden om de kosten voor compliance omlaag te brengen. IT Service Management, best practices, deel 4

2 46 DE SPELERS IN HET COMPLIANCE- VELD De verschillende wetten en regels en bijbehorende toezichthouders zorgen voor een breed spectrum aan eisen, die regelmatig worden onderzocht met een audit. Doelstelling en scope van de onderzoeken van de diverse auditors variëren echter sterk. Niet altijd is volledig helder wie waarom naar welke aspecten kijkt. Ook kunnen de vragen van een auditor van toezichthouder B wellicht erg bekend voorkomen na het eerdere bezoek van een auditor van toezichthouder A. Minstens zo lastig is dat de wet- en regelgeving niet altijd volledig onderling consistent is. De ITorganisatie heeft echter wel de verantwoordelijkheid om deze zaken zo effectief en efficiënt mogelijk aan te pakken. Omdat wet- en regelgeving een organisch ontstane lappendeken is, is het lastig een indeling te maken voor een eenduidige classificatie van alle wetten en regels. Bij de classificatie is relevant wie de spelers zijn, welke wet- en regelgeving zij hebben uitgevaardigd en wat de effecten daarvan voor IT zijn. In tabel 1 volgt een lijst met spelers. Deze geeft geen uitputtende opsomming, maar slechts een beeld van de spelers die er ten aanzien van compliance zijn. PERSPECTIEVEN VAN WET- EN REGELGEVING Wet- en regelgeving is steeds vanuit een ander doel en perspectief opgesteld. De eisen die hieruit voortvloeien sluiten daardoor bijna per definitie niet op elkaar aan of vertonen overlap. Bekende voorbeelden buiten de ITsfeer zijn de restauranteigenaar in een grote Nederlandse stad, die van de gemeente de vuilnis niet buiten mocht zetten, maar van de Keuringsdienst van Waren mocht het niet binnen blijven staan. Of denk aan het voorbeeld van de vloer: deze moet soms volgens de arbonorm stroef zijn en volgens de hygiënewetgeving glad. Een verschil met bovengenoemde wetten is het aspect dat bij diverse wet- en regelgevingen een omkering van de bewijslast nodig is. In plaats van een opsporingsinstantie die moet aantonen dat een or- Spelers ten aanzien van compliance Karakter Overheden: veelal opstellers van wet en regelgeving Nederlandse wetgever Wetgeving (verplichtend) Europese Unie Wetgeving (verplichtend), direct danwel indirect door middel van implementatie in de Nederlandse wetgeving Amerikaanse wetgever Direct voor in Amerika (VS) genoteerde bedrijven Indirect, via eisen gesteld door bijv. Amerikaanse (VS) bedrijven Toezichthouders: toezichthouders zijn weliswaar geen wetgevende instanties, maar door hun macht om al dan niet goed te keuren hebben hun regels feitelijk de zwaarte van wetgeving. De Nederlandsche Bank (DNB) Regelgeving (verplichtend) (incl. Pensioen- & Verzekeringskamer (PVK)) Europese Commissie Toezicht op naleving richtlijnen door lidstaten Autoriteit Financiële Markten (AFM) Regelgeving (verplichtend) Algemene Rekenkamer Eisen vanuit controleperspectief (dwingend adviserend) College Bescherming Persoonsgegevens (Adviserend) Accountants Eisen vanuit controleperspectief (dwingend adviserend) Securities and Exchange Committee (SEC) Eisen vanuit controleperspectief (dwingend adviserend) Zelfregulering: de regels van brancheorganisaties gelden veelal als norm binnen het maatschappelijk verkeer. In specifieke gevallen kan/mag je daar wel van afwijken, maar dan alleen op basis van een goede argumentatie. Brancheverenigingen Adviserend (tamelijk dwingend karakter) Tabel 1 Spelers in de wet- en regelgeving

3 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? ganisatie zich niet aan de wet houdt, dient de organisatie zelf aan te tonen dat zij zich wel houdt aan de wet. Een bekend voorbeeld is het in control statement dat een onderneming voor SOX opstelt. WET- EN REGELGEVING VEREISEN CONTROLS Omdat wet- en regelgeving op het gebied van IT-beheer meer principle-based dan rulebased is, worden geen hele specifieke beheersmaatregelen ( controls ) vereist. Wel zal een organisatie die maatregelen moeten treffen waarmee zij zelf in control is. SOX vereist hiervoor het in control statement. In dit wettelijk voorgeschreven document verklaart de leiding van de organisatie dat zij dusdanig beheersmaatregelen hebben getroffen dat zij hun organisatie beheersen. Hiervoor dient de organisatie zelf een effectief control framework in te richten en de maatregelen te toetsen. Dit lijkt wel heel veel ruimte aan een organisatie te geven om iets in te richten en zelf aan te geven dat goed te vinden. Het dwingt een organisatie echter wel om haar eigen verantwoordelijkheid te nemen en op basis van een risicoanalyse haar beleid te bepalen en maatregelen te treffen. Een organisatie kan niet volstaan met het eenvoudig implementeren van een voorgeschreven set maatregelen en hopen dat dit afdoende is. Deze eigen verantwoordelijkheid om op basis van een risicoanalyse de juiste maatregelen te treffen geldt naast SOX ook voor bijvoorbeeld eisen van DNB (ROB) en privacy-wetgeving (WBP). VAN CONTROL-FRAMEWORK NAAR ORGANISATORISCHE MAATREGELEN Het control-framework geeft de eisen (control objectives) waaraan de organisatie moet voldoen. Om deze eisen in de praktijk werkend krijgen kan gebruik worden gemaakt van methoden, technieken en best practices die al veelvuldig worden toegepast. Hierbij wordt onderscheid gemaakt in requirements en practices (zie tabel 2). Alhoewel deze indeling geen eenduidig beeld geeft van specifieke normen per organisatie ontstaat wel standaardisatie en uniformering bij diverse branches. Organisaties die aan SOX-regelgeving moeten voldoen hanteren vaak CobiT, IT-dienstverleners hanteren vaak ISO/IEC 17799, terwijl software-ontwikkelaars CMM en ASL hanteren, om invulling te geven aan wettelijke eisen. Sommige van deze normen kunnen extern getoetst en gecertificeerd worden (ISO), andere normen kunnen intern of extern getoetst worden zonder specifieke certificering. De manier waarop aan deze normen kan worden voldaan vraagt een gestructureerde inrichting en proces matig werken van de IT-organisatie. Ook hier zijn meerdere modellen toepasbaar. Vooralsnog is het gebruik maken van de al toegepaste normenkaders binnen een organisatie en deze mappen op de van toepassing zijnde wetgeving de beste aanpak. Hierbij wordt zo veel mogelijk gebruik gemaakt van reeds bestaande processen en werkwijzen en niet voor bijvoorbeeld SOX een afzonderlijk en geheel nieuw changemanagementproces voor de SOX-kritische applicaties ingericht Requirements Voor het defi niëren van de controlemaatregelen kan gebruik worden gemaakt van de Control Objectives van CobiT en BS (Code voor Informatiebeveiliging). Ook het onlangs geïntroduceerde ISO/IEC (voorheen BS15000) biedt een normenkader, in dit geval gericht op IT-servicemanagement. Aan de hand van deze requirements kan worden gerapporteerd over de wijze waarop aan wet- en regelgeving wordt voldaan. Tabel 2 Onderscheid tussen requirements en practices Practices Voor de inrichting kan gebruik worden gemaakt van de ruim voorhanden zijnde best practices op het gebied van IT-processen en servicemanagement. Bijvoorbeeld ITIL, ISO/IEC (best practices voor securitymanagement) en ISO/IEC Part 2 (best practices voor servicemanagement). IT Service Management, best practices, deel 4

4 48 Wet Aspecten met impact op IT Services ISO/IEC Confidentiality (beveiliging, privacy, intellectueel eigendom) Wet computercriminaliteit (WCC) CobiT Adequate beveiliging Security mgt DS5 4 Beleid omgang met computergerelateerde Incident mgt DS5 13 beveiligingsincidenten Monitoren gebruik bedrijfsnetwerk Security mgt DS13 10 Bewaren bewijsmateriaal (logging en herleidbaarheid naar personen) Capacity mgt DS11 13 Auteursrecht (IE 1 ) Distributie computerprogramma s Release mgt AI7 12 Kopieerbeveiliging Security mgt AI2 11 Wet bescherming persoongegevens (WBP) Achtergrondstudies & Verkenningen nr. 23 (CBP) Gedragscodes per branche Bepalen Verantwoordelijke versus Bewerker Service level mgt PO4 7 Passende beveiliging Security mgt DS5 4 Gedragscode Internet en gebruik Security mgt DS7 8 Verplichtingen en aansprakelijkheid bewerker Service level mgt PO4 6 Beperking doorgifte gegevens buiten de EU Security mgt DS11 10 Maximale bewaartermijnen Capacity mgt DS11 7 Telecommunicatiewet Melden elektronische communicatiedienst Service level PO1 6 mgt Medewerking aftappen Security mgt DS5 10 Beveiligen netwerken, diensten en Security mgt DS5 4 persoonsgegevens Integrity (betrouwbaarheid, transparantie, beheersing) Aanbestedingsrecht Transparantie, objectiviteit en non-discrimimatie bij aanbesteding Supplier mgt AI5 6 Wetboek elektronische handel Sarbanes-Oxley PCAOB Auditing Standard Nr. 2 Titel 9 Boek 2 BW / IFRS (Verplichtingen Jaarrekeningen) Besluit voorschrift informatiebeveiliging rijksdienst 1994 (VIR) (ex art. 9 Besluit IVR 1990) ISO/IEC Raadpleegbaarheid overeenkomst Continuity mgt DS11 10 Authenticiteit en integriteit overeenkomst Security mgt DS5 10 Tijdstip totstandkoming overeenkomst (juiste systeemtijd) Security mgt DS13 10 Program Development Release mgt AI2 12 Program Changes Change mgt AI6 12 Computer Operations Continuity mgt DS13 10 Access to Programs and Data Security mgt DS5 11 Toegangsbeveiliging Security mgt DS5 11 Functiescheiding Security mgt PO4 10 Change management Change mgt AI6 12 Continuïteitsmaatregelen Continuity mgt DS4 14 Beleidsdocument Informatiebeveiliging Security mgt DS5 5 Bepalen van maatregelen Security mgt DS5 4 Vastleggen, Implementeren, Uitvoeren en Security mgt DS5 6 Controleren 1 IE = Intellectueel Eigendom is een verzamelbegrip voor meerdere rechten, waaronder Auteursrecht

5 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? Availability (continuïteit, stabiliteit, toegankelijkheid) Archiefwet 1995 Duurzaamheid opslag Continuity mgt DS11 15 Minimale bewaartermijnen Capacity mgt DS11 7 Algemene Wet Rijksbelastingen Goedkeuring conversie Change mgt AI7 12 Minimale bewaartermijnen Capacity mgt DS11 7 Wet Financieel Toezicht (Wft) - ROB Informatiebeveiliging Security mgt DS5 4 - Kader BCP Continuïteit van IT Continuity mgt DS ROB 2.6 Risico s, afspraken en toezicht bij uitbesteding Supplier mgt DS2 6 Wet Financiële Dienstverlening (Wfd) Basel II (Operationele risico s) Wet melding ongebruikelijke transacties (MOT) Beheer op orde Service level mgt DS1 10 Beveiligingsrisico s Security mgt DS5 4 Continuïteitsrisico s Continuity mgt DS4 14 Bewaartermijn transacties Capacity mgt DS11 7 Tabel 3 Relevante wet- en regelgeving, en de impact op IT-services en de meest bekende formele normenstelsels 49 1 WET- EN REGELGEVING MET IMPACT OP IT-SERVICES In Nederland is een verzameling wetten en regels van toepassing op diverse organisaties. Dit is ongeacht de aard van de bedrijfsvoering of de doelstelling van de organisatie. Daarnaast bestaan er wetten en regelstelsels, die specifiek voor een branche zijn opgesteld, bijvoorbeeld voor banken of voor de telecomsector. Deze wetten gaan, vooral vanwege outsourcing, in toenemende mate ook gelden voor partijen die zich buiten de betreffende branche bevinden. In de voorgaande paragrafen is ingegaan op welke manieren veel organisaties de afgelopen jaren zijn omgegaan met het (her)bruiken van onder andere best practices en formele normenstelsels. Tabel 3 bundelt de bij de auteurs beschikbare kennis over relevante wet- en regelgeving, de impact die deze heeft op IT-services (èn daarmee op IT-servicemanagement) en de meest bekende formele normenstelsels, waarmee de onderkende aspecten kunnen worden ingevuld. De tabel heeft niet de pretentie compleet te zijn, maar geeft wel een overzicht van de problemen en de mogelijke oplossingsrichtingen. Per aspect is een verwijzing opgenomen naar het primair betrokken IT-servicemanagementproces (conform ISO/IEC 20000), waar de verantwoordelijkheid belegd kan worden. Een verwijzing is opgenomen naar de processen van CobiT en de hoofdstukken van ISO/IEC waarin toepasbare maatregelen zijn uitgewerkt, waarmee aan de eisen kan worden voldaan. Daarnaast is nadere regelgeving voor de betreffende wet cursief aangegeven. De paradox van beheersing In een tijd waarin onder druk van de trend naar transparantie en nieuwe wet- en regelgeving steeds meer aandacht is ontstaan voor de beheersing van IT is er ook een flink aantal nieuwe modellen en best practices ontstaan. Vijf jaar geleden waren veel organisaties met name in de weer met de invoering of verfijning van servicemanagementprocessen op basis van de ITIL best practices. Tegenwoordig kunnen organisaties kiezen uit een veelheid aan modellen en best practices. 2 ROB = Regeling Organisatie en Beheersing (van De Nederlandsche Bank) IT Service Management, best practices, deel 4

6 50 ISPL, ASL en BiSL werden geïntroduceerd, CobiT kende als gevolg van SOX een flinke opleving. Ook de BS/ISO standaarden voor beveiliging en servicemanagement mogen zich in een toenemende belangstelling verheugen. Al deze modellen en best practices kennen verschillende doelen en aandachtsgebieden, maar kennen ook op onderdelen overlap. In de praktijk wordt op diverse plekken in de organisatie gebruik gemaakt van één of meerdere van deze modellen, vaak zonder dat mensen of afdelingen het van elkaar weten. Totdat men erachter komt dat het wel praktisch is als bijvoorbeeld de incidentafhandeling binnen de processen uit ITIL, ASL en BiSL op elkaar aansluit, omdat deze processen niet los van elkaar gezien kunnen worden. Door introductie van een veelheid aan processen en controls is het maar de vraag of de beheersing van de IT-processen daadwerkelijk toeneemt, of dat organisaties de grip juist dreigen te verliezen. We noemen dit de paradox van beheersing. BEVINDINGEN UIT DIVERSE COM- PLIANCE-ONDERZOEKEN In de periode juni 2005 tot april 2006 heeft de afdeling Beheer van het NGI een onderzoek gehouden naar de impact van de verhevigde aandacht voor compliance op het beheer van de informatievoorziening. Een ander onderzoek op hetzelfde terrein is van de hand van Atos Consulting. Hierin werd gekeken naar de mogelijkheden om de eisen vanuit wet- en regelgeving in combinatie met de interne ITgovernance eisen te verenigen in één compliance framework. Beide onderzoeken geven interessante waarnemingen. Onderwerp Onduidelijke eisen Kosten voor compliance zijn hoog Reorganisaties maken complianceprojecten moeilijk Controlfuncties blijken wegbezuinigd Waarnemingen In brede kring bestaat de perceptie dat er nog geen echte duidelijkheid is over de werkelijke impact van compliance op IT-servicemanagement. Voor organisaties is niet precies duidelijk welke wet- en regelgeving nu echt van invloed is op de manier waarop het IT-beheer wordt uitgevoerd en waaruit die invloed bestaat. Ook wordt niet altijd het onderscheid gemaakt tussen de eisen die wet- en regelgeving stelt aan de informatiesystemen en de eisen die worden gesteld aan het beheer van de informatievoorziening. Wat meespeelt is dat veel wet- en regelgeving weinig tot geen concrete normen biedt waaraan voldaan moet worden. Daarnaast verschillen de eisen ten aanzien van de verantwoording nogal per wet of regel. Ten slotte is het voor velen onduidelijk welke aanvullende wet- en regelgeving er nog op stapel staat en welke gevolgen dat met zich meebrengt. Het voldoen aan wet- en regelgeving lijkt vooralsnog met name kosten en inspanningen met zich mee te brengen, die bovendien aanzienlijk zijn. Bij sommige organisaties is de inspanning die nodig is om compliant te worden, veel groter dan bij andere organisaties. De mate van chaos uit het verleden bepaalt vaak de hoogte van de kosten voor ITcompliance. Veel IT-organisaties zijn de afgelopen jaren gefuseerd met andere IT-organisaties. Vaak is er gereorganiseerd. Soms hanteert men diverse werkwijzen voor hetzelfde proces, omdat dit historisch zo is gegroeid. Dan moet de effectiviteit van controlemaatregelen ook steeds separaat worden aangetoond. In het kader van effi ciëntieverbeteringen is in de jaren voordat wet- en regelgeving prominent in beeld kwam bezuinigd op overhead zoals procesmanagement-activiteiten. Voorbeeld is het opheffen van internal-controlafdelingen die bij veel bedrijven heeft plaatsgevonden. De aandacht voor de kosten van compliance wordt versterkt door het feit dat wet- en regelgeving niet alleen een eenmalige investering vereist, maar tevens een jaarlijks terugkerende overhead genereert.

7 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? Onderwerp Nieuwe functies Gebruik van best practices Waarnemingen In organisaties ontstaan nieuwe rollen en functies als gevolg van de invoering van nieuwe wet- en regelgeving. De compliance offi cer is een rol/functie die tegenwoordig in veel organisaties wordt waargenomen. Ten aanzien van de borging valt op dat er moeilijk een trend is te ontdekken in de manier waarop de werkzaamheden in de organisatie worden belegd (centraal of decentraal, lijn of staf, hoog of laag in de organisatie). Blijkbaar is hier nog niet een soort de facto best practice gevormd. Veel organisaties maken voor een groot deel van de invulling van de controlemaatregelen gebruik van frameworks en best practices waar zij reeds mee werkten. Waar mogelijk worden deze gebruikt en/of aangescherpt om aantoonbaar te maken dat aan eisen uit wet- en regelgeving wordt voldaan. 51 Tabel 4 Waarnemingen uit recent onderzoek 1 Tabel 4 geeft aan dat de introductie van nieuwe wet- en regelgeving een forse impact heeft op het IT-servicemanagement. Het blijkt dat velen nog zoekende zijn naar de balans tussen de geleverde inspanning ten opzichte van het te bereiken resultaat. Hier zal mogelijk de komende jaren meer ervaring ontstaan. Waarbij het ongewis is welke invloed toekomstige wet- en regelgeving zal hebben op IT-servicemanagement. NAAR EEN TOEKOMSTVASTE COMPLIANCESTRUCTUUR Uit de bovenstaande onderzoeksresultaten kan worden afgeleid dat er voor veel organisaties ten aanzien van compliance nog veel winst te boeken is door: duidelijkheid te verkrijgen in de eisen waaraan men moet voldoen en deze op elkaar af te stemmen; deze eisen uit te werken in een framework waarin interne en externe eisen samenkomen en resulteren in een externe verantwoording die voldoet aan de eisen van de toezichthouders; keuzes te maken in de frameworks en best practices die worden toegepast en vooral ook welke niet; organisatorische en procesmatige complexiteit terug te dringen zodat met een eenvoudiger en uniforme set maatregelen kan worden volstaan. Bovengenoemde stappen helpen om de weten regelgeving die nu van kracht is op een efficiënte wijze in te passen in de bedrijfsvoering. Daarnaast helpen ze om ook de baten te verkrijgen die het professionelere beheer van de informatievoorziening met zich mee zou moeten brengen. Daarmee is voor de huidige wet- en regelgeving een belangrijke stap gezet. Daarnaast is geconstateerd dat veel organisaties niet weten welke nieuwe eisen er nog op hen afkomen als gevolg van nieuwe of veranderende wet- en regelgeving. En dat er nog het nodige aan zit te komen, daar lijkt iedereen het wel over eens. VERLENGEN VAN DE HOUDBAAR- HEID VAN COMPLIANCE Dat werpt de vraag op hoe organisaties hiermee om moeten gaan. Gezien de veranderlijkheid van de lappendeken van wet- en regelgeving, de veelheid aan toezichthouders èn de eigen verantwoordelijkheid van de onderneming om aan te tonen dat zij compliant is, kan een organisatie elk jaar wel weer een nieuw complianceproject starten. Hierin is het risico van het wiel opnieuw uitvinden levensgroot aanwezig. De sleutel ligt hier in het inrichten van een Corporate Compliance Programma waarmee het voldoen aan wet- en regelgeving zit ingebakken in de bestaande processen binnen de organisatie. Hiermee verkrijgt de organisatie een proactief IT-complianceprogramma dat integraal deel uitmaakt van de reguliere IT-processen. De bestaande processen worden dan periodiek bekeken en IT Service Management, best practices, deel 4

8 52 zonodig aangepast aan gewijzigde regelgeving. Een dergelijk Corporate Compliance Programma voor de IT laat de organisatie het compliancevraagstuk besturen vanuit interne beheersing, vertaalt de externe eisen naar interne eisen, maakt verbeterprojecten mogelijk en maakt de interne proceskwaliteit zichtbaar voor externe belanghebbenden. Het initiatief ligt dan weer waar het hoort: bij de eigen organisatie. Dat is heel wat effectiever dan worden geleid door de wet- en regelgeving. Een Corporate Compliance Programma moet op de juiste plaats binnen de organisatie worden belegd en gezien de overstijgende belangen ligt het voor de hand dit op CIO-niveau onder te brengen. Een Corporate Compliance Programma voor de IT bestaat minimaal uit de volgende stappen (figuur 1): Bijhouden van wet- en regelgeving - Door de externe eisen en de ontwikkelingen, zoals toelichtingen van toezichthouders en jurisprudentie te volgen kan proactief op wijzigingen worden ingespeeld. Uitvoeren van IT Compliance Impact Analysis - De impact van externe eisen wordt vertaald in interne eisen voor de beheersing van IT. Dit is onderdeel van organisatiebrede Business Impact Analysis. Inrichten/bijwerken van het IT Risk & Compliance framework - Op basis van de interne eisen worden de vereiste maatregelen bepaald door een mapping op de gebruikte beheersingsmechanismen binnen de organisatie. Dit betreft bijvoorbeeld CobiT, CMM, ITIL, PRINCE2, et cetera. Inregelen van beheersingsmaatregelen - De gedefinieerde maatregelen worden ingevoerd of verder aangescherpt binnen de bestaande beheersingsmechanismen. Monitoren van naleving - De effectiviteit van de maatregelen wordt bewaakt. Hiervoor wordt gebruik gemaakt van de bestaande monitormechanismen in de vorm van KPI s en managementrapportages. Evalueren van naleving - Een periodieke evaluatie vindt plaats op het realiseren van de doelstellingen van het Corporate IT Compliance Programma. Verantwoorden naleving - De wijze waarop de organisatie voldoet aan de wet- en regelgeving wordt gerapporteerd en gecommuniceerd aan belanghebbenden, zoals toezichthouders. Met het inrichten van een Corporate Compliance Programma is het mogelijk de last om te zetten in een lust, door de toegenomen professionaliteit in te zetten voor het verbeteren van de IT-dienstverlening en het verhogen van de transparantie. IT-compliancemaatregelen zorgen voor deze transparantie. Dit zorgt voor inzicht in de interne proceskwaliteit en dat is een goed vertrekpunt voor verdere professionalisering. Als bijvoorbeeld blijkt dat het proces voor het toekennen van autorisaties sterk gefragmenteerd is, biedt dit een kans om de business op een eenduidige wijze van dienst te zijn. Het Corporate Compliance Programma vormt hiermee een driving force achter het verbeteren van de ITdienstverlening. TOEKOMSTVISIE: STRATEGIC REGULATORY MANAGEMENT Eerder in dit artikel is de vraag aan de orde geweest hoe organisaties ervoor kunnen zorgen dat nieuwe wet- en regelgeving geen verstorende invloed heeft op de efficiënte uitvoering van compliancemaatregelen. De theorie over strategic regulatory management geeft inzicht in de mogelijke strategische reacties van bedrijven op wet- en regelgeving, met als doel het economische resultaat te maximaliseren. Het gaat bij deze strategische reacties om de vaardigheden en werkwijzen waarover een organisatie beschikt om te opereren in de omgeving, zowel intern als extern, waar eisen gesteld worden aan het beheer van de informatievoorziening. Bij intern gericht gaat het dan om de vaardigheden en werkwijzen die (kunnen) worden gehanteerd om een optimum te bereiken of na te streven in het voldoen aan wet- en regelgeving. Bij extern gericht gaat het om de invloed die (kan) worden gebruikt om de totstandkoming van nieuwe wet- en regelgeving te beïnvloeden.

9 IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel? Bijhouden van wet- en regelgeving 53 Uitvoeren van een IT Compliance Impact Analysis Verantwoorden naleving Evalueren naleving Corporate Compliance Programma Inrichten / bijwerken IT Risk & Compliance Framework 1 Inregelen beheersingsmaatregelen Monitoren naleving Figuur 1 Stappenschema voor een Corporate Compliance Programma Er is een aantal strategische reacties mogelijk: Niet-bestaand (ad hoc) - Er is geen strategie gedefinieerd voor aanpassingen in de eisen uit wet- en regelgeving. Reactief - Maximaliseren van de toegevoegde waarde van compliance door interne processen efficient en effectief af te stemmen op de eisen uit wet- en regelgeving. Anticiperend - Er wordt inspanning geleverd om te anticiperen op aankomende wet- en regelgeving met behulp van een kennisvoorsprong over nieuwe wet- en regelgeving, die de organisatie in staat stelt nieuwe werkwijzen snel te adopteren en hier voordeel mee te behalen ten opzichte van organisaties die later starten. Defensief - De organisatie wendt zijn invloed aan om ongewenste wet- en regelgeving tegen te houden danwel de status quo te handhaven. Proactief - De onderneming wendt zijn invloed aan om de totstandkoming van wet- en regelgeving dusdanig te beïnvloeden dat deze voor de organisatie gunstig uitpakt. De strategieën reactief en anticiperend zijn intern gericht, defensief en proactief zijn extern gericht. Er kan gekozen worden voor een combinatie van een interne en een externe strategie. In de praktijk blijkt dat organisaties voor verschillende strategieën kunnen kiezen, afhankelijk van de wet- of regelgeving waar het om gaat, en gebaseerd op het specifieke belang voor de organisatie. Organisaties die willen voorkomen dat hun ingebedde controlframework en complianceproces door nieuwe en veranderende wet- en regelgeving wordt verstoord zullen dus actief na moeten denken over hun strategie in deze. IT Service Management, best practices, deel 4

10 54 TOT SLOT Compliance toekomstvast organiseren is dus geen fabel. Door slim te opereren is het niet nodig om bij iedere nieuwe wet of regel een nieuw controlframework in te richten. Door het handig inrichten en testen van maatregelen kan naar meerdere toezichthouders verantwoording worden afgelegd zonder dubbel werk te doen. Het moeten voldoen aan externe eisen kan tevens worden vertaald naar een interne benefit, want het externe toezicht en de media-aandacht hebben de professionaliteit van de IT-organisatie hoog op de managementagenda geplaatst. Kortom, de tijd is rijp voor het gebruiken van het momentum om de reeds lang gewenste, maar vaak niet goedgekeurde, kwaliteitsverbeteringen alsnog de juiste prioriteiten te geven en door te voeren. Johan Sturm, Daniel van Burk en Rudolf Liefers zijn werkzaam als adviseur bij de World Class IT adviesgroep van Atos Consulting. Zij richten zich daar op opdrachten die vaak de onderwerpen compliance en IT-governance betreffen. Johan Sturm is binnen Atos Consulting de trekker van de Compliance Solution, Daniel van Burk en Rudolf Liefers hebben mede vanuit hun NGI-bestuursrol een leidende rol gehad in een in 2006 verschenen NGI-publicatie over Compliance & IT-beheer. BRONNEN Duthler, mr. Dr. A.W. (red.) (2005). IT- Recht, Quick reference voor IT-auditors. NOREA, Kluwer. Franken, prof.mr. H., prof.mr. H.W.K. Kaspersen en prof.mr. A.H. de Wild (red.) (2004). Recht en computer, deel 36. Serie recht en praktijk. Kluwer. Geest, mr. E. van (2006). Van herkenning tot aangifte, Handleiding Cybercrime. Govcert.nl (KLPD). Hofman, P. en E. Tuin (2006). Het Speelveld van de CIO. Tutein Nolthenius. Liefers, R. en D. van Burk (2006). Compliance en IT-beheer, Impact van wet- en regelgeving op het beheer van de informatievoorziening. Academic Service/SDU. Oliver en Holzinger (2007). The Effectiveness of Strategic Regulatory Management: A Dynamic Capabilities Framework. Concept artikel, in reviewfase voor publicatie in Academy of Management Review. Wettenreferenties: Wet computercriminaliteit (WCC II): Wetboek van Strafrecht. wetten.overheid.nl Auteursrecht, Auteurswet 1912, Hoge Raad, 4 januari 1991, Van Dale/Romme Wet bescherming persoonsgegevens (WBP). Telecommunicatiewet. wetten.overheid.nl Aanbestedingsrecht, aanbestedingswet. en org Wetboek elektronische handtekening. Sarbanes-Oxley Act 2002, also known as the Public Company Accounting Reform and Investor Protection Act of Auditing Standard No. 2 of the Public Company Accounting Oversight Board (PCAOB). Titel 9 Boek 2 BW, Voorschriften met betrekking tot externe financiële verslaggeving, Richtlijnen voor de jaarverslaggeving Besluit voorschrift informatiebeveiliging rijksdienst 1994 (VIR). wetten.overheid.nl Archiefwet wetten.overheid.nl Algemene Wet Rijksbelastingen. wetten. overheid.nl Wet op het financieel toezicht (Wft). en Regeling Organisatie en Beheersing. Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur (Kader BCP). Wet Financiële Dienstverlening (Wfd). en Basel II, herziene richtlijn banken en kapitaaltoereikendheid. Wet melding ongebruikelijke transacties (MOT).

Onderstaand artikel is de bijdrage van Hans Keller aan het boek:

Onderstaand artikel is de bijdrage van Hans Keller aan het boek: Onderstaand artikel is de bijdrage van Hans Keller aan het boek: Compliance en IT Beheer 2006 Impact van wet- en regelgeving op het beheer van de informatievoorziening Een verkenning van de actuele situatie

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst

Nadere informatie

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Security manager van de toekomst. Bent u klaar voor de convergentie?

Security manager van de toekomst. Bent u klaar voor de convergentie? Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld

Nadere informatie

Compliance risicoanalyse

Compliance risicoanalyse Compliance risicoanalyse Leergang Compliance Professional 10 januari 2018 dr. mr. ir. Richard Hoff 1 2 3 4 Organisatie - een geheel van mensen en middelen dat bepaalde doelen wenst te bereiken doelen stellen

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012 IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!

Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud! Platform voor Informatiebeveiliging!!! Uit de serie in the cloud! Cloudsourcing & Forensic Readiness Over verwachtingen, transparantie en samenwerking Willem Tibosch! BlinkLane Consulting!! 13 juni 2013!

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy De nieuwe EU - GDPR - AVG Privacy wetgeving Op 27 april 2016 is de nieuwe Europese General Data Protection Regulation (GDPR) vastgesteld, in Nederland bekend als de Algemene Verordening Gegevensbescherming

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Verschillen en overeenkomsten tussen SOx en SAS 70

Verschillen en overeenkomsten tussen SOx en SAS 70 Compact 2007/3 Verschillen en overeenkomsten tussen SOx en SAS 70 Drs. J.H.L. Groosman RE Sinds de bekende boekhoudschandalen is er veel aandacht voor de interne beheersing en goed ondernemingsbestuur,

Nadere informatie

Stichting Pensioenfonds KAS BANK

Stichting Pensioenfonds KAS BANK Stichting Pensioenfonds KAS BANK Compliance Charter Januari 2017 Inhoudsopgave 1 Voorwoord... 2 2 Definitie en reikwijdte... 2 3 Missie van compliance... 2 Integriteit van het bestuur... 3 Integere bedrijfsvoering...

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Waarde creatie door Contract Management

Waarde creatie door Contract Management Waarde creatie door Contract Management Value Next voor opdrachtgever en opdrachtnemer Herman van den Hoogen M: 06-53.96.36.14 www.hoogen- Procurement.com Nick Piscaer M: 06-37.60.03.12 nick.piscaer@ziggo.nl

Nadere informatie

Beleid Informatiebeveiliging InfinitCare

Beleid Informatiebeveiliging InfinitCare Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie

Nadere informatie

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin www.pwc.nl Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis

Nadere informatie

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000? Algemene Verordening Gegevensbescherming (AVG) en de impact bij uitbesteding DATABEVEILIGING Toezien op privacy naleving bij (IT) leveranciers; ISO 27001 of ISAE 3000? Het uitbesteden van bedrijfsprocessen

Nadere informatie

Zet de stap naar certificering!

Zet de stap naar certificering! NEN 7510 CERTIFICERING Zet de stap naar certificering! Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor continue verbetering van uw organisatie en zekerheid en vertrouwen

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

De grootste veranderingen in hoofdlijnen

De grootste veranderingen in hoofdlijnen GDPR Introductie Met de ingang van de General Data Protection Regulation (GDPR) op 6 mei 2018 wordt de privacy van (persoons)gegevens Europabreed geregeld. Daarmee komt de Nederlandse Wet Bescherming Persoonsgegevens

Nadere informatie

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen. FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel

Nadere informatie

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging   Thimo Keizer fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging www.fysiekebeveiliging.nl Thimo Keizer Good Governance op het gebied van fysieke beveiliging 2016 www.fysiekebeveiliging.nl

Nadere informatie

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18 ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Toets NEN 7510 voor FG in de zorg

Toets NEN 7510 voor FG in de zorg Toets NEN 7510 voor FG in de zorg Luuc Posthumus, FG-AMC Lid NEN normcommissie 303001 Informatiebeveiliging in de Zorg 4 november 2005 1 Het onderwerp Wat betekent NEN 7510 Achtergrond Context Inhoud voor

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz

De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz Group Director, QHSE 11 September 2014. ABOUT US FTS Hofftrans Oil transportation

Nadere informatie

Huidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren,

Huidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren, Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB Geachte dames en heren, Naar aanleiding van het gepubliceerde discussiedocument Meer ruimte voor innovatie in de financiële

Nadere informatie

IT Beleid Bijlage R bij ABTN

IT Beleid Bijlage R bij ABTN IT Beleid Dit document heeft 8 pagina s Versiebeheer Versie Auteur Datum Revisie V1.0 Bestuur 18 december 2018 Nieuwe bijlage i Inhoudsopgave 1. Inleiding 1 2. Scope van het IT Beleid 1 3. IT risico s

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. [geldend vanaf 1 juni 2015, PB15-220] Artikel 1 Definities De definities welke in dit uitbestedingsbeleid worden gebruikt zijn nader

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Uitbestedingsbeleid Stichting Pensioenfonds NIBC Uitbestedingsbeleid Stichting Pensioenfonds NIBC Vastgesteld 11 november 2016 Artikel 1 Doel van het uitbestedingsbeleid 1.1 Het bestuur streeft de doelstellingen van het pensioenfonds na met betrekking

Nadere informatie

Beleid inzake belangenconflicten Brand New Day Bank N.V. BND.VW.PRB

Beleid inzake belangenconflicten Brand New Day Bank N.V. BND.VW.PRB Beleid inzake belangenconflicten Bank N.V. BND.VW.PRB.19122017 Versie 5 december 2017 Inhoud 1 Inleiding... 3 2 Taken en verantwoordelijkheden... 3 3 Identificatie van (potentiële) belangenconflicten...

Nadere informatie

Sarbanes-Oxley en de gevolgen voor IT. Daniel van Burk 7 november 2005

Sarbanes-Oxley en de gevolgen voor IT. Daniel van Burk 7 november 2005 Sarbanes-Oxley en de gevolgen voor IT Daniel van Burk 7 november 2005 Even voorstellen... Daniel van Burk Voorzitter van de afdeling Beheer van het NGI Senior Business Consultant bij Atos Consulting Veel

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen

Nadere informatie

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management Whitepaper Compliance Management Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Stop met piekeren: Mavim helpt om nieuwe wet- en regelgeving effectief en efficiënt

Nadere informatie

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016 Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

CIOT-bevragingen Proces en rechtmatigheid

CIOT-bevragingen Proces en rechtmatigheid CIOT-bevragingen Proces en rechtmatigheid 2015 Veiligheid en Justitie Samenvatting resultaten Aanleiding Op basis van artikel 8 van het Besluit Verstrekking Gegevens Telecommunicatie is opdracht gegeven

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie no 4: 1 juli

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018 Uitbesteding & Uitbestedingsrisico s Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018 Agenda Agenda Het onderzoek Uitbesteding Opzet en doel Resultaten Inherent risico Beheersing van het uitbestedingsrisico

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) 7 november 2013 1 Inhoud

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Verklaring van Toepasselijkheid

Verklaring van Toepasselijkheid Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

ACIS-Symposium Uitbesteding publiekrechtelijk kader. 17 mei 2019 Pien Kerckhaert

ACIS-Symposium Uitbesteding publiekrechtelijk kader. 17 mei 2019 Pien Kerckhaert ACIS-Symposium Uitbesteding publiekrechtelijk kader 17 mei 2019 Pien Kerckhaert Inhoud 1. Publiekrechtelijk kader verzekeraars / pensioenfondsen 2. Wat is uitbesteding? 3. Kritieke / belangrijke activiteiten

Nadere informatie

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance FINANCE consulting interim management professionals duurzame relaties met onze opdrachtgevers, gebaseerd op kennis van zaken, commitment en oplossingsgerichtheid. OVER FINANCE Finance is een middelgroot

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

NVIA Data Modellen Privacy. PIM POPPE September 2017

NVIA Data Modellen Privacy. PIM POPPE September 2017 NVIA Data Modellen Privacy PIM POPPE September 2017 Wat aan de orde komt 1. Introductie 2. Algemene verordening gegevensbescherming (AVG) 3. Belangrijkste Implicaties 4. Lessen van andere veranderingen

Nadere informatie

Eibert Dijkgraaf Kijk verder dan je test neus lang is: Life Cycle Testing Scan Voorjaarsevent Testnet: 30 juni 2008

Eibert Dijkgraaf Kijk verder dan je test neus lang is: Life Cycle Testing Scan Voorjaarsevent Testnet: 30 juni 2008 Titel, samenvatting en biografie Eibert Dijkgraaf Kijk verder dan je test neus lang is: Life Cycle Testing Scan Voorjaarsevent Testnet: 30 juni 2008 Samenvatting: Eibert Dijkgraaf (testconsultant Test

Nadere informatie

Workshop Pensioenfondsen. Gert Demmink

Workshop Pensioenfondsen. Gert Demmink Workshop Pensioenfondsen Gert Demmink 13 november 2012 Integere Bedrijfsvoering Integere bedrijfsvoering; Bas Jennen Bestuurderstoetsingen; Juliette van Doorn Integere bedrijfsvoering, beleid & uitbesteding

Nadere informatie

Uitbestedingsbeleid 2015

Uitbestedingsbeleid 2015 Uitbestedingsbeleid 2015 versie 16 juni 2015 1 1. Inleiding Stichting Bedrijfstakpensioenfonds TrueBlue (verder: TrueBlue) heeft uit strategische overwegingen delen van haar bedrijfsprocessen en activiteiten

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

BOS+COHEN+ STRATEGIE ADVISEURS

BOS+COHEN+ STRATEGIE ADVISEURS BOS+COHEN 1 Introductie (Sterblok) Bos+Cohen Strategie Adviseurs staat voor hoogwaardige dienstverlening binnen de ICT branche. De missie van Bos+Cohen is de afstand tussen ICT aanbieders en afnemers te

Nadere informatie

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO 27001:2013 INFORMATIE VOOR KLANTEN ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en

Nadere informatie

Bent u 100% in Compliance?

Bent u 100% in Compliance? Themabijeenkomst TQC Bent u 100% in Compliance? 6 december 2011 KWA Bedrijfsadviseurs B.V. Robin Sinke 21 december 2011-1 Doel van deze bijeenkomst het brede speelveld van Compliance de praktische invulling

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Waarom privacy een relevant thema is En wat u morgen kunt doen

Waarom privacy een relevant thema is En wat u morgen kunt doen Waarom privacy een relevant thema is En wat u morgen kunt doen Voorstellen Frank van Vonderen audit, informatiebeveiliging & privacy Management Consultant Adviseur én in de modder 20 jaar in 5 stappen:

Nadere informatie

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST? TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST? ITIL INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY OPGEKOMEN IN DE JAREN 1980 ITIL V2 IN 2001

Nadere informatie

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink FOBID Informatie bijeenkomst AVG 13 November 2017 Mr.dr. Mirjam Elferink 2 Elferink & Kortier Advocaten Specialisten in intellectuele eigendom, ICT-recht en privacy 3 Waarom een bewerkersovereenkomst?

Nadere informatie

Compliance Charter. Pensioenfonds NIBC

Compliance Charter. Pensioenfonds NIBC Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting

Nadere informatie

Conclusie: voor elke organisatie die dit nastreeft is het goed besturen en beheersen van de bedrijfsprocessen

Conclusie: voor elke organisatie die dit nastreeft is het goed besturen en beheersen van de bedrijfsprocessen 1 Waarom? : Succesvol zijn is een keuze! Organisaties worden door haar omgeving meer en meer gedwongen om beter te presteren. Voornamelijk wordt dit ingegeven door de klant die haar eisen en wensen m.b.t.

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Stichting Bedrijfstakpensioenfonds voor de Houthandel; Stichting Bedrijfstakpensioenfonds voor de Houthandel Reglement incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Bedrijfstakpensioenfonds voor de Houthandel; een gedraging, datalek

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie