{"id":61596,"date":"2023-12-08T19:16:51","date_gmt":"2023-12-08T10:16:51","guid":{"rendered":"https:\/\/monolith.law\/nl\/?p=61596"},"modified":"2024-03-04T21:09:44","modified_gmt":"2024-03-04T12:09:44","slug":"internal-control-system","status":"publish","type":"post","link":"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system","title":{"rendered":"Hoe voorkom je beveiligingsincidenten bij de opdrachtnemer? Uitleg over de opzet en werking van het interne controlesysteem van de opdrachtgever"},"content":{"rendered":"\n<p>Bedrijven zijn verplicht om een intern controlesysteem op te zetten volgens de &#8216;Japanse Bedrijfswet&#8217; en de &#8216;Japanse Wet op de Financi\u00eble Instrumenten en de Beurs&#8217;. Hoewel de term &#8220;intern controlesysteem&#8221; ingewikkeld kan klinken, is het in eenvoudige bewoordingen een systeem om de bedrijfsvoering correct te beheren en risico&#8217;s te voorkomen.<\/p>\n\n\n\n<p>Hoe functioneert het interne controlesysteem dan in relatie tot externe handelspartners? Dit wordt vooral een probleem omdat bedrijven vaak verschillende taken, zoals logistiek en onderhoud, uitbesteden aan externe partijen.<\/p>\n\n\n\n<p>In dit artikel leggen we uit welke maatregelen er genomen kunnen worden om de werking van het interne controlesysteem bij de uitbestedingspartner en beveiligingsincidenten te voorkomen.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system\/#Wat_is_een_intern_controlesysteem\" title=\"Wat is een intern controlesysteem?\">Wat is een intern controlesysteem?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system\/#Risico%E2%80%99s_op_het_gebied_van_interne_controlesystemen_die_kunnen_ontstaan_bij_het_uitbesteden_van_werkzaamheden\" title=\"Risico&#8217;s op het gebied van interne controlesystemen die kunnen ontstaan bij het uitbesteden van werkzaamheden\">Risico&#8217;s op het gebied van interne controlesystemen die kunnen ontstaan bij het uitbesteden van werkzaamheden<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system\/#Een_intern_controlesysteem_inclusief_beheer_van_opdrachtnemers_is_noodzakelijk\" title=\"Een intern controlesysteem inclusief beheer van opdrachtnemers is noodzakelijk\">Een intern controlesysteem inclusief beheer van opdrachtnemers is noodzakelijk<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system\/#Het_belang_van_interne_controlesystemen_leren_door_middel_van_casestudy%E2%80%99s\" title=\"Het belang van interne controlesystemen leren door middel van casestudy&#8217;s\">Het belang van interne controlesystemen leren door middel van casestudy&#8217;s<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system\/#Informatielek_bij_de_Japanse_Pensioen_Dienst\" title=\"Informatielek bij de Japanse Pensioen Dienst\">Informatielek bij de Japanse Pensioen Dienst<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system\/#Geval_van_persoonlijke_informatie_lek_bij_Benesse_Corporation\" title=\"Geval van persoonlijke informatie lek bij Benesse Corporation\">Geval van persoonlijke informatie lek bij Benesse Corporation<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system\/#Samenvatting_Raadpleeg_een_advocaat_over_interne_controlesystemen\" title=\"Samenvatting: Raadpleeg een advocaat over interne controlesystemen\">Samenvatting: Raadpleeg een advocaat over interne controlesystemen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/nl\/general-corporate\/internal-control-system\/#Informatie_over_de_maatregelen_van_ons_kantoor\" title=\"Informatie over de maatregelen van ons kantoor\">Informatie over de maatregelen van ons kantoor<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Wat_is_een_intern_controlesysteem\"><\/span>Wat is een intern controlesysteem?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/01\/shutterstock_2040715259.jpg\" alt=\"Wat is een intern controlesysteem?\" class=\"wp-image-57124\" \/><\/figure>\n\n\n\n<p>Een intern controlesysteem is een organisatorisch middel of methode die nodig is voor bedrijven of organisaties om een passend beheer uit te voeren. Het wordt gedefinieerd in zowel de Japanse Bedrijfswet (Japanse &#8216;Kaishah\u014d&#8217;) als de Japanse Wet op Financi\u00eble Instrumenten en Beurstransacties (Japanse &#8216;Kin&#8217;y\u016b Sh\u014dhin Torihiki H\u014d&#8217;).<\/p>\n\n\n\n<p>Onder de Bedrijfswet zijn de volgende bedrijven verplicht om een intern controlesysteem op te zetten:<\/p>\n\n\n\n<ul>\n<li>Grote bedrijven<\/li>\n\n\n\n<li>Bedrijven met een benoemingscommissie<\/li>\n\n\n\n<li>Bedrijven met een auditcommissie<\/li>\n<\/ul>\n\n\n\n<p>Daarnaast legt de Wet op Financi\u00eble Instrumenten en Beurstransacties een verplichting op aan beursgenoteerde bedrijven om een intern controlesysteem op te zetten. Ze moeten elk boekjaar een intern controleverslag indienen. Dit intern controleverslag moet worden gecontroleerd door een gecertificeerde openbare accountant of een auditfirma.<\/p>\n\n\n\n<p>Als er schade ontstaat door een informatie lek of iets dergelijks als gevolg van tekortkomingen in het interne controlesysteem, kunnen het bedrijf en de directeuren mogelijk aansprakelijk worden gesteld voor schadevergoeding. Voor meer informatie over het interne controlesysteem voor de bescherming van informatie, zie het volgende artikel.<\/p>\n\n\n\n<p>Gerelateerd artikel: <a href=\"https:\/\/monolith.law\/corporate\/company-regulations\" target=\"_blank\" rel=\"noreferrer noopener\">Uitleg over maatregelen om informatie lekken te voorkomen Wat moet er in het bedrijfsreglement staan[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Risico%E2%80%99s_op_het_gebied_van_interne_controlesystemen_die_kunnen_ontstaan_bij_het_uitbesteden_van_werkzaamheden\"><\/span>Risico&#8217;s op het gebied van interne controlesystemen die kunnen ontstaan bij het uitbesteden van werkzaamheden<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Zelfs als uw bedrijf eigen regels heeft opgesteld met betrekking tot informatiebeveiliging, bestaat er een risico dat er een beveiligingsincident kan optreden bij de uitbestedingspartner als deze geen dergelijke regels heeft opgesteld of als de inhoud ervan onvoldoende is.<\/p>\n\n\n\n<p>In het geval van een beveiligingsincident, zelfs als het een ongeval was bij de uitbestedingspartner, bestaat er een risico dat het imago van het bedrijf dat de uitbesteding heeft gegeven en dat de beheersverantwoordelijkheid heeft, wordt aangetast.<\/p>\n\n\n\n<p>Daarom is het belangrijk om bij het uitbesteden van werkzaamheden een systeem op te zetten bij de uitbestedingspartner om te voorkomen dat er beveiligingsincidenten en dergelijke plaatsvinden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Een_intern_controlesysteem_inclusief_beheer_van_opdrachtnemers_is_noodzakelijk\"><\/span>Een intern controlesysteem inclusief beheer van opdrachtnemers is noodzakelijk<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Gezien de jurisprudentie en andere factoren, is de ontwikkeling van een informatiebeveiligingssysteem een van de belangrijke elementen bij het opzetten van een intern controlesysteem.<\/p>\n\n\n\n<p>Als een bedrijf of organisatie schade toebrengt aan een derde partij vanwege tekortkomingen in het informatiebeveiligingssysteem, kan de directeur mogelijk aansprakelijk worden gesteld voor het niet nakomen van de plicht om een intern controlesysteem op te zetten, wat een schending van de zorgplicht kan zijn. Bovendien, als er tekortkomingen zijn in het informatiebeveiligingssysteem van de opdrachtnemer en dit leidt tot schade aan een derde partij, kan de opdrachtgevende organisatie of de directeur ook aansprakelijk worden gesteld.<\/p>\n\n\n\n<p>Hoewel er geen bevestigde gevallen zijn waarin schadevergoedingen zijn toegekend op basis van een schending van de zorgplicht door het niet opzetten van een intern controlesysteem, in het geval dat een beveiligingsincident optreedt door tekortkomingen in het beheer van de opdrachtnemer, is het mogelijk dat er in de toekomst rechtszaken worden aangespannen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Het_belang_van_interne_controlesystemen_leren_door_middel_van_casestudy%E2%80%99s\"><\/span>Het belang van interne controlesystemen leren door middel van casestudy&#8217;s<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/01\/shutterstock_708636133.jpg\" alt=\"Maatregelen die genomen moeten worden bij uitbesteding\" class=\"wp-image-57125\" \/><\/figure>\n\n\n\n<p>Laten we eens kijken welke maatregelen we moeten nemen bij het uitbesteden van werkzaamheden, gebaseerd op eerdere casestudy&#8217;s.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Informatielek_bij_de_Japanse_Pensioen_Dienst\"><\/span>Informatielek bij de Japanse Pensioen Dienst<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>In 2015 werd er bij de Japanse Pensioen Dienst een datalek ontdekt, veroorzaakt door ongeautoriseerde toegang. Er werd bevestigd dat persoonlijke informatie zoals basispensioennummers en namen was gelekt.<\/p>\n\n\n\n<p>Met betrekking tot deze kwestie werd er een onderzoekscommissie opgericht om het datalek bij de Japanse Pensioen Dienst te onderzoeken. Op 21 augustus 2015 (Heisei 27) werd er een onderzoeksrapport opgesteld dat de omstandigheden samenvatte. Volgens dit rapport werd het LAN-systeem van de Japanse Pensioen Dienst aangevallen, wat resulteerde in het lekken van een grote hoeveelheid persoonlijke informatie uit gedeelde mappen.<\/p>\n\n\n\n<p>Toen het systeem werd opgezet, was het de bedoeling dat er geen persoonlijke informatie op het LAN-systeem zou worden verwerkt. Echter, onder bepaalde omstandigheden kon persoonlijke informatie toch in de gedeelde mappen op het LAN-systeem worden geplaatst. Bovendien was het LAN-systeem van de Japanse Pensioen Dienst niet voorbereid op gerichte aanvallen, waardoor het lang duurde om de situatie te begrijpen nadat de aanval was ontdekt.<\/p>\n\n\n\n<p>De onderzoekscommissie stelde de volgende maatregelen voor om herhaling te voorkomen:<\/p>\n\n\n\n<ul>\n<li>Organisatorische maatregelen (zoals het opzetten van een beveiligingsafdeling)<\/li>\n\n\n\n<li>Verbetering van het toezicht door het Ministerie van Gezondheid, Arbeid en Welzijn (zoals het verbeteren van de informatiebeveiligingsstructuur van het ministerie)<\/li>\n\n\n\n<li>Technische verbeteringen (zoals systeemontwikkeling gebaseerd op de werkelijke bedrijfsvoering en risico&#8217;s)<\/li>\n\n\n\n<li>Bewustwording binnen de Japanse Pensioen Dienst<\/li>\n<\/ul>\n\n\n\n<p>Daarnaast was er alleen een algemene overeenkomst over informatiebeveiliging met de dienstverlener, maar er was geen duidelijke overeenkomst over de specifieke reactie in geval van een incident. Dit resulteerde in een vertraagde reactie en grotere schade. (Bron: Ministerie van Gezondheid, Arbeid en Welzijn, &#8216;<a href=\"https:\/\/www.mhlw.go.jp\/file\/05-Shingikai-10201000-Daijinkanbousoumuka-Soumuka\/0000095309.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Onderzoeksrapport van 21 augustus Heisei 27[ja]<\/a>&#8216;)<\/p>\n\n\n\n<p>Om dergelijke situaties te voorkomen, is het noodzakelijk om:<\/p>\n\n\n\n<ul>\n<li>Een Service Level Agreement (SLA) af te sluiten met specifieke inhoud<\/li>\n\n\n\n<li>Overeen te komen dat de dienstverlener verantwoordelijk is voor noodrespons<\/li>\n<\/ul>\n\n\n\n<p>Een Service Level Agreement (SLA) is een contract tussen de dienstverlener en de ontvanger van de dienst, waarin de kwaliteit, toepassingsgebied, ontvangstmethode, verantwoordelijkheden en kosten van de dienst worden overeengekomen. Door ook vooraf overeen te komen over de reactie in geval van een incident, is het mogelijk om snel en adequaat te reageren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Geval_van_persoonlijke_informatie_lek_bij_Benesse_Corporation\"><\/span>Geval van persoonlijke informatie lek bij Benesse Corporation<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>In 2014 vond er een lek van persoonlijke informatie plaats bij Benesse Corporation. Dit werd veroorzaakt door een medewerker van een uitbestede dienstverlener die klantgegevens kopieerde en verkocht aan een lijstverkoper, waardoor ongeveer 29,89 miljoen klantgegevens werden gelekt.<\/p>\n\n\n\n<p>Als oorzaak van dit incident kan worden genoemd dat er ondanks het feit dat toegangsrechten tot gegevens waren verleend aan onderaannemers en verdere onderaannemers, er geen voldoende toezichtsysteem was om te voorkomen dat informatie zou lekken.<\/p>\n\n\n\n<p>Mogelijke maatregelen zijn:<\/p>\n\n\n\n<ul>\n<li>Het duidelijk defini\u00ebren van de reikwijdte van de taken en toegang tot informatie van de uitbestede dienstverlener in het contract<\/li>\n\n\n\n<li>Het uitvoeren van regelmatige audits van de uitbestede dienstverlener<\/li>\n\n\n\n<li>Het opleggen van een rapportageverplichting aan de uitbestede dienstverlener met betrekking tot het toezichtsysteem<\/li>\n\n\n\n<li>Het aanwijzen en beoordelen van personen die belangrijke informatie behandelen bij de uitbestede dienstverlener<\/li>\n<\/ul>\n\n\n\n<p>Een van de klanten heeft na het incident een rechtszaak aangespannen tegen Benesse Corporation, de dienstverlener, eisend een schadevergoeding van 100.000 yen voor het lekken van zijn en zijn kind&#8217;s persoonlijke informatie.<\/p>\n\n\n\n<p>In de eerste en tweede instantie verloor de klant, maar op 23 oktober 2017 (Heisei 29) werd door het Hooggerechtshof besloten dat:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>&#8220;Het onmiddellijk afwijzen van de eisen van de appellant op basis van het feit dat er geen voldoende onderzoek is gedaan naar het bestaan en de mate van psychische schade door inbreuk op de privacy, en dat er geen beweringen of bewijzen zijn van schade die verder gaat dan ongemak&#8221;<\/p>\n<cite><a href=\"https:\/\/www.courts.go.jp\/app\/files\/hanrei_jp\/154\/087154_hanrei.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Schadevergoedingszaak nr. 1892 (ontvangen) Heisei 28, uitspraak van de tweede kleine rechtbank, 23 oktober 2017 (Heisei 29)[ja]<\/a><\/cite><\/blockquote>\n\n\n\n<p>De uitspraak in de tweede instantie werd vernietigd en de zaak werd teruggestuurd naar het Hooggerechtshof van Osaka voor verdere behandeling.<\/p>\n\n\n\n<p>Op 20 november 2019 erkende het Hooggerechtshof van Osaka de inbreuk op de privacy en beval Benesse Corporation om 1.000 yen te betalen.<\/p>\n\n\n\n<p>In de eerste en tweede instantie werd niet alleen de inbreuk op de privacy, maar ook de vraag of er daadwerkelijk schade was opgetreden, benadrukt. Het Hooggerechtshof oordeelde echter dat er onderzoek moest worden gedaan naar de inbreuk op de privacy, ongeacht of er schade was of niet. In andere gevallen van informatie lekken zijn er veel gevallen waarin schadevergoeding op basis van het lekken van informatie wordt erkend, en het wordt aangenomen dat deze uitspraak van het Hooggerechtshof in lijn is met deze trend.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Samenvatting_Raadpleeg_een_advocaat_over_interne_controlesystemen\"><\/span>Samenvatting: Raadpleeg een advocaat over interne controlesystemen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Voor een gezond beheer van bedrijven en organisaties is het noodzakelijk om een adequaat intern controlesysteem op te zetten en te beheren. Zelfs als een uitbestedingspartner een beveiligingsincident zoals een informatie lek veroorzaakt, kan de opdrachtgever aansprakelijk worden gesteld en kan het bedrijfsimago worden aangetast. Om dergelijke situaties te voorkomen, moet u van tevoren een systeem opzetten dat ervoor zorgt dat het interne controlesysteem ook bij de uitbestedingspartner voldoende functioneert.<\/p>\n\n\n\n<p>Neem contact op met een advocaat voor advies over het opzetten en beheren van interne controlesystemen, inclusief informatiebeveiligingssystemen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Informatie_over_de_maatregelen_van_ons_kantoor\"><\/span>Informatie over de maatregelen van ons kantoor<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Monolith Juridisch Adviesbureau is een advocatenkantoor met hoge expertise in IT, met name internet en recht. De noodzaak voor juridische controles met betrekking tot de opbouw en werking van interne controlesystemen neemt steeds meer toe. Details worden beschreven in het onderstaande artikel.<\/p>\n\n\n\n<p>Behandelingsgebieden van Monolith Juridisch Adviesbureau: <a href=\"https:\/\/monolith.law\/practices\/corporate\" target=\"_blank\" rel=\"noreferrer noopener\">IT &amp; Venture Corporate Law[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bedrijven zijn verplicht om een intern controlesysteem op te zetten volgens de &#8216;Japanse Bedrijfswet&#8217; en de &#8216;Japanse Wet op de Financi\u00eble Instrumenten en de Beurs&#8217;. Hoewel de te [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":62648,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/posts\/61596"}],"collection":[{"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/comments?post=61596"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/posts\/61596\/revisions"}],"predecessor-version":[{"id":62649,"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/posts\/61596\/revisions\/62649"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/media\/62648"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/media?parent=61596"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/categories?post=61596"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/nl\/wp-json\/wp\/v2\/tags?post=61596"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}