Wat is compliance?
Compliance komt van het Engelse woord, to comply. Met andere woorden: het naleven van wet- en regelgeving, normen en contractuele afspraken door personen of organisaties. In vrijwel alle bedrijfssectoren en branches heb je te maken met compliance. Met het hebben van een website, het verzamelen van persoonlijke gegevens van (potentiële) klanten en uitsturen van nieuwsbrieven heb je bijvoorbeeld al te maken met de privacywetgeving zoals de AVG. Maar er zijn nog meer wet- en regelgeving en normen, vaak sectorspecifiek, zoals in de financiële sector, gezondheidszorg en lokale overheden.
Wij helpen je voldoen aan wet- en regelgeving
Als softwaregebruiker moet je voldoen aan wetten, normen en regels. Zoals de AVG, ISO 27001, ARBIT, SOC2 of BIO. Onze continuïteitsregelingen helpen je voldoen aan deze verplichtingen.
Compliance en continuïteit
Afhankelijk van de branche waarin je werkt of met wie je zaken doet, moet je compliant zijn aan verschillende wetten en regels. Software Borg draagt met haar continuïteits- en escrow-regelingen bij aan het aantoonbaar doorlopend compliant zijn bij het gebruik van software en data. Gebruikers die zijn aangesloten bij onze regelingen hebben een concrete en aantoonbare maatregel genomen om te voldoen aan in ieder geval de volgende verplichtingen (wetten en normen):
De Algemene Verordening Gegevensbescherming (AVG): art. 32 lid 1 sub b en c
De Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR), is op 25 mei 2018 in werking getreden. De AVG bepaalt in grote lijnen de omgang met persoonsgegevens en zorgt ervoor dat er in de Europese Unie overal dezelfde privacyregels gelden. Van het aanwijzen van verantwoordelijken en het verstrekken van rechten aan personen tot aan het aangeven van beveiligingseisen en de hoogtes van boetes. Het doel hiervan is niet alleen om de bescherming van persoonsgegevens binnen de EU te garanderen, maar ook om het verkeer van vrije gegevens binnen de Europese interne markt, te realiseren.
Artikel 32 van de AVG heeft betrekking op de beveiliging van de verwerking van persoonsgegevens:
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.
De Wet Rijksbelastingen: art. 52 lid 1 en 5
De Algemene wet inzake rijksbelastingen ofwel AWR genoemd, is een Nederlandse overkoepelende wet die geldt voor alle belastingen die door het rijk geïnd worden. Deze wet is in 1959 ingevoerd. In deze wet zijn een groot aantal algemene regels opgenomen. In deze wet staan regels over woonplaats, fiscaal partnerschap, de aangifte, de aanslag en sancties.
Artikel 52 valt onder de verplichtingen ten dienste van de belastingheffing:
1) Administratieplichtigen zijn gehouden van hun vermogenstoestand en van alles betreffende hun bedrijf, zelfstandig beroep of werkzaamheid naar de eisen van dat bedrijf, dat zelfstandig beroep of die werkzaamheid op zodanige wijze een administratie te voeren en de daartoe behorende boeken, bescheiden en andere gegevensdragers op zodanige wijze te bewaren, dat te allen tijde hun rechten en verplichtingen alsmede de voor de heffing van belasting overigens van belang zijnde gegevens hieruit duidelijk blijken.
5) De op een gegevensdrager aangebrachte gegevens, uitgezonderd de op papier gestelde balans en staat van baten en lasten, kunnen op een andere gegevensdrager worden overgebracht en bewaard, mits de overbrenging geschiedt met juiste en volledige weergave der gegevens en deze gegevens gedurende de volledige bewaartijd beschikbaar zijn en binnen redelijke tijd leesbaar kunnen worden gemaakt.
De gegevens én de software om deze gegevens weer te geven, moet beschikbaar zijn om aan deze twee verplichtingen te kunnen voldoen.
De Wet beveiliging netwerk- en informatiesystemen (Wbni): art. 7 (voor SaaS)
De Wet beveiliging netwerk- en informatiesystemen is op 9 november 2018 in werking getreden. Deze wetgeving implementeert de Europese NIB-richtlijn (netwerk- en informatieveiligheid richtlijn). De bepalingen van de Wet gegevensverwerking en meldplicht cybersecurity zijn overgebracht naar de Wbni. De Wet beveiliging netwerk- en informatiesystemen heette tijdens de concept versie de Cybersecuritywet.
Artikel 7 (risico’s beheersen) verplicht tot het volgende:
1) De aanbieder van een essentiële dienst en de digitale dienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen.
2) De in het eerste lid bedoelde maatregelen van de digitale dienstverlener houden in elk geval rekening met de volgende aspecten:
a. de beveiliging van systemen en voorzieningen;
b. behandeling van incidenten;
c. het beheer van de bedrijfscontinuïteit;
d. toezicht, controle en testen;
e. inachtneming van de internationale normen.
ISO 27001: hoofdstuk 14 – ISO regelgeving rondom informatiebeveiliging
De ISO 27001 is een certificering waarmee je aantoont dat je voldoet aan de ISO regels voor informatiebeveiliging. Het is erg belangrijk voor veel bedrijven om de informatiebeveiliging goed op orde te hebben. Zo kunnen klanten aan deze ISO certificering zien dat het bedrijf een goede beveiliging heeft wanneer het aankomt op het verwerken van informatie. Deze internationale ISO norm voor ICT staat voor een procesmatige aanpak voor het vaststellen, implementeren, uitvoeren, bewaken, onderhouden en verbeteren van informatiebeveiliging. Met ISO 27001 certificering geef je garantie aan opdrachtgevers, dat je het informatieproces beheerst en dat je gegevens van die opdrachtgevers goed beveiligd hebt.
NEN 7510 – Nederlandse norm voor informatiebeveiliging in de zorg
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Elke zorgaanbieder in Nederland is verplicht om deze norm te volgen. Het houdt in dat je als zorgaanbieder de relevante wet- en regelgeving kent, je bekend bent met de risico’s van het ontbreken van informatiebeveiliging en dat er zowel gestructureerd als planmatig gewerkt wordt aan het verbeteren van de beveiliging van persoonlijke gegevens. Een certificering is volgens de Nederlandse wet niet noodzakelijk, maar elke zorgverlener of instelling moet wel kunnen laten zien dat ze aan de eisen van de NEN 7510 voldoen.
De NEN 7510 bestaat tegenwoordig uit de delen NEN 7510-1 en NEN 7510-2. Deel 1 bevat de normatieve voorschriften voor het managementsysteem en in deel 2 komen de beheersmaatregelen aan bod. De continuïteits- en escrowregelingen van Software Borg vallen onder deze beheersmaatregelen.
Software Borg helpt je om compliant te zijn
Om aan bovenstaande wet- en regelgeving te voldoen, is het belangrijk dat de software (broncode) beschikbaar is en blijft. Dit kun je aantonen door deel te nemen aan de continuïteits- en escrow-regelingen die Software Borg aanbiedt. Met deelname aan die regelingen toon je aan dat je een concrete maatregel rondom de beschikbaarheid en continuïteit van zowel software als data hebt geïmplementeerd en dus compliant bent. Ook branche-specifieke wet- en regelgeving of normen kunnen hierin opgenomen worden.
Wat onze continuïteits- en escrowoplossingen bieden
Naast hulp bij compliance bieden onze continuïteits- en escrowoplossingen ook:
Optimale garantie van continuïteit
Of je nu software ontwikkelt of gebruikt in de Cloud of via SaaS: wij leveren voor elke situatie een passende regeling die de continuïteit van je software en data garandeert.
Bescherming van auteurs- en IE-rechten
Een software house beschikt over de auteurs- en IE-rechten van software: door deze notarieel vast te leggen kunnen we deze te allen tijde beschermen en het bewijs van eigendom leveren.
Maximale notariële zekerheid
Wij werken altijd met (IT-)notarissen. Zij hebben zorgplicht naar de licentiegever én de gebruiker, kunnen niet failliet gaan en zijn akte kan niet door de rechter worden betwist.
Nazorg bij escrowregelingen
Wanneer zich een calamiteit voordoet bij de leverancier, coördineren wij hoe de continuïteit het beste geborgd kan worden met onze regeling in de hand. We geven niet zomaar de broncode af.
Meer informatie
Meer weten over escrow en continuïteit met betrekking tot je software en informatiesystemen? Wij helpen je met verschillende oplossingen zoals Software Escrow, SaaS en Cloud Escrow en Data Escrow.
Ben jij op zoek naar een specialist in het adviseren rondom alle aspecten van de wet- en regelgeving, normen en contracten met betrekking tot software? Neem contact op voor een adviesgesprek.