De moderne zakelijke markt vraagt om multimobiliteit. En om de vrijheid om steeds de slimste en efficiëntste vervoersvorm te kiezen. Onder leiding van algemeen directeur Patrick Roozeman geeft MultiTankcard mobiliteit een nieuw gezicht. “Toen ik hier in september 2016 startte, was de governance matig ingericht. Vanuit mijn achtergrond in de financiële dienstverlening weet ik hoe belangrijk het is om als transactiehuis de data governance goed op orde te hebben. Dit betreft zowel de processen en procedures als het gedrag van onze ongeveer 30 medewerkers.”
Versnellingsprogramma
Hij besloot om een versnellingsprogramma in te zetten en externe expertise bij te schakelen voor domeinen waarvoor MultiTankcard onvoldoende kennis in eigen huis heeft. Zo kwam hij in contact met Paul Schraven van DPA Professionals.” Een belangrijke uitdaging was compliance met de Algemene Verordening Gegevensbescherming per 25 mei 2018. T.a.v. het documenteren hiervan verwees Paul in eerste instantie naar softwarebedrijf Privacy Perfect. Zoals hij destijds al aangaf, kwamen we vanzelf weer bij DPA uit toen we eraan toe waren om privacy en informatieveiligheid vanuit een breder perspectief aan te pakken.”
AVG-compliant via een plan van aanpak
Voor het bewerkstelligen van AVG-compliance verzorgde DPA eerst een plan van aanpak: een basisimplementatie die meteen in de praktijk te gebruiken is. Dit werkt als een realitycheck die laat zien wat het bedrijf precies nodig heeft. “Vanuit opdrachtgeversperspectief is dit heel prettig: eerst de kaders neerzetten. Hoe richt je het in? Hoe sla je de data op en hoe stuur je het gedrag van de medewerkers? Door deze kaders vervolgens gestructureerd in te vullen, doe je niet te veel maar ook niet te weinig. Zo blijven de kosten beheersbaar.”
Vierogenprincipe
“Samen met DPA hebben we de AVG superstrak ingeregeld. Mabel de Vries van DPA ondersteunt ons nu nog als Functionaris Gegevensbescherming. Op deze manier houden we de opgebouwde kennis vast, en hebben we een vraagbaak en klankbord. Ook is het vierogenprincipe gewaarborgd en kunnen we waar nodig snel bijsturen en opschalen naar toekomstige projecten. AVG-compliance is voor ons een middel om een doel te bereiken, geen doel op zich. Uiteindelijk gaat het ons om het minimaliseren van risico’s op datalekken en gegevensverlies. DPA helpt ons om hier scherp op te blijven.”
ISO-certificering voor informatiebeveiliging
Roozeman pakte ook het domein informatiebeveiliging aan om een meer dan solide basis te leggen voor verdere kwaliteitsverbetering. “Zaken als kantoorbeveiliging, leveranciersbeleid, aanname van medewerkers, merk- en IP-recht, gegevensopslag en -uitwisseling en bedrijfscontinuïteit zijn aan alle kanten gladgestreken. Ook dat is een intrinsiek onderdeel van onze bedrijfsvoering. Hierin vervulden MTc’s compliance coördinator Lydia Feij en DPA’s security consultant Nick Zuiderwijk belangrijke rollen. “De auditors van certificeringsinstituut Brand Compliance hebben vervolgens een toetsing gedaan en geconcludeerd dat onze organisatie aan alle ISO 27001-vereisten voldoet. Ze reikten dan ook het certificaat aan ons uit. Voor dit domein hebben we nu nog een strippenkaart bij DPA voor minimale ondersteuning waar nodig.”
