Waarom investeren in automatisering van Risk & Compliance loont

 

Dat privacy een groot goed is dat gewaarborgd moet worden, bewijzen wel de hoge financiële sancties die worden uitgedeeld bij datalekken. De handhaving van de Autoriteit Persoonsgegevens (AP) is wat dat betreft strikt. Zo kan het niet melden van een datalek een boete opleveren van € 450.000,- tot € 1.000.000,-. Met de juiste compliancetool worden risico’s op datalekken geminimaliseerd.

Toezicht op scherp

Datalekken, door slordig handelen of door diefstal, veroorzaken enorme financiële risico’s. Door de invoering van de AVG en de dagelijks toenemende dreigingen neemt dit alleen maar toe. Zo kan het niet melden van een datalek al gauw tot een boete van 10% van de omzet leiden. Bovendien kan het tot een enorme reputatieschade leiden waarvan de gevolgen nog jaren doorsijpelen. Was de directie ook nog eens op de hoogte van zo’n lek of risico, dan kan die zelfs als bestuurder aansprakelijk worden gesteld.

Gevolgen nog mild voor non-profit

In Nederland blijft het tot nu toe nog beperkt tot administratieve sancties als waarschuwing. Zo zijn afgelopen jaar al tal van deze beperkte boetes opgelegd aan non-profit organisaties als gemeentes, ziekenhuizen en ministeries. Met nu nog relatief makkelijk te betalen bedragen. Maar bestuurders schrikken daar wel van en raken bewust van de risico’s die ze lopen. Daarom treffen de meeste beboete organisaties kostbare maatregelen om voor nu en de toekomst van dat ‘gedoe’ af te zijn.

Klantverlies

Voor commerciële bedrijven zijn de gevolgen van zo’n sanctie vaak een stuk ernstiger. Zij krijgen te maken met gemiddeld 10% tot 20% omzetverlies door alleen al de reputatieschade, dus zonder de kosten om de problemen technisch op te lossen. Bij zo’n incident zie je dat veel belangrijke klanten ook direct afhaken, nog voordat er duidelijk is waar de schuld ligt.

Ketenverantwoordelijkheid

Verder benadeelt reputatieschade een hele bedrijfsketen. Zo verwerken veel bedrijven gegevens voor hun klanten, die daarvoor een verwerkingsovereenkomst hebben afgesloten. gegevens verwerken voor klanten. Als die gegevens ook worden gelekt dan kan er een enorme golf van aansprakelijkheidskwesties en claims ontstaan waardoor het bedrijf in kwestie nog maar nauwelijks overeind kan blijven.

Spreadsheets bieden schijnzekerheid

Hoewel er de laatste maanden een stijgende lijn is te zien in het aantal incidenten dat het nieuws haalt, zeggen veel bedrijven toch de zaken prima onder controle te hebben. Maar is dat daadwerkelijk zo? Is alles inderdaad goed geregeld als de interne AVG en informatiebeveiliging in allerlei spreadsheets of losse documenten is vastgelegd? Of als alleen de ICT afdeling daar de complete verantwoordelijkheid over heeft gekregen?

Nee, dit geeft je als manager of bestuurder namelijk absoluut geen inzicht in de actuele stand van zaken en actuele risico’s. En dan kun je flink worden verrast door een of ander privacy incident waar je geen weet van had. Denk bijvoorbeeld aan een vergeten update, een per ongeluk verstuurde reply-to-all email, etc. Het achteraf opdiepen van allerlei informatie uit verschillende organisatielagen heeft dan ook nauwelijks baat meer; het leed is helaas al geschied.

Goed privacymanagement

Wil je als management écht bovenop alle beveiligingsissues te zitten, dan heb je daar de juiste tools voor nodig. Zo leg je met goed en doordacht AVG-management proactief de vinger op de zere plek voordat deze een probleem gaat vormen. Daarbij is continu inzicht in alle Risk & Compliance factoren binnen de organisatie onontbeerlijk.

Een goed GRC management softwarepakket speelt precies in op die broodnodige borging. Hiermee leg je vast en controleer je waar je als organisatie aan wílt voldoen en waar je volgens alle wet- en regelgeving aan móet voldoen.

Continu inzicht via GRCcontrol

GRCcontrol van CompLions is de meest eenvoudige oplossing voor dit probleem. Want GRCcontrol biedt een uitgebreide set slimme assessment tools, waarin alle gegevens uit de organisatie samenkomen. Deze worden automatisch op elkaar afgestemd waardoor verschillende Compliance processen tegelijkertijd zijn uit te voeren. Overlappende eisen in bijvoorbeeld de AVG, ISO en andere richtlijnen worden herkend en gebundeld waardoor ze maar 1x beoordeeld hoeven te worden. Via dynamische dossiers is dit proces eenvoudig te monitoren.

Daarmee biedt GRCcontrol alle mogelijke handvatten voor het complete beheer van de informatiebeveiliging; door mogelijke dreigingen en risico’s in kaart te brengen, passende voorzorgsmaatregelen voor te stellen én het regelt de continue interne toetsing.

Investeringen

Nog een voordeel: een GRC tool leidt meteen tot betere besluitvorming binnen de beleidskaders en zorgt voor helderheid over wat er aan budget en resources nodig is om de compliance te verbeteren. We zien vaak genoeg dat budgettering op dat vlak nog een aardig grijs en onduidelijk gebied is, waardoor maatregelen te lang worden uitgesteld. Deze tool dwingt juist tot actie.

Grip op regelgeving

In tegenstelling tot veel andere compliance pakketten op de markt, schaffen bedrijven met de GRCcontrol modules meteen een stuk denkwerk aan; zo wijst het de weg door alle actuele wetten, regels, de AVG en andere compliance issues. Het ontdubbelt bovendien alle wetten en frameworks die op je organisatie van toepassing zijn. Daardoor hoef je bepaalde acties maar eenmalig uit te voeren en worden ze automatisch over de hele organisatie toegepast.

Dit scheelt enorm veel tijd en onduidelijkheid

Voorbeelden

Verder zijn er in GRCcontrol tientallen Best Practices verwerkt die laten zien welke maatregelen je in welke situatie het beste kunt nemen. Daarbij richt de tool zich op integrale oplossingen waarbij ook relaties met eisen uit andere regelgeving kunnen worden gelegd. Zo valt de focus niet op slechts 1 punt van de wetgeving.

Snel handelen

Natuurlijk kun je ondanks zo’n tool niet altijd een privacy incident voorkomen. Zo kan een medewerker toch eens een op een papiertje geschreven wachtwoord kwijtraken. Maar omdat je de interne compliance dan al naar een hoger niveau hebt weten te tillen, zit je er dan wél bovenop en weet je welke maatregelen je moet nemen om eventuele schade te flink beperken.

Meer informatie:

CompLions is gespecialiseerd in de ontwikkeling van software voor GRC management en Integrated Risk Management. Daarnaast ondersteunen we bedrijven en organisaties ook op het gebied van assurance en het maken van een Service Level Agreement.

Ja, ik wil graag een gratis demo van GRCcontrol van CompLions!

Bezoekadres

Keulenstraat 8E
7418 ET Deventer

Postadres

Keulenstraat 8E
7418 ET Deventer

Contact

Administratie
9:00 – 17:00 uur

Telefoon
0570 – 63 47 17

E-mailadres
info@complions.com

Openingstijden Service Desk
ma t/m vr van 8:00 – 18:00 uur CET/CEST, met uitzondering van de erkende Nederlands feestdagen

Telefoon
0570 – 62 19 34

Copyright | Algemene voorwaarden | Privacy Statement | Cookiebeleid