All-in-one compliance hoeft geen utopie te zijn

De Arbowet, de Wet Bescherming Persoonsgegevens (WBP), de AVG en de Code Tabaksblat. Maar ook IFRS, de Wft en ISO. Als bedrijf of organisatie valt er van alles en nog wat na te leven. Om al die compliance-eisen goed te kunnen managen, zou een ‘all-in-one’ compliance-oplossing geen overbodige luxe zijn. En die is er dan ook!

Standaard geïntegreerd

De torenhoge verwachtingen van de overheid ten aanzien van het monitoren van iedereen die bij een organisatie betrokken is, zijn onder meer het gevolg van de toegenomen ICT-mogelijkheden en allerlei schandalen, zoals datalekken. Hoewel de eisen hier en daar misschien wat doorslaan, zijn het wel zaken die ook voor jouw organisatie een serieus risico vormen. Om die reden zijn veruit de meeste compliance-eisen standaard in SAP Business ByDesign geïntegreerd, zoals IFRS, de GDPR (AVG) voor wereldwijde compliance en andere Europese wetgeving. Een deel van die eisen heeft betrekking op wettelijke bewaartermijnen van persoonsgegevens.

Automatisch per kwartaal bijgewerkt

Bij zowel de AVG als IFRS kunnen die termijnen theoretisch tot problemen leiden, namelijk wanneer bepaalde documenten aan andere gekoppeld zijn. Met de Information Lifecycle Management functie (ILM) in SAP Business ByDesign is dat probleem echter opgelost en blijft de consistentie behouden. Ook meer specifieke regelingen, zoals btw-codes en andere fiscale aspecten voor lokale overheden, hebben een vast plekje in SAP Business ByDesign gekregen. Het mooie van een SaaS-product is bovendien dat alle eisen en ontwikkelingen op compliance-gebied voor alle gebruikers in één klap automatisch worden bijgewerkt dankzij vaste kwartaal-releases.

Allesomvattende ISO-audit

Van een aanbestedingseis dat compliance binnen een maand geregeld moeten zijn, worden wij dus bepaald niet zenuwachtig. Die zit er op dat moment namelijk al in. Hetzelfde geldt voor ISO-standaarden zoals ISO 27001 voor security, ISO 9001 voor onze processen en ISO 22001 voor de foodsector. Deze zijn waar het de compliance van SAP zelf betreft gebundeld in de ISAE 3402-verklaring. Dit is een SOC 1-verklaring die elk jaar wordt afgegeven na een omvangrijke audit door een externe partij, waarbij de complete achterkant van SAP Business ByDesign wordt doorgelicht.

Aanvullingen op aanvraag

Op deze manier wordt voorkomen dat klanten individueel audits en penetratietesten hoeven uit te (laten) voeren. De compliance-inspanningen en certificaten van SAP zijn voor iedereen online inzichtelijk in het SAP Trust Center. Klanten kunnen daarnaast ook de SOC 1- en SOC 2-rapportage opvragen. Overigens zijn sommige compliance-aspecten zo klein en bedrijfs- of branchespecifiek, dat hier zelfs binnen SAP Business ByDesign geen standaard functionaliteit voor is. Het Btw-compensatiefonds (BCF) is hier een goed voorbeeld van. Bij dit soort regelingen kunnen wij echter als implementatiepartner na een strenge kwaliteitscheck door SAP een ‘enhancement’ uitvoeren. En dan komt de aanvulling er dus alsnog ‘gewoon’ in en loopt die mee met de release upgrades.

Smart technology meets smart people

In het kader van compliance zien we trouwens steeds meer lokale overheden en Kamers van Koophandel het beheer van persoonsgegevens ‘uitbesteden’ en gegevens uit de elders draaiende BRP-database alleen even ‘ophalen’ wanneer dat nodig is. Op deze manier kunnen gemeenten de bewuste gegevens dus ook niet lekken of bijvoorbeeld te lang bewaren. ‘Smart technology meets smart people’, zo hebben de gemeenten wellicht gedacht bij het opstellen van het Common Ground-principe. En geef ze eens ongelijk.