Auteur: admin

  • Van regels naar gedrag: zo bouw je een sterke compliancecultuur in je organisatie

    Van regels naar gedrag: zo bouw je een sterke compliancecultuur in je organisatie

    Het gebeurt vaker dan organisaties willen toegeven: tijdens een audit blijkt een maatregel al maanden niet uitgevoerd, een incidentregistratie stopt na één melding of een risicoanalyse ligt ergens in een map te verstoffen. Niet omdat medewerkers hun werk niet willen doen, maar omdat regels en dagelijkse praktijk twee verschillende werelden zijn.

    Een organisatie kan processen, beleid en templates perfect op orde hebben en toch vastlopen zodra iemand vraagt wie ergens verantwoordelijk voor is. Die kloof tussen papier en werkelijkheid is geen procesfout, maar een gedragsfout. Juist daarom is compliancecultuur zo belangrijk. Het bepaalt niet alleen wat je doet, maar vooral hoe je dat doet.

    In deze blog kijken we hoe je een sterke compliancecultuur opbouwt die rust brengt, duidelijkheid creëert en audits voorspelbaar maakt. Niet door grote veranderingen, maar door kleine stappen die passen in drukke teams.

    Waarom gedrag belangrijker is dan regels

    Regels geven richting, maar ze garanderen geen resultaat. Een procedure wordt pas waardevol wanneer mensen hem begrijpen en toepassen. Een risicoanalyse helpt pas wanneer acties worden opgevolgd. Een incidentregistratie heeft alleen betekenis als meldingen leiden tot verbetering.

    Eerdere blogs zoals 7 praktische tips voor een effectieve risicoanalyse laten al zien dat eenvoud en haalbaarheid belangrijker zijn dan dikke handboeken. Mensen doen vooral wat logisch voelt en wat duidelijk is. Een sterke compliancecultuur brengt die logica aan in het dagelijks werk.

    Compliancecultuur is dus geen extra laag bovenop regels, maar de manier waarop regels tot leven komen.

    Wat een compliancecultuur wél en niet is

    Compliancecultuur gaat niet over strengheid of afvinklijstjes. Het gaat over houding, bewustzijn en gedrag. Je herkent een sterke cultuur aan simpele signalen:

    • Medewerkers melden problemen zonder drempels.
    • Risico’s worden besproken, ook als er geen audit aan komt.
    • Acties worden uitgevoerd omdat mensen het belang ervan zien.
    • Het management geeft het goede voorbeeld.
    • Verbeteringen ontstaan doordat mensen verantwoordelijkheid voelen.

    Dit zijn voorbeelden van soft controls, de gedragsfactoren die bepalen hoe mensen omgaan met risico’s en regels. In tegenstelling tot hard controls zoals systemen, documenten en processen gaan soft controls over duidelijkheid, motivatie en vertrouwen.

    Organisaties die deze zachte kant serieus nemen, merken dat compliance minder voelt als verplichting en meer als onderdeel van normaal werken.

    Eigenaarschap als fundament

    De meeste complianceproblemen zijn te herleiden tot één oorzaak: onduidelijk eigenaarschap. Niet omdat niemand verantwoordelijkheid wil nemen, maar omdat niet helder is waarom iets belangrijk is.

    Eigenaarschap ontstaat wanneer iemand:

    • Begrijpt welke risico’s bij zijn of haar rol horen.
    • Ziet welke gevolgen incidenten kunnen hebben.
    • Weet hoe een maatregel werkt en waarom die nodig is.
    • Ervaart dat melden en verbeteren gewaardeerd wordt.

    Daar gaat het vaak mis. In plaats van gesprekken over risico’s worden documenten gedeeld. In plaats van opvolging worden taken doorgeschoven. In plaats van leren blijft gedrag hetzelfde. De blog Van incident naar verbetering laat zien hoe gestructureerd incident hierbij helpt. Het maakt zichtbaar wat eerder verborgen bleef en levert concrete verbeterpunten op.

    Waarom eenvoud gedrag versterkt

    Gedrag floreert in eenvoud. Hoe makkelijker iets uit te voeren is, hoe groter de kans dat het ook echt gebeurt.

    • Korte procedures worden gelezen.
    • Eenvoudige taken worden afgerond.
    • Een laagdrempelig meldformulier wordt sneller gebruikt.
    • Overzicht geeft rust en stimuleert actie.

    Veel organisaties werken nog steeds met complexe mappenstructuren, lange rapporten en Excel-bestanden die vooral verwarring opleveren. Dat voelt gecontroleerd, maar levert weinig op. Het belemmert juist het gedrag dat nodig is om compliance aantoonbaar te maken.

    Organisaties die kiezen voor eenvoud merken het verschil meteen. Werkwijzen worden voorspelbaar, verantwoordelijkheden duidelijk en acties beter zichtbaar. In 7 praktische tips voor een effectieve risicoanalyse komt die benadering duidelijk terug. Begin klein, maak het werkbaar en bouw van daaruit verder.

    Vier stappen om een sterke compliancecultuur te bouwen

    Hieronder vind je vier praktische stappen die je direct kunt toepassen in elk team. Deze aanpak vraagt geen groot plan, maar levert wél structurele verbetering op.

    1. Maak risico’s tastbaar

    Risico’s blijven abstract zolang ze niet gekoppeld zijn aan het dagelijkse werk. Maak ze concreet door te bespreken:

    • Welke klant of dienst geraakt wordt;
    • Welke verstoring kan ontstaan;
    • Welke voorbeelden herkenbaar zijn uit de praktijk;
    • Hoe maatregelen helpen om dit te voorkomen.

    Door risico’s tastbaar te maken ontstaat begrip en dus beter gedrag. Het verschil tussen een theoretische dreiging en een herkenbare situatie is enorm.

    2. Zorg voor ritme in opvolging

    Acties zonder deadline verdwijnen uit beeld. Maatregelen zonder herhaling verwateren. Audits zonder opvolging leveren weinig op.

    Zorg daarom voor ritme. Denk aan korte overlegmomenten waarin risico’s en incidenten worden besproken, vaste momenten waarop maatregelen worden herzien en audits die altijd gekoppeld worden aan zichtbare acties. De blog Interne audit ISO 9001: 7 veelgemaakte fouten laat zien hoe vaak auditbevindingen blijven liggen doordat dit ritme ontbreekt.

    Ritme zorgt voor voorspelbaarheid. Dat maakt compliance minder afhankelijk van individuele inzet en meer van de organisatie als geheel.

    3. Maak melden veilig en eenvoudig

    Een positieve meldcultuur ontstaat niet door verplichtingen, maar door vertrouwen. Maak melden daarom zo eenvoudig dat het bijna vanzelf gaat. Leg duidelijk uit dat melden geen schuldvraag is, maar een kans om te verbeteren. Zorg dat meldingen zichtbaar worden opgevolgd. Bespreek meldingen op een manier die leren stimuleert in plaats van afstraffing.

    Wanneer medewerkers merken dat melden leidt tot oplossingen, verdwijnen angsten en ontstaat een cultuur waarin risico’s eerder worden gezien.

    4. Beloon zichtbaar gedrag

    Documentatie krijgt vaak meer waardering dan gedrag. Mooie beleidsstukken leveren complimenten op, terwijl iemand die een incident meldt nauwelijks aandacht krijgt. Die waardering stuur je zelf.

    Beloon openheid, zichtbare opvolging, kritische vragen en kleine verbeteringen. Door gedrag te waarderen ontstaat een beweging waarin compliance menselijker wordt en niet alleen iets dat moet.

    Governance en gedrag werken samen

    Governance gaat over structuur: rollen, afspraken en verantwoordelijkheden. Gedrag gaat over hoe mensen die structuur elke dag in de praktijk brengen. Beide zijn nodig.

    Een organisatie met goed beleid maar zwak gedrag blijft kwetsbaar. Een organisatie met sterk gedrag maar geen structuur blijft afhankelijk van individuen. De beste resultaten ontstaan wanneer beide elkaar versterken.

    Daar kan tooling bij helpen, zolang het gedrag ondersteunt in plaats van vervangt. In Waarom GRC-software belangrijk is voor moderne bedrijven wordt uitgelegd waarom overzicht, duidelijkheid en eenvoud zoveel impact hebben. Het maakt opvolging logisch en zichtbaar, waardoor gedrag beter wordt.

    Hoe herken je dat je compliancecultuur werkt?

    Je ziet dat een compliancecultuur begint te werken wanneer:

    • Risico’s en incidenten automatisch onderdeel zijn van gesprekken
    • Medewerkers taken afronden voordat deadlines naderen
    • Problemen sneller worden gemeld
    • Audits rustiger en voorspelbaarder verlopen
    • Verbeteringen vaker uit het team zelf komen

    Wanneer dit gebeurt, wordt compliance geen last maar een gewoonte. Dat is het punt waarop cultuur zijn werk doet.

    Conclusie

    Een sterke compliancecultuur ontstaat niet door regels of dikke handboeken, maar door gedrag. Door risico’s tastbaar te maken, verantwoordelijkheden helder te verdelen, eenvoud te creëren en meldingen serieus te nemen ontstaat stap voor stap een manier van werken die betrouwbaar is en rust geeft.

    Compliance wordt dan geen verplichting, maar een manier van werken die de organisatie sterker, transparanter en voorspelbaarder maakt. Dat begint niet bij een document, maar bij dagelijks gedrag dat steeds beter wordt.

  • Ons grootste compliance-risico bleek geen proces, maar gedrag

    Ons grootste compliance-risico bleek geen proces, maar gedrag

    We waren ervan overtuigd dat alles keurig op orde was. De documentatie stond netjes bijgewerkt, het risicoregister was volledig en onze GRC-tool gaf een overzicht dat er geruststellend uitzag. Processen, maatregelen, acties: alles was ingericht. Op papier leek de organisatie strak en betrouwbaar. Tot de dag van de interne audit.

    De auditor keek naar een maatregel, draaide zich naar ons om en stelde de eenvoudigste vraag die je kunt bedenken: “Wie is hier verantwoordelijk voor?”

    Niemand antwoordde.

    De stilte was niet vijandig of ongeïnteresseerd, maar ongemakkelijk en pijnlijk herkenbaar. Iedereen dacht dat iemand anders het zou oppakken. De auditor hoefde verder niets te zeggen. Het echte risico zat niet in een ontbrekend document of een fout in de tool. Het zat in ons gedrag.

    Op dat moment werd duidelijk dat structuur zonder eigenaarschap geen controle oplevert, maar schijnzekerheid.

    De stille aannames die werkprocessen ondermijnen

    In organisaties waar mensen meerdere verantwoordelijkheden dragen, ontstaan onbewust aannames. Wat niet expliciet is toegewezen, wordt stilzwijgend doorgeschoven. Dat werkt zolang er geen echte druk op staat. Tot een audit, incident of klantvraag dat patroon blootlegt.

    Een treffend voorbeeld was het intrekken van toegang bij offboarding. De procedure was zorgvuldig beschreven. De taak verscheen automatisch in de GRC-tool. Maar in de praktijk ging het mis. IT dacht dat HR het signaal zou geven. HR dacht dat teamleads dit zouden melden. Teamleads dachten dat IT monitoring had.

    De taak bestond wel, maar het eigenaarschap niet. Het was een maatregel die “in het proces zat”, maar niet in ons werkritme. In de blog Van risicoanalyse naar actie lieten we eerder zien hoe kritisch het is dat processen niet alleen bestaan, maar ook gedragen worden. Dit voorbeeld bevestigde dat opnieuw

    Hoe de audit een spiegel werd

    De auditor bladerde verder en wees op een actie die al maanden openstond. “Waarom is deze niet opgevolgd?” vroeg hij.

    Het antwoord was niet in een document te vinden. Het zat in onze gewoontes. De auditor testte niets technisch. Hij testte de meest onderschatte laag van compliance: gedrag.

    Het deed denken aan een eerdere blog, Wat er gebeurde toen onze auditor onaangekondigd langskwam, waarin duidelijk werd hoe snel paniek ontstaat wanneer aantoonbaarheid en uitvoering niet één geheel vormen. Nu zaten we opnieuw op dat punt. Niet omdat processen ontbraken, maar omdat ze niet leefden. De audit maakte zichtbaar dat onze aanpak vooral vanuit structuur was georganiseerd, maar weinig vanuit praktijkgedrag.

    Waarom dit patroon zo vaak voorkomt

    Veel organisaties herkennen dit zonder het hardop te zeggen. Zeker wanneer dezelfde mensen klantafspraken, projecten, audits en interne controles combineren. Processen worden dan wel ingericht, maar niet verankerd. Documentatie wordt bijgewerkt omdat het moet. Acties worden aangemaakt omdat het hoort. Maar de vraag wie voelt zich eigenaar? blijft impliciet.

    In een eerdere blog, Van Excel naar overzicht, zo kies je voor GRC-software, lieten we zien dat tooling werkt wanneer gedrag meegroeit. Het auditmoment bewees hoe waar dat is: geen enkele tool kan compenseren voor onduidelijke afspraken of ontbrekend eigenaarschap.

    De omslag naar echt eigenaarschap

    We besloten het anders te doen. Niet door extra lagen structuur toe te voegen, maar door bestaande processen eenvoudiger en persoonlijker te maken.

    We begonnen met één praktische verandering: per maatregel één eigenaar. Niet een afdeling, maar een persoon. Dat maakte opvolging concreet. Iemand wist voortaan: dit hoort bij mij.

    Daarna creëerden we een vast ritme. Korte, maandelijkse check-ins waarin we procesuitvoering bespraken. Geen lange vergaderingen. Geen presentaties. Gewoon de vraag: “Wat loopt goed? Wat loopt stroef?” Dankzij die eenvoud schoof opvolging niet meer van agenda naar agenda, maar kreeg het een vaste plek.

    Ook herschreven we onze procedures. Minder formele taal, meer voorbeelden uit het werk. Dat lijkt klein, maar het had een groot effect. Mensen die begrijpen wat iets oplevert, voeren het sneller uit. In onze blog ISMS in de praktijk: beleid dat wél werkt beschreven we al hoe begrijpelijke taal het verschil maakt tussen naleven en nalezen.

    Tot slot maakten we melden normaal. Soms is een twijfel of een kleine fout waardevoller dan een incidentmelding. Zodra medewerkers dat merkten, ontstond er meer openheid. Problemen kwamen eerder naar boven en verbeteringen volgden vanzelf.

    Deze vier stappen maakten de basis sterker. Niet omdat we meer deden, maar omdat we bewuster deden.

    Hoe dat zichtbaar werd bij de volgende audit

    Een paar maanden later stond dezelfde auditor weer voor de deur. Hij merkte het verschil direct. We konden helder uitleggen wie verantwoordelijk was voor welke maatregelen. We konden onderbouwen waarom iets gedaan was, of juist niet. Bevindingen uit voorgaande audits waren aantoonbaar opgevolgd.

    Niets daarvan voelde geforceerd. Het was simpelweg logisch geworden. Omdat eigenaarschap logisch was geworden.

    Veel organisaties denken dat audits ingewikkeld zijn, maar vaak zijn ze vooral een spiegel. Dat zagen we eerder in de blog Klachten zijn geen fouten, maar wij behandelden ze wel zo, waarin de essentie duidelijk werd: aantoonbaarheid zit niet in formulieren, maar in gedrag.

    Dat herhaalden we nu in de praktijk. De auditor hoefde ons nauwelijks meer te corrigeren. Hij hoefde alleen te constateren dat dingen op hun plek waren gevallen.

    Het echte risico: gedrag zonder richting

    Een organisatie kan alles op orde hebben op papier, maar als niemand iets voelt als “van hem of haar”, ontstaan er blinde vlekken. Die vlekken worden pas zichtbaar wanneer er druk ontstaat. Bij een audit . Een incident. Een klantvraag.

    Gedrag zonder richting is het grootste risico dat vaak als laatste wordt gezien. Terwijl het tegelijk de meest voorspelbare oorzaak is van afwijkingen, vertragingen en gemiste maatregelen.

    In de blog Waarom alles in Excel netjes lijkt, tot je iets moet terugvinden beschreven we hoe gebrek aan structuur leidt tot chaos. Het omgekeerde is net zo waar: structuur zonder gedrag leidt tot schijnzekerheid. De vorm is er, maar de inhoud niet.

    Conclusie

    Compliance komt niet tot leven door systemen of documenten, maar door mensen die hun rol begrijpen en serieus nemen. Structuur is de basis. Gedrag geeft het betekenis. Eigenaarschap maakt het betrouwbaar.

    De organisaties die dat doorhebben, zijn niet per se organisaties met meer middelen. Het zijn organisaties waar verantwoordelijkheden klein en duidelijk zijn, waar opvolging ritme heeft en waar medewerkers signalen durven te geven.

    Daar ontstaat aantoonbaarheid. Daar ontstaat vertrouwen. Daar ontstaat controle zonder kramp.

    En precies daar begint echte compliance.

  • CSRD in de praktijk: zo zorg je dat je duurzaamheidsdata echt klopt

    CSRD in de praktijk: zo zorg je dat je duurzaamheidsdata echt klopt

    In de maandagblog zagen we wat er gebeurt wanneer een klant doorvraagt op een duurzaamheidsclaim. De cijfers zagen er netjes uit, maar zodra om bewijs werd gevraagd, viel alles stil. Veel organisaties herkennen dat moment. Niet omdat ze iets willen verdoezelen, maar omdat duurzaamheidsinformatie vaak versnipperd is over verschillende afdelingen en systemen. Het voelt confronterend als je merkt dat een rapport meer op aannames dan op onderbouwde gegevens steunt.

    Met de komst van de CSRD verschuift de nadruk van intentie naar aantoonbaarheid. Het gaat niet alleen om wat je rapporteert, maar vooral om hoe je kunt laten zien dat je informatie klopt. Voor organisaties waar duurzaamheid geen aparte afdeling heeft en mensen dit naast hun gewone werk oppakken, kan dat een flinke uitdaging zijn. Toch hoeft het niet ingewikkeld te worden. De CSRD vraagt niet om perfectie, maar om transparantie en controleerbare data.

    In deze blog laten we zien hoe je zonder zware processen een betrouwbare basis legt. Met duidelijke stappen, herkenbare situaties en een praktische aanpak die past bij kleinere teams.

    De omslag die CSRD vraagt

    Veel organisaties beginnen bij het eindpunt: de rapportage. Dat lijkt logisch. Maar de CSRD vraagt juist om een stevig fundament onder die rapportage. Die informatie moet herleidbaar, controleerbaar en gebaseerd op vaste definities zijn. Dat is vergelijkbaar met financiële gegevens, waar je ook moet kunnen laten zien hoe een cijfer tot stand is gekomen.

    Een belangrijk onderdeel is dat een accountant straks een vorm van assurance geeft. Daarvoor moet hij of zij kunnen nagaan waar de informatie vandaan komt en of de methode navolgbaar is. Dat betekent dat je niet alleen de uitkomst rapporteert, maar het proces erachter inzichtelijk moet maken.

    De Europese Sustainability Reporting Standards (ESRS) bepalen welke onderwerpen relevant kunnen zijn en hoe je daarover rapporteert. Ze schrijven niet voor dat je op ieder onderwerp diep moet rapporteren. Materialiteit bepaalt wat echt belangrijk is. Maar voor de onderwerpen die wél materieel zijn, moet de onderbouwing kloppen. Dat is de essentie.

    Wanneer je basis wankel is

    Veel organisaties ontdekken pas bij de eerste CSRD-stappen dat hun gegevens minder stevig zijn dan gedacht. Dat gebeurt bijvoorbeeld in situaties zoals deze:

    Een directievergadering staat in het teken van de komende duurzaamheidsrapportage. Aan het einde van de vergadering vraagt iemand: “Kunnen we dit met een gerust hart ondertekenen?” In eerste instantie knikt iedereen. Tot de vraag volgt: “Waar komt dit cijfer vandaan?” Dan ontstaat stilte. Verschillende mensen bladeren door bestanden en inboxen. Een collega weet het nog ongeveer, maar niet precies. Bewijs blijkt verspreid te staan in oude Excelbestanden, scans van facturen, exports uit systemen en rapporten van leveranciers.

    Deze situatie is niet uitzonderlijk. In veel organisaties is duurzaamheid een taak die erbij is gekomen. HR levert gegevens aan over personeel, Finance verzamelt energiefacturen, Operations registreert afvalstromen en IT bewaakt datastromen. Iedereen levert een stukje, maar niemand heeft overzicht over het geheel.

    De risico’s ontstaan niet door kwade wil of slordigheid. Ze ontstaan doordat niemand volledig eigenaar is. En zonder eigenaarschap kan niemand garanderen dat de informatie klopt.

    Wat de CSRD écht van je verwacht

    De CSRD vraagt niet dat je cijfers perfect zijn. Ze vraagt dat je uitlegt hoe je tot die cijfers komt. Dat betekent dat je informatie moet kunnen herleiden naar een bron, dat de methode duidelijk is en dat de gegevens controleerbaar zijn. Ook moet je consistentie kunnen garanderen. Wat je dit jaar doet, moet volgend jaar op dezelfde manier kunnen worden gedaan.

    Samengevat moeten duurzaamheidsgegevens:

    • Herleidbaar zijn tot controleerbare bronnen
    • Navolgbaar zijn voor iemand die het proces niet zelf heeft uitgevoerd
    • Gebaseerd zijn op vaste definities en methodes
    • Consistent zijn over de tijd

    Met deze eisen ontstaat een duidelijk beeld: het gaan niet om omvangrijke processen, maar om structuur, duidelijkheid en discipline.

    Hoe je duurzaamheidsdata betrouwbaar maakt

    Wanneer je weet wat de CSRD vraagt, kun je gericht aan de slag. De stappen hieronder passen bij organisaties die zonder grote projectteams werken en de basis zo praktisch mogelijk willen houden.

    1. Breng alle datastromen overzichtelijk in kaart

    Begin klein. Maak een lijst van de gegevens die je nu al hebt, waar ze vandaan komen en wie ze aanlevert. Het hoeft niet perfect te zijn. Het doel is om inzicht te krijgen in de route die data aflegt binnen je organisatie. Vaak wordt meteen zichtbaar waar inconsistenties zitten of waar informatie ontbreekt.

    2. Leg vast hoe gegevens tot stand komen

    Een getal wordt pas betrouwbaar wanneer je kunt uitleggen hoe het is samengesteld. Komt het uit een meter, een factuur, een contract, een systeemexport of een schatting? Leg kort vast hoe een cijfer wordt berekend of gemeten. Dat maakt het mogelijk om volgend jaar dezelfde methode te gebruiken en veranderingen te verklaren.

    3. Plan vaste momenten om gegevens te controleren

    De grootste fout is wachten tot het einde van het jaar. Dan komt alles tegelijk en krijgt iedere onduidelijkheid het karakter van een probleem. Door per kwartaal of zelfs per half jaar te controleren, ontstaat rust. Kleine afwijkingen worden snel zichtbaar en kunnen eenvoudig worden opgelost. Daardoor wordt het rapportageproces minder stressvol en minder foutgevoelig.

    4. Koppel bewijs aan je gegevens

    Een cijfer zonder bewijs is slechts een bewering. Door bewijs direct te koppelen aan het datapunt ontstaat controleerbaarheid. Bewijs kan een factuur zijn, een meetrapport, een export uit een applicatie of een bevestigde schatting. Het gaat erom dat het bij het cijfer hoort en meebeweegt wanneer iemand het wil controleren.

    5. Leg eigenaarschap vast in rollen

    Veel organisaties leunen op één of twee medewerkers die “alles weten”. Dat werkt zolang zij beschikbaar zijn. Maar zodra iemand functioneel verandert of met vakantie is, komt het proces stil te liggen. Door eigenaarschap te koppelen aan rollen in plaats van personen, blijft het proces stabiel. Het wordt minder afhankelijk van individuele kennis en beter overdraagbaar.

    Waarom tooling het proces eenvoudiger maakt

    Veel duurzaamheidsinformatie wordt nog steeds beheerd in Excel. Dat is begrijpelijk, maar het maakt herleidbaarheid en versiebeheer lastig. In Excel is het moeilijk om te zien wie wanneer iets heeft aangepast en welke versie de juiste is. Het maakt opvolging kwetsbaar en kan tot discussies leiden wanneer audits dichterbij komen.

    Een lichtgewicht GRC-tool zoals CompliTrack biedt structuur zonder het proces zwaarder te maken. Het helpt om data, bewijs en verantwoordelijkheden centraal vast te leggen. Dat is vooral prettig voor compacte organisaties die geen complete projectstructuur kunnen optuigen. Het gaat niet om automatisering om de automatisering. Het gaat om overzicht. Eén plek waar je ziet wat ontbreekt, wat afgerond is en wat aandacht vraagt. Dat geeft rust, zeker in de aanloop naar assurance.

    Klaar voor de volgende stap

    De invoering van de CSRD betekent niet dat je ineens tot in detail alles moet meten of registreren. Het betekent dat je transparant moet kunnen uitleggen hoe je cijfers tot stand zijn gekomen en dat je dit ieder jaar op dezelfde manier kunt herhalen. Met een overzichtelijk systeem van datastromen, een paar vaste controlemomenten en helder eigenaarschap ontstaat een stevige basis. Niet omdat alles perfect is, maar omdat je inzicht hebt in wat je rapporteert.

    Voor veel organisaties levert dit vooral duidelijkheid en vertrouwen op. Je weet wat je rapporteert, je weet waar de informatie vandaan komt en je weet hoe je het kunt uitleggen wanneer iemand ernaar vraagt. Dat is de kern van aantoonbaarheid. En precies dat is waar de CSRD uiteindelijk om vraagt.

  • Duurzaam? Tot iemand om bewijs vroeg

    Duurzaam? Tot iemand om bewijs vroeg

    Hoe één vraag onze koers veranderde, van intentie naar aantoonbare resultaten

    “Kunnen jullie aantonen hoe duurzaam jullie eigenlijk zijn?”

    Het bleef even stil in de vergaderkamer. De vraag kwam van een vaste klant tijdens wat een routinematige leveranciersaudit had moeten zijn. Op papier stond het bedrijf bekend als duurzaam: groene energie, hergebruik van materialen en lokale leveranciers. Maar nu iemand om bewijs vroeg, viel er een ongemakkelijke stilte. Niemand wist waar de cijfers vandaan kwamen, laat staan of ze controleerbaar waren.

    Dat moment waarin een goedbedoelde duurzaamheidsclaim plots onder druk komt te staan, is herkenbaar voor veel organisaties. Niet omdat ze hun verantwoordelijkheid ontlopen, maar omdat ‘duurzaam werken’ vaak blijft hangen in intenties en losse initiatieven. Tot iemand vraagt om bewijs.

    Van goedbedoeld naar onderbouwd

    Steeds vaker vragen klanten, auditors en toezichthouders niet wat je denkt dat je doet voor het milieu, maar wat je kunt aantonen. Met de Corporate Sustainability Reporting Directive (CSRD) verschuift de lat definitief. Steeds meer organisaties, direct of via keteneisen, moeten werken met aantoonbare duurzaamheidsdata.

    Voor sommige geldt dit al over boekjaar 2024/2025, voor genoteerde kleinere ondernemingen vanaf boekjaar 2026. Dat vraagt om cijfers in plaats van slogans.

    Veel bedrijven hebben duurzame ambities, maar geen meetproces. Daar gaat het mis. Zonder meting blijft duurzaamheid perceptie, geen prestatie. En dat wordt een risico zodra klanten bewijs verwachten.

    Een audit die alles veranderde

    De audit werd een wake-upcall. Eén ogenschijnlijk eenvoudige vraag, “Hoeveel CO2 besparen jullie jaarlijks, onderbouwd per locatie?”, leidde tot een zoektocht door drie verschillende bestanden. De marketingafdeling had percentages in een brochure, maar geen bron. Inkoop kon certificeringen niet verifiëren. En de technische dienst had energiegegevens, maar verspreid over verschillende systemen.

    De auditor was helder: sterke ambitie, maar geen aantoonbaar beleid. Nog belangrijker, de klant koppelde vervolgopdrachten voortaan aan meetbare voortgang. Wat begon als een controle eindigde in een harde les en een kans om het beter te doen.

    Waarom bewijs zwaarder weegt dan belofte

    De tijd dat duurzaamheid vooral een marketingthema was, ligt achter ons. Klanten en toezichthouders verwachten dat organisaties hun claims kunnen onderbouwen. Niet uit wantrouwen, maar omdat ze afhankelijk zijn van betrouwbare data in hun eigen rapportages.

    Duurzaamheid raakt inmiddels direct aan governance, risk en compliance. Dat betekent dat het niet alleen om intenties draait, maar om meetbare resultaten, onderbouwde beslissingen en structurele verbetering. Ook leveranciers worden hier steeds vaker op beoordeeld.

    Wie zijn cijfers niet kan laten zien, verliest niet alleen geloofwaardigheid, maar ook kansen.

    Van losse acties naar een systeem

    Na die pijnlijke audit besloot het bedrijf het anders aan te pakken. Geen losse initiatieven meer, maar een gestructureerde aanpak op basis van ISO 14001, de internationale norm voor milieumanagement. Niet met het doel om te certificeren, maar om duurzaamheid te vertalen naar concreet gedrag en meetbare resultaten.

    Het verschil werd snel zichtbaar. In plaats van te zeggen “we verminderen ons energieverbruik”, werd het doel: “we reduceren ons gasverbruik met 15% binnen twaalf maanden.”

    In plaats van “we scheiden afval beter”, werd het “90% van ons bedrijfsafval wordt gescheiden ingezameld en geregistreerd.”

    Door doelen vast te leggen, verantwoordelijkheden te koppelen en resultaten te monitoren, ontstond iets dat daarvoor ontbrak: aantoonbaarheid.

    Bij de volgende audit lag er geen PowerPoint, maar een dashboard. En het gesprek ging niet langer over beloftes, maar over bewijs.

    Drie pijlers die het verschil maken

    De belangrijkste les: duurzaamheid wordt pas geloofwaardig als het is ingebed in de bedrijfsvoering. Dat vraagt om structuur, niet om grote woorden.

    1. Inzicht – weet waar je impact ligt: energie, afval, transport, inkoop en grondstoffen.
    2. Meten – verzamel data op vaste momenten en uit betrouwbare bronnen.
    3. Verbeteren – stel doelen, wijs verantwoordelijkheden toe en volg acties op.

    Met deze drie pijlers heb je niet alleen de bouwstenen voor audits en CSRD-rapportages in handen, maar ook een organisatie die wet wat werkt.

    De valkuil van greenwashing

    Greenwashing lijkt iets dat alleen grote bedrijven overkomt, maar ook kleinere organisaties kunnen erin verstrikt raken. Eén zin als “wij werken klimaatneutraal” kan al misleidend zijn als er geen bewijs achter zit.

    De Europese Unie werkt aan strengere regels tegen misleidende duurzaamheidsclaims. De richting is helder: claims moeten onderbouwd en controleerbaar zijn, ook als ze in een brochure of op een website staan.

    Wie transparant wil zijn, moet zijn cijfers kunnen laten zien, en dat begint bij structuur.

    Technologie als hulpmiddel, niet als obstakel

    Rapporteren hoeft niet complex te zijn. Het begint met overzicht, niet met zware software. Een toegankelijke GRC-aanpak (Governance, Risk & Compliance) helpt om milieuaspecten, doelen en acties vast te leggen zonder bureaucratie.

    Met zo’n systeem kun je:

    • Milieuaspecten identificeren;
    • Acties toewijzen aan verantwoordelijken;
    • En bewijs centraal opslaan.

    Het resultaat is overzicht, consistentie en minder stress bij audits. Het versterkt bovendien het vertrouwen bij klanten, omdat je data altijd beschikbaar en controleerbaar is.

    Van crisis naar vertrouwen

    Toen de klant een jaar later opnieuw langskwam voor een audit, was de sfeer compleet anders. De cijfers lagen klaar, de doelstellingen waren meetbaar en de voortgang aantoonbaar. In plaats van te verdedigen, ging het gesprek over verbetering.

    De klant zag niet alleen de resultaten, maar ook de transparantie. En dat wekte vertrouwen. Niet omdat alles perfect was, maar omdat alles onderbouwd was.

    Duurzaamheid zonder bewijs is een belofte. Duurzaamheid mét bewijs is een prestatie.

    Conclusie: bewijs is de nieuwe belofte

    Duurzaamheid draait niet langer om de juiste woorden, maar om controleerbare daden. De toekomst is aan organisaties die hun inspanningen kunnen aantonen, volgen en verbeteren.

    Een geloofwaardige duurzaamheidsclaim begint bij structuur: inzicht in je milieu-impact, vastgelegde processen en betrouwbare data. Daarmee voldoe je niet alleen aan regelgeving zoals de CSRD of ISO 14001, maar bouw je vooral aan iets belangrijkers: vertrouwen.

    Begin vandaag met meten wat je al doet. Dat is vaak de eerste stap naar bewijs.

    Lees ook:

  • Klokkenluidersregeling: de regels gelden al, in 2026 wordt vooral de lat zichtbaarder

    Klokkenluidersregeling: de regels gelden al, in 2026 wordt vooral de lat zichtbaarder

    Veel organisaties hebben inmiddels een klokkenluidersregeling op papier. Alleen: zodra er iets speelt, weet niemand precies wat er moet gebeuren. Wie pakt de melding op? Binnen welke termijn moet je reageren? En waar leg je het vast?

    Op papier lijkt alles geregeld, maar in de praktijk blijkt de regeling nauwelijks te leven.

    Sinds 17 december 2023 moeten alle werkgevers met vijftig of meer medewerkers voldoen aan de Wet bescherming klokkenluiders. Voor organisaties met meer dan 250 medewerkers gold dat zelfs al eerder, en in sommige sectoren – zoals de financiële dienstverlening of luchtvaart – gold de verplichting ook onder de vijftig.

    De wet is er dus al. Wat richting 2026 verandert, is de aandacht die eraan wordt besteed. Het Huis voor Klokkenluiders krijgt dan naar verwachting toezicht- en sanctiebevoegdheden. Klanten, auditors en opdrachtgevers zullen vaker vragen naar bewijs dat de regeling niet alleen bestaat, maar ook werkt. Wie nu alvast een werkbare structuur inricht, hoeft straks niets te repareren onder druk.

    Waarom wachten geen optie is

    De gefaseerde invoering van de wet zorgde voor verwarring. Veel bestuurders lazen dat als: dit geldt pas later voor ons. In werkelijkheid ligt de nadruk niet op de datum, maar op proportionaliteit. Ook kleinere en platte organisaties moeten een manier hebben waarop medewerkers veilig kunnen melden, al hoeft dat geen ingewikkeld systeem te zijn.

    Daarnaast is de praktijk veranderd. Grote klanten vragen in leverancierslijsten en audits regelmatig: “Heeft uw organisatie een interne meldregeling?” Wie daar geen goed antwoord op heeft, verliest niet zelden geloofwaardigheid.

    Een meldregeling is dus niet alleen een wettelijke verplichting, maar ook een voorwaarde om vertrouwen te behouden. Intern én extern.

    Wat je minimaal op orde moet hebben

    Een goede meldregeling hoeft niet complex te zijn. De kern is helderheid: waar kun je terecht, wat gebeurt er daarna, en hoe kun je aantonen dat meldingen serieus worden opgepakt.

    1. Eén herkenbaar meldpunt

    Gebruik één ingang – een e-mailadres, formulier of interne pagina – zodat medewerkers direct weten waar ze terecht kunnen. Meerdere routes zorgen vaak voor verwarring en vertraging.

    2. Duidelijke rollen en termijnen

    Benoem wie meldingen ontvangt en opvolgt. De wet schrijft voor dat je binnen 7 dagen een ontvangstbevestiging geeft en binnen 3 maanden terugkoppelt over de voortgang. Wie dit vastlegt, voldoet niet alleen aan de wet, maar voorkomt ook ruis bij medewerkers en auditors.

    3. Registratie en opvolging

    Leg vast wat er gemeld is, welke actie is ondernomen en wat de status is. Dat kan in een lichtgewicht GRC-tool, maar ook in een compact intern systeem. Belangrijk is dat de informatie veilig wordt bewaard en eenvoudig inzichtelijk is bij controles.

    Met deze drie stappen voldoe je organisatie aan de wettelijke basis én heb je het fundament voor aantoonbare werking gelegd.

    Formeel én laagdrempelig

    Veel organisaties houden meldingen bewust informeel: “kom maar even langs.” Dat lijkt vriendelijk, maar is niet aantoonbaar. Een formele structuur sluit dat niet uit, ze versterkt juist de betrouwbaarheid.

    Door het proces simpel en transparant te houden, maak je melden normaal in plaats van spannend. Beschrijf kort wat iemand mag verwachten na een melding, houd de taal begrijpelijk en communiceer dat meldingen altijd vertrouwelijk worden behandeld. Dat is de beste bescherming tegen misstanden én wantrouwen.

    Wat auditors en opdrachtgevers straks willen zien

    Steeds meer audits en aanbestedingen vragen bewijs dat je meldregeling werkt. Drie documenten maken daarbij het verschil:

    • De regeling zelf: beschrijf de mogelijkheid om intern te melden.
    • Het proces: laat zien wie verantwoordelijk is en welke termijnen gelden.
    • De registraties: tonen dat meldingen worden ontvangen, opgevolgd en afgerond.

    Heb je alleen het eerste document, dan heb je papier. Heb je alle drie, dan ben je aantoonbaar in control.

    Integreer meldingen in je bestaande ritme

    Een melding staat nooit op zichzelf. Vaak raakt ze ook incidentbeheer, personeelszaken of informatiebeveiliging. Het is dus logisch om meldingen te behandelen binnen hetzelfde ritme als audits, verbeteracties en risicobeheer.

    Dat voorkomt versnippering en maakt opvolging vanzelfsprekend. In ons eerdere artikel Incidenten registreren én verbeteren: hoe je leert van je fouten beschreef ik hoe dat principe werkt: wie één overzicht heeft van meldingen, taken en verbeteracties, voorkomt dat iets blijft liggen.

    Hetzelfde geldt voor deze regeling. Meldingen worden zo onderdeel van een continu proces, in plaats van losse uitzonderingen. Meer weten over het verbinden van die processen? Lees ook Van chaos naar controle: zo verbind je risico’s, incidenten en audits in één werkproces.

    Veelgemaakte denkfouten

    Een aantal overtuigingen hoor je in vrijwel elke organisatie terug. Ze lijken onschuldig, maar zorgen er vaak voor dat de regeling blijft hangen in intenties in plaats van werking.

    • “We hebben geen meldingen, dus het gaat goed.”
      Geen meldingen klinkt positief, maar kan ook betekenen dat mensen het niet aandurven. Een werkende regeling maakt melden veilig, niet noodzakelijkerwijs populair.
    • “We houden het bewust informeel.”
      Een persoonlijke cultuur is waardevol, maar informeel betekent vaak: niets is vastgelegd. Formeel én laagdrempelig kan prima samen.
    • “We wachten tot 2026, dan zien we wel wat er echt gevraagd wordt.”
      Tegen die tijd wordt toezicht strenger, en dan is het te laat om nog geloofwaardig te beginnen. Wie nu klein start, is straks klaar voor controle.

    Waarom dit loont

    Een goed ingerichte meldregeling biedt meer dan compliance. Ze versterkt de interne communicatie, voorkomt dat frustraties escaleren en laat zien dat je als organisatie transparant durft te zijn.

    Bovendien sluit de regeling goed aan op andere thema’s waar steeds meer aandacht voor is, van risicobeheer tot informatiebeveiliging en kwaliteitsborging. Wie meldingen koppelt aan verbetermaatregelen, ziet trends en kan gericht verbeteren. Dat is precies de gedachte achter de wet: niet extra papierwerk, maar vroegtijdige signalering en leren van fouten.

    Zoals we eerder schreven in Klokkenluidersregeling: zo richt je ‘m vandaag nog goed in, draait naleving niet om formulieren, maar om vertrouwen. Deze nieuwe fase vraagt vooral om bewijs van dat vertrouwen.

    Conclusie: een regeling die leeft

    Een klokkenluidersregeling is al lang geen optionele bijlage meer. De regels gelden nu; wat er in 2026 bijkomt, is vooral toezicht en bewijsdruk.

    Wie het slim aanpakt, houdt het klein: één kanaal, duidelijke rollen, en een vaste manier van vastleggen. Daarmee kun je altijd laten zien dat je meldingen serieus neemt, zonder een zware bureaucratie te creëren.

    Een regeling op papier is een verplichting. Een regeling die leeft, is een bewijs van vertrouwen.

    Kernboodschap samengevat

    • De Wet bescherming klokkenluiders geldt al sinds 2023; in 2026 volgt meer toezicht.
    • Zorg nu voor één meldkanaal, duidelijke rollen en registratie van meldingen.
    • Integreer je meldingen in je bestaande verbeterproces.
    • Een regeling die werkt, versterkt het vertrouwen. Intern én extern.
  • De melding die iedereen zag aankomen, maar niemand deed

    De melding die iedereen zag aankomen, maar niemand deed

    Er ging al weken iets mis. Kleine dingen eerst: onverklaarbare afwijkingen in rapportages, besluiten die niet meer werden gedeeld, een spanning in vergaderingen die niemand benoemde. Tot het op een ochtend misging. Een klant ontdekte dat vertrouwelijke informatie was gedeeld buiten het team. Niet bewust, maar slordig. En met grote gevolgen.

    Iedereen wist eigenlijk al langer dat het fout zat. Toch deed niemand een melding. Niet uit onverschilligheid, maar uit angst. Angst om de sfeer te verpesten. Angst om “moeilijk” te zijn. Angst dat het management zou denken dat je klaagt in plaats van bijdraagt.

    Die angst is herkenbaar in veel organisaties. We hebben beleid, procedures en systemen voor bijna alles, behalve voor het moment waarop iemand iets durft te zeggen. In een organisatie waar iedereen elkaar kent, wordt melden nóg spannender.

    De paradox van openheid: beleid op papier, stilte in de praktijk

    Steeds meer organisaties hebben een klokkenluidersregeling of interne meldprocedure. Sinds de Wet bescherming klokkenluiders geldt in Nederland dat organisaties met vijftig of meer medewerkers een interne meldregeling moeten hebben. In een aantal sectoren – zoals de financiële dienstverlening of zorg – geldt die plicht zelfs voor kleinere organisaties.

    Toch blijkt uit onderzoek van het Huis voor Klokkenluiders dat slechts een klein deel van de medewerkers weet hoe ze daadwerkelijk en melding kunnen doen, laat staan dat ze zich veilig genoeg voelen om dat te doen.

    De regels bestaan dus, maar de meldcultuur ontbreekt. En dat is precies waar het verschil ligt tussen compliance op papier en vertrouwen in de praktijk.

    Wie alleen procedures opstelt om “aan de wet te voldoen”, mist het doel. Een effectieve meldcultuur draait niet om formulieren, maar om gedrag. Om leiders die luisteren. En om medewerkers die geloven dat hun stem ertoe doet.

    Waarom zwijgen de standaard wordt

    In bijna elke organisatie ontstaat vroeg of laat een moment waarop iemand iets ziet, maar niets zegt. Dat kan gaan om een onveilige werksituatie, een ethisch dilemma, of een risico dat niemand wil benoemen. De redenen om te zwijgen zijn vaak menselijk:

    • Sociale druk: “We doen het hier zo.”
    • Hiërarchie: melden voelt als tegenspreken.
    • Slechte ervaring: eerdere meldingen leverden gedoe op.

    Het gevolg is dat signalen te laat worden opgepikt. Incidenten worden pas zichtbaar als er schade is: financiële verliezen, reputatieschade of een verlies van vertrouwen bij klanten.

    Het ironische is dat veel leidinggevenden juist denken dat er wél een open cultuur heerst. Ze geloven dat medewerkers altijd kunnen zeggen wat ze vinden. Maar openheid is niet wat je denkt dat er is, het is wat medewerkers ervaren.

    Meldcultuur begint bij voorspelbaarheid

    Een gezonde meldcultuur vraagt niet om heroïek, maar om voorspelbaarheid. Medewerkers moeten weten wat er gebeurt zodra ze een melding doen.

    Zolang medewerkers weten dat hun melding serieus wordt genomen, dat hun identiteit beschermd blijft en dat ze terugkoppeling krijgen over wat ermee gedaan wordt, wordt melden een stuk minder spannend.

    Als dat helder is, verdwijnt de angst. En dat is precies wat de wetgever met de vernieuwde klokkenluidersregeling probeert te bereiken: vertrouwen creëren door transparantie in het proces.

    Wie de juridische kant wil uitdiepen, leest in onze blog Klokkenluidersregeling voor bedrijven: alles wat je nú moet regelen vóór 2026. Daar gaat het over de wettelijke eisen, hier over het gedrag eromheen.

    De rol van leiderschap: luisteren als compliance-maatregel

    Veel organisaties besteden tijd aan controles en audits, maar weinig aan gesprek. Terwijl juist die gesprekken de vroegste signalen opleveren.

    Een manager die actief vraagt “wat zie jij gebeuren dat beter kan?” voorkomt meer incidenten dan welk protocol ook. Zeker in organisaties waar HR geen volle functie is, moet het meldproces zó duidelijk zijn dat het zonder uitleg werkt.

    Echte compliance begint niet bij regels, maar bij gedrag. En gedrag begint bij leiderschap dat zichtbaar laat zien dat melden niet gelijk staat aan verraad, maar aan verantwoordelijkheid.

    Daarom is het goed om meldingen te behandelen zoals je een audit zou doen: feitelijk, gestructureerd en zonder oordeel. In onze blog Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem lees je hoe auditcultuur ook kan bijdragen aan intern vertrouwen, want dezelfde principes gelden hier.

    Technologie kan helpen, maar lost het probleem niet op

    Tools voor anoniem melden zijn handig. Maar zonder opvolgproces blijft een melding een regel in een systeem. Software zoals CompliTrack helpt juist bij dát deel: opvolging, taakverdeling en aantoonbaarheid. Zo wordt compliance geen papieren werkelijkheid, maar een beheersbaar proces dat inzicht geeft in wat er speelt. En wat er beter kan.

    Wie meer wil weten over hoe incidenten worden vertaald naar verbeteringen, leest Van incident naar verbetering: Hoe organisaties incidentbeheer optimaliseren met GRC-software.

    Zo maak je melden normaal in je organisatie

    De kern van een goede meldcultuur is vertrouwen. Vertrouwen dat fouten besproken mogen worden. Dat kritiek niet persoonlijk is. En dat een melding geen teken is van wantrouwen, maar van zorgvuldigheid.

    Dat vertrouwen groeit niet vanzelf; het vraagt om bewuste keuzes:

    1. Maak meldingen normaal. Bespreek ze als onderdeel van verbetering, niet als uitzondering.
    2. Bescherm melders zichtbaar. Benoem in het team dat meldingen worden gewaardeerd, niet afgestraft.
    3. Gebruik meldingen als leerinstrument. Analyseer patronen en koppel ze terug naar beleid, audits of risicoanalyses.

    Wie meldingen behandelt als data in plaats van drama, voorkomt escalatie en verbetert continu.

    Waarom dit juist nú urgent is

    In 2026 staat een evaluatie van de Wet bescherming klokkenluiders op de agenda. In de stukken aan de Kamer staat dat de uitkomsten worden benut om het meldklimaat verder te versterken. Wie nu al kan laten zien dat meldingen worden opgepakt en opgevolgd, loopt straks voor.

    Daarmee verschuift compliance van “aanwezigheid van beleid” naar “bewijs van werking”. En dat is een goede ontwikkeling, want het dwingt organisaties om meldcultuur niet langer te laten zien als iets optioneels.

    De organisaties die dit nu al goed oppakken, zijn straks niet alleen compliant, maar ook sterker. Juist omdat vertrouwen intern de basis vormt van veerkracht extern.

    Conclusie: de echte compliance-test begint bij je eigen mensen

    De meeste incidenten in organisaties ontstaan niet door kwaadwilligheid, maar door stilte. Door het moment dat iemand iets ziet en besluit niets te zeggen.

    Een goed meldproces voorkomt dat stilte de norm wordt. Het creëert veiligheid, transparantie en – misschien wel het belangrijkste – geloofwaardigheid.

    Voor organisaties zonder zware compliance-afdeling is dit misschien wel de belangrijkste stap: laten zien dat je naar je eigen mensen luistert, vóórdat een externe partij het vraagt.

    Want een organisatie die luistert, wordt geloofd door haar klanten.

    Interne links

    1. Klokkenluidersregeling voor bedrijven: alles wat je nú moet regelen vóór 2026
    2. Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem
    3. Van incident naar verbetering: Hoe organisaties incidentbeheer optimaliseren met GRC-software
  • AI in compliance: hoe je menselijke controle houdt over geautomatiseerde beslissingen

    AI in compliance: hoe je menselijke controle houdt over geautomatiseerde beslissingen

    Steeds meer bedrijven die al met ISO 9001, ISO 27001 of NIS2 bezig zijn, ontdekken de voordelen van kunstmatige intelligentie (AI) binnen hun bedrijfsvoering. Processen worden sneller, analyses slimmer en fouten beter voorspelbaar. Ook binnen compliance-management is AI in opkomst. Tools beloven realtime risicodetectie, automatische rapportages en zelfs voorspellingen van mogelijke non-conformiteiten. Maar hoe houd je grip wanneer een algoritme beslissingen neemt die niemand meer kan uitleggen?

    Dat is de kernvraag waar veel organisaties voor staan: hoe combineer je automatisering met verantwoordelijkheid?

    De belofte van AI in compliance

    Wie ooit een interne audit in Excel heeft gepland of een risicoregister handmatig heeft bijgewerkt, begrijpt meteen de aantrekkingskracht van AI. Een goed algoritme kan razendsnel data doorzoeken, afwijkingen signaleren en trends ontdekken die mensen over het hoofd zien. Denk aan patronen in incidentmeldingen of het automatisch koppelen van leveranciersrisico’s aan recente auditresultaten.

    Deze automatisering heeft onmiskenbare voordelen. Processen worden efficiënter, fouten verminderen en compliance-rapportages worden actueler. AI kan, als je de juiste data aanbiedt, helpen bij het eerder zien van risico’s. Dat gebeurt door historische gegevens te combineren met interne informatie en externe factoren die je zelf toevoegt, zoals wijzigingen in wet- en regelgeving of brancheontwikkelingen.

    Toch schuilt daarin ook een gevaar: zodra je besluitvorming volledig toevertrouwt aan een algoritme, verlies je zicht op de onderliggende aannames. En juist dat zicht is onmisbaar bij compliance, waar transparantie en aantoonbaarheid de basis vormen van vertrouwen.

    Van hulpmiddel naar risico

    AI is niet neutraal. Het doet precies wat het geleerd is te doen, en niets meer. Als de data onvolledig of bevooroordeeld is, herhaalt het systeem die fouten, vaak op veel grotere schaal.

    Een simpel voorbeeld: stel, je gebruikt AI om leveranciers te beoordelen op betrouwbaarheid. De tool kijkt naar eerder vastgestelde non-conformiteiten, reactietijden op audits en beschikbare gegevens over hun financiële positie. Handig, zou je denken. Tot blijkt dat kleinere leveranciers structureel lager scoren omdat ze minder vaak worden beoordeeld of minder data aanleveren. Het algoritme interpreteert dat gebrek aan data als een risico, terwijl er feitelijk niets mis is.

    Wat begon als een manier om subjectiviteit te vermijden, creëert zo een nieuw soort scheefgroei. Zonder menselijk toezicht worden aannames waarheid, en beslissingen oncontroleerbaar. En precies daarom heb je een kader nodig.

    Verantwoord automatiseren: de kern van AI-governance

    Als je morgen aan iemand moet laten zien hoe je AI hebt ingericht, wil je drie dingen kunnen tonen. Dat kader bestaat uit inzicht, verantwoordelijkheid en controle.

    Inzicht betekent weten wat je systeem doet en waarom. Welke data gebruikt het, hoe worden beslissingen berekend, en zijn die uitkomsten te herleiden? Transparantie is cruciaal, zeker bij audits.

    Verantwoordelijkheid gaat over eigenaarschap. Wie beoordeelt of het systeem nog werkt zoals bedoeld? Wie mag ingrijpen bij afwijkingen? Zonder duidelijke rollen verdwijnt verantwoordelijkheid in de technologie zelf.

    Controle draait om toetsing. AI-processen moeten periodiek worden geëvalueerd, net als elke andere compliance-maatregel. De periodieke check kan gewoon gedaan worden door degene die nu ook je risico’s of interne audits beheert, je hoeft daar geen extra rol voor te creëren. Niet omdat auditors dat vragen, maar omdat omstandigheden veranderen: nieuwe regelgeving, gewijzigde datasets of andere bedrijfsdoelen.

    Door deze drie pijlers te combineren, ontstaat een structuur waarin technologie veilig kan groeien zonder de menselijke factor te verdringen.

    De menselijke factor als kwaliteitsmaat

    Compliance is in de kern geen kwestie van regels, maar van gedrag. Technologie kan helpen, maar nooit vervangen wat mensen doen: keuzes maken, waarden afwegen en context begrijpen.

    AI herkent patronen, maar niet intenties. Het systeem weet dat een afwijking bestaat, niet waarom die relevant is. Een menselijke professional kan nuances lezen, prioriteiten stellen en inschatten of een afwijking daadwerkelijk risico oplevert of slechts administratief lijkt.

    Wie menselijke controle verliest, verliest ook de mogelijkheid om te leren. Zonder reflectie wordt compliance een black box waarin fouten zich onzichtbaar herhalen. Daarom is het belangrijk dat elke automatisering ingebed blijft in een proces waarin mensen beslissingen kunnen controleren, corrigeren en verbeteren.

    Praktisch aan de slag met AI-controle

    Organisaties zonder aparte compliance-afdeling hebben vaak al meer automatisering in huis dan ze denken. Denk aan leveranciersbeoordelingen, toegangsbeheer of risicomeldingen in softwaresystemen. Het implementeren van AI betekent dus niet opnieuw beginnen, maar beter organiseren wat er al is.

    Je hoeft dus niet opnieuw te beginnen. Breng eerst in kaart waar automatisering al beslissingen beïnvloedt, en pak dan deze drie vragen:

    1. Waar gebruik je al automatische besluitvorming?
    2. Welke beslissingen gaan nu zonder mens langs de lijn?
    3. Wie kan bij de instellingen en de data?

    Zodra deze basis helder is, kun je processen inrichten rond toetsmomenten, documentatie en escalatie. Daarmee maak je AI verantwoord, zonder innovatie te blokkeren.

    Een praktisch hulpmiddel daarbij is het opnemen van AI-onderdelen in bestaande governance-structuren. Gebruik bijvoorbeeld dezelfde cycli als bij audits of risicobeoordelingen: plan-do-check-act. Zo blijft controle onderdeel van het ritme, niet van een afzonderlijk project.

    De rol van ondersteunende tooling

    Daarom laten we AI niet ‘los’ in de organisatie, maar hangen me ‘m op in dezelfde structuur waarmee we ook audits, risico’s en incidenten beheren. Een goed ingericht GRC-systeem helpt om die menselijke controle te borgen. Niet door zelf beslissingen te nemen, maar door overzicht te creëren: welke risico’s zijn geïdentificeerd, wie is verantwoordelijk voor beoordeling, welke acties zijn genomen en wanneer volgt herziening?

    Zeker als je nu nog keuzes en meldingen in Excel of e-mail bijhoudt, is het belangrijk dat AI-uitkomsten ook in diezelfde structuur landen. In een platform als CompliTrack kun je al deze informatie centraal beheren. Dat maakt het eenvoudiger om consistent te werken, aantoonbaar te zijn tijdens audits en lessen uit incidenten te delen met het hele team.

    Het voordeel van zo’n aanpak is niet alleen praktische efficiëntie, maar ook cultuur: door compliance zichtbaar en beheersbaar te maken, groeit het besef dat technologie pas waardevol is als mensen haar begrijpen en gebruiken. Zo voorkom je niet alleen vragen van klanten en auditors, maar vooral dat jij elke afwijking handmatig moet reconstrueren. Technologie is pas waardevol als mensen haar begrijpen én vertrouwen.

    Transparantie als concurrentievoordeel

    Steeds meer bedrijven die al met ISO-standaarden of NIS2 werken, krijgen vragen over hun gebruik van AI. Niet omdat klanten of auditors tegen innovatie zijn, maar omdat ze willen weten of ze kunnen vertrouwen op de uitkomsten.

    Vraagt een klant of een auditor waarom een melding is afgekeurd, dan moet je dat binnen één minuut kunnen laten zien. Organisaties die daar open en duidelijk over communiceren, winnen aan geloofwaardigheid. Transparantie over hoe beslissingen tot stand komen, hoe data worden gebruikt en welke controlemechanismen bestaan, wordt een concurrentievoordeel.

    Waar vroeger het certificaat voldoende bewijs was van betrouwbaarheid, wordt nu de uitlegbaarheid van processen minstens zo belangrijk. Wie dat goed organiseert, bouwt aan duurzaam vertrouwen. Iets wat geen algoritme kan vervangen.

    Van hype naar houvast

    AI in compliance is geen modewoord, maar een verschuiving in hoe we informatie gebruiken. De technologie biedt kansen om beter te sturen, sneller te leren en risico’s eerder te zien. Maar het blijft mensenwerk om betekenis te geven aan wat een systeem rapporteert.

    De uitdaging is dus niet om technologie te temmen, maar om haar te begrijpen en te begrenzen. Door menselijke controle, heldere verantwoordelijkheid en transparante processen te combineren, wordt AI een krachtig hulpmiddel in plaats van een risico.

    Wie dat op orde heeft, hoeft niet bang te zijn voor de toekomst van automatisering, want dan blijft technologie wat het altijd zou moeten zijn: een middel om beter te werken, niet om de mens te vervangen.

  • Toen onze AI-tool beslissingen nam die niemand begreep

    Toen onze AI-tool beslissingen nam die niemand begreep

    Automatiseren is geen uitbesteden van oordeel

    Het begon als een opluchting. “Eindelijk iemand – of iets – dat onze controles niet vergeet,” zei een manager van een organisatie die we onlangs spraken.

    Hun nieuwe AI-module leek alles te kunnen: risico’s signaleren, patronen herkennen, rapporten genereren. Tot de tool opeens medewerkers aanmerkte als ‘hoog risico’. Niemand wist waarom.

    Dit is geen letterlijk voorval, maar een herkenbaar voorbeeld van wat in veel organisaties gebeurt zodra automatisering te “slim” wordt: de technologie neemt beslissingen die niemand nog kan uitleggen.

    De belofte van gemak

    Veel organisaties zonder grote compliance-afdelingen zien in AI dé manier om grip te krijgen op risico’s. Automatische controles, slimme signaleringen, rapportages die zichzelf vullen. Het klinkt als de perfecte oplossing.

    De eerste weken leek het ook bij dit bedrijf een succes. Rapporten verschenen automatisch, dashboards zagen er indrukwekkend uit en de tool gaf adviezen die klonken als doorgewinterd risicomanagement.

    Tot iemand vroeg waarom bepaalde medewerkers als risicovol waren aangemerkt. Niemand wist het antwoord.

    De AI bleek te leren van eerdere incidentmeldingen, waardoor afdelingen die het vaakst meldden automatisch als risicogebied werden bestempeld. Het systeem herhaalde simpelweg het verleden, verpakt in een professioneel ogend rapport.

    De schijn van controle

    Dit is het paradoxale van automatisering: hoe slimmer de technologie, hoe groter de kans dat we haar klakkeloos vertrouwen. Zodra een rapport er overtuigend uitziet, nemen we aan dat het klopt.

    AI versterkt dat effect. Het presenteert aannames als feiten. Een systeem dat risico’s voorspelt, doet dat niet omdat het de organisatie begrijpt, maar omdat het patronen herkent in data. En die data is zelden neutraal.

    In dit voorbeeld werden medewerkers die actief meldingen deden, aangezien voor risico’s, terwijl ze juist bijdroegen aan transparantie. Een verkeerde les, netjes verpakt als datagedreven inzicht.

    De menselijke factor raakt uit beeld

    Het is verleidelijk te denken dat technologie objectiever is dan mensen. Software kent geen voorkeuren, geen vermoeidheid, geen emoties. Maar de algoritmen achter AI worden gemaakt, gevoed en getraind door mensen. En mensen maken keuzes. Bewust of onbewust.

    Welke data wordt meegenomen? Hoe zwaar weegt een incident? Wat telt zwaarder: snelheid of zorgvuldigheid?

    Als die keuzes niet expliciet worden gemaakt, neemt de software ze impliciet over. En dat is precies waar het fout gaat. Langzaam verschuift de verantwoordelijkheid van mensen naar het systeem. De rapporten komen vanzelf binnen, maar niemand weet nog wát ze eigenlijk vertellen.

    De wake-upcall

    De reality check komt vaak pas tijdens een audit. Een auditor stelt een simpele vraag:

    “Kunt u uitleggen hoe deze risicoscore tot stand is gekomen?”

    Er valt stilte. Het enige antwoord dat men kan geven is: “Dat berekent het systeem.”

    En daar zit precies het probleem. Compliance draait om aantoonbaarheid: kunnen uitleggen wélke afwegingen zijn gemaakt en waarom. Een zelflerend systeem zonder uitlegregels kan dat niet.

    Die confrontatie maakt iets duidelijk: de menselijke toets is geen detail, maar de kern van governance.

    De les: technologie is geen vervanging van gezond verstand

    De oplossing is niet minder technologie, maar meer inzicht. Niet de software bepaalt de kaders, maar de mensen die ermee werken. De tool ondersteunt, maar vervangt geen oordeel.

    In het voorbeeldbedrijf begon dat met het herontwerpen van de datastromen. Elke geautomatiseerde beslissing kreeg een eigenaar. Elke risicoscore een verklaring. En elke rapportage een menselijke review.

    De software doet nog steeds het zware rekenwerk, maar nu begrijpt men wat er onder de motorkap gebeurt.

    En de belangrijkste les? Ethiek is geen abstract onderwerp, het is dagelijkse praktijk. De juiste vragen stellen hoort bij het werk. Niet “Wat kan het systeem?”, maar “Wat mág het systeem?” En: “Wie is verantwoordelijk als het fout gaat?

    AI binnen compliance – feiten versus verwachtingen

    AI in compliance is geen toekomstmuziek. Veel bedrijven gebruiken het al voor patroonherkenning, procesmonitoring of het signaleren van afwijkingen. De technologie is volwassen genoeg om waarde te bieden, mits ze binnen duidelijke grenzen wordt toegepast.

    Er zijn drie harde feiten die je niet mag negeren:

    1. AI is zo goed als de data die het krijgt.
      Wie historische fouten voedt, krijgt foutieve voorspellingen terug.
    2. Een algoritme vervangt geen verantwoordelijkheid.
      Wetgeving zoals de AVG en EU-regels rondom AI (AI Act) leggen nadruk op transparantie en verantwoordelijkheid in geautomatiseerde besluitvorming.
    3. Transparantie is geen luxe, maar een eis.
      Auditors en toezichthouders verwachten dat beslissingen herleidbaar zijn, inclusief de overwegingen erachter.

    Wie dat niet borgt, verliest niet alleen controle, maar ook vertrouwen.

    Hoe je controle behoudt

    De essentie van goed risicobeheer blijft menselijk: begrijpen, afwegen, verbeteren. Technologie helpt alleen als ze die cyclus versterkt in plaats van overneemt.

    We hanteren drie principes bij elke vorm van automatisering:

    1. Houd eigenaarschap zichtbaar
      Elke geautomatiseerde taak heeft een verantwoordelijke. Niet “het systeem” doet iets, maar een medewerker die de uitkomst beoordeelt. Elke wekelijkse risicolijst wordt door één lead herbevestigd of gecorrigeerd, mét reden.
    2. Documenteer de logica
      Een AI-beslissing zonder context is waardeloos. Noteer per risicoscore welke factoren meetellen (bijv. type incident, herhaalgedrag, betrokken proces, tijd-tot-opvolging) en hun weging (bijv. 35/25/25/15). Voeg één regel menselijke motivatie toe bij elke herbevestigde score. Tijdens audits toont dit scoreblad direct inzicht in besluitvorming en herbeoordelingen.
    3. Combineer mens en machine
      Gebruik AI om signalen te vinden, niet om besluiten te nemen. De software signaleert patronen; een reviewduo beslist of het een actie wordt.

    Zo blijft technologie een hulpmiddel, en geen stuurman.

    Terug naar eenvoud

    Compliance draait niet om perfectie, maar om aantoonbare beheersing. Een organisatie die zegt “we weten wat we doen”, moet dat kunnen laten zien. Daarvoor heb je geen complexe algoritmen nodig, maar vooral overzicht en discipline.

    Een goed ingerichte tool helpt om structuur te brengen. Bijvoorbeeld door taken te verdelen, risico’s te koppelen aan maatregelen en rapportages te genereren. Maar de kracht zit in de eenvoud: het systeem doet wat jij begrijpt.

    AI kan een waardevolle aanvulling zijn, zolang de mens het kompas blijft. Zodra die balans verschuift, verdwijnt het belangrijkste wat een organisatie bezit: vertrouwen.

    Conclusie

    De dag dat een AI-tool beslissingen neemt die niemand meer begrijpt, is de dag dat technologie haar doel voorbijschiet. Niet omdat ze faalt, maar omdat wij vergeten zijn te blijven nadenken.

    Compliance, risico’s en governance blijven uiteindelijk mensenwerk. Software kan helpen, versnellen en structureren, maar mag nooit denken in onze plaats.

    De echte vooruitgang zit niet in het automatiseren van oordeel, maar in het versterken van inzicht. Wie de controle wil houden, moet begrijpen hoe beslissingen tot stand komen, óók als ze uit een algoritme komen.

    AI kan processen slimmer maken, maar pas als we bereid zijn er slim mee om te gaan.

    Volgende stap:

    Donderdag delen we hoe je menselijke controle borgt zonder de snelheid van AI te verliezen. Een praktisch raamwerk voor verantwoord automatiseren.

    Verder lezen

  • Interne audit ISO 9001: 7 fouten die bedrijven nog steeds maken (en hoe je ze voorkomt)

    Interne audit ISO 9001: 7 fouten die bedrijven nog steeds maken (en hoe je ze voorkomt)

    De interne audit. Voor veel teams voelt het als een verplicht nummer. Tot de auditor vraagt: “Hoe weten jullie dat deze maatregel écht is uitgevoerd?” Dan wordt het stil.

    Een goede interne audit is geen vinklijstje, maar een manier om slimmer te werken en verrassingen te voorkomen. In dit artikel lees je de zeven valkuilen die we het vaakst zien bij kleinere organisaties, plus hoe je ze voorkomt. Praktisch, zonder jargon en direct toepasbaar.

    1. Audits zonder duidelijke planning

    Veel organisaties beginnen enthousiast aan hun ISO-traject, maar vergeten om audits structureel in te plannen. De audit komt daardoor altijd ongelegen. Een week voor de externe audit wordt er alsnog “iets” opgetuigd, met haastig verzamelde notities en half ingevulde formulieren.

    Zonder een vaste planning blijft de interne audit een momentopname in plaats van een continu verbeterproces.

    Hoe pak je dit aan?

    Plan audits net zo strak als kwartaalrapportages of functioneringsgesprekken. Zet ze in de jaarplanning, wijs verantwoordelijkheden toe en werk vanuit een ritme. In een tool als CompliTrack kun je auditmomenten jaarlijks inplannen, met een duidelijk overzicht wie wat doet.

    Zo blijft het werk verdeeld, voorspelbaar en overzichtelijk, en verandert de audit van een “moetje” in routine

    2. Dezelfde persoon auditeert zijn eigen werk

    In kleine organisaties komt de kwaliteitsverantwoordelijke al snel ook op de stoel van auditor terecht. Handig, maar niet objectief. ISO 9001 stelt dat interne audits “objectief en afhankelijk” moeten worden uitgevoerd. Het mag dus niet door iemand die direct verantwoordelijk is voor het proces dat geaudit wordt.

    Objectiviteit betekent niet per sé dat je een externe consultant nodig hebt. Het gaat erom dat degene die de audit uitvoert voldoende afstand heeft om onbevangen te kijken.

    Zo kun je dit doen:

    Koppel processen aan een collega van een andere afdeling of aan een ‘buddy-auditor’. Zo krijg je frisse inzichten zonder de interne kennis te verliezen.

    3. Te veel focus op documentatie

    Een veelgehoorde zin tijdens audits: “Het staat allemaal netjes in het handboek.”

    Dat is mooi, maar het zegt weinig over wat er in de praktijk gebeurt. Documentatie is een middel, geen bewijs dat een proces goed werkt. Toch blijft de audit in veel bedrijven steken in het controleren van formulieren en procedures, terwijl het echte werk elders plaatsvindt.

    Een audit die zich richt op de praktijk is veel waardevoller. Ga de werkvloer op, praat met medewerkers, kijk mee in het proces. Zo ontdek je snel waar beleid en werkelijkheid uiteenlopen.

    Een productiebedrijf dat wij spraken, had perfect beschreven controles op kwaliteitsmetingen. Maar op de werkvloer deed men het “iets anders, omdat dat sneller ging”. De audit bracht dit aan het licht, waarna een kleine aanpassing in de procedure veel fouten voorkwam.

    Wil je weten hoe je beleid vertaalt naar werkbare processen? Lees ook ISMS implementatie in de praktijk: Zo vertaal je beleid naar werkbare ISO 27001 processen.

    4. Bevindingen verdwijnen in de la

    Na de audit volgt vaak een net rapport, vol bevindingen en aanbevelingen. En dan? Niets. Een half jaar later staan dezelfde verbeterpunten weer op de agenda.

    Zonder opvolging is een audit slechts een foto van het verleden.

    De opvolging is eenvoudig: koppel bevindingen direct aan acties. Wijs verantwoordelijken aan, stel deadlines vast en volg de voortgang actief op. In CompliTrack worden auditbevindingen eenvoudig omgezet in taken met reminders en statusupdates, zodat geen actie onopgemerkt blijft.

    Plan daarnaast altijd een follow-up meeting, vier tot zes weken na de audit. Bespreek wat al is opgelost en wat nog openstaat. Zo blijft de energie erin, en zie je de vooruitgang daadwerkelijk ontstaan.

    5. Corrigerende maatregelen worden niet geëvalueerd

    Veel bedrijven voeren wel verbeteracties door, maar vergeten te controleren of ze werken. De maatregel is uitgevoerd, het vinkje gezet, maar niemand vraagt of het probleem echt is opgelost.

    ISO 9001 draait om de PDCA cyclus (Plan-Do-Check-Act). Die laatste stap, Check en Act, wordt vaak vergeten.

    Evalueer daarom de effectiviteit van elke maatregel. Heeft de verandering het gewenste resultaat? Wordt de nieuwe werkwijze daadwerkelijk gevolgd? Dat kan ik kwartaaloverleggen of in managementreviews.

    CompliTrack helpt hierbij door acties te koppelen aan evaluatiemomenten. Zo blijf je aantoonbaar verbeteren, en kun je bij de volgende audit laten zien dat de PDCA-cyclus rond is.

    Meer lezen? Bekijk Van chaos naar controle: zo verbind je risico’s, incidenten en audits in één werkproces.

    6. Geen verbinding tussen audits, risico’s en klachten

    Een audit staat niet op zichzelf. Ze vormt onderdeel van je bredere kwaliteits- of compliance-aanpak. Toch zien we vaak dat audits, risicoanalyses en klachten los van elkaar worden beheerd. De organisatie mist daardoor het totaalbeeld.

    Een voorbeeld: tijdens een audit komt naar voren dat medewerkers verschillende versies van werkinstructies gebruiken. In het klachtenregister blijkt dat klanten klagen over foutieve leveringen. Twee symptomen van hetzelfde probleem, maar niemand legt de link.

    Door auditbevindingen te koppelen aan risico’s en klachten, ontstaat inzicht in patronen. Zo zie je niet alleen wat er misgaat, maar ook waarom.

    In CompliTrack zijn die verbanden standaard aanwezig: risico’s, incidenten en auditbevindingen komen samen in één overzicht. Dat maakt audits niet zwaarder, maar juist slimmer.

    7. Audits worden als straf ervaren

    Misschien wel de belangrijkste valkuil: audits voelen als controle.

    Wanneer medewerkers het idee hebben dat ze beoordeeld worden, krijg je sociaal wenselijke antwoorden in plaats van eerlijke feedback.

    Een audit hoort geen afrekening te zijn, maar een gezamenlijk leermoment. Begin gesprekken daarom met open vragen als: “Wat zou jij veranderen als je de kans kreeg?” of “Waar loopt dit proces vast in de praktijk?”

    Zo krijg je informatie die echt waardevol is. De beste verbeteringen komen meestal van de mensen die er dagelijks mee werken.

    Lees ook Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem voor meer over hoe je auditgesprekken opbouwt.

    Van fouten naar structuur

    De rode draad in al deze valkuilen is niet een gebrek aan kennis, maar een gebrek aan structuur. Veel bedrijven hebben geen aparte compliance-afdeling. De mensen die audits uitvoeren, runnen tegelijkertijd de operatie.

    Daarom is eenvoud cruciaal. Met een overzichtelijke auditplanning, duidelijke taakverdeling en automatische opvolging wordt auditen een doorlopend proces, niet een jaarlijks stressmoment.

    Met CompliTrack plan je audits eenvoudig in, koppel je bevindingen aan acties en houd je overzicht over alle lopende verbeteringen.

    Conclusie: audit zonder stress

    De interne audit ISO 9001 hoeft geen hoofdpijndossier te zijn. Met een vaste planning, objectieve uitvoering en zichtbare opvolging verander je een controle-moment in een motor voor verbetering.

    Wil je direct aan de slag? Neem dan contact met ons op voor een gratis en vrijblijvende kennismaking en maak van jouw volgende audit een kans om te groeien.

    Verder lezen

    Tip: Plan vandaag nog de eerste audit van het komende jaar. Begin klein, documenteer wat je leert en bouw van daaruit verder. Zo groeit auditen vanzelf uit tot iets dat niet voelt als een verplichting, maar als bewijs dat je bedrijf continu beter wordt.

  • Klachten zijn geen fouten, maar wij behandelden ze wel zo

    Klachten zijn geen fouten, maar wij behandelden ze wel zo

    De auditor keek me aan met een lichte glimlach.

    “Hoe gaan jullie om met klachten?”

    “Met klachten?” vroeg ik. “We houden al onze incidenten netjes bij. Niets ontsnapt aan het overzicht.”

    “Ik bedoel niet wat u registreert,” zei hij rustig. “Ik bedoel wat u ermee doet.”

    Die opmerking bleef hangen. Niet omdat we iets fout deden, maar omdat we dachten dat bijhouden hetzelfde was als begrijpen. Onze lijsten stonden vol cijfers en beschrijvingen, maar zonder context, zonder lering.

    En dáár ging het de auditor om. Niet over definities, maar over betekenis. Want kwaliteitsmanagement draait niet om wat je noteert, maar om wat je ervan leert.

    Waarom klachten belangrijker zijn dan je denkt

    Het woord klacht roept bij veel bedrijven direct spanning op. “We doen toch ons best?” of “Die klant overdrijft gewoon.” Toch zijn klachten geen lastposten, maar waarschuwingslampjes. Ze laten zien waar verwachtingen niet helemaal op elkaar aansluiten.

    Een klacht is geen aanval. Het is een signaal. Een kans om te ontdekken wat klanten écht ervaren en waar processen beter kunnen.

    Juist in kleine teams zonder aparte kwaliteitsafdeling is dat goud waard. Je kunt snel reageren, direct verbeteren en zichtbaar maken dat je klantgericht werkt. Het vraagt alleen één ding: overzicht.

    Waarom klachten vaak onzichtbaar blijven

    In de praktijk verdwijnen de meeste klachten tussen e-mails, telefoontjes en losse gesprekken. “Het is opgelost” betekent vaak “we hebben het afgevinkt”, niet “we hebben ervan geleerd”.

    Een paar herkenbare situaties:

    • Een klant belt omdat een levering te laat is. De medewerker regelt het, maar noteert niets.
    • Een rapportage bleek onvolledig. De fout wordt hersteld, maar niemand onderzoekt waarom.
    • Een medewerker signaleert een terugkerend probleem, maar het blijft bij een opmerking in de kantine.

    Zo herhalen dezelfde fouten zich, zonder dat iemand het doorheeft. Niet uit onwil, maar omdat er geen systeem is dat klachten, afwijkingen en verbeterpunten met elkaar verbindt.

    Klacht, afwijking en verbetermogelijkheid. Drie vormen van leren

    In kwaliteitsmanagement kom je drie begrippen vaak tegen: klacht, afwijking en verbetermogelijkheid. Ze lijken op elkaar, maar vullen elkaar aan.

    1. De klacht

    Komt van buitenaf: een klant, leverancier of partner is ontevreden. Het is feedback uit de praktijk. Wie luistert, ontdekt waar verwachtingen niet overeenkomen met de realiteit.

    2. De afwijking

    Ontstaat intern: iets is niet volgens afspraak gegaan. Misschien is een controle overgeslagen of is een document niet goedgekeurd. Het is een signaal dat processen niet werken zoals bedoeld.

    3. De verbetermogelijkheid

    Komt voort uit de eerste twee: het moment waarop je denkt: “hoe kunnen we dit slimmer doen?”. Dat kan gaan over techniek, communicatie of samenwerking.

    Samen vormen ze de motor van continu verbeteren. Een klacht kan leiden tot een afwijking, en die afwijking tot een verbeteridee. Het zijn drie kanten van hetzelfde leerproces.

    Van registreren naar begrijpen: de kern van ISO 9001

    ISO 9001 zegt eigenlijk iets heel eenvoudigs:

    “Een organisatie moet leren van wat er misgaat.”

    De norm vraagt geen dikke handboeken, maar structuur en aantoonbaarheid. In de praktijk betekent dat vijf logische stappen:

    1. Klachten ontvangen – Weet waar signalen binnenkomen en wie ze registreert.
    2. Begrijpen wat er speelt – Onderzoek de oorzaak, niet alleen het gevolg.
    3. Actie ondernemen – Herstel de fout en communiceer met de klant.
    4. Evalueren – Controleer of de actie het probleem écht heeft opgelost.
    5. Leren en verbeteren – Gebruik de inzichten om processen te versterken.

    Niet het formulier telt, maar het leervermogen. Auditors willen zien dat je begrijpt wat er gebeurt en dat je niet alleen het symptoom herstelt, maar de bronoorzaak wegneemt.

    Meer weten over audits? Lees ook: De initiële ISO-audit: stapsgewijze gids naar ISO-certificering

    Van klacht naar inzicht: hoe CompliTrack helpt

    Veel bedrijven beginnen met de beste bedoelingen: een Excel-lijst voor afwijkingen, een mapje voor klachten, actiepunten in e-mail. Tot het overzicht verdwijnt.

    CompliTrack helpt om klachten, afwijkingen en verbeteringen samen te brengen in één overzichtelijke workflow.

    Stel je voor:

    Een klant belt omdat een levering te laat is. In CompliTrack maak je met één klik een klachtmelding aan, gekoppeld aan het proces orderverwerking en de betrokken leverancier. Je wijst een collega aan om de oorzaak te onderzoeken, voegt de taak toe (“aanpassing leveringsplanning”) en markeert de melding als opgelost zodra de verbetering is doorgevoerd.

    Bij de audit toon je in één overzicht: klacht -> oorzaak -> actie -> resultaat.

    Geen losse bestanden meer, maar direct inzicht in hoe je leert van wat er misging.

    CompliTrack maakt het verschil tussen “we lossen het op” en “we leren ervan.”

    Wil je verder lezen? Bekijk dan: Continu verbeteren: zo helpt CompliTrack jouw bedrijf vooruit

    De kracht van een goed klachtenproces

    Een klacht is geen bewijs dat je iets fout hebt gedaan, maar dat iemand de moeite neemt om feedback te geven. Organisaties die klachten serieus nemen, winnen vertrouwen.

    Klanten zien niet dat je nooit fouten maakt, maar dat je professioneel reageert wanneer het wél gebeurt. Een goed klachtenproces vergroot klantvertrouwen, voorkomt herhaling van fouten en voedt structurele verbetering.

    Conclusie: van klacht naar kracht

    De vraag van de auditor bleek geen semantische discussie, maar een spiegel. Niet om fouten te vinden, maar om te zien of we begrijpen wat klachten ons proberen te vertellen.

    Een klacht, een afwijking en een verbetermogelijkheid zijn drie kanten van dezelfde medaille: groei.

    Met de juiste structuur – en een hulpmiddel als CompliTrack – wordt klachtenafhandeling geen last, maar een kans om sterker te worden.

    Dus als de auditor de volgende keer vraagt: “Hoe gaan jullie om met klachten?”

    Dan is het antwoord heel eenvoudig: “We luisteren, we leren en we verbeteren. Elke dag opnieuw.

    Verder lezen