vriendenstichtingen dragen zelf verantwoording voor het voldoen aan wet- en regelgeving van hun administraties. Klachten die bij de SKD binnenkomen ten aanzien van privacyregels van die administraties worden door SKD doorgeleid en gemonitord op afhandeling. Focus voor 2019 In 2019 zal de nieuwe directiesecretaris de rol van privacycoördinator op zich nemen. De te verwachten acties voor 2019 zijn: • procesbeschrijvingen actualiseren; • verdere focus op de interne bewustwording door communicatie over het privacybeleid; • opleiding; • privacy-gedragscode; • procedures; • revisie van de arbeidsovereenkomsten; • verbeteren van de relatiedatabase; • opstellen van interne controlemaatregelen. Het gewenste volwassenheidsniveau in de SKD is op termijn niveau 4 en dat is ingegeven door de hoge impact die datalekken en non compliance kunnen hebben op ons imago en dat van onze subsidiënt. Hiermee hangt samen dat dit ook voor andere wet- en regelgeving het niveau is dat de SKD nastreeft (bijvoorbeeld ITAR, Aanbestedingswet). Het huidige volwassenheidsniveau van de organisatie kan worden geïndiceerd als niveau 2; Herhaalbaar. De eerste stappen voor bewustwording zijn gezet. Maatregelen krijgen vorm, maar er kan nog veel verbeteren. De stichting dient een algemeen belang, wordt merendeels met publiekelijk geld gefinancierd en heeft een wettelijke taak. Tegelijk wordt verwacht dat we ondernemend zijn, met het doel om a) de publieke investering maximaal te laten renderen en b) voldoende inkomsten te verwerven om onze doelstellingen te kunnen realiseren. Wij maken dan ook een bewuste afweging tussen de (publieke en commerciële) doelstellingen en de risico’s die we bereid zijn te nemen om de doelstellingen te bereiken. Dit continue proces wordt verankerd in ons risicomanagementbeleid. Uitgangspunten van het risicomanagementbeleid: • het afwegen van risico’s wordt structureel onderdeel van de planning- en control cyclus; • we richten systemen van risicobeheersing en interne controle in. Deze dienen om significante risico’s te identificeren, realisatie van doelstellingen te bewaken en naleving van wet- en regelgeving te waarborgen; • directie en management zijn verantwoordelijk voor de systemen van risicobeheersing en interne controle en de werking ervan; • de algemeen directeur is eindverantwoordelijk voor de risicobereidheid: het bepalen van wat acceptabel is bij de (mate van de) risico’s die genomen worden. 38
43 Online Touch Home