Categorie: Blog

  • Wanneer je risico’s buiten je organisatie beginnen: leveranciersbeheer als basis voor grip

    Wanneer je risico’s buiten je organisatie beginnen: leveranciersbeheer als basis voor grip

    Veel organisaties hebben hun interne zaken redelijk op orde. Rollen zijn verdeeld, verantwoordelijkheden benoemd en risico’s besproken. Er is nagedacht over wat er binnen de organisatie kan misgaan en hoe daarop wordt gestuurd. Tot het moment dat er iets gebeurt bij een leverancier. Dan wordt zichtbaar hoe relatief die interne grip eigenlijk is.

    Steeds vaker ontstaan de grootste risico’s niet binnen de eigen organisatie, maar daarbuiten. Bij partijen waar dagelijks op wordt vertrouwd, maar waar zelden structureel bij wordt stilgestaan. Leveranciersbeheer is daarmee geen administratief onderwerp meer, maar een essentieel onderdeel van goed bestuur en beheersing.

    De verschuiving van risico’s naar buiten

    De afgelopen jaren is het werk van organisaties fundamenteel veranderd. Taken worden uitbesteed, systemen draaien extern en specialistische kennis ligt steeds vaker bij derden. Dat is geen bewuste strategie om risico’s te verplaatsen, maar een logisch gevolg van schaal, digitalisering en specialisatie.

    IT wordt geleverd als dienst. Applicaties draaien in de cloud. Externe partijen beheren data, ondersteunen klantprocessen of leveren cruciale functionaliteiten waarop de organisatie zelf nauwelijks nog invloed heeft. Tegelijkertijd blijft de verwachting bestaan dat dienstverlening beschikbaar, betrouwbaar en uitlegbaar blijft.

    Die afhankelijkheden ontstaan meestal geleidelijk. Ze worden zelden expliciet ontworpen, maar groeien mee met keuzes die op zichzelf logisch zijn. Een leverancier die ooit ondersteunend was, wordt ongemerkt kritisch. Een tijdelijke oplossing wordt structureel. En een externe partij wordt de enige die een bepaald proces echt begrijpt.

    Zolang alles werkt, voelt dat comfortabel. Er is weinig aanleiding om vragen te stellen. Pas wanneer een klant zekerheid vraagt, een incident zich voordoet of een audit scherper doorvraagt, blijkt hoe weinig overzicht er eigenlijk is op al die afhankelijkheden.

    Leverancierbeheer als governancevraagstuk

    Leveranciersbeheer wordt vaak gezien als iets operationeels. Contracten, afspraken, prestaties en evaluaties. In de kern gaat het echter over vertrouwen en verantwoordelijkheid.

    De relevante vraag is niet of een leverancier “goed” presteert, maar of je kunt uitleggen waarom deze partij wordt vertrouwd. En of helder is welke risico’s daarbij horen. Keuzes die buiten de organisatie worden gemaakt, hebben vaak directe impact op betrouwbaarheid, continuïteit en reputatie. De verantwoordelijkheid daarvoor blijft intern liggen.

    Zonder structureel leveranciersbeheer ontbreekt dat overzicht. Dan worden keuzes wel gemaakt, maar zijn ze achteraf moeilijk te verklaren. Niet omdat ze per se verkeerd waren, maar omdat niemand expliciet heeft vastgelegd waarom ze logisch leken op dat moment.

    De valkuil van eenmalig beoordelen

    In veel organisaties bestaat leveranciersbeoordeling wel degelijk. Vaak bij aanvang van de samenwerking of bij contractverlenging. De beoordeling wordt vastgelegd, besproken en daarna opgeborgen.

    Het probleem zit niet in het beoordelen zelf, maar in het idee dat één moment voldoende is. Risico’s veranderen. Leveranciers breiden hun dienstverlening uit, nemen andere partijen in de keten op, of wijzigen hun manier van werken. Tegelijkertijd verandert ook de organisatie zelf, waardoor afhankelijkheden verschuiven.

    Een beoordeling die geen vervolg kent, geeft vooral een gevoel van zekerheid. Op papier is alles geregeld, maar niemand kan aangeven of aannames nog kloppen. Wanneer niet zichtbaar is hoe actueel een beoordeling is, ontstaat schijncontrole. Er is documentatie, maar weinig grip.

    Niet elke leverancier is even kritisch

    Een veelgemaakte fout is dat alle leveranciers gelijk worden behandeld. Dat leidt tot twee ongewenste effecten. Ofwel er ontstaat onnodige administratieve last voor partijen die weinig risico vormen. Ofwel de aandacht voor echt kritische leveranciers verwatert.

    Effectief leveranciersbeheer begint bij onderscheid maken. Welke leveranciers raken kernprocessen? Welke hebben toegang tot gevoelige informatie? Welke zijn lastig te vervangen zonder directe impact op dienstverlening?

    Zodra dat onderscheid helder is, verschuift het gesprek. Dan gaat het minder over formulieren en meer over afhankelijkheid en impact. Dat gesprek is soms ongemakkelijker, maar ook veel waardevoller dan een uniforme beoordeling die niets zegt over prioriteit.

    Waarom eenvoud beter werkt dan perfectie

    Er bestaat een hardnekkig idee dat leveranciersbeheer complex moet zijn om serieus genomen te worden. Dat leidt tot uitgebreide modellen, uitgebreide vragenlijsten en theoretisch perfecte beoordelingskaders die in de praktijk nauwelijks worden gebruikt.

    Wat daadwerkelijk werkt, is eenvoud en herhaalbaarheid. Dat dezelfde vragen periodiek worden gesteld. Dat keuzes worden vastgelegd, ook als ze niet ideaal zijn. En dat zichtbaar is wanneer een beoordeling is gedaan en wanneer niet.

    Een eenvoudige structuur die consequent wordt gebruikt, levert meer grip op dan een perfect model dat alleen tijdens audits wordt geraadpleegd. Juist in organisaties waar compliance geen aparte discipline is, maar onderdeel van het dagelijkse werk, is dat verschil bepalend.

    Van individuele leverancier naar ketenbewustzijn

    Wie leveranciersbeheer structureel oppakt, merkt al snel dat het onderwerp breder wordt. Het gaat niet alleen meer over afzonderlijke partijen, maar over de keten als geheel.

    Leveranciers zijn zelf ook afhankelijk van andere partijen. Meerdere leveranciers kunnen dezelfde onderliggende dienst gebruiken. Een verstoring op één plek kan daardoor onverwacht veel impact hebben. Dat maakt risico’s cumulatief in plaats van geïsoleerd.

    Ketenbewustzijn betekent dat deze samenhang zichtbaar wordt. Niet door alles te analyseren, maar door te begrijpen waar afhankelijkheden elkaar raken. Dat vraagt geen ingewikkelde modellen, maar wel aandacht en periodieke reflectie op de vraag waar kwetsbaarheden samenkomen.

    Vertrouwen vraagt onderbouwing

    Leveranciersbeheer draait uiteindelijk om vertrouwen. Niet het naïeve vertrouwen dat alles wel goed geregeld is, maar het onderbouwde vertrouwen dat gebaseerd is op inzicht en bewuste keuzes.

    Organisaties die dit op orde hebben, hoeven minder uit te leggen wanneer er iets misgaat. Ze weten waar hun kwetsbaarheden zitten en kunnen laten zien waarom bepaalde keuzes zijn gemaakt. Dat maakt het verschil tussen reactief handelen en regie houden.

    Juist daarom past leveranciersbeheer binnen compliance. Niet als verplicht nummer, maar als manier om grip te houden op wat je zelf niet volledig beheerst.

    Afronding

    Risico’s stoppen niet bij de grenzen van de eigen organisatie. Ze lopen door in de keten van leveranciers, partners en externe partijen waarop dagelijks wordt vertrouwd. Leveranciersbeheer is de manier om die risico’s zichtbaar en bespreekbaar te maken.

    Niet door alles dicht te regelen, maar door bewust om te gaan met afhankelijkheden. Organisaties die dat doen, bouwen niet alleen aan compliance, maar ook aan betrouwbaarheid.

    Verder lezen

  • Waarom klanten steeds vaker om SOC 2 vragen

    Waarom klanten steeds vaker om SOC 2 vragen

    En wat ze eigenlijk willen weten

    Het begint zelden met een audit.

    Meestal begint het met een goed gesprek. Een offerte die inhoudelijk klopt. Een samenwerking die logisch voelt. Vertrouwen, aan beide kanten. Tot er aan het einde van het gesprek nog één vraag op tafel komt.

    “Kunnen jullie iets delen over SOC 2?”

    De vraag klinkt vaak achteloos. Alsof het een formaliteit is. Maar de impact ervan is dat zelden. Want zodra die vraag gesteld wordt, verandert het gesprek. Niet omdat iemand direct een rapport verwacht, maar omdat er iets anders wordt aangeraakt: beheersing, verantwoordelijkheid en volwassenheid.

    Steeds meer organisaties krijgen deze vraag. Ook organisaties zonder grote compliance-afdeling of formele auditstructuur. SOC 2 schuift het gesprek binnen. Niet als certificering, maar als signaal.

    Het hardnekkige misverstand rond SOC 2

    De eerste reflex is vaak defensief.

    Dat SOC 2 “iets is voor grote techbedrijven”. Dat er geen verplichting bestaat. Dat bestaande certificering voldoende zou moeten zijn.

    Die reacties zijn begrijpelijk en vaak inhoudelijk juist. Maar ze missen de kern van de vraag. In de praktijk vragen klanten zelden om SOC 2 omdat zij diepgaande normkennis hebben. Ze vragen ernaar omdat hun afhankelijkheid toeneemt.

    Van systemen. Van processen. Van de manier waarop mensen beslissingen nemen.

    De SOC 2-vraag is zelden normgedreven. Ze is contextgedreven.

    Wat klanten eigenlijk willen weten

    Achter de vraag naar SOC 2 zitten nauwelijks abstracte compliance-eisen. Wat eronder ligt, is concreter en menselijker.

    Klanten willen begrijpen wat er gebeurt als het misgaat. Of duidelijk is wie verantwoordelijkheid draagt. Of incidenten worden vastgelegd in plaats van alleen opgelost. Of beleid iets is dat leeft in de organisatie, of alleen zichtbaar wordt wanneer iemand erom vraagt.

    Het zijn geen auditvragen. Het zijn vertrouwensvragen.

    Dat patroon is niet nieuw. Het kwam eerder terug in verhalen waarin alles op papier geregeld leek, tot een klant om bewijs vroeg. Dan bleek hoe dun de onderliggende structuur eigenlijk was. Niet omdat mensen hun werk niet deden, maar omdat niemand had vastgelegd dát het werk gedaan werd.

    SOC 2 als assurance, niet als vinkje

    SOC 2 is geen certificaat dat je behaalt en vervolgens archiveert. Het is een vorm van assurance. Dat verschil is essentieel.

    Een certificering zegt iets over voldoen op een moment. Assurance laat zien hoe een organisatie structureel werkt en hoe dat te toetsen is.

    Daar wringt het vaak. Niet omdat maatregelen ontbreken, maar omdat beheersing impliciet is georganiseerd. Taken worden uitgevoerd, maar niet herhaalbaar ingericht. Rollen zijn logisch, maar nergens expliciet vastgelegd. Incidenten worden opgelost, maar zelden geëvalueerd.

    In eerdere blogs over audits die nét niet lukten werd dit zichtbaar. De intentie was goed. De maatregelen bestonden. Maar zonder aantoonbaarheid blijft vertrouwen kwetsbaar.

    Waarom deze vragen juist nu vaker op tafel komen

    De omgeving is veranderd. Organisaties zijn sterker met elkaar verweven geraakt. Diensten zijn minder tastbaar. Afhankelijkheden zijn complexer geworden.

    Wat vroeger intern bleef, raakt nu direct anderen. Klanten kijken niet alleen meer naar het eindresultaat, maar ook naar de manier waarop dat resultaat tot stand komt.

    Daarom zie je dezelfde beweging op meerdere plekken terug. Meer aandacht voor leveranciersbeoordeling. Meer vragen over incidentbeheer. Meer nadruk op privacy- en governance-structuren.

    De rode draad is telkens dezelfde. Vertrouwen moet uitlegbaar worden.

    De stille spanning die dan ontstaat

    Wat de SOC-2 vraag vaak blootlegt, is geen gebrek aan goede bedoelingen, maar een gebrek aan impliciete structuur. Veel teams werken op basis van vakmanschap en gezond verstand. Dat functioneert uitstekend, tot het onvoldoende blijkt.

    Zolang alles goed gaat, voelt impliciete beheersing comfortabel. Iedereen weet wat er van hem verwacht wordt. Problemen worden opgelost. Klanten zijn tevreden.

    Maar zodra iemand van buiten meekijkt, ontstaan vragen. Niet omdat er iets mis is, maar omdat niemand precies kan aanwijzen hoe het geregeld is.

    Wie beslist bij twijfel. Waar keuzes worden vastgelegd. Hoe structureel gedrag aantoonbaar is.

    Die vragen ontstaan pas wanneer vertrouwen getest wordt.

    Waarom “we zijn daar te klein voor” geen antwoord meer is

    De gedachte dat dit soort vragen alleen relevant zijn voor grote organisaties, houdt steeds minder stand. Juist compacte teams zijn kwetsbaar voor impliciete afspraken.

    Rollen lopen door elkaar. Taken worden informeel opgepakt. Kennis zit in hoofden, niet in structuren. Dat is efficiënt, tot iemand wegvalt of tot een klant expliciet vraagt hoe iets geborgd is.

    De SOC-2-vraag dwingt niet tot bureaucratie. Ze dwingt tot explicitering. Tot het zichtbaar maken van wat er in de praktijk al gebeurt.

    Wat organisaties die hier ontspannen mee omgaan anders doen

    Organisaties die rustig reageren op dit soort vragen, hebben zelden alles dichtgetimmerd. Wat ze wel hebben, is overzicht.

    Ze weten wie waarvoor verantwoordelijk is. Welke taken terugkeren. Waar besluiten worden vastgelegd. Hoe incidenten worden opgevolgd.

    Niet omdat een norm dat vraagt, maar omdat het rust geeft. Intern én extern.

    Daarmee verschuift compliance van last naar bijproduct. Niet iets wat erbij komt, maar iets wat meebeweegt met hoe er gewerkt wordt.

    Tot slot

    Wanneer iemand naar SOC 2 vraagt, vraagt hij zelden om een rapport.

    Hij vraagt of je begrijpt waar zijn zorgen zitten. Of je weet wat je belooft. En of je kunt laten zien dat je dat ook waarmaakt.

    SOC 2 is dan geen einddoel, maar een spiegel. Geen technische exercitie. Geen juridische verplichting.

    Maar een vraag over hoe je georganiseerd bent.

    Verder lezen

  • Ethische risico’s in organisaties: waarom kleine beslissingen grote impact hebben

    Ethische risico’s in organisaties: waarom kleine beslissingen grote impact hebben

    In veel organisaties komen risico’s niet voort uit grote incidenten, maar uit kleine keuzes die iemand maakt onder druk. Een uitzondering voor een vaste klant. Een stukje informatie dat niet wordt vastgelegd omdat iedereen verder wil. Een collega die twijfelt maar niets zegt om de sfeer niet te belasten. Het lijken onschuldige momenten, maar juist daar ontstaan de risico’s die later terugkomen in incidenten, klantklachten of auditbevindingen.

    Ethische risico’s worden nog vaak onderschat. Er is aandacht voor informatiebeveiliging, beleid, risicoanalyses en audits, maar keuzes in de dagelijkse praktijk krijgen minder structuur. Terwijl juist díe keuzes bepalen of een organisatie echt betrouwbaar functioneert.

    Deze blog laat zien hoe ethische risico’s ontstaan, waarom organisaties er gevoelig voor zijn en hoe je ze beheersbaar maakt met een helder kader, praktische maatregelen en transparantie in besluitvorming.

    Wanneer goede bedoelingen risico worden

    Ethische risico’s ontstaan op momenten waarop iemand snel iets moet beslissen, met beperkte informatie of onder druk van klanten of collega’s. De intentie is zelden verkeerd. De impact kan dat wel zijn.

    Veelvoorkomende situaties:

    • Een beslissing over hoe zorgvuldig klantinformatie wordt vastgelegd;
    • Het overslaan van een interne controle om een project sneller op te leveren;
    • Het niet benoemen van een risico om een collega niet te belasten;
    • Het accepteren van een uitzondering om een klant tevreden te houden.

    In de blog Soft controls: hoe gedrag bepaalt of compliance werkt beschreven we eerder dat gedrag vaak belangrijker is dan procedures. Dat geldt ook hier: ethische risico’s ontstaan aan de voorkant van gedrag, nog voordat iets zichtbaar misgaat.

    Waarom organisaties ze vaak niet zien

    Ethische risico’s zijn lastig te herkennen omdat ze niet direct als risico worden ervaren. Ze ontstaan vaak midden in de dagelijkse werkstroom, waar snelheid, klantgerichtheid en onderlinge samenwerking een grote rol spelen. Zeker in kleinere teams waar processen minder formeel zijn en één persoon meerdere verantwoordelijkheden draagt, worden keuzes vaak intuïtief genomen.

    Daar komt bij dat veel beslissingen niet worden vastgelegd. In de blog De risicoanalyse: een onmisbaar instrument voor elke ondernemer laten we zien dat risico’s pas goed beheersbaar worden wanneer aannames en keuzes expliciet zijn. Ethische risico’s zitten juist in dat deel dat onzichtbaar blijft.

    Wanneer bewijsvoering ontbreekt, ontstaat bovendien een tweede kwetsbaarheid: achteraf is niet duidelijk waarom iets is besloten. Dat zagen we bijvoorbeeld in het PIMS-incident dat we eerder beschreven, waar een kleine keuze leidde tot een grotere impact op informatiebeveiliging.

    Waarom kleine organisaties extra kwetsbaar zijn

    De dynamiek in kleinere teams maakt ethische risico’s zichtbaarder, maar ook lastiger te beheersen. Herkenbare factoren zijn:

    • Minder formele scheiding van rollen;
    • Meer informele samenwerking en vertrouwen;
    • Uitzonderingen die sneller normaal worden;
    • Beperkte tijd om keuzes te documenteren;
    • Collega’s die elkaar uit loyaliteit niet willen afvallen.

    Ethische risico’s hoeven niet groot te zijn om effect te hebben. Ze stapelen zich op in patronen van werkwijzen en verwachtingen. In onze blog over incidenten zagen we dat kleine incidenten vaak signalen zijn van een onderliggend structureel probleem. Hetzelfde geldt hier.

    Drie situaties waarin ethische risico’s vaak ontstaan

    1.     Tijdsdruk en klantverwachtingen

    Bij urgente vragen wordt sneller besloten, minder vastgelegd en soms een procedure overgeslagen. Op korte termijn lijkt dat efficiënt. Op lange termijn creëert het risico op inconsistenties of onvolledige informatie.

    2.     Onvoldoende bewijsvoering

    Wanneer keuzes niet worden gedocumenteerd, ontstaat ruimte voor interpretatie. In de blog Waarom GRC-software belangrijk is voor moderne bedrijven benadrukken we hoe belangrijk aantoonbaarheid is. Ethische risico’s verschijnen vaak precies op het moment dat documentatie ontbreekt.

    3.     Sociale dynamiek binnen teams

    Mensen willen conflicten vermijden. Een medewerker gaat niet tegen een collega in. Een leidinggevende stelt kritische vragen niet omdat de sfeer goed moet blijven. Die patronen beïnvloeden besluitvorming veel meer dan organisaties vaak doorhebben.

    Hoe je ethische risico’s zichtbaar maakt

    Ethische risico’s worden beheersbaar zodra je weet waar ze kunnen ontstaan. Drie vragen helpen om dit concreet te maken:

    1. Waar in onze processen nemen medewerkers beslissingen die niet volledig door procedures worden bepaald?
    2. Welke belangen spelen mogelijk een rol in dat moment?
    3. Wat kan er gebeuren als deze beslissing anders uitpakt dan bedoeld?

    Deze aanpak maakt ethische risico’s concreet zonder theoretische discussies. Je kijkt eenvoudig naar je eigen processen, gedrag en realistische werkdruk.

    Wanneer deze risico’s zichtbaar zijn, wordt het eenvoudiger om gericht maatregelen te nemen.

    Hoe je ethische risico’s beheerst zonder extra bureaucratie

    Het doel is niet om elke beslissing dicht te regelen, maar om medewerkers een kader te geven waarin zij goede keuzes kunnen maken en deze kunnen verantwoorden. Dat kan met een paar praktische maatregelen.

    1.     Maak het moreel kader duidelijk

    Geen dikke beleidsdocumenten, maar drie tot vijf principes die richting geven. Denk aan zorgvuldigheid, transparantie en objectiviteit. Als medewerkers die principes kennen, kunnen ze zelf consistente keuzes maken.

    2.     Bespreek echte voorbeelden

    Casussen uit eigen organisatie werken beter dan generieke regels. Zoals we schreven in Incidenten registreren en verbeteren, zijn realistische voorbeelden de sleutel tot gedragsverandering.

    3.     Laat twijfels bespreekbaar zijn

    Veel risico’s ontstaan omdat iemand niet zeker is maar het niet durft te benoemen. Een cultuur waarin twijfel als professioneel wordt gezien in plaats van zwak, voorkomt veel misverstanden.

    4.     Leg keuzes kort vast

    Twee tot drie regels zijn genoeg. Wie nam de beslissing? Waarom? Wat is afgesproken? Dit maakt toekomstige audits eenvoudiger en voorkomt dat aannames een eigen leven gaan leiden.

    5.     Gebruik tooling voor helderheid en consistentie

    CompliTrack kan helpen om risico’s, besluiten en acties inzichtelijk te maken. Niet om gedrag te controleren, maar om structuur te bieden en ruis te verwijderen.

    Hoe ethische risico’s onderdeel worden van risicomanagement

    Ethische risico’s horen net zo goed in een risicoanalyse als technische of operationele risico’s. Ze vormen vaak de oorzaak achter zichtbare incidenten: datalekken, verkeerde leverancierskeuzes, onzorgvuldige documentatie of fouten die tijdens audits terugkomen.

    Door ethische risico’s bewust mee te nemen in je periodieke risicoanalyse ontstaat een veel vollediger beeld van waar processen kwetsbaar zijn. Het helpt bovendien om verbeteracties gerichter te prioriteren.

    Waarom de relevantie toeneemt

    Wetgeving en rapportage-eisen richten zich steeds meer op governance, besluitvorming en integriteit. Onder NIS2 moeten organisaties kunnen aantonen dat risico’s structureel worden beheerd. Ook binnen duurzaamheids- en governance-rapportages groeit de nadruk op gedrag, transparantie en controle.

    Ethische risico’s worden daarmee geen zachte randvoorwaarde meer, maar een meetbaar onderdeel van volwassen bedrijfsvoering.

    Conclusie

    Ethische risico’s ontstaan in de dagelijkse praktijk. Niet door slechte intenties, maar door normale keuzes in drukke momenten. Door deze risico’s zichtbaar te maken, een helder kader te bieden en besluiten transparant vast te leggen, bouw je aan betrouwbaarheid en voorspelbaarheid. Het zorgt niet alleen voor minder incidenten, maar ook voor meer rust en duidelijkheid in de organisatie.

    Verder lezen

  • Ethische besluitvorming in kleine organisaties: hoe een goed besluit toch verkeerd uitpakte

    “Kunnen jullie ons laten zien welke patronen jullie zien in de oorzaken van meldingen, zodat we de dienstverlening kunnen verbeteren?”

    Dat was de vraag van een nieuwe klant. Ze wilden begrijpen waarom sommige processen vastliepen en welke meldingen voorafgingen aan vertragingen. De organisatie had de informatie gewoon in huis: wachttijden in het CRM-systeem, interne meldingen in het ticketsysteem en een Excelbestand met oorzaken van klachten. Het combineren van de datasets is in de dienstverlening heel normaal, dus de vraag leek eenvoudig te beantwoorden.

    Een collega stelde voor om de drie datasets samen te voegen tot één analyse. Technisch was dat zo gedaan en het leek prima te passen binnen het bestaande werkproces. Niemand zag direct risico’s. De klant wilde snel resultaat, dus het besluit werd genomen.

    Tot zover niets spannends.

    Waarom deze dataset tóch gevoelig werd

    Wat in de vergadering niet expliciet werd besproken, was de aard van sommige meldingen. Het ticketsysteem bevatte namelijk niet alleen procesmeldingen of technische klachten. Klanten deelden daar ook persoonlijke situaties, problemen in communicatie, ervaringen met medewerkers en soms zelfs gezondheidsinformatie of andere gevoelige omstandigheden.

    Normaal bleef dit binnen een klein intern team. Maar bij het combineren van datasets gaat die scheiding onvermijdelijk verloren. Niet inhoudelijk, maar in hoe de gegevens in analyses terugkomen. Als je zelf werkt met klantmeldingen, herken je waarschijnlijk hoe snel gevoelige informatie onderdeel wordt van wat in dashboards simpelweg “data” heet.

    Dat maakt data-analyse op zichzelf niet verkeerd, maar het vraagt wel dat je bewust kijkt naar wat er gebeurt met informatie die klanten in vertrouwen delen.

    Hoe de data uiteindelijk verkeerd terechtkwam

    De gecombineerde dataset werd gebruikt voor wat hij bedoeld was: een trendanalyse voor de klant. De analyse liet keurig zien welke processen vertraging veroorzaakten en welke types meldingen daaraan voorafgingen. De klant was tevreden.

    Daarna belandde de analyse in een intern dashboard. Niet publiek, maar wel toegankelijk voor andere teams. Het marketingteam ontdekte dat bepaalde categorieën meldingen vaker voorkwamen bij klanten die later overstapten naar een concurrent. Dat vonden ze waardevolle informatie voor een campagne die gericht was op het voorkomen van klantverlies.

    Wat marketing niet wist, was dat sommige van die meldingen indirect verwezen naar persoonlijke of vertrouwelijke situaties. Voor de data-analist was dit een anoniem datapunt, maar voor de klant was het een gevoelig verhaal dat hij nooit als marketinginput had bedoeld.

    Toen één van die klanten een opvallend gericht aanbod kreeg, voelde hij zich ongemakkelijk. Hij herkende elementen uit een melding die hij eerder had gedaan en vroeg zich af hoe zijn informatie op deze manier was gebruikt. Het was geen datalek, geen schending van systemen en op het eerste gezicht leek er zelfs weinig mis met de verwerking zelf. Maar ethisch zat het anders: de klant had dit niet kunnen verwachten.

    De ethische fout: niet technisch, maar verwachtingsgericht

    De fout zat niet in de techniek, maar in het ontbreken van een bewuste afweging. De organisatie keek naar wat technisch kon en praktisch nuttig was, maar niet naar wat de klant redelijkerwijs zou verwachten.

    Dat kwam neer op vier zaken:

    1. De oorspronkelijke uitvraag ging over procesverbetering, niet over commerciële zaken.
    2. De dataset bevatte meldingen met vertrouwelijke details die nooit bedoeld waren voor hergebruik.
    3. De analyse kwam in een gedeeld dashboard terecht zonder duidelijke uitleg over de gevoeligheid van de brondata.
    4. Marketing gebruikte de inzichten zonder te weten dat sommige meldingen meer waren dan “klachtcategorieën”.

    Het commerciële gebruik was dus niet kwaadwillend, maar wél onverwacht vanuit klantperspectief. En precies daar wringt ethiek: kun je uitleggen aan de klant waarom je deze informatie op deze manier hebt gebruikt.

    Waarom dit soort situaties zo makkelijk ontstaan

    Als je in een kleinere organisatie werkt, herken je waarschijnlijk hoe dit gebeurt. Rollen overlappen, teams werken pragmatisch en beslissingen moeten vaak snel genomen worden. In die dynamiek ontstaan situaties waarin:

    • Een technisch logische keuze onverwachte gevolgen heeft,
    • Gevoelige informatie onderdeel wordt van dashboards,
    • Verschillende teams dezelfde data anders interpreteren,
    • En niemand expliciet bewaakt of het gebruik past bij de bedoeling.

    Dat is geen kwestie van onzorgvuldigheid, maar van het ontbreken van vaste momenten waarop je stil staat bij de impact van een besluit op vertrouwen.

    Ethische besluitvorming als onderdeel van normaal werk

    Ethische besluitvorming hoeft niet zwaar of theoretisch te zijn. Vaak helpt het al om een paar eenvoudige vragen te stellen wanneer je besluiten neemt over data:

    • Zitten er elementen in deze dataset die gevoelig zijn of in vertrouwen zijn gedeeld.
    • Kan deze analyse, zelfs indirect, leiden tot iets wat een klant anders interpreteert dan bedoeld.
    • Zou ik dit gebruik van data kunnen uitleggen aan een klant die de melding heeft gedaan.
    • Moeten teams die de analyse gebruiken weten waar de data vandaan komt.

    Als je deze vragen vroeg in het proces stelt, ontstaat er vanzelf duidelijkheid. Dan kun je bijvoorbeeld ervoor kiezen om meldingen te anonimiseren, bepaalde categorieën uit te sluiten of toegang tot dashboards te beperken.

    Dat maakt het besluit niet zwaarder, maar beter onderbouwd. En het voorkomt verrassingen achteraf.

    Technologie helpt, maar bepaalt niet

    Dashboard, ISMS-tools, kwaliteitsmanagementsystemen en AI-modellen bieden veel waarde. Ze helpen patronen te zien die je anders mist. Maar technologie neemt nooit de morele afweging over. Systemen kunnen niet bepalen of een klant iets als eerlijk of wenselijk ervaart.

    In eerdere blogs over AI-governance en het RAM-schandaal bleek hoe snel verantwoordelijkheid diffuus kan worden als systemen meer bepalen dan mensen beseffen. Juist daarom is het belangrijk dat organisaties blijven nadenken over context, betekenis en verwachting.

    Tools zoals CompliTrack kunnen helpen om inzicht te bieden in risico’s, incidenten en procesverbeteringen. Maar de vraag of een besluit uitlegbaar is, blijft altijd menselijk.

    De kernles van het verhaal

    De fout zat niet in de analyse. Niet in het combineren van datasets. Niet in marketing. De fout zat in een ontbrekende expliciete afweging over wat klanten redelijkerwijs mogen verwachten.

    Data vertelt veel, maar niet wat het betekent voor een klant die vertrouwt op jouw zorgvuldigheid. Ethische besluitvorming maakt dat zichtbaar, zodat je als organisatie niet alleen de juiste dingen doet, maar ze ook op de juiste manier doet.

    In een volgend artikel laat ik zien hoe je ethische risico’s concreet kunt opnemen in je risicobeheer, zodat dit soort dilemma’s eerder zichtbaar worden.

    Lees verder

    Van risico’s naar actie: de volgende stap in effectief risicobeheer
    Hoe je risico’s structureel koppelt aan concrete verbeteracties

    Incidenten registreren én verbeteren: hoe je leert van je fouten
    Over het herkennen van patronen in incidenten en het doorvoeren van structurele verbeteringen.

    We hadden beleid, processen en tools, maar niemand voelde zich verantwoordelijk
    Over het belang van eigenaarschap en gedrag in governance.

    Van toezicht naar vertrouwen: lessen uit het RAM-schandaal voor jouw organisatie
    Wat je kunt leren van situaties waarin technologie, toezicht en verantwoordelijkheid botsen

    AI-governance in de praktijk: hoe je slimme systemen uitlegbaar houdt
    Over het borgen van verantwoordelijkheid bij geautomatiseerde besluitvorming.

  • Incidentbeheer dat werkt: 5 stappen waardoor teams het proces wel volgen

    Incidentbeheer dat werkt: 5 stappen waardoor teams het proces wel volgen

    Wanneer er iets misgaat, schieten teams meteen in de actiemodus. Een storing wordt opgelost, een verkeerde handeling wordt hersteld, een klant wordt gerustgesteld. Vaak met succes, behalve in één opzicht: vrijwel niemand registreert het incident volgens het proces dat officieel geldt. Dat proces staat wel in een document, maar het wordt niet gebruikt op het moment dat het nodig is.

    Veel organisaties herkennen dit. Incidentbeheer bestaat formeel, maar niet in het dagelijkse werk. Dat is jammer, want incidenten zijn een van de meest waardevolle bronnen voor verbetering, risicobeheersing en aantoonbare controle. In deze blog laten we zien hoe je incidentbeheer zo inricht dat teams het proces vanzelf volgen, omdat het aansluit op de praktijk en echt helpt.

    Waarom incidentprocessen vaak niet gebruikt worden

    Een incidentproces werkt alleen als het logisch voelt voor de mensen die ermee moeten werken. In de praktijk haken teams om drie redenen vaak af.

    Het proces is ingewikkeld

    Wanneer melden tijd kost, meerdere stappen vraagt of voelt als administratie, zoekt men liever een directe oplossing zonder registratie.

    Incidenten worden geassocieerd met schuld

    Als melden voelt alsof je jezelf of een collega aanwijst, ontstaat terughoudendheid. Daardoor worden incidenten kleiner gemaakt of niet gemeld.

    Het nut is niet zichtbaar

    Wanneer meldingen niets opleveren of verdwijnen zonder opvolging, verliest het proces direct waarde.

    In eerdere blogs schreven we over hoe risicoanalyse valt of staat met actuele signalen. De risicoanalyse: een onmisbaar instrument voor elke ondernemer laat duidelijk zien dat incidenten precies dat soort signalen bevatten. Zonder betrouwbare incidentregistratie mis je patronen die essentieel zijn voor beheersmaatregelen.

    Stap 1: Maak melden eenvoudig en snel

    Incidentbeheer begint met de drempel om te melden. Hoe kleiner die drempel, hoe groter de kans dat het proces wordt gevolgd. Drie elementen zijn hierbij cruciaal.

    Eén logische ingang

    Iedereen moet weten waar incidenten gemeld moeten worden. Geen e-mails, losse formulieren of gedeelde mappen, maar één centrale plek.

    Een kort meldformulier

    Vraag alleen wat nodig is om het incident te begrijpen:

    • Wat is er gebeurd?
    • Wat was de impact?
    • Wat is er tijdelijk gedaan om het op te lossen
    • Wat moet nog worden onderzocht

    Meer informatie kan later worden aangevuld door degene die verantwoordelijk is voor de opvolging.

    Een eenvoudige definitie

    Wanneer medewerkers twijfelen of iets een incident is, melden ze minder. Gebruik daarom een heldere definitie, zoals: elke afwijking van de normale situatie die invloed kan hebben op kwaliteit, dienstverlening of informatiebeveiliging.

    Een meldproces dat minder dan een minuut kost, wordt gebruikt. Een proces dat tijd of uitleg vraagt, wordt overgeslagen op precies de momenten waarop het nodig is.

    Stap 2: Koppel incidenten aan risico’s

    Incidenten geven inzicht in risico’s die werkelijkheid worden. Door incidenten direct te koppelen aan risico’s ontstaat een volledig beeld van wat er spelt binnen je organisatie.

    Dat heeft drie voordelen.

    Patronen worden zichtbaar

    Meerdere kleine incidenten kunnen samen één groot risico vormen. Pas wanneer incidenten worden gekoppeld aan risico’s, wordt duidelijk waar zich structurele problemen voordoen.

    Verbetermaatregelen worden onderbouwd

    Teams zien dat meldingen leiden tot acties in het risicoregister of verbeterplan. Incidentbeheer krijgt daarmee waarde in de dagelijkse praktijk.

    Risicoanalyses blijven actueel

    Incidenten zijn input voor herbeoordeling van risico’s. Dit sluit aan op wat we eerder beschreven in onze blogs over risicobeheer, zoals De risicoanalyse: Een onmisbaar instrument voor elke ondernemer.

    Door incidenten te koppelen aan risico’s ontstaat er een directe relatie tussen dagelijkse praktijk en strategische beheersing. Dat maakt incidentbeheer nuttig én relevant voor iedereen.

    Stap 3: Richt het proces in op leren, niet op schuld

    Incidentbeheer werkt alleen wanneer melden veilig voelt. Zodra incidenten worden gezien als persoonlijke fouten, ontstaat er terughoudendheid. Het proces moet daarom expliciet gericht zijn op leren en verbeteren.

    Een vaste analysemethode helpt daarbij. Denk aan een eenvoudige root cause analyse of aan de 5-waarom-techniek. Niet om iemand verantwoordelijk te maken, maar om te begrijpen welke omstandigheden het incident mogelijk maakten.

    In onze blog Van incident tot verbetering: Hoe organisaties incidentbeheer optimaliseren met GRC-software beschreven we hoe organisaties pas echt verbeteren wanneer incidenten worden gezien als informatiebron. Dat vraagt om een cultuur waarin openheid wordt gestimuleerd en fouten bespreekbaar zijn.

    Een analyse die gericht is op oorzaken in processen en context helpt om de drempel tot melden te verlagen. Teams ervaren dat een incident geen verwijt is, maar een kans om de organisatie sterker te maken.

    Stap 4: Maak opvolging zichtbaar en voorspelbaar

    Een incidentproces valt of staat met opvolging. Wanneer meldingen verdwijnen zonder terugkoppeling, stopt het proces vanzelf. Zichtbare opvolging zorgt ervoor dat mensen ervaren dat een melding zin heeft.

    Daarvoor zijn vier onderdelen nodig.

    Een duidelijke eigenaar per incident

    Teams moeten weten wie verantwoordelijk is voor analyse en opvolging.

    Realistische deadlines

    Acties zonder tijdlijn vervagen. Deadlines brengen ritme en helderheid.

    Prioritering op basis van impact en herhaalbaarheid

    Niet elk incident vraagt dezelfde inspanning. Door impact en kans op herhaling te beoordelen, worden de juiste onderwerpen snel opgepakt.

    Een complete audittrail

    Documenteer welke stappen zijn gezet, welke acties zijn uitgevoerd en wanneer maatregelen zijn afgerond. Dit voorkomt discussies achteraf en maakt het proces aantoonbaar.

    In de blog Incidenten registreren én verbeteren: zo voorkom je dat compliance bij registratie stopt benadrukten we al dat de kracht van incidentbeheer zit in de opvolging, niet in het formulier. Een melding zonder actie is een gemiste kans.

    Stap 5: Test het incidentproces net zo serieus als andere kritieke processen

    Veel incidentprocessen worden ontworpen in documenten, maar nooit getest in de praktijk. De enige manier om te ontdekken of een proces werkt, is door het te oefenen.

    Start eenvoudig. Laat een team fictief incident melden en doorlopen. Observeer wat goed gaat en waar verwarring ontstaat. Vaak blijken de grootste obstakels praktisch:

    • Het formulier wordt niet gevonden
    • Onduidelijkheid of iets wel een incident is
    • Acties die niet worden toegewezen omdat rollen niet helder zijn
    • Prioriteiten die onlogisch aanvoelen

    Door dit regelmatig te testen, wordt het proces sneller, duidelijker en meer onderdeel van de cultuur.

    Dit werkt op dezelfde manier als continuïteitsoefeningen, waar we eerder over schreven. Een proces dat getest wordt, leeft. Een proces dat alleen in documenten bestaat, wordt onder druk niet gebruikt.

    Waarom deze aanpak werkt

    Organisaties die incidentbeheer succesvol toepassen, hebben drie overeenkomsten.

    Het proces sluit aan op de dagelijkse realiteit

    Melden is eenvoudig, analyseren is duidelijk en opvolging is logisch en zichtbaar.

    Incidentbeheer levert waarde op

    Teams zien dat meldingen bijdragen aan betere besluitvorming, scherpere risicoanalyse en betrouwbare dienstverlening.

    Het proces wordt actief onderhouden

    Door regelmatig te testen en verbeteren wordt het onderdeel van de organisatie, niet slechts een verplicht nummer voor audits.

    Incidentbeheer is daarmee niet alleen een middel voor aantoonbaarheid, maar een instrument om kwaliteit, veiligheid en continuïteit te waarborgen.

    Verder lezen

    Deze blogs sluiten inhoudelijk aan en versterken de samenhang tussen incidentbeheer, risicoanalyse en verbetering.

  • Toen het misging deed iedereen z’n best maar niemand volgde het proces

    Toen het misging deed iedereen z’n best maar niemand volgde het proces

    Het begon op een dinsdagochtend die nergens bijzonder in leek. De agenda stond vol, het team was net opgestart en iedereen was bezig om de dag rustig in te glijden. De eerste melding kwam om 09:03 uur. Een klant kon niet meer inloggen. Het gebeurt vaker, dus niemand raakte direct in paniek. Vijf minuten later volgde de tweede melding. Binnen een kwartier stond de teller op drie. De lichte onrust veranderde in gespannen alertheid. Iedereen keek elkaar aan. Dit was geen toeval meer.

    In een reflex stond het hele team paraat. De een dook in systemen, een ander pakte de telefoon, een derde probeerde alvast een workaround voor de klant te regelen. Het was pure betrokkenheid. Niemand wachtte af, niemand wilde dat de klant langer in onzekerheid bleef. En toch speelde precies dat moment het zwakke punt van de organisatie bloot. Iedereen deed zijn uiterste best, maar niemand volgde het incidentproces.

    Wanneer betrokkenheid de structuur verdringt

    Naarmate de minuten verstreken, groeide de druk. De meldingen bleven binnenkomen, vragen stapelden zich op en klanten wilden weten wat er aan de hand was. Het overzicht verdween razendsnel. Wat bedoeld was als een gecoördineerde aanpak, veranderde in parallelle pogingen om het probleem op te lossen. Er werd gemaild, geappt en tegelijk in meerdere systemen gezocht. Een collega noteerde iets in een privé notitieboek, een ander in een Excel-bestand, een derde in een chatsysteem.

    Het was geen chaos door gebrek aan kunde. Het was chaos omdat niemand dezelfde eerste stap nam. Dat is precies wat er gebeurt wanneer een proces wél bestaat, maar niet leeft. Een document kan netjes zijn opgesteld, maar als het geen onderdeel is van het dagelijkse werk, verdwijnt het op het moment dat de druk het hoogst is.

    Later die dag, toen de storing onder controle was en de adrenaline gedaald, was er ruimte voor reflectie. De vraag die terugkwam was simpel. Hoe kan het dat we een incidentproces hebben, en toch volledig terugvallen op improvisatie zodra het spannend wordt.

    De eerlijkste conclusie was ook de meest confronterende. Het proces was geen routine. Het was informatie. Geen gedrag.

    Een proces op papier is nog geen proces in de praktijk

    In veel organisaties blijft een incidentproces hangen in theoretische bekendheid. Mensen hebben het ooit gezien, weten dat het er is, maar hebben het nooit echt hoeven toepassen. En als het dan zover is, grijpen ze naar wat het meest natuurlijk voelt: direct handelen. Dat is begrijpelijk, maar ook gevaarlijk.

    Een proces werkt alleen als medewerkers het herkennen als houvast, niet als verplichting. Het moet intuïtief zijn. Het moet een routine worden. En routines ontstaan niet door een presentatie, een folder of een pagina in het handboek. Ze ontstaat doordat je een proces regelmatig toepast, bespreekt, herhaalt en controleert. Pas dan beklijft het.

    Het team besefte achteraf dat niemand nog precies wist waar het proces stond, laat staan hoe het begon. Sommigen dachten dat de storing zo uitzonderlijk was dat het proces waarschijnlijk niet volledig zou passen. Anderen begonnen uit gewoonte aan hun favoriete oplossingsrichting. Iedereen handelde met de beste intenties, maar het ontbrak aan een gedeeld startpunt. Dat is een van de meest voorkomende oorzaken van falend incidentbeheer: het proces voelt niet logisch of dichtbij genoeg.

    Onze eerdere blogs over continuïteit en ISMS laten hetzelfde zien. Een procedure die niet is ingeslepen, blijft niet overeind wanneer de druk toeneemt. Onder stress volgt iedereen zijn eigen instinct. Daarom moet een proces dat je in crisistijd wilt gebruiken, vooral heel simpel zijn.

    Waarom incidentprocessen zo vaak instorten onder druk

    Incidentbeheer heeft twee natuurlijke tegenpolen. Aan de ene kant wil een organisatie snel handelen. Aan de andere kant wil ze gestructureerd werken. Wanneer de druk toeneemt, wint snelheid het bijna altijd van structuur. Zeker in kleinere teams, waar iedereen meerdere rollen heeft en niemand fulltime met compliance bezig is.

    Dat leidt tot herkenbare patronen. Stappen worden overgeslagen omdat ze “later wel” worden ingevuld. Incidentregistratie gebeurt achteraf, selectief of versnipperd. Wat in e-mails staat, staat niet in het registratiesysteem. Wat in persoonlijke notities staat, bereikt het team niet. Bewijslast ontbreekt. Analyse wordt moeilijk. En tijdens een audit blijkt dat de opvolging niet aantoonbaar is, ook al heeft iedereen heel hard gewerkt.

    Dit patroon zagen we eerder ook in onze blog over risico’s, incidenten en audits. Een proces dat niet verbonden is met het dagelijks werk, kan ook niet functioneren als het erop aankomt. Het verschil tussen theoretische naleving en praktische beheersing komt altijd bovendrijven op momenten waarop je het het minst kunt gebruiken.

    Hoe we het proces weer klein en logisch maakten

    Het inzicht was helder. Het proces was niet te ingewikkeld op papier, maar voelde wel ingewikkeld op het moment zelf. Dat moest anders. Daarom besloten we het proces terug te brengen naar drie basisvragen die iedereen, ongeacht rol of ervaring, direct moet kunnen beantwoorden.

    • Wat is er precies gebeurd?
    • Wat is de impact op klant en operatie?
    • Wie pakt de eerste actie op?

    Door het proces te versimpelen, werd het niet minder compleet. Het werd toegankelijk. Herkenbaar. Toepasbaar in stresssituaties. Het gaf medewerkers duidelijkheid in plaats van keuzestress. En dat zorgde voor een interessant effect.

    Het proces werd vaker gevolgd omdat het eenvoudiger werd. Incidenten werden vaker geregistreerd omdat de drempel lager werd. Niet alleen grote, maar ook kleine afwijkingen kwamen boven water. Die signalen zijn goud waard. Kleine incidenten laten zien waar routines afwijken, waar communicatie schuurt of waar processen onnodig kwetsbaar zijn. Dat is precies het niveau waarop organisaties leren en verbeteren.

    Incidenten oplossen is niet hetzelfde als incidenten beheersen

    In de evaluatie ontdekten we dat we incidenten goed konden oplossen, maar onvoldoende beheersten. Oplossen gebeurt in de operatie. Beheersen gebeurt in het proces. Het eerste draait om actie, het tweede om structuur, analyse en verbetering.

    Wanneer incidenten niet worden beheerst, ontstaan steeds dezelfde patronen. Werk verdwijnt in mailboxen. Gegevens worden niet eenduidig geregistreerd. Incidenten worden als losse gebeurtenissen gezien, niet als onderdeel van een trend. Het gevolg is dat de organisatie stabiliteit mist. En tijdens audits ontstaat onzekerheid, omdat er geen helder verhaal is over wat er is gebeurd en wat ermee is gedaan.

    Een audit later dat jaar maakte dat pijnlijk duidelijk. De auditor vroeg niet alleen naar incidentregisters, maar vooral naar de manier waarop we opvolging borgden. Welke informatie vastgelegd werd op het moment zelf. Hoe het team wist wie de eerste stap moest zetten. En hoe we zeker wisten dat niets tussen wal en schip viel. Het nieuwe, eenvoudige proces gaf ineens een helder antwoord. Het was aantoonbaar. Begrijpelijk. Praktisch.

    De vraag die elk team zichzelf zou moeten stellen

    Wat doen wij als eerste wanneer er morgen een incident is?

    Dat is de vraag die je team in één zin moet kunnen beantwoorden. Als de antwoorden uiteenlopen, leeft het proces niet. Als iedereen dezelfde startstap kent, staat het fundament. Incidentbeheer begint niet bij tooling of procedures, maar bij gedrag. Bij mensen die weten waar de eerste stap ligt. En pas daarna bij het systeem dat die stap ondersteunt, documenteert en opvolging afdwingt.

    Goede incidentbeheersing is geen hogere wiskunde. Het is voorspelbaar samenwerken. Het is helderheid creëren op het moment dat alles onduidelijk lijkt. Het is het verschil tussen paniek en overzicht. En vooral: het geeft klanten vertrouwen dat je organisatie grip heeft op wat er gebeurt, ook wanneer er iets misgaat.

    Een proces is pas waardevol wanneer het in de praktijk werkt. Niet wanneer het op papier perfect staat, maar wanneer het team het instinctief volgt. Dat is de stap van document naar gewoonte. Van papier naar gedrag. Van losse incidenten naar structurele verbetering.

    Verder lezen

    Deze blogs sluiten goed aan op het thema van incidentgedrag, opvolging en aantoonbaarheid:

  • Ketenrisico’s in kleine organisaties: waarom het verder gaat dan leveranciersbeheer

    Ketenrisico’s in kleine organisaties: waarom het verder gaat dan leveranciersbeheer

    Veel organisaties richten hun aandacht vooral op de leveranciers waar zij formele afspraken mee hebben. Er zijn contracten, SLA’s en terugkerende evaluaties die moeten aantonen dat alles onder controle is. Toch ontstaan de grootste verstoringen zelden bij deze partijen. Problemen komen juist van een heel andere hoek: de externe ontwikkelaar die een cruciale module onderhoudt, het bureau dat klantgegevens bewaart zonder dat dit expliciet is afgesproken of de partner die wijzigingen doorvoert zonder vooraf overleg.

    Dit zijn geen uitzonderlijke situaties. Ze laten zien dat ketenrisico’s veel verder reiken dan traditionele leveranciersrelaties. Ze raken aan kennis, toegang, continuïteit en zelfs cultuur. En juist omdat deze risico’s buiten de formele processen vallen, blijven ze vaak onzichtbaar tot het misgaat.

    In eerdere blogs hebben we al verkend hoe je leveranciers beoordeelt en risico’s beheerst. In deze blog kijken we verder. Wat gebeurt er wanneer je de hele keten in beeld brengt, en hoe krijg je daar grip op zonder het zwaar te maken.

    1. De keten is groter dan je leverancierslijst

    Wanneer mensen over ketenbeheer praten, denken ze vaak aan leveranciers waar facturen vandaan komen. De praktijk is anders. Veel organisaties werken met tijdelijke experts, nichepartners en freelancers die onderdeel zijn van de dienstverlening, maar niet worden gezien als formele leverancier.

    Denk aan een externe ontwikkelaar die toegang heeft tot productiedata. Een adviseur die inlogt op interne omgevingen. Of een creatief bureau dat klantinformatie ontvangt om een campagne te bouwen. Hoewel deze partijen een directe rol spelen in processen, staan ze meestal niet in een risicomatrix of leveranciersregister.

    Dat maakt de keten kwetsbaar. Wanneer een externe specialist uitvalt, vertrek aankondigt of simpelweg tijdelijk niet beschikbaar is, kan een proces volledig stilvallen. Niet omdat het systeem faalt, maar omdat er afhankelijkheden bestaan die nooit zijn vastgelegd.

    2. Afhankelijkheden moeten eerst zichtbaar zijn

    Ketenrisico’s kun je pas beoordelen wanneer je weet wie invloed heeft op je processen. Dat vraagt niet om uitgebreide documentatie, maar om een helder beeld van de externe partijen die in jouw organisatie meedraaien.

    Een goede inventarisatie begint bij drie eenvoudige vragen:

    • Welke externe partijen raken processen, systemen of informatie.
    • Wat gebeurt er wanneer hun werk wegvalt.
    • Welke afspraken bestaan er al en welke worden alleen in de praktijk gemaakt.

    Zodra je deze vragen beantwoordt, ontstaat er een duidelijk beeld van waar de echte kwetsbaarheden zitten. Je ziet welke werkzaamheden door één persoon worden uitgevoerd, waar kennis niet is gedeeld en welke processen afhankelijk zijn van informele afspraken. Dat inzicht maakt het mogelijk om risico’s te beheersen voordat ze zich voordoen.

    3. Risico’s in de keten zijn vaak menselijk

    Veel ketenrisico’s ontstaan niet door techniek, maar door gedrag. Een externe specialist die meerdere projecten combineert, een partner die wijzigingen doorvoert zonder melding of een dienstverlener die blijft vertrouwen op verouderde middelen. Het zijn kleine beslissingen die grote gevolgen kunnen hebben.

    In een eerdere blog beschreven we hoe gedrag bepalend is voor de effectiviteit van compliance. Dat geldt ook in de keten. Contracten zijn belangrijk, maar ze bepalen niet of iemand zorgvuldig werkt, kennis overdraagt of wijzigingen actief communiceert. Dat hangt af van gewoonten, verwachtingen en samenwerking.

    Daarom is het bij ketenrisico’s belangrijk om niet uitsluitend naar afspraken te kijken, maar ook naar de manier waarop externen hun werk uitvoeren. Hoeveel kennis ligt bij één persoon. Is het werk goed gedocumenteerd. Kan iemand anders het proces overnemen. Deze vragen bepalen hoe robuust de keten in werkelijkheid is.

    4. Een eenvoudige risicoanalyse voor je keten

    Grip krijgen op ketenrisico’s hoeft niet complex te zijn. Een lichte risicoanalyse kan al voldoende inzicht geven om structurele risico’s te verkleinen. Daarbij helpt het om vijf elementen te beoordelen:

    1. Externe partijen
      Breng alle partijen in kaart die invloed hebben op jouw processen, systemen of informatie.
    2. Geraakte onderdelen
      Noteer welke activiteiten of applicaties afhankelijk zijn van deze partijen.
    3. Impact bij uitval
      Onderzoek wat er stagneert wanneer een externe partij tijdelijk wegvalt.
    4. Toegang en beveiliging
      Bepaal welke accounts, systemen en data toegankelijk zijn voor deze partij.
    5. Vervangbaarheid
      Bekijk hoe snel iemand anders het werk kan overnemen.

    Dit overzicht geeft een realistisch beeld van waar de keten kwetsbaar is. De kracht zit in eenvoud: hoe duidelijker het beeld, hoe gemakkelijker het wordt om maatregelen te nemen zonder een zware beheersstructuur op te tuigen.

    5. Toegang door externen: het meest onderschatte risico

    Wanneer externe partijen toegang hebben tot systemen of data, ontstaat een risico dat vaak pas wordt opgemerkt wanneer iets misgaat. Accounts blijven bestaan nadat een project is afgerond. Toegang wordt niet herzien wanneer rollen veranderen. Of een partij werkt met gedeelde wachtwoorden omdat dat in de praktijk eenvoudiger is.

    Dit is geen technisch probleem, maar een organisatorische keuze. Wie toegang heeft, bepaalt in grote mate de beveiliging van je keten. In eerdere blogs over informatiebeveiliging beschreven we hoe derde partijen expliciet risico’s introduceren, vooral wanneer zij toegang hebben tot gevoelige informatie of kritische systemen.

    Daarom is het belangrijk om te weten welke toegang externen hebben, waarom zij die toegang nodig hebben en hoe lang die toegang relevant blijft. Door dit periodiek te controleren, verklein je een van de meest voorkomende kwetsbaarheden binnen de keten.

    6. NIS2 maakt ketenverantwoordelijkheid concreet

    Niet elke organisatie valt onder NIS2. Voor bedrijven die wel binnen de richtlijn vallen, geldt een duidelijke verplichting: zij moeten kunnen aantonen dat zij risico’s in de keten herkennen, beoordelen en monitoren.

    Dat betekent in de praktijk dat organisaties:

    • Externe partijen moeten opnemen in hun risicoanalyse;
    • Beveiligingsmaatregelen moeten afstemmen op de rol en toegang van deze partijen;
    • Incidenten moeten onderzoeken wanneer die impact hebben op de dienstverlening;
    • Continuïteit binnen de keten moeten borgen.

    NIS2 maakt hiermee zichtbaar wat in de praktijk allang relevant is: organisaties zijn verantwoordelijk voor de risico’s die ontstaan door partijen waarmee zij samenwerken. Voor bedrijven die niet formeel onder de richtlijn vallen, blijft dit een waardevol kader om grip te krijgen op hun keten en risico’s beheersbaar te houden.

    7. In vijf stappen naar meer grip op je keten

    Een praktisch ketenbeheerproces hoeft niet zwaar of tijdrovend te zijn. De volgende vijf stappen werken in vrijwel elke organisatie:

    1. Breng alle externe partijen in kaart, inclusief freelancers, nichepartijen en tijdelijke specialisaten.
    2. Koppel elke partij aan processen, systemen of informatie die zij raken.
    3. Bepaal wat er gebeurt wanneer een partij tijdelijk wegvalt.
    4. Controleer welke toegang externen hebben en stel vast waarom die toegang nodig is.
    5. Herhaal de beoordeling jaarlijks of wanneer een rol, project of samenwerking verandert.

    In deze stappen ontstaat structuur zonder dat het proces complex wordt. Door klein te beginnen en de beoordeling consequent te herhalen, krijgt de keten een steviger fundament.

    Conclusie

    Ketenrisico’s gaan verder dan leveranciers. Ze raken je dienstverlening, beveiliging, continuïteit en reputatie. De kwetsbaarheden zitten vaak in partijen die niet in formele processen zijn opgenomen, maar wél een directe rol spelen in jouw operatie. Door inzicht te krijgen in deze afhankelijkheden, toegang van externen te beheersen en risico’s periodiek te beoordelen, bouw je een keten die minder gevoelig is voor verstoringen.

    Het gaat er niet om elke situatie volledig te beheersen. Het belangrijkste is dat je weet waar de risico’s zitten en dat je deze stap voor stap verkleint. Daarmee ontstaat een keten die wendbaar, transparant en beter voorbereid is op de toekomst.

    Verder lezen

    Effectieve leveranciersbeoordeling met CompliTrack
    Hoe je leveranciers koppelt aan bedrijfsmiddelen en risico’s binnen ISO 9001 en ISO 27001.

    Wat is NIS2 en hoe beïnvloedt het jouw ISMS?
    Waarom NIS2 organisaties dwingt om risico’s in de toeleveringsketen serieus te nemen.

    Van incident naar verbetering
    Hoe organisaties incidenten gebruiken om risico’s in de keten structureel te verkleinen.

    Van spreadsheets naar gestructureerd risicobeheer
    Waarom Excel tekortschiet voor leveranciers- en ketenbeoordelingen.

    Leveranciers beoordelen zonder Excel: zo krijg je grip op risico’s
    Praktische verdieping op leveranciers- en ketenafhankelijkheden

  • Onze keten leek veilig, tot één freelancer ons bedrijf stillegde

    Onze keten leek veilig, tot één freelancer ons bedrijf stillegde

    Waarom kleine afhankelijkheden grote gevolgen kunnen hebben

    Deze casus is een samengesteld praktijkvoorbeeld. Het is geen situatie die bij ons of onze klanten heeft plaatsgevonden, maar gebaseerd op patronen die we in veel organisaties zien.

    Het was dinsdagochtend, iets na negen. Een klant meldde dat hij niet kon inloggen. Dat gebeurt wel eens, meestal lost het zich vanzelf op. Maar binnen enkele minuten kwamen meer meldingen. Het ticketsysteem vulde zich, medewerkers konden niet meer bij hun documenten en het gevoel van “het zal zo wel over zijn” maakte plaats voor spanning.

    Binnen een kwartiertje lag een belangrijk deel van de dienstverlening stil.

    Er was geen aanval, geen grote storing bij een leverancier en niemand had iets verkeerd ingesteld.

    De oorzaak bleek een freelance ontwikkelaar te zijn die een jaar eerder een klein script had geschreven. Dat script was ongemerkt een cruciale rol gaan spelen in het loginproces. Niemand wist dat het bestond. Niemand beheerde het. En de betreffende freelancer was op vakantie, zonder bereik.

    In één klap werd zichtbaar hoe kwetsbaar een organisatie kan zijn wanneer een kleine schakel wegvalt.

    Het echte probleem zat niet in het script, maar in het ontbreken van inzicht

    De storing was vervelend, maar wat vooral bleef hangen was het ongemak. Niet omdat er iets misging – dat gebeurt overal – maar omdat we niet wisten:

    • Wie verantwoordelijk was
    • Waar de documentatie stond
    • Hoe dit script in het proces was beland
    • Wie dit kon overnemen

    Er was geen inzicht en dus geen eigenaarschap. Zonder eigenaarschap is er geen controle en zonder controle geen continuïteit.

    In veel organisaties werkt het precies zo. Niet bewust, maar omdat systemen, mensen en processen organisch groeien. Een specialist die “even iets bouwt”. Een consultant die tijdelijk toegang krijgt. Een partner die een API-koppeling toevoegt. Het voelt allemaal klein en tijdelijk, totdat het dat niet meer is.

    Zoals we eerder al beschreven in De risicoanalyse: een onmisbaar instrument voor elke ondernemer, worden veel risico’s pas zichtbaar wanneer ze realiteit worden.

    Waarom kleine afhankelijkheden zo vaak onder de radar blijven

    Ketenrisico’s worden meestal geassocieerd met grote leveranciers. Daar is vaak wel iets voor geregeld: contracten, afspraken, certificaten, periodieke evaluaties.

    Maar de kleine schakels vallen vaak buiten het zicht. Ze staan niet in een leverancierslijst, hebben geen eigen risicoanalyse en worden niet meegenomen in audits. Ze zijn er gewoon ineens; betrouwbaar, behulpzaam en belangrijker dan iemand denkt.

    Organisaties die geen volledige compliance-afdeling hebben en waar mensen meerdere petten dragen, herkennen dit vaak. Veel kennis zit in hoofden. Veel keuzes worden pragmatisch gemaakt. En veel kleine afhankelijkheden ontstaan zonder dat iemand ze echt ziet.

    Dat is geen schuldvraag. Het is precies hoe organisaties werken wanneer iedereen het druk heeft en systemen elke week een stukje veranderen.

    De storing was een signaal: dit had voorkomen kunnen worden

    Toen duidelijk werd dat één script verantwoordelijk was voor de uitval, ontstond er een nieuw inzicht: niet dat er iets misging, maar dat we niet wisten welke risico’s al die tijd al aanwezig waren.

    Bij het terugkijken bleek:

    • Dat er meerdere freelancers toegang hadden tot productie.
    • Dat sommige koppelingen nooit formeel waren vastgelegd.
    • Dat documentatie niet aansloot op de huidige werkelijkheid.
    • Dat processen afhankelijk waren van één persoon.
    • Dat niemand het totaaloverzicht had.

    Het ging dus niet om het script, maar om het systeem eromheen.

    Wat wél helpt: structuur zonder gedoe

    Ketenrisico’s in kaart brengen hoeft geen groot project te zijn. Het begint met helderheid: wie raakt welke processen en systemen?

    Stap1: Breng alle externe partijen in kaart

    Niet alleen leveranciers met een contract, maar iedereen die invloed heeft op je systemen en processen. Ook kleine opdrachten kunnen grote afhankelijkheden worden.

    Onze eerdere blog over leveranciersbeoordeling laat goed zien waarom dit nodig is.

    Stap 2: Koppel partijen aan processen, systemen en gegevens

    Een naam zegt niets zonder context. Pas als je weet wat iemand raakt, zie je welke impact er ontstaat bij uitval.

    Dit sluit aan op wat we beschreven in Hoe een ISMS en ISO 27001 beschermen tegen cyberrisico’s: overzicht ontstaat door koppeling, niet door losse lijntjes.

    Stap 3: Maak een eenvoudige risico-inschatting

    Geen uitgebreide methodiek. Drie vragen volstaan:

    • Wat gebeurt er als deze persoon morgen stopt?
    • Wat gebeurt er als deze dienst tijdelijk niet beschikbaar is?
    • Wat gebeurt er als deze partij toegang heeft tot gegevens of systemen zonder toezicht?

    Het doel is bewustzijn, niet perfectie.

    Stap 4: Wijs eigenaarschap toe

    Elke applicatie, elk proces en elke integratie heeft een eigenaar nodig. Niet iemand die alles zelf uitvoert, maar iemand die verantwoordelijk is voor het overzicht.

    Stap 5: Leg documentatie en fallback vast

    Het gaat niet om dikke handboeken. Een paar concrete punten zijn genoeg:

    • Waar de code of configuratie staat,
    • Wie het kan overnemen,
    • Hoe het proces werkt bij uitval

    In onze blog over business continuity laten we zien hoe je dat slim en lichtgewicht kunt organiseren.

    Wat je vandaag al kunt doen

    Veel organisaties willen beginnen, maar weten niet goed waar. Het helpt om het klein te houden. Bijvoorbeeld:

    1. Maak één korte lijst met alle externe partijen die iets raken in je systemen.
    2. Noteer per partij welke processen of gegevens afhankelijk zijn van hun werk.
    3. Bepaal per partij wie intern de verantwoordelijke is.
    4. Herstel waar nodig de basisdocumentatie.
    5. Leg bij kritieke onderdelen vast wie het kan overnemen.

    Dit kost weinig tijd, maar geeft meteen grip. Het maakt afhankelijkheden zichtbaar die anders verborgen blijven.

    Het gaat niet om techniek. Het gaat om continuïteit.

    De storing van die dinsdagochtend duurde een paar uur. Het inzicht dat eruit voortkwam was waardevoller: kleine afhankelijkheden hebben grote gevolgen wanneer niemand ze ziet.

    Met een beetje structuur voorkom je dat één persoon, één script of één vergeten koppeling een keten breekt. Je hoeft geen grote afdeling te hebben of uitgebreide compliance programma’s te draaien. Met overzicht, eigenaarschap en een paar praktische stappen ontstaat de rust die nodig is om continuïteit te waarborgen.

    Verder lezen

  • Eigenaarschap in compliance: zo zorg je dat regels ook echt van iemand zijn

    Eigenaarschap in compliance: zo zorg je dat regels ook echt van iemand zijn

    Veel organisaties geloven dat hun compliance goed geregeld is. Er ligt beleid, processen zijn beschreven en medewerkers weten waar de documentatie staat. Op papier klopt het allemaal.

    Tot er iets gebeurt.

    Een incident blijft liggen. Een auditvraag leidt tot stress omdat informatie niet direct voorhanden is. Of een klant stelt een kritische vraag en niemand weet zeker wie erover gaat. Dan blijkt dat de regels wel bestaan, maar dat het eigenaarschap niet stevig genoeg is.

    Compliance werkt alleen wanneer iemand zich verantwoordelijk voelt. Niet omdat het ergens staat, maar omdat die persoon het oppakt precies op het moment dat dit nodig is.

    In deze blog gaat het over dat gevoel van verantwoordelijkheid. Waarom het vaak wegvalt, en hoe je eigenaarschap kunt organiseren zonder extra lagen, complexe structuren of een grote compliance-afdeling.

    Waarom eigenaarschap doorslaggevend is

    Wanneer naleving hapert, zie je dat het zelden ligt aan kennis of intentie. De oorzaak is bijna altijd dat niemand zich verantwoordelijk voelt. Niet omdat mensen onwillig zijn, maar omdat verantwoordelijkheden diffuse grenzen hebben.

    Veelvoorkomende problemen:

    • Een incident wordt besproken maar niet opgevolgd.
    • Een risicoanalyse wordt gemaakt en daarna niet meer bijgewerkt.
    • Een auditvoorbereiding wordt een race tegen de klok omdat taken nergens zijn toegewezen.
    • Verbeteracties verdwijnen omdat niemand ze langer bewaakt.

    Het gaat niet mis op papier; het gaat mis tussen mensen. Eigenaarschap is dat ene element dat de stap van papieren compliance naar echte naleving maakt.

    De twee lagen onder compliance; hard controls en soft controls

    Elke organisatie werkt, bewust of onbewust, met twee lagen:

    1. Hard controls
      De formele kant: beleid, procedures, maatregelen, regisraties, audits, versiebeheer.
    2. Soft controls
      De gedragskant: houding, voorbeeldgedrag, onderlinge verwachtingen, verantwoordelijkheidsgevoel.

    Soft controls zijn een onderdeel van ISO-normen, maar bepalen wel of die normen in de praktijk werken. Als iemand niet durft te melden, of denkt dat een collega iets wel oppakt, functioneren hard controls slechts gedeeltelijk.

    Zonder soft controls blijft compliance een papieren activiteit. Met soft controls wordt compliance onderdeel van dagelijkse keuzes.

    Waarom eigenaarschap zo makkelijk vervaagt

    Eigenaarschap raakt vaak op de achtergrond door een optelsom van kleine patronen:

    Het is niet helder wie ergens van is

    Wanneer verantwoordelijkheid te breed is (“HR doet privacy”,  “IT doet security”) voelt niemand zich echt verantwoordelijk. Hoe vager de rol, hoe kleiner de kans dat iemand het vanzelf oppakt.

    Er is geen plek waar taken zichtbaar worden

    Zonder gestructureerde registratie raken acties versnipperd. Mails verdwijnen. Excel raakt verouderd, en taken worden ad hoc opgepakt.

    Incidenten voelen als kritiek in plaats van signaal

    Wanneer een incident wordt gezien als fout in plaats van kans, melden mensen minder. Hoe minder informatie, hoe minder eigenaarschap.

    Prioriteit wint altijd van structuur

    Compliance is vaak een rol naast andere werkzaamheden. Zonder ondersteuning wint het urgente altijd van het belangrijke.

    Processen veranderen sneller dan rollen worden bijgewerkt

    Als het werk verandert maar de verantwoordelijkheden niet mee evolueren, ontstaat er snel een mismatch tussen verwachting en werkelijkheid.

    Eigenaarschap vervaagt zelden in één keer. Het verdwijnt langzaam door dagelijkse keuzes, kleine misverstanden en gebrek aan ritme.

    Hoe je eigenaarschap concreet en werkbaar maakt

    Hieronder staan vijf bouwstenen die eigenaarschap versterken zonder complexe reorganisaties of grote systemen.

    1. Houd verantwoordelijkheden klein en duidelijk

    Eigenaarschap ontstaat wanneer iemand precies weet wat er onder zijn of haar verantwoordelijkheid valt. Dit werkt alleen als:

    • één persoon eigenaar is van één onderwerp
    • de verantwoordelijkheid concreet is
    • het verband met risico’s en maatregelen duidelijk is

    Voorbeelden:

    • Niet: “HR is verantwoordelijk voor privacy.”
      Wel: “Eén persoon bewaakt inzageverzoeken en wettelijke termijnen.”
    • Niet: “IT beheert incidenten.”
      Wel: “Eén verantwoordelijke beoordeelt, registreert en sluit beveiligingsincidenten af.”

    Wanneer verantwoordelijkheid persoonlijk is, wordt opvolging vanzelf sterker.

    2. Zorg dat verantwoordelijkheden terugkomen in het dagelijks werk

    Eigenaarschap moet zichtbaar zijn in taken, niet alleen in documentatie.

    Dat betekent:

    • Terugkerende taken plannen
    • Opvolging registreren
    • Acties zichtbaar houden
    • Koppeling maken tussen risico’s en maatregelen
    • Inzicht creëren in wat openstaat en wat afgerond is

    Wanneer verantwoordelijkheden niet in het werkritme zitten, verdwijnen ze. Wanneer ze onderdeel worden van het werk, blijven ze leven.

    3. Gebruik incidenten om processen sterker te maken

    Incidenten laten zien hoe processen écht werken. Je hebt twee manieren om ze te benaderen:

    Als fout:
    De aandacht gaat naar een persoon die iets niet goed deed.

    Als signaal:
    Het incident laat zien waar het proces kwetsbaar is.

    In organisaties waar incidenten worden gezien als feedback op het proces, durven mensen eerder te melden en kunnen eigenaren sneller verbeteren. De kracht zit in de toon van het gesprek: niet “waarom deed jij dit” maar “wat zegt dit over hoe we werken”.

    4. Maak eigenaarschap haalbaar

    Eigenaarschap wordt pas duurzaam wanneer iemand de middelen heeft om het goed uit te voeren. Dat vraagt om:

    • Inzicht in alle relevante informatie
    • Duidelijke verwachtingen
    • Automatisering voor terugkerende taken
    • Actuele documentatie
    • Reminders die het geheugen ontlasten
    • Een werkproces dat niet afhankelijk is van losse lijstjes

    Overzicht is essentieel. Zeker wanneer mensen meerdere rollen tegelijk vervullen. Een lichtgewicht GRC-tool kan hier helpen, niet als extra laag, maar als rustpunt. Niet om nieuwe verplichtingen te introduceren, maar om grip te creëren.

    5. Maak gedrag onderdeel van het gesprek

    Compliance zit in dagelijkse keuzes, niet in documenten. Daarom helpt het om gedrag bespreekbaar te maken in korte, regelmatige momenten:

    • Wat viel je op in incidenten of risico’s?
    • Waar heb je getwijfeld over verantwoordelijkheden?
    • Welke signalen zag je, maar heb je niet opgepakt?
    • Wat heb je nodig om eigenaarschap beter te vervullen?

    Dit zijn geen evaluaties, maar microgesprekken die bewustzijn vergroten. Wanneer gedrag bespreekbaar is, ontwikkelen soft controls zich vanzelf.

    Hoe CompliTrack eigenaarschap ondersteunt

    Een tool creëert geen eigenaarschap, maar het maakt het wél zichtbaar en uitvoerbaar.

    • Risico’s, incidenten en acties krijgen één eigenaar
    • Opvolging wordt automatisch bewaakt
    • Iedereen werkt vanuit dezelfde informatie
    • Auditbewijslast ontstaat tijdens het werk
    • Structuur voorkomt dat verantwoordelijkheden verdwijnen

    Hierdoor wordt eigenaarschap minder afhankelijk van discipline of geheugen en meer van een voorspelbaar proces.

    Conclusie

    Compliance wordt niet sterk door meer beleid of uitgebreidere documentatie. Het wordt sterk wanneer verantwoordelijkheden duidelijk zijn, werkbaar zijn en gedragen worden.

    Eigenaarschap draait uiteindelijk om drie vragen:

    1. Wie is verantwoordelijk
    2. Wat betekent dat in de praktijk
    3. Hoe zorgen we dat deze persoon dat kan waarmaken

    Wanneer je die drie vragen scherp hebt, ontstaat een vorm van compliance die niet alleen op papier werkt, maar in de dagelijkse praktijk voelbaar is.

    Dat is de basis voor rust, transparantie en aantoonbare beheersing.

    Verder lezen

  • Iedereen kende de regel. Maar niemand voelde zich verantwoordelijk

    Iedereen kende de regel. Maar niemand voelde zich verantwoordelijk

    Het gebeurde tijdens een audit die tot dan toe normaal verliep. De auditor keek op, wees naar een maatregel in het dossier en vroeg wie verantwoordelijk was voor de maandelijkse controle van de toegangsrechten. De vraag was eenvoudig. Het antwoord bleef uit.

    Iemand keek naar IT. IT keek naar HR, HR keek naar de proceseigenaar. Het was geen onwil. Geen onkunde. Het was het soort stilte dat ontstaat wanneer iedereen denkt dat iemand anders het wel zal doen.

    De procedure bestond al jaren. Er was beleid. Er was een beschrijving. Er was zelfs ooit een Exceloverzicht met taken geweest. Toch wist niemand wie het eigenaarschap droeg. De controle werd soms uitgevoerd, soms niet. Soms door één persoon, soms door iemand anders. Tot er druk op kwam te staan. Tot er auditvragen kwamen. Tot de kwetsbaarheid zichtbaar werd.

    Het proces klopte op papier. De praktijk klopte niet.

    Regels verdwijnen wanneer niemand ze voelt

    Veel organisaties besteden tijd aan beleid, formats en procedures. Die zijn nodig, want zonder structuur wordt compliance willekeurig. Maar regels zorgen niet voor naleving. Het is gedrag dat bepaalt of een maatregel leeft of wegzakt.

    In eerdere blogs over incidentbeer en interne audits beschreef ik al hoe processen kunnen bestaan zonder dat ze iets betekenen voor het werk. Een procedure kan perfect geschreven zijn en toch compleet ineffectief zijn als niemand zich eigenaar voelt van wat erin staat. Dan ontstaat de situatie waarin iedereen de regel kent, maar niemand hem uitvoert.

    Deze audit liet dat pijnlijk duidelijk zien.

    De laag onder de procedures: soft controls

    Compliance kent twee lagen. De zichtbare laag van beleid, processen en taken. En de onzichtbare laag van houding, overtuigingen en gewoontegedrag. Juist die onderste laag bepaalt of de bovenste werkt.

    Wanneer die laag niet sterk is, zie je dezelfde symptomen telkens terugkomen. Incidenten die niet worden gemeld. Acties die blijven liggen tot vlak voor een audit. Taken waarvan iedereen denkt dat ze wel ergens opgepakt worden. In mijn eerdere blog over privacy werd dat treffend zichtbaar toen een inzageverzoek ineens blootlegde hoe versnipperd verantwoordelijkheden kunnen zijn.

    Soft controls zijn geen theorie. Ze zijn voelbaar in hoe mensen met elkaar werken. Vertrouwen. Voorbeeldgedrag. Aanspreekcultuur. Snappen waarom iets belangrijk is. Het zijn precies die elementen die bepalen of een organisatie grip heeft of alleen hoopt dat alles goed gaat.

    Het gesprek dat alles veranderde

    Na de audit ging het team om tafel. De vraag was niet welke procedure aangepast moest worden, maar waarom niemand zich verantwoordelijk voelde. Toen die vraag eenmaal gesteld was, werd zichtbaar hoe vaak verantwoordelijkheden in de praktijk impliciet blijven.

    Taken belanden bij mensen die toevallig tijd hebben. Documenten worden bijgewerkt door degene die een wijziging ziet. Controles gebeuren wanneer iemand eraan denkt. Het werkt zolang alles goed gaat. Tot er bewijs nodig is. Tot er iets misgaat. Tot een auditor iets vraagt dat niemand kan laten zien.

    In eerdere blogs over de samenhang van risico’s, incidenten en audits heb ik vaker laten zien hoe losse processen zorgen voor losse verantwoordelijkheden. Zonder structuur ontstaan er gaten. Die gaten vullen zich vanzelf, maar zelden door duurzame eigenaarschap.

    Dat gebeurde hier ook. De taak werd gedeeld door drie mensen. En dat voelde hetzelfde als geen een eigenaar hebben.

    Waarom regels niet worden gevolgd, zelfs als ze logisch zijn

    Er zijn drie redenen waarom regels verdwijnen, zelfs als ze nergens discussie oproepen.

    De eerste is onduidelijkheid. Een taak kan bestaan, maar nergens zichtbaar zijn. Niet in iemands werkvoorraad. Niet in de agenda. Niet in een gesprek. Taken die nergens landen, krijgen geen eigenaar. Dat liet de situatie rond leveranciersbeoordelingen in een eerdere blog ook zien: iedereen vulde iets in, maar niemand voelde zich verantwoordelijk voor de uitkomst.

    De tweede is een gebrek aan context. Als iemand niet begrijpt waarom iets belangrijk is, wordt het een verplicht nummer. En verplichte nummers verliezen altijd van urgente werkzaamheden. Zeker als de gevolgen niet direct voelbaar zijn.

    De derde is cultuur. In een omgeving waar fouten snel worden gezien als tekortkomingen, wordt melden onveilig. Dan verschuift gedrag van verantwoordelijkheid nemen naar problemen vermijden. Dat zorgt ervoor dat uitzonderingen nooit besproken worden, terwijl precies daar de risico’s zitten.

    Eigenaarschap ontstaat niet door het toe te wijzen

    Je kunt in een procedure vastleggen wie verantwoordelijk is. Je kunt het zelfs communiceren in een teamoverleg. Maar dat maakt iemand nog geen eigenaar.

    Eigenaarschap ontstaat wanneer iemand weet wat er verwacht wordt, begrijpt waarom dat belangrijk is en wordt ondersteund door een werkwijze die dat gedrag mogelijk maakt. Het begint bij duidelijkheid. Een taak die zichtbaar is. Een moment waarop die taak besproken wordt. Een ritme waarin die verantwoordelijkheid logisch voelt.

    Daarna komt betekenis. Niet omdat een norm het vraagt, maar omdat het risico anders reëel wordt. Pas wanneer mensen zien wat er misgaat zonder de maatregel, krijgt die maatregel gewicht.

    De laatste stap is ondersteuning. Het moet praktisch mogelijk zijn om verantwoordelijk te zijn. Niet door processen ingewikkeld te maken, maar door informatie logisch bij elkaar te brengen. Een overzicht van taken. Een vast ritme van opvolging. Een manier om te zien wat er openstaat en wat er afgerond is. In eerdere blogs over incidentbeheer heb ik laten zien hoe kleine veranderingen daarin grote verschillen kunnen maken.

    De combinatie van duidelijkheid, betekenis en ondersteuning maakt eigenaarschap vanzelfsprekend. Dan is de regel niet iets dat in een document staat, maar iets dat onderdeel is van het werk.

    Gedrag wordt zichtbaar in kleine patronen

    Je hoeft gedrag niet te meten met vragenlijsten. Je ziet het in het ritme van het werk. Worden incidenten gemeld. Worden acties opgevolgd. Worden bevindingen gebruikt om processen aan te passen. Komt dezelfde fout terug. Wordt een signaal opgepakt of genegeerd.

    Het zijn kleine dingen, maar ze laten haarscherp zien hoe sterk de soft controls zijn. Teams met duidelijke eigenaarschap laten een stabiel patroon zien. Teams zonder eigenaarschap werken reactief en worden vaker verrast door risico’s die allang zichtbaar waren.

    Gedrag hoeft niet ingewikkeld te zijn om invloed te hebben. Het zit in dagelijkse keuzes. En die keuzes bepalen uiteindelijk of je echt controle hebt of alleen een map vol procedures.

    Een kleine verandering met grote gevolgen

    In de situatie uit het begin is de controle vandaag nog steeds dezelfde taak. Alleen de manier waarop hij ingebed is anders.

    De taak is zichtbaar. De verantwoordelijke weet wanneer die eraan komt. De leiding ziet wanneer iets uitblijft. De auditor ziet dat het ritme klopt. Niet om te controleren, maar om te begrijpen hoe de organisatie werkt.

    De regel veranderde niet.

    De cultuur wel.

    Iedereen kende de regel nog steeds. Maar nu  voelde iemand zich verantwoordelijk.

    Dat is het verschil tussen compliance op papier en compliance die leeft.

    Verder lezen