In een steeds complexere zakelijke omgeving worden organisaties geconfronteerd met wet- en regelgeving die voortdurend in beweging is. Compliance, het bevorderen van naleven van deze externe regels en de interne standaarden, is essentieel om risico’s als reputatie of imagoschade, boetes, aansprakelijkheid en andere negatieve gevolgen te verminderen. We spraken met Saskia Bolleboom, compliance consultant bij SCCT, die de nodige ervaring heeft opgebouwd in zowel de IT- als de juridische sector. Ze deelde inzichten over de belangrijkste trends, uitdagingen en innovatieve benaderingen in de wereld van compliance, en haar visie op de rol van technologie bij het vereenvoudigen en versterken van compliance.
Compliance is nooit een statisch gegeven
Een van de grootste uitdagingen voor organisaties is het voortdurend bijhouden en implementeren van de verplichtingen uit nieuwe of veranderende wet- en regelgeving die zowel nationaal als internationaal worden afgekondigd. De invulling van de open normen in wet- en regelgeving is bovendien ook niet in beton gegoten. Compliance is daarmee nooit statisch, tel daarbij op dat wereldwijde (geo)politieke situaties en technologische ontwikkelingen van invloed zijn op de risico’s die compliance helpt managen. Zo is de opkomst van quantum computing een voorbeeld waarbij men verwacht dat de enorme rekenkracht huidige standaarden voor encryptie zal kunnen kraken en de norm van encryptie in cybersecurity naar verwachting zal moeten worden opgeschroefd, aldus Bolleboom.
Proactief ontwikkelingen volgen en samenwerken
“De ontwikkeling van kunstmatige intelligentie (AI) zal ook voor compliance een enorme gamechanger zijn” zegt Bolleboom. “AI biedt organisaties nog meer de mogelijkheid om technologie te benutten om processen en werkwijzen te verbeteren. Met bijvoorbeeld geavanceerde data-analyse kunnen financiële instellingen nu al profiteren om ‘know your client/supplier’ en ’transactiemonitoringsprocessen’ te versterken. Dit helpt bij het identificeren van mogelijke risico’s en het waarborgen van naleving van wet- en regelgeving.
Maar daarnaast brengt AI ook uitdagingen met zich mee voor compliance. Terwijl de technologie evolueert, zijn de regelgeving en compliance-normen om de risico’s te reguleren nog in ontwikkeling. Bolleboom benadrukt het belang van het proactief volgen van totstandkoming van dergelijke nieuwe reguleringen en standaarden. Zo kun je ervoor zorgen dat nieuwe producten, processen en systeeminrichtingen, waarin gebruik wordt gemaakt van AI, al zoveel mogelijk rekening houden met de te verwachten vereisten. Achteraf bijsturen is zonde op onderdelen waarvan je nu al kunt beoordelen welke interne integriteitsstandaarden en controls je als organisatie zelf wilt handhaven in je compliance framework en gezien concept regulering op welke externe verplichtingen en beheersmaatregelen je ongeveer kunt rekenen en voorsorteren. Een manier om hiermee om te gaan is het omarmen van “Compliance by design”. Organisaties kunnen bij de start van een initiatief diverse expertises met elkaar aan tafel zetten om vanuit de verschillende invalshoeken invulling te geven aan de strategische en functionele richting. Met andere woorden al in de kern in combinatie met security, privacy en andere relevante compliance domeinen de uitgangspunten ontwikkelen. Je verkleint daarmee de kans dat er in een vergevorderd stadium op de rem moet worden getrapt van het initiatief omdat er risico’s over het hoofd zijn gezien met onmogelijke of lastige naleving tot gevolg.
Bevorder de compliance cultuur met technologie
Het bevorderen van een proactieve en effectieve compliance cultuur binnen organisaties vereist andere innovatieve benaderingen en strategieën. Bolleboom benadrukt het belang van bewustwording bij mensen en het integreren van compliance in proces en technologie. “Het helpt niet als compliance gezien wordt als een vervelende tijdrovende en remmende verplichting achteraf in plaats van een doodnormaal basisonderdeel van bedrijf en proces. Door “Compliance by design” toe te passen en processen met behulp van technologie zodanig in te richten dat naleving de eenvoudigste, meest efficiënte en gebruiksvriendelijke route is, kunnen organisaties niet alleen makkelijker en beter voldoen aan regelgeving, maar ook aantrekkelijker zijn voor talent. “Het verlies van kundige collega’s die afhaken op omslachtige tijdrovende restrictieve manieren van werken omdat “het nodig zou zijn voor het voldoen aan compliance” zou tot het verleden moeten behoren”. Bolleboom noemt als voorbeeld van hoe technologie kan helpen bij awareness, het gebruik van vertrouwelijkheidslabels in de Microsoft Purview omgeving. Door naast eventuele maatregelen als encryptie ook behulpzame beleidstips in te richten kun je medewerkers op het moment van verwerken van gevoelige bedrijfsinformatie en persoonsgegevens op een begrijpelijke manier herinneren aan privacy en security vereisten en het makkelijker maken. Daarmee ondersteunt de techniek niet alleen de veiligheid van je data met beschermende maatregelen maar het helpt ook bij het vergroten van de awareness en daarmee de naleving van medewerkers zonder dat het direct het werken lastiger hoeft te maken.
Technologie en compliance
Bolleboom vervolgt: ‘En zo kan ik nog veel meer voorbeelden noemen hoe Microsoft technologie kan helpen te voldoen aan compliance vereisten door monitoring en naleving makkelijker te maken met behulp van Microsoft Purview en Priva. Technologie speelt in mijn ogen wanneer het juist wordt ingezet een cruciale rol bij het efficiënt compliant inrichtingen van processen, minimaliseren van risico’s en bevorderen van een cultuur van naleven. Richt je het proces en de techniek te restrictief in dan gaat iedereen er omheen werken en ben je nog minder compliant. Automatiseer je de processen niet of niet goed dan kost het onnodig veel menselijke kracht en FTE. Het is allemaal een kwestie van balans en afweging in de samenhang’.
Het is duidelijk dat mens, technologie en compliance onlosmakelijk met elkaar verbonden zijn in de moderne zakelijke wereld.