Aanleiding
Om in het maatschappelijk verkeer succesvol te functioneren hebben personen en bedrijven controle over hun eigen gegevens nodig. Dat is precies wat “Mind Your Own Business Information” biedt.
De Europese Algemene Verordening Gegevensbescherming (AVG) geeft personen diverse rechten om controle op hun persoonsgegevens uit te oefenen. Dat kan alleen als bedrijven beheers-, beveiligings- en compliance-maatregelen treffen waarmee deze gegevens aantoonbaar en effectief beschermd worden. Inmiddels is er aanvullende wetgeving van kracht geworden of in aantocht, in het bijzonder de Europese AI Act. Deze verordening regelt het toepassen van kunstmatige intelligentie of artificial intelligence (AI) en zal hoogstwaarschijnlijk in de loop van 2024 in werking treden. Het toepassen van AI kan een indringende impact hebben op de persoonlijke levenssfeer en het vrijelijk ondernemen. Dit onderkent de wetgever en wij kunnen zeggen dat de AI Act de rechten van personen hun gegevens te beschermen verder versterkt en de verplichtingen voor bedrijven verder uitbreidt.
Deze Europese en nationale wetgeving moeten wij ook beschouwen tegen de achtergrond van het uitbreiden van een data-gedreven samenleving en het verder professionaliseren van internetcriminaliteit.
Maatschappelijke opvattingen en moraal spiegelen zich in wetten en regels. De AVG spreekt de bedrijfsleiding aan op haar verantwoordelijkheid zich te verantwoorden (the notion of accountability) over het treffen van maatregelen in bedrijfsprocessen “by design” waardoor sprake is van “compliance by default”. De bedrijfsleiding legt met andere woorden verantwoording af dat het beschermen van persoonsgegevens effectief plaatsvindt.[1] Aan deze wettelijke eis is bedrijfsmatig alleen te voldoen als de bedrijfsleiding datacentrisch haar bedrijfsactiviteiten organiseert. Met de AI Act gaat de wetgever een stap verder. De wetgever verwacht van de bedrijfsleiding dat zij deelneemt aan een Informatie Ecosysteem van vertrouwen, waarin zij met haar partners en personen afspraken maakt over het verantwoord gebruiken van bedrijfs- en persoonsgegevens. MYOBI onderkent deze verwachtingen van de wetgever. Zij heeft een vertrouwensnetwerk uitgewerkt dat als doel heeft bedrijven en personen te faciliteren met Informatie Ecosystemen en Personal Data Stores.
Wij bespreken in deze blog het MYOBI Vertrouwensnetwerk, het Informatie Ecosysteem en toepassingen. In volgende blogs bespreken wij de verdere ontwikkeling van het vertrouwensnetwerk.
I. Het MYOBI Vertrouwensnetwerk
Het MYOBI Vertrouwensnetwerk heeft haar spelregels vastgelegd in een policy en maakt gebruik van een gedragscode, zie ook de werkwijze. De gedragscode is voorzien in de AVG en de AI Act. De policy bestaat uit de volgende onderdelen:
- Overeenkomst;
- Algemene voorwaarden;
- Persoons- en Bedrijfsgegevensovereenkomst;
- Service Level Agreement (SLA);
- Accountability Seal Policy;
- MYOBI Gedragscode; en
- Mediationreglement.
In de eerste helft van 2024 werken professionals en advocaten van respectievelijk Duthler Associates en First Lawyers aan het actualiseren van de gedragscode en legt de vereniging VIE de code voor aan de Autoriteit Persoonsgegevens (AP). Met behulp van het Accountability Seal geeft de bedrijfsleiding het niveau van compliance met de gedragscode aan.
De belangrijkste uitding voor de bedrijfsleiding is het opbouwen en in standhouden van de bewustwording bij en het trainen van management en medewerkers in het effectief beschermen van bedrijfs- en persoonsgegevens. Duthler Associates werkt verder aan het ontwikkelen aanvullende trainingen voor het bewustwordings- en trainingsprogramma ‘maatschappelijk verantwoorden’. Gebruikers van het Informatie Ecosysteem hebben altijd de beschikking over hun bedrijfsspecifieke leeromgeving, op basis van Moodle Workplace.
II. Het Informatie Ecosysteem
Op het vertrouwensnetwerk faciliteert MYOBI haar bedrijfsmatige gebruikers met een eigen Informatie Ecosysteem.
In de afgelopen maanden heeft MYOBI het reputatiemanagement in het Informatie Ecosysteem uitgebreid met bedrijfs- en persoonsgegevens uit de authentieke bron van het handelsregister van de Kamer van Koophandel. Met behulp van het Informatie Ecosysteem wisselt de bedrijfsleiding gegevens uit met de authentieke bron. Zij krijgt hiermee regie over haar bedrijfsgegevens die zij deelt met partners in haar eigen ecosysteem.
De aard en omvang van de dataset van de authentieke bron is omvangrijk gebleken (bedrijfs- en persoonsgegevens, opbouwen en onderhouden van de corporate family (holding en werkmaatschappijen structuren), deponeringen van XBRL-taxonomie-gedreven financiële en niet financiële gegevens, meldingen van de status van het bedrijf, het bevoegdhedenregister en overige. MYOBI ontsluit de dataset stap voor stap in het Informatie Ecosysteem. De bedrijfsgegevens hebben niet alleen betrekking op de eigen gegevens maar ook op de gegevens van alle natuurlijke en niet-natuurlijke entiteiten en bedrijven in Nederland.
Op basis van de ervaring die MYOBI opdoet met het ontsluiten van gegevens uit de Nederlandse authentieke bron zal zij ook andere authentieke bronnen ontsluiten.
In de volgende blogs doet MYOBI verslag van de voortgang van het uitbouwen van reputatiemanagement.
Functionaliteit
Zakelijk gebruikers kunnen de Functionality Board van MYOBI verzoeken om aanvullende of andere functionaliteiten. De Functionality Board werkt vervolgens User Stories uit en plant de noodzakelijke systeemontwikkeling en test activiteiten.
De volgende functionaliteiten staan gepland voor de eerste helft van 2024:
- Gedragscode: MYOBI verbreedt in samenwerking met professionals en advocaten van Duthler Associates en First Lawyers de gedragscode voor de AI Act. In de AI Act wordt expliciet gesproken over het toepassen van een gedragscode en een informatie ecosysteem van vertrouwen. In deze gedragscode wordt voorzien in mediation als vorm van buitengerechtelijke geschiloplossing en een verantwoordingsmechanisme.
- Reputatiemanagement: Voor effectief zakendoen is het essentieel dat bedrijven effectief hun reputatie managen. De wetgever moedigt de bedrijfsleiding daartoe aan. De bedrijfsvoering heeft reputatiemanagement nodig om succesvol te zijnen om de aansprakelijkheids- en kostenrisico’s beheersbaar te houden. Stap voor stap faciliteert MYOBI het reputatiemanagement verder.
- Integreren van SBCM in MYOBI: De bedrijfsleiding organiseert de bedrijfsactiviteiten effectief met bedrijfsprocessen waarin beheers-, beveiligings- en compliance-maatregelen zijn opgenomen, en waarbij de processen door IT-middelen worden ondersteund. Het SBC Managementsysteem brengt de beheersorganisatie voor privacymanagement in kaart. Het ligt voor de hand het SBC Managementsysteem op te nemen in het Informatie Ecosysteem als App op het reputatiemanagement.
- Integreren bedrijfsspecifieke leeromgeving, op basis van Moodle Workplace, in MYOBI: Het ontwikkelen en in standhouden van het bewustzijn en de kennis bij het management en de medewerkers over het beschermen van bedrijfs- en persoonsgegevens is een noodzakelijke maar onvoldoende randvoorwaarde om de bedrijfsactiviteiten effectief te organiseren. Het is de basis voor het bewustwordings- en trainingsprogramma reputatiemanagement. De professionals van Duthler Associates ontwikkelen de programma’s en stellen die ter beschikking aan de gebruikers van MYOBI.
- Next: De MYOBI Functionality Board heeft een roadmap voor 2024 opgesteld en past deze aan aan wensen van gebruikers van het Informatie Ecosysteem. Na de release van het ondersteunen van de reputatiemanager past de Board de roadmap met de User Stories aan en communiceert deze met de gebruikers.
Ten slotte
MYOBI stelt zich ten doel het reputatiemanagement van bedrijven met behulp van een Informatie Ecosysteem van vertrouwen optimaal te ondersteunen. Met reputatiemanagement bedoelen we het controleren en beschermen van bedrijfs- en persoonsgegevens.
Hiermee organiseren bedrijven tegelijkertijd – vanuit de bedrijfsvoering – hun aantoonbare compliance met wettelijke verplichtingen, met name de AVG en AI Act. Zij organiseren hun bedrijfsactiviteiten met bedrijfsprocessen waarin beheers-, beveiligings- en compliance-maatregelen zijn opgenomen waardoor het reputatiemanagement effectief en aantoonbaar plaatsvindt. Desgewenst kunnen goed opgeleide adviseurs hierbij ondersteunen.
Interesse?
Neem gerust contact met ons op.
[1] The notion of accountability requires controllers to comply and to demonstrate compliance with the new rules, Giovanni Buttarelli, mei 2016.