Categorie: Blog

  • Ons grootste compliance-risico bleek geen proces, maar gedrag

    Ons grootste compliance-risico bleek geen proces, maar gedrag

    We waren ervan overtuigd dat alles keurig op orde was. De documentatie stond netjes bijgewerkt, het risicoregister was volledig en onze GRC-tool gaf een overzicht dat er geruststellend uitzag. Processen, maatregelen, acties: alles was ingericht. Op papier leek de organisatie strak en betrouwbaar. Tot de dag van de interne audit.

    De auditor keek naar een maatregel, draaide zich naar ons om en stelde de eenvoudigste vraag die je kunt bedenken: “Wie is hier verantwoordelijk voor?”

    Niemand antwoordde.

    De stilte was niet vijandig of ongeïnteresseerd, maar ongemakkelijk en pijnlijk herkenbaar. Iedereen dacht dat iemand anders het zou oppakken. De auditor hoefde verder niets te zeggen. Het echte risico zat niet in een ontbrekend document of een fout in de tool. Het zat in ons gedrag.

    Op dat moment werd duidelijk dat structuur zonder eigenaarschap geen controle oplevert, maar schijnzekerheid.

    De stille aannames die werkprocessen ondermijnen

    In organisaties waar mensen meerdere verantwoordelijkheden dragen, ontstaan onbewust aannames. Wat niet expliciet is toegewezen, wordt stilzwijgend doorgeschoven. Dat werkt zolang er geen echte druk op staat. Tot een audit, incident of klantvraag dat patroon blootlegt.

    Een treffend voorbeeld was het intrekken van toegang bij offboarding. De procedure was zorgvuldig beschreven. De taak verscheen automatisch in de GRC-tool. Maar in de praktijk ging het mis. IT dacht dat HR het signaal zou geven. HR dacht dat teamleads dit zouden melden. Teamleads dachten dat IT monitoring had.

    De taak bestond wel, maar het eigenaarschap niet. Het was een maatregel die “in het proces zat”, maar niet in ons werkritme. In de blog Van risicoanalyse naar actie lieten we eerder zien hoe kritisch het is dat processen niet alleen bestaan, maar ook gedragen worden. Dit voorbeeld bevestigde dat opnieuw

    Hoe de audit een spiegel werd

    De auditor bladerde verder en wees op een actie die al maanden openstond. “Waarom is deze niet opgevolgd?” vroeg hij.

    Het antwoord was niet in een document te vinden. Het zat in onze gewoontes. De auditor testte niets technisch. Hij testte de meest onderschatte laag van compliance: gedrag.

    Het deed denken aan een eerdere blog, Wat er gebeurde toen onze auditor onaangekondigd langskwam, waarin duidelijk werd hoe snel paniek ontstaat wanneer aantoonbaarheid en uitvoering niet één geheel vormen. Nu zaten we opnieuw op dat punt. Niet omdat processen ontbraken, maar omdat ze niet leefden. De audit maakte zichtbaar dat onze aanpak vooral vanuit structuur was georganiseerd, maar weinig vanuit praktijkgedrag.

    Waarom dit patroon zo vaak voorkomt

    Veel organisaties herkennen dit zonder het hardop te zeggen. Zeker wanneer dezelfde mensen klantafspraken, projecten, audits en interne controles combineren. Processen worden dan wel ingericht, maar niet verankerd. Documentatie wordt bijgewerkt omdat het moet. Acties worden aangemaakt omdat het hoort. Maar de vraag wie voelt zich eigenaar? blijft impliciet.

    In een eerdere blog, Van Excel naar overzicht, zo kies je voor GRC-software, lieten we zien dat tooling werkt wanneer gedrag meegroeit. Het auditmoment bewees hoe waar dat is: geen enkele tool kan compenseren voor onduidelijke afspraken of ontbrekend eigenaarschap.

    De omslag naar echt eigenaarschap

    We besloten het anders te doen. Niet door extra lagen structuur toe te voegen, maar door bestaande processen eenvoudiger en persoonlijker te maken.

    We begonnen met één praktische verandering: per maatregel één eigenaar. Niet een afdeling, maar een persoon. Dat maakte opvolging concreet. Iemand wist voortaan: dit hoort bij mij.

    Daarna creëerden we een vast ritme. Korte, maandelijkse check-ins waarin we procesuitvoering bespraken. Geen lange vergaderingen. Geen presentaties. Gewoon de vraag: “Wat loopt goed? Wat loopt stroef?” Dankzij die eenvoud schoof opvolging niet meer van agenda naar agenda, maar kreeg het een vaste plek.

    Ook herschreven we onze procedures. Minder formele taal, meer voorbeelden uit het werk. Dat lijkt klein, maar het had een groot effect. Mensen die begrijpen wat iets oplevert, voeren het sneller uit. In onze blog ISMS in de praktijk: beleid dat wél werkt beschreven we al hoe begrijpelijke taal het verschil maakt tussen naleven en nalezen.

    Tot slot maakten we melden normaal. Soms is een twijfel of een kleine fout waardevoller dan een incidentmelding. Zodra medewerkers dat merkten, ontstond er meer openheid. Problemen kwamen eerder naar boven en verbeteringen volgden vanzelf.

    Deze vier stappen maakten de basis sterker. Niet omdat we meer deden, maar omdat we bewuster deden.

    Hoe dat zichtbaar werd bij de volgende audit

    Een paar maanden later stond dezelfde auditor weer voor de deur. Hij merkte het verschil direct. We konden helder uitleggen wie verantwoordelijk was voor welke maatregelen. We konden onderbouwen waarom iets gedaan was, of juist niet. Bevindingen uit voorgaande audits waren aantoonbaar opgevolgd.

    Niets daarvan voelde geforceerd. Het was simpelweg logisch geworden. Omdat eigenaarschap logisch was geworden.

    Veel organisaties denken dat audits ingewikkeld zijn, maar vaak zijn ze vooral een spiegel. Dat zagen we eerder in de blog Klachten zijn geen fouten, maar wij behandelden ze wel zo, waarin de essentie duidelijk werd: aantoonbaarheid zit niet in formulieren, maar in gedrag.

    Dat herhaalden we nu in de praktijk. De auditor hoefde ons nauwelijks meer te corrigeren. Hij hoefde alleen te constateren dat dingen op hun plek waren gevallen.

    Het echte risico: gedrag zonder richting

    Een organisatie kan alles op orde hebben op papier, maar als niemand iets voelt als “van hem of haar”, ontstaan er blinde vlekken. Die vlekken worden pas zichtbaar wanneer er druk ontstaat. Bij een audit . Een incident. Een klantvraag.

    Gedrag zonder richting is het grootste risico dat vaak als laatste wordt gezien. Terwijl het tegelijk de meest voorspelbare oorzaak is van afwijkingen, vertragingen en gemiste maatregelen.

    In de blog Waarom alles in Excel netjes lijkt, tot je iets moet terugvinden beschreven we hoe gebrek aan structuur leidt tot chaos. Het omgekeerde is net zo waar: structuur zonder gedrag leidt tot schijnzekerheid. De vorm is er, maar de inhoud niet.

    Conclusie

    Compliance komt niet tot leven door systemen of documenten, maar door mensen die hun rol begrijpen en serieus nemen. Structuur is de basis. Gedrag geeft het betekenis. Eigenaarschap maakt het betrouwbaar.

    De organisaties die dat doorhebben, zijn niet per se organisaties met meer middelen. Het zijn organisaties waar verantwoordelijkheden klein en duidelijk zijn, waar opvolging ritme heeft en waar medewerkers signalen durven te geven.

    Daar ontstaat aantoonbaarheid. Daar ontstaat vertrouwen. Daar ontstaat controle zonder kramp.

    En precies daar begint echte compliance.

  • CSRD in de praktijk: zo zorg je dat je duurzaamheidsdata echt klopt

    CSRD in de praktijk: zo zorg je dat je duurzaamheidsdata echt klopt

    In de maandagblog zagen we wat er gebeurt wanneer een klant doorvraagt op een duurzaamheidsclaim. De cijfers zagen er netjes uit, maar zodra om bewijs werd gevraagd, viel alles stil. Veel organisaties herkennen dat moment. Niet omdat ze iets willen verdoezelen, maar omdat duurzaamheidsinformatie vaak versnipperd is over verschillende afdelingen en systemen. Het voelt confronterend als je merkt dat een rapport meer op aannames dan op onderbouwde gegevens steunt.

    Met de komst van de CSRD verschuift de nadruk van intentie naar aantoonbaarheid. Het gaat niet alleen om wat je rapporteert, maar vooral om hoe je kunt laten zien dat je informatie klopt. Voor organisaties waar duurzaamheid geen aparte afdeling heeft en mensen dit naast hun gewone werk oppakken, kan dat een flinke uitdaging zijn. Toch hoeft het niet ingewikkeld te worden. De CSRD vraagt niet om perfectie, maar om transparantie en controleerbare data.

    In deze blog laten we zien hoe je zonder zware processen een betrouwbare basis legt. Met duidelijke stappen, herkenbare situaties en een praktische aanpak die past bij kleinere teams.

    De omslag die CSRD vraagt

    Veel organisaties beginnen bij het eindpunt: de rapportage. Dat lijkt logisch. Maar de CSRD vraagt juist om een stevig fundament onder die rapportage. Die informatie moet herleidbaar, controleerbaar en gebaseerd op vaste definities zijn. Dat is vergelijkbaar met financiële gegevens, waar je ook moet kunnen laten zien hoe een cijfer tot stand is gekomen.

    Een belangrijk onderdeel is dat een accountant straks een vorm van assurance geeft. Daarvoor moet hij of zij kunnen nagaan waar de informatie vandaan komt en of de methode navolgbaar is. Dat betekent dat je niet alleen de uitkomst rapporteert, maar het proces erachter inzichtelijk moet maken.

    De Europese Sustainability Reporting Standards (ESRS) bepalen welke onderwerpen relevant kunnen zijn en hoe je daarover rapporteert. Ze schrijven niet voor dat je op ieder onderwerp diep moet rapporteren. Materialiteit bepaalt wat echt belangrijk is. Maar voor de onderwerpen die wél materieel zijn, moet de onderbouwing kloppen. Dat is de essentie.

    Wanneer je basis wankel is

    Veel organisaties ontdekken pas bij de eerste CSRD-stappen dat hun gegevens minder stevig zijn dan gedacht. Dat gebeurt bijvoorbeeld in situaties zoals deze:

    Een directievergadering staat in het teken van de komende duurzaamheidsrapportage. Aan het einde van de vergadering vraagt iemand: “Kunnen we dit met een gerust hart ondertekenen?” In eerste instantie knikt iedereen. Tot de vraag volgt: “Waar komt dit cijfer vandaan?” Dan ontstaat stilte. Verschillende mensen bladeren door bestanden en inboxen. Een collega weet het nog ongeveer, maar niet precies. Bewijs blijkt verspreid te staan in oude Excelbestanden, scans van facturen, exports uit systemen en rapporten van leveranciers.

    Deze situatie is niet uitzonderlijk. In veel organisaties is duurzaamheid een taak die erbij is gekomen. HR levert gegevens aan over personeel, Finance verzamelt energiefacturen, Operations registreert afvalstromen en IT bewaakt datastromen. Iedereen levert een stukje, maar niemand heeft overzicht over het geheel.

    De risico’s ontstaan niet door kwade wil of slordigheid. Ze ontstaan doordat niemand volledig eigenaar is. En zonder eigenaarschap kan niemand garanderen dat de informatie klopt.

    Wat de CSRD écht van je verwacht

    De CSRD vraagt niet dat je cijfers perfect zijn. Ze vraagt dat je uitlegt hoe je tot die cijfers komt. Dat betekent dat je informatie moet kunnen herleiden naar een bron, dat de methode duidelijk is en dat de gegevens controleerbaar zijn. Ook moet je consistentie kunnen garanderen. Wat je dit jaar doet, moet volgend jaar op dezelfde manier kunnen worden gedaan.

    Samengevat moeten duurzaamheidsgegevens:

    • Herleidbaar zijn tot controleerbare bronnen
    • Navolgbaar zijn voor iemand die het proces niet zelf heeft uitgevoerd
    • Gebaseerd zijn op vaste definities en methodes
    • Consistent zijn over de tijd

    Met deze eisen ontstaat een duidelijk beeld: het gaan niet om omvangrijke processen, maar om structuur, duidelijkheid en discipline.

    Hoe je duurzaamheidsdata betrouwbaar maakt

    Wanneer je weet wat de CSRD vraagt, kun je gericht aan de slag. De stappen hieronder passen bij organisaties die zonder grote projectteams werken en de basis zo praktisch mogelijk willen houden.

    1. Breng alle datastromen overzichtelijk in kaart

    Begin klein. Maak een lijst van de gegevens die je nu al hebt, waar ze vandaan komen en wie ze aanlevert. Het hoeft niet perfect te zijn. Het doel is om inzicht te krijgen in de route die data aflegt binnen je organisatie. Vaak wordt meteen zichtbaar waar inconsistenties zitten of waar informatie ontbreekt.

    2. Leg vast hoe gegevens tot stand komen

    Een getal wordt pas betrouwbaar wanneer je kunt uitleggen hoe het is samengesteld. Komt het uit een meter, een factuur, een contract, een systeemexport of een schatting? Leg kort vast hoe een cijfer wordt berekend of gemeten. Dat maakt het mogelijk om volgend jaar dezelfde methode te gebruiken en veranderingen te verklaren.

    3. Plan vaste momenten om gegevens te controleren

    De grootste fout is wachten tot het einde van het jaar. Dan komt alles tegelijk en krijgt iedere onduidelijkheid het karakter van een probleem. Door per kwartaal of zelfs per half jaar te controleren, ontstaat rust. Kleine afwijkingen worden snel zichtbaar en kunnen eenvoudig worden opgelost. Daardoor wordt het rapportageproces minder stressvol en minder foutgevoelig.

    4. Koppel bewijs aan je gegevens

    Een cijfer zonder bewijs is slechts een bewering. Door bewijs direct te koppelen aan het datapunt ontstaat controleerbaarheid. Bewijs kan een factuur zijn, een meetrapport, een export uit een applicatie of een bevestigde schatting. Het gaat erom dat het bij het cijfer hoort en meebeweegt wanneer iemand het wil controleren.

    5. Leg eigenaarschap vast in rollen

    Veel organisaties leunen op één of twee medewerkers die “alles weten”. Dat werkt zolang zij beschikbaar zijn. Maar zodra iemand functioneel verandert of met vakantie is, komt het proces stil te liggen. Door eigenaarschap te koppelen aan rollen in plaats van personen, blijft het proces stabiel. Het wordt minder afhankelijk van individuele kennis en beter overdraagbaar.

    Waarom tooling het proces eenvoudiger maakt

    Veel duurzaamheidsinformatie wordt nog steeds beheerd in Excel. Dat is begrijpelijk, maar het maakt herleidbaarheid en versiebeheer lastig. In Excel is het moeilijk om te zien wie wanneer iets heeft aangepast en welke versie de juiste is. Het maakt opvolging kwetsbaar en kan tot discussies leiden wanneer audits dichterbij komen.

    Een lichtgewicht GRC-tool zoals CompliTrack biedt structuur zonder het proces zwaarder te maken. Het helpt om data, bewijs en verantwoordelijkheden centraal vast te leggen. Dat is vooral prettig voor compacte organisaties die geen complete projectstructuur kunnen optuigen. Het gaat niet om automatisering om de automatisering. Het gaat om overzicht. Eén plek waar je ziet wat ontbreekt, wat afgerond is en wat aandacht vraagt. Dat geeft rust, zeker in de aanloop naar assurance.

    Klaar voor de volgende stap

    De invoering van de CSRD betekent niet dat je ineens tot in detail alles moet meten of registreren. Het betekent dat je transparant moet kunnen uitleggen hoe je cijfers tot stand zijn gekomen en dat je dit ieder jaar op dezelfde manier kunt herhalen. Met een overzichtelijk systeem van datastromen, een paar vaste controlemomenten en helder eigenaarschap ontstaat een stevige basis. Niet omdat alles perfect is, maar omdat je inzicht hebt in wat je rapporteert.

    Voor veel organisaties levert dit vooral duidelijkheid en vertrouwen op. Je weet wat je rapporteert, je weet waar de informatie vandaan komt en je weet hoe je het kunt uitleggen wanneer iemand ernaar vraagt. Dat is de kern van aantoonbaarheid. En precies dat is waar de CSRD uiteindelijk om vraagt.

  • Duurzaam? Tot iemand om bewijs vroeg

    Duurzaam? Tot iemand om bewijs vroeg

    Hoe één vraag onze koers veranderde, van intentie naar aantoonbare resultaten

    “Kunnen jullie aantonen hoe duurzaam jullie eigenlijk zijn?”

    Het bleef even stil in de vergaderkamer. De vraag kwam van een vaste klant tijdens wat een routinematige leveranciersaudit had moeten zijn. Op papier stond het bedrijf bekend als duurzaam: groene energie, hergebruik van materialen en lokale leveranciers. Maar nu iemand om bewijs vroeg, viel er een ongemakkelijke stilte. Niemand wist waar de cijfers vandaan kwamen, laat staan of ze controleerbaar waren.

    Dat moment waarin een goedbedoelde duurzaamheidsclaim plots onder druk komt te staan, is herkenbaar voor veel organisaties. Niet omdat ze hun verantwoordelijkheid ontlopen, maar omdat ‘duurzaam werken’ vaak blijft hangen in intenties en losse initiatieven. Tot iemand vraagt om bewijs.

    Van goedbedoeld naar onderbouwd

    Steeds vaker vragen klanten, auditors en toezichthouders niet wat je denkt dat je doet voor het milieu, maar wat je kunt aantonen. Met de Corporate Sustainability Reporting Directive (CSRD) verschuift de lat definitief. Steeds meer organisaties, direct of via keteneisen, moeten werken met aantoonbare duurzaamheidsdata.

    Voor sommige geldt dit al over boekjaar 2024/2025, voor genoteerde kleinere ondernemingen vanaf boekjaar 2026. Dat vraagt om cijfers in plaats van slogans.

    Veel bedrijven hebben duurzame ambities, maar geen meetproces. Daar gaat het mis. Zonder meting blijft duurzaamheid perceptie, geen prestatie. En dat wordt een risico zodra klanten bewijs verwachten.

    Een audit die alles veranderde

    De audit werd een wake-upcall. Eén ogenschijnlijk eenvoudige vraag, “Hoeveel CO2 besparen jullie jaarlijks, onderbouwd per locatie?”, leidde tot een zoektocht door drie verschillende bestanden. De marketingafdeling had percentages in een brochure, maar geen bron. Inkoop kon certificeringen niet verifiëren. En de technische dienst had energiegegevens, maar verspreid over verschillende systemen.

    De auditor was helder: sterke ambitie, maar geen aantoonbaar beleid. Nog belangrijker, de klant koppelde vervolgopdrachten voortaan aan meetbare voortgang. Wat begon als een controle eindigde in een harde les en een kans om het beter te doen.

    Waarom bewijs zwaarder weegt dan belofte

    De tijd dat duurzaamheid vooral een marketingthema was, ligt achter ons. Klanten en toezichthouders verwachten dat organisaties hun claims kunnen onderbouwen. Niet uit wantrouwen, maar omdat ze afhankelijk zijn van betrouwbare data in hun eigen rapportages.

    Duurzaamheid raakt inmiddels direct aan governance, risk en compliance. Dat betekent dat het niet alleen om intenties draait, maar om meetbare resultaten, onderbouwde beslissingen en structurele verbetering. Ook leveranciers worden hier steeds vaker op beoordeeld.

    Wie zijn cijfers niet kan laten zien, verliest niet alleen geloofwaardigheid, maar ook kansen.

    Van losse acties naar een systeem

    Na die pijnlijke audit besloot het bedrijf het anders aan te pakken. Geen losse initiatieven meer, maar een gestructureerde aanpak op basis van ISO 14001, de internationale norm voor milieumanagement. Niet met het doel om te certificeren, maar om duurzaamheid te vertalen naar concreet gedrag en meetbare resultaten.

    Het verschil werd snel zichtbaar. In plaats van te zeggen “we verminderen ons energieverbruik”, werd het doel: “we reduceren ons gasverbruik met 15% binnen twaalf maanden.”

    In plaats van “we scheiden afval beter”, werd het “90% van ons bedrijfsafval wordt gescheiden ingezameld en geregistreerd.”

    Door doelen vast te leggen, verantwoordelijkheden te koppelen en resultaten te monitoren, ontstond iets dat daarvoor ontbrak: aantoonbaarheid.

    Bij de volgende audit lag er geen PowerPoint, maar een dashboard. En het gesprek ging niet langer over beloftes, maar over bewijs.

    Drie pijlers die het verschil maken

    De belangrijkste les: duurzaamheid wordt pas geloofwaardig als het is ingebed in de bedrijfsvoering. Dat vraagt om structuur, niet om grote woorden.

    1. Inzicht – weet waar je impact ligt: energie, afval, transport, inkoop en grondstoffen.
    2. Meten – verzamel data op vaste momenten en uit betrouwbare bronnen.
    3. Verbeteren – stel doelen, wijs verantwoordelijkheden toe en volg acties op.

    Met deze drie pijlers heb je niet alleen de bouwstenen voor audits en CSRD-rapportages in handen, maar ook een organisatie die wet wat werkt.

    De valkuil van greenwashing

    Greenwashing lijkt iets dat alleen grote bedrijven overkomt, maar ook kleinere organisaties kunnen erin verstrikt raken. Eén zin als “wij werken klimaatneutraal” kan al misleidend zijn als er geen bewijs achter zit.

    De Europese Unie werkt aan strengere regels tegen misleidende duurzaamheidsclaims. De richting is helder: claims moeten onderbouwd en controleerbaar zijn, ook als ze in een brochure of op een website staan.

    Wie transparant wil zijn, moet zijn cijfers kunnen laten zien, en dat begint bij structuur.

    Technologie als hulpmiddel, niet als obstakel

    Rapporteren hoeft niet complex te zijn. Het begint met overzicht, niet met zware software. Een toegankelijke GRC-aanpak (Governance, Risk & Compliance) helpt om milieuaspecten, doelen en acties vast te leggen zonder bureaucratie.

    Met zo’n systeem kun je:

    • Milieuaspecten identificeren;
    • Acties toewijzen aan verantwoordelijken;
    • En bewijs centraal opslaan.

    Het resultaat is overzicht, consistentie en minder stress bij audits. Het versterkt bovendien het vertrouwen bij klanten, omdat je data altijd beschikbaar en controleerbaar is.

    Van crisis naar vertrouwen

    Toen de klant een jaar later opnieuw langskwam voor een audit, was de sfeer compleet anders. De cijfers lagen klaar, de doelstellingen waren meetbaar en de voortgang aantoonbaar. In plaats van te verdedigen, ging het gesprek over verbetering.

    De klant zag niet alleen de resultaten, maar ook de transparantie. En dat wekte vertrouwen. Niet omdat alles perfect was, maar omdat alles onderbouwd was.

    Duurzaamheid zonder bewijs is een belofte. Duurzaamheid mét bewijs is een prestatie.

    Conclusie: bewijs is de nieuwe belofte

    Duurzaamheid draait niet langer om de juiste woorden, maar om controleerbare daden. De toekomst is aan organisaties die hun inspanningen kunnen aantonen, volgen en verbeteren.

    Een geloofwaardige duurzaamheidsclaim begint bij structuur: inzicht in je milieu-impact, vastgelegde processen en betrouwbare data. Daarmee voldoe je niet alleen aan regelgeving zoals de CSRD of ISO 14001, maar bouw je vooral aan iets belangrijkers: vertrouwen.

    Begin vandaag met meten wat je al doet. Dat is vaak de eerste stap naar bewijs.

    Lees ook:

  • Klokkenluidersregeling: de regels gelden al, in 2026 wordt vooral de lat zichtbaarder

    Klokkenluidersregeling: de regels gelden al, in 2026 wordt vooral de lat zichtbaarder

    Veel organisaties hebben inmiddels een klokkenluidersregeling op papier. Alleen: zodra er iets speelt, weet niemand precies wat er moet gebeuren. Wie pakt de melding op? Binnen welke termijn moet je reageren? En waar leg je het vast?

    Op papier lijkt alles geregeld, maar in de praktijk blijkt de regeling nauwelijks te leven.

    Sinds 17 december 2023 moeten alle werkgevers met vijftig of meer medewerkers voldoen aan de Wet bescherming klokkenluiders. Voor organisaties met meer dan 250 medewerkers gold dat zelfs al eerder, en in sommige sectoren – zoals de financiële dienstverlening of luchtvaart – gold de verplichting ook onder de vijftig.

    De wet is er dus al. Wat richting 2026 verandert, is de aandacht die eraan wordt besteed. Het Huis voor Klokkenluiders krijgt dan naar verwachting toezicht- en sanctiebevoegdheden. Klanten, auditors en opdrachtgevers zullen vaker vragen naar bewijs dat de regeling niet alleen bestaat, maar ook werkt. Wie nu alvast een werkbare structuur inricht, hoeft straks niets te repareren onder druk.

    Waarom wachten geen optie is

    De gefaseerde invoering van de wet zorgde voor verwarring. Veel bestuurders lazen dat als: dit geldt pas later voor ons. In werkelijkheid ligt de nadruk niet op de datum, maar op proportionaliteit. Ook kleinere en platte organisaties moeten een manier hebben waarop medewerkers veilig kunnen melden, al hoeft dat geen ingewikkeld systeem te zijn.

    Daarnaast is de praktijk veranderd. Grote klanten vragen in leverancierslijsten en audits regelmatig: “Heeft uw organisatie een interne meldregeling?” Wie daar geen goed antwoord op heeft, verliest niet zelden geloofwaardigheid.

    Een meldregeling is dus niet alleen een wettelijke verplichting, maar ook een voorwaarde om vertrouwen te behouden. Intern én extern.

    Wat je minimaal op orde moet hebben

    Een goede meldregeling hoeft niet complex te zijn. De kern is helderheid: waar kun je terecht, wat gebeurt er daarna, en hoe kun je aantonen dat meldingen serieus worden opgepakt.

    1. Eén herkenbaar meldpunt

    Gebruik één ingang – een e-mailadres, formulier of interne pagina – zodat medewerkers direct weten waar ze terecht kunnen. Meerdere routes zorgen vaak voor verwarring en vertraging.

    2. Duidelijke rollen en termijnen

    Benoem wie meldingen ontvangt en opvolgt. De wet schrijft voor dat je binnen 7 dagen een ontvangstbevestiging geeft en binnen 3 maanden terugkoppelt over de voortgang. Wie dit vastlegt, voldoet niet alleen aan de wet, maar voorkomt ook ruis bij medewerkers en auditors.

    3. Registratie en opvolging

    Leg vast wat er gemeld is, welke actie is ondernomen en wat de status is. Dat kan in een lichtgewicht GRC-tool, maar ook in een compact intern systeem. Belangrijk is dat de informatie veilig wordt bewaard en eenvoudig inzichtelijk is bij controles.

    Met deze drie stappen voldoe je organisatie aan de wettelijke basis én heb je het fundament voor aantoonbare werking gelegd.

    Formeel én laagdrempelig

    Veel organisaties houden meldingen bewust informeel: “kom maar even langs.” Dat lijkt vriendelijk, maar is niet aantoonbaar. Een formele structuur sluit dat niet uit, ze versterkt juist de betrouwbaarheid.

    Door het proces simpel en transparant te houden, maak je melden normaal in plaats van spannend. Beschrijf kort wat iemand mag verwachten na een melding, houd de taal begrijpelijk en communiceer dat meldingen altijd vertrouwelijk worden behandeld. Dat is de beste bescherming tegen misstanden én wantrouwen.

    Wat auditors en opdrachtgevers straks willen zien

    Steeds meer audits en aanbestedingen vragen bewijs dat je meldregeling werkt. Drie documenten maken daarbij het verschil:

    • De regeling zelf: beschrijf de mogelijkheid om intern te melden.
    • Het proces: laat zien wie verantwoordelijk is en welke termijnen gelden.
    • De registraties: tonen dat meldingen worden ontvangen, opgevolgd en afgerond.

    Heb je alleen het eerste document, dan heb je papier. Heb je alle drie, dan ben je aantoonbaar in control.

    Integreer meldingen in je bestaande ritme

    Een melding staat nooit op zichzelf. Vaak raakt ze ook incidentbeheer, personeelszaken of informatiebeveiliging. Het is dus logisch om meldingen te behandelen binnen hetzelfde ritme als audits, verbeteracties en risicobeheer.

    Dat voorkomt versnippering en maakt opvolging vanzelfsprekend. In ons eerdere artikel Incidenten registreren én verbeteren: hoe je leert van je fouten beschreef ik hoe dat principe werkt: wie één overzicht heeft van meldingen, taken en verbeteracties, voorkomt dat iets blijft liggen.

    Hetzelfde geldt voor deze regeling. Meldingen worden zo onderdeel van een continu proces, in plaats van losse uitzonderingen. Meer weten over het verbinden van die processen? Lees ook Van chaos naar controle: zo verbind je risico’s, incidenten en audits in één werkproces.

    Veelgemaakte denkfouten

    Een aantal overtuigingen hoor je in vrijwel elke organisatie terug. Ze lijken onschuldig, maar zorgen er vaak voor dat de regeling blijft hangen in intenties in plaats van werking.

    • “We hebben geen meldingen, dus het gaat goed.”
      Geen meldingen klinkt positief, maar kan ook betekenen dat mensen het niet aandurven. Een werkende regeling maakt melden veilig, niet noodzakelijkerwijs populair.
    • “We houden het bewust informeel.”
      Een persoonlijke cultuur is waardevol, maar informeel betekent vaak: niets is vastgelegd. Formeel én laagdrempelig kan prima samen.
    • “We wachten tot 2026, dan zien we wel wat er echt gevraagd wordt.”
      Tegen die tijd wordt toezicht strenger, en dan is het te laat om nog geloofwaardig te beginnen. Wie nu klein start, is straks klaar voor controle.

    Waarom dit loont

    Een goed ingerichte meldregeling biedt meer dan compliance. Ze versterkt de interne communicatie, voorkomt dat frustraties escaleren en laat zien dat je als organisatie transparant durft te zijn.

    Bovendien sluit de regeling goed aan op andere thema’s waar steeds meer aandacht voor is, van risicobeheer tot informatiebeveiliging en kwaliteitsborging. Wie meldingen koppelt aan verbetermaatregelen, ziet trends en kan gericht verbeteren. Dat is precies de gedachte achter de wet: niet extra papierwerk, maar vroegtijdige signalering en leren van fouten.

    Zoals we eerder schreven in Klokkenluidersregeling: zo richt je ‘m vandaag nog goed in, draait naleving niet om formulieren, maar om vertrouwen. Deze nieuwe fase vraagt vooral om bewijs van dat vertrouwen.

    Conclusie: een regeling die leeft

    Een klokkenluidersregeling is al lang geen optionele bijlage meer. De regels gelden nu; wat er in 2026 bijkomt, is vooral toezicht en bewijsdruk.

    Wie het slim aanpakt, houdt het klein: één kanaal, duidelijke rollen, en een vaste manier van vastleggen. Daarmee kun je altijd laten zien dat je meldingen serieus neemt, zonder een zware bureaucratie te creëren.

    Een regeling op papier is een verplichting. Een regeling die leeft, is een bewijs van vertrouwen.

    Kernboodschap samengevat

    • De Wet bescherming klokkenluiders geldt al sinds 2023; in 2026 volgt meer toezicht.
    • Zorg nu voor één meldkanaal, duidelijke rollen en registratie van meldingen.
    • Integreer je meldingen in je bestaande verbeterproces.
    • Een regeling die werkt, versterkt het vertrouwen. Intern én extern.
  • De melding die iedereen zag aankomen, maar niemand deed

    De melding die iedereen zag aankomen, maar niemand deed

    Er ging al weken iets mis. Kleine dingen eerst: onverklaarbare afwijkingen in rapportages, besluiten die niet meer werden gedeeld, een spanning in vergaderingen die niemand benoemde. Tot het op een ochtend misging. Een klant ontdekte dat vertrouwelijke informatie was gedeeld buiten het team. Niet bewust, maar slordig. En met grote gevolgen.

    Iedereen wist eigenlijk al langer dat het fout zat. Toch deed niemand een melding. Niet uit onverschilligheid, maar uit angst. Angst om de sfeer te verpesten. Angst om “moeilijk” te zijn. Angst dat het management zou denken dat je klaagt in plaats van bijdraagt.

    Die angst is herkenbaar in veel organisaties. We hebben beleid, procedures en systemen voor bijna alles, behalve voor het moment waarop iemand iets durft te zeggen. In een organisatie waar iedereen elkaar kent, wordt melden nóg spannender.

    De paradox van openheid: beleid op papier, stilte in de praktijk

    Steeds meer organisaties hebben een klokkenluidersregeling of interne meldprocedure. Sinds de Wet bescherming klokkenluiders geldt in Nederland dat organisaties met vijftig of meer medewerkers een interne meldregeling moeten hebben. In een aantal sectoren – zoals de financiële dienstverlening of zorg – geldt die plicht zelfs voor kleinere organisaties.

    Toch blijkt uit onderzoek van het Huis voor Klokkenluiders dat slechts een klein deel van de medewerkers weet hoe ze daadwerkelijk en melding kunnen doen, laat staan dat ze zich veilig genoeg voelen om dat te doen.

    De regels bestaan dus, maar de meldcultuur ontbreekt. En dat is precies waar het verschil ligt tussen compliance op papier en vertrouwen in de praktijk.

    Wie alleen procedures opstelt om “aan de wet te voldoen”, mist het doel. Een effectieve meldcultuur draait niet om formulieren, maar om gedrag. Om leiders die luisteren. En om medewerkers die geloven dat hun stem ertoe doet.

    Waarom zwijgen de standaard wordt

    In bijna elke organisatie ontstaat vroeg of laat een moment waarop iemand iets ziet, maar niets zegt. Dat kan gaan om een onveilige werksituatie, een ethisch dilemma, of een risico dat niemand wil benoemen. De redenen om te zwijgen zijn vaak menselijk:

    • Sociale druk: “We doen het hier zo.”
    • Hiërarchie: melden voelt als tegenspreken.
    • Slechte ervaring: eerdere meldingen leverden gedoe op.

    Het gevolg is dat signalen te laat worden opgepikt. Incidenten worden pas zichtbaar als er schade is: financiële verliezen, reputatieschade of een verlies van vertrouwen bij klanten.

    Het ironische is dat veel leidinggevenden juist denken dat er wél een open cultuur heerst. Ze geloven dat medewerkers altijd kunnen zeggen wat ze vinden. Maar openheid is niet wat je denkt dat er is, het is wat medewerkers ervaren.

    Meldcultuur begint bij voorspelbaarheid

    Een gezonde meldcultuur vraagt niet om heroïek, maar om voorspelbaarheid. Medewerkers moeten weten wat er gebeurt zodra ze een melding doen.

    Zolang medewerkers weten dat hun melding serieus wordt genomen, dat hun identiteit beschermd blijft en dat ze terugkoppeling krijgen over wat ermee gedaan wordt, wordt melden een stuk minder spannend.

    Als dat helder is, verdwijnt de angst. En dat is precies wat de wetgever met de vernieuwde klokkenluidersregeling probeert te bereiken: vertrouwen creëren door transparantie in het proces.

    Wie de juridische kant wil uitdiepen, leest in onze blog Klokkenluidersregeling voor bedrijven: alles wat je nú moet regelen vóór 2026. Daar gaat het over de wettelijke eisen, hier over het gedrag eromheen.

    De rol van leiderschap: luisteren als compliance-maatregel

    Veel organisaties besteden tijd aan controles en audits, maar weinig aan gesprek. Terwijl juist die gesprekken de vroegste signalen opleveren.

    Een manager die actief vraagt “wat zie jij gebeuren dat beter kan?” voorkomt meer incidenten dan welk protocol ook. Zeker in organisaties waar HR geen volle functie is, moet het meldproces zó duidelijk zijn dat het zonder uitleg werkt.

    Echte compliance begint niet bij regels, maar bij gedrag. En gedrag begint bij leiderschap dat zichtbaar laat zien dat melden niet gelijk staat aan verraad, maar aan verantwoordelijkheid.

    Daarom is het goed om meldingen te behandelen zoals je een audit zou doen: feitelijk, gestructureerd en zonder oordeel. In onze blog Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem lees je hoe auditcultuur ook kan bijdragen aan intern vertrouwen, want dezelfde principes gelden hier.

    Technologie kan helpen, maar lost het probleem niet op

    Tools voor anoniem melden zijn handig. Maar zonder opvolgproces blijft een melding een regel in een systeem. Software zoals CompliTrack helpt juist bij dát deel: opvolging, taakverdeling en aantoonbaarheid. Zo wordt compliance geen papieren werkelijkheid, maar een beheersbaar proces dat inzicht geeft in wat er speelt. En wat er beter kan.

    Wie meer wil weten over hoe incidenten worden vertaald naar verbeteringen, leest Van incident naar verbetering: Hoe organisaties incidentbeheer optimaliseren met GRC-software.

    Zo maak je melden normaal in je organisatie

    De kern van een goede meldcultuur is vertrouwen. Vertrouwen dat fouten besproken mogen worden. Dat kritiek niet persoonlijk is. En dat een melding geen teken is van wantrouwen, maar van zorgvuldigheid.

    Dat vertrouwen groeit niet vanzelf; het vraagt om bewuste keuzes:

    1. Maak meldingen normaal. Bespreek ze als onderdeel van verbetering, niet als uitzondering.
    2. Bescherm melders zichtbaar. Benoem in het team dat meldingen worden gewaardeerd, niet afgestraft.
    3. Gebruik meldingen als leerinstrument. Analyseer patronen en koppel ze terug naar beleid, audits of risicoanalyses.

    Wie meldingen behandelt als data in plaats van drama, voorkomt escalatie en verbetert continu.

    Waarom dit juist nú urgent is

    In 2026 staat een evaluatie van de Wet bescherming klokkenluiders op de agenda. In de stukken aan de Kamer staat dat de uitkomsten worden benut om het meldklimaat verder te versterken. Wie nu al kan laten zien dat meldingen worden opgepakt en opgevolgd, loopt straks voor.

    Daarmee verschuift compliance van “aanwezigheid van beleid” naar “bewijs van werking”. En dat is een goede ontwikkeling, want het dwingt organisaties om meldcultuur niet langer te laten zien als iets optioneels.

    De organisaties die dit nu al goed oppakken, zijn straks niet alleen compliant, maar ook sterker. Juist omdat vertrouwen intern de basis vormt van veerkracht extern.

    Conclusie: de echte compliance-test begint bij je eigen mensen

    De meeste incidenten in organisaties ontstaan niet door kwaadwilligheid, maar door stilte. Door het moment dat iemand iets ziet en besluit niets te zeggen.

    Een goed meldproces voorkomt dat stilte de norm wordt. Het creëert veiligheid, transparantie en – misschien wel het belangrijkste – geloofwaardigheid.

    Voor organisaties zonder zware compliance-afdeling is dit misschien wel de belangrijkste stap: laten zien dat je naar je eigen mensen luistert, vóórdat een externe partij het vraagt.

    Want een organisatie die luistert, wordt geloofd door haar klanten.

    Interne links

    1. Klokkenluidersregeling voor bedrijven: alles wat je nú moet regelen vóór 2026
    2. Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem
    3. Van incident naar verbetering: Hoe organisaties incidentbeheer optimaliseren met GRC-software
  • AI in compliance: hoe je menselijke controle houdt over geautomatiseerde beslissingen

    AI in compliance: hoe je menselijke controle houdt over geautomatiseerde beslissingen

    Steeds meer bedrijven die al met ISO 9001, ISO 27001 of NIS2 bezig zijn, ontdekken de voordelen van kunstmatige intelligentie (AI) binnen hun bedrijfsvoering. Processen worden sneller, analyses slimmer en fouten beter voorspelbaar. Ook binnen compliance-management is AI in opkomst. Tools beloven realtime risicodetectie, automatische rapportages en zelfs voorspellingen van mogelijke non-conformiteiten. Maar hoe houd je grip wanneer een algoritme beslissingen neemt die niemand meer kan uitleggen?

    Dat is de kernvraag waar veel organisaties voor staan: hoe combineer je automatisering met verantwoordelijkheid?

    De belofte van AI in compliance

    Wie ooit een interne audit in Excel heeft gepland of een risicoregister handmatig heeft bijgewerkt, begrijpt meteen de aantrekkingskracht van AI. Een goed algoritme kan razendsnel data doorzoeken, afwijkingen signaleren en trends ontdekken die mensen over het hoofd zien. Denk aan patronen in incidentmeldingen of het automatisch koppelen van leveranciersrisico’s aan recente auditresultaten.

    Deze automatisering heeft onmiskenbare voordelen. Processen worden efficiënter, fouten verminderen en compliance-rapportages worden actueler. AI kan, als je de juiste data aanbiedt, helpen bij het eerder zien van risico’s. Dat gebeurt door historische gegevens te combineren met interne informatie en externe factoren die je zelf toevoegt, zoals wijzigingen in wet- en regelgeving of brancheontwikkelingen.

    Toch schuilt daarin ook een gevaar: zodra je besluitvorming volledig toevertrouwt aan een algoritme, verlies je zicht op de onderliggende aannames. En juist dat zicht is onmisbaar bij compliance, waar transparantie en aantoonbaarheid de basis vormen van vertrouwen.

    Van hulpmiddel naar risico

    AI is niet neutraal. Het doet precies wat het geleerd is te doen, en niets meer. Als de data onvolledig of bevooroordeeld is, herhaalt het systeem die fouten, vaak op veel grotere schaal.

    Een simpel voorbeeld: stel, je gebruikt AI om leveranciers te beoordelen op betrouwbaarheid. De tool kijkt naar eerder vastgestelde non-conformiteiten, reactietijden op audits en beschikbare gegevens over hun financiële positie. Handig, zou je denken. Tot blijkt dat kleinere leveranciers structureel lager scoren omdat ze minder vaak worden beoordeeld of minder data aanleveren. Het algoritme interpreteert dat gebrek aan data als een risico, terwijl er feitelijk niets mis is.

    Wat begon als een manier om subjectiviteit te vermijden, creëert zo een nieuw soort scheefgroei. Zonder menselijk toezicht worden aannames waarheid, en beslissingen oncontroleerbaar. En precies daarom heb je een kader nodig.

    Verantwoord automatiseren: de kern van AI-governance

    Als je morgen aan iemand moet laten zien hoe je AI hebt ingericht, wil je drie dingen kunnen tonen. Dat kader bestaat uit inzicht, verantwoordelijkheid en controle.

    Inzicht betekent weten wat je systeem doet en waarom. Welke data gebruikt het, hoe worden beslissingen berekend, en zijn die uitkomsten te herleiden? Transparantie is cruciaal, zeker bij audits.

    Verantwoordelijkheid gaat over eigenaarschap. Wie beoordeelt of het systeem nog werkt zoals bedoeld? Wie mag ingrijpen bij afwijkingen? Zonder duidelijke rollen verdwijnt verantwoordelijkheid in de technologie zelf.

    Controle draait om toetsing. AI-processen moeten periodiek worden geëvalueerd, net als elke andere compliance-maatregel. De periodieke check kan gewoon gedaan worden door degene die nu ook je risico’s of interne audits beheert, je hoeft daar geen extra rol voor te creëren. Niet omdat auditors dat vragen, maar omdat omstandigheden veranderen: nieuwe regelgeving, gewijzigde datasets of andere bedrijfsdoelen.

    Door deze drie pijlers te combineren, ontstaat een structuur waarin technologie veilig kan groeien zonder de menselijke factor te verdringen.

    De menselijke factor als kwaliteitsmaat

    Compliance is in de kern geen kwestie van regels, maar van gedrag. Technologie kan helpen, maar nooit vervangen wat mensen doen: keuzes maken, waarden afwegen en context begrijpen.

    AI herkent patronen, maar niet intenties. Het systeem weet dat een afwijking bestaat, niet waarom die relevant is. Een menselijke professional kan nuances lezen, prioriteiten stellen en inschatten of een afwijking daadwerkelijk risico oplevert of slechts administratief lijkt.

    Wie menselijke controle verliest, verliest ook de mogelijkheid om te leren. Zonder reflectie wordt compliance een black box waarin fouten zich onzichtbaar herhalen. Daarom is het belangrijk dat elke automatisering ingebed blijft in een proces waarin mensen beslissingen kunnen controleren, corrigeren en verbeteren.

    Praktisch aan de slag met AI-controle

    Organisaties zonder aparte compliance-afdeling hebben vaak al meer automatisering in huis dan ze denken. Denk aan leveranciersbeoordelingen, toegangsbeheer of risicomeldingen in softwaresystemen. Het implementeren van AI betekent dus niet opnieuw beginnen, maar beter organiseren wat er al is.

    Je hoeft dus niet opnieuw te beginnen. Breng eerst in kaart waar automatisering al beslissingen beïnvloedt, en pak dan deze drie vragen:

    1. Waar gebruik je al automatische besluitvorming?
    2. Welke beslissingen gaan nu zonder mens langs de lijn?
    3. Wie kan bij de instellingen en de data?

    Zodra deze basis helder is, kun je processen inrichten rond toetsmomenten, documentatie en escalatie. Daarmee maak je AI verantwoord, zonder innovatie te blokkeren.

    Een praktisch hulpmiddel daarbij is het opnemen van AI-onderdelen in bestaande governance-structuren. Gebruik bijvoorbeeld dezelfde cycli als bij audits of risicobeoordelingen: plan-do-check-act. Zo blijft controle onderdeel van het ritme, niet van een afzonderlijk project.

    De rol van ondersteunende tooling

    Daarom laten we AI niet ‘los’ in de organisatie, maar hangen me ‘m op in dezelfde structuur waarmee we ook audits, risico’s en incidenten beheren. Een goed ingericht GRC-systeem helpt om die menselijke controle te borgen. Niet door zelf beslissingen te nemen, maar door overzicht te creëren: welke risico’s zijn geïdentificeerd, wie is verantwoordelijk voor beoordeling, welke acties zijn genomen en wanneer volgt herziening?

    Zeker als je nu nog keuzes en meldingen in Excel of e-mail bijhoudt, is het belangrijk dat AI-uitkomsten ook in diezelfde structuur landen. In een platform als CompliTrack kun je al deze informatie centraal beheren. Dat maakt het eenvoudiger om consistent te werken, aantoonbaar te zijn tijdens audits en lessen uit incidenten te delen met het hele team.

    Het voordeel van zo’n aanpak is niet alleen praktische efficiëntie, maar ook cultuur: door compliance zichtbaar en beheersbaar te maken, groeit het besef dat technologie pas waardevol is als mensen haar begrijpen en gebruiken. Zo voorkom je niet alleen vragen van klanten en auditors, maar vooral dat jij elke afwijking handmatig moet reconstrueren. Technologie is pas waardevol als mensen haar begrijpen én vertrouwen.

    Transparantie als concurrentievoordeel

    Steeds meer bedrijven die al met ISO-standaarden of NIS2 werken, krijgen vragen over hun gebruik van AI. Niet omdat klanten of auditors tegen innovatie zijn, maar omdat ze willen weten of ze kunnen vertrouwen op de uitkomsten.

    Vraagt een klant of een auditor waarom een melding is afgekeurd, dan moet je dat binnen één minuut kunnen laten zien. Organisaties die daar open en duidelijk over communiceren, winnen aan geloofwaardigheid. Transparantie over hoe beslissingen tot stand komen, hoe data worden gebruikt en welke controlemechanismen bestaan, wordt een concurrentievoordeel.

    Waar vroeger het certificaat voldoende bewijs was van betrouwbaarheid, wordt nu de uitlegbaarheid van processen minstens zo belangrijk. Wie dat goed organiseert, bouwt aan duurzaam vertrouwen. Iets wat geen algoritme kan vervangen.

    Van hype naar houvast

    AI in compliance is geen modewoord, maar een verschuiving in hoe we informatie gebruiken. De technologie biedt kansen om beter te sturen, sneller te leren en risico’s eerder te zien. Maar het blijft mensenwerk om betekenis te geven aan wat een systeem rapporteert.

    De uitdaging is dus niet om technologie te temmen, maar om haar te begrijpen en te begrenzen. Door menselijke controle, heldere verantwoordelijkheid en transparante processen te combineren, wordt AI een krachtig hulpmiddel in plaats van een risico.

    Wie dat op orde heeft, hoeft niet bang te zijn voor de toekomst van automatisering, want dan blijft technologie wat het altijd zou moeten zijn: een middel om beter te werken, niet om de mens te vervangen.

  • Interne audit ISO 9001: 7 fouten die bedrijven nog steeds maken (en hoe je ze voorkomt)

    Interne audit ISO 9001: 7 fouten die bedrijven nog steeds maken (en hoe je ze voorkomt)

    De interne audit. Voor veel teams voelt het als een verplicht nummer. Tot de auditor vraagt: “Hoe weten jullie dat deze maatregel écht is uitgevoerd?” Dan wordt het stil.

    Een goede interne audit is geen vinklijstje, maar een manier om slimmer te werken en verrassingen te voorkomen. In dit artikel lees je de zeven valkuilen die we het vaakst zien bij kleinere organisaties, plus hoe je ze voorkomt. Praktisch, zonder jargon en direct toepasbaar.

    1. Audits zonder duidelijke planning

    Veel organisaties beginnen enthousiast aan hun ISO-traject, maar vergeten om audits structureel in te plannen. De audit komt daardoor altijd ongelegen. Een week voor de externe audit wordt er alsnog “iets” opgetuigd, met haastig verzamelde notities en half ingevulde formulieren.

    Zonder een vaste planning blijft de interne audit een momentopname in plaats van een continu verbeterproces.

    Hoe pak je dit aan?

    Plan audits net zo strak als kwartaalrapportages of functioneringsgesprekken. Zet ze in de jaarplanning, wijs verantwoordelijkheden toe en werk vanuit een ritme. In een tool als CompliTrack kun je auditmomenten jaarlijks inplannen, met een duidelijk overzicht wie wat doet.

    Zo blijft het werk verdeeld, voorspelbaar en overzichtelijk, en verandert de audit van een “moetje” in routine

    2. Dezelfde persoon auditeert zijn eigen werk

    In kleine organisaties komt de kwaliteitsverantwoordelijke al snel ook op de stoel van auditor terecht. Handig, maar niet objectief. ISO 9001 stelt dat interne audits “objectief en afhankelijk” moeten worden uitgevoerd. Het mag dus niet door iemand die direct verantwoordelijk is voor het proces dat geaudit wordt.

    Objectiviteit betekent niet per sé dat je een externe consultant nodig hebt. Het gaat erom dat degene die de audit uitvoert voldoende afstand heeft om onbevangen te kijken.

    Zo kun je dit doen:

    Koppel processen aan een collega van een andere afdeling of aan een ‘buddy-auditor’. Zo krijg je frisse inzichten zonder de interne kennis te verliezen.

    3. Te veel focus op documentatie

    Een veelgehoorde zin tijdens audits: “Het staat allemaal netjes in het handboek.”

    Dat is mooi, maar het zegt weinig over wat er in de praktijk gebeurt. Documentatie is een middel, geen bewijs dat een proces goed werkt. Toch blijft de audit in veel bedrijven steken in het controleren van formulieren en procedures, terwijl het echte werk elders plaatsvindt.

    Een audit die zich richt op de praktijk is veel waardevoller. Ga de werkvloer op, praat met medewerkers, kijk mee in het proces. Zo ontdek je snel waar beleid en werkelijkheid uiteenlopen.

    Een productiebedrijf dat wij spraken, had perfect beschreven controles op kwaliteitsmetingen. Maar op de werkvloer deed men het “iets anders, omdat dat sneller ging”. De audit bracht dit aan het licht, waarna een kleine aanpassing in de procedure veel fouten voorkwam.

    Wil je weten hoe je beleid vertaalt naar werkbare processen? Lees ook ISMS implementatie in de praktijk: Zo vertaal je beleid naar werkbare ISO 27001 processen.

    4. Bevindingen verdwijnen in de la

    Na de audit volgt vaak een net rapport, vol bevindingen en aanbevelingen. En dan? Niets. Een half jaar later staan dezelfde verbeterpunten weer op de agenda.

    Zonder opvolging is een audit slechts een foto van het verleden.

    De opvolging is eenvoudig: koppel bevindingen direct aan acties. Wijs verantwoordelijken aan, stel deadlines vast en volg de voortgang actief op. In CompliTrack worden auditbevindingen eenvoudig omgezet in taken met reminders en statusupdates, zodat geen actie onopgemerkt blijft.

    Plan daarnaast altijd een follow-up meeting, vier tot zes weken na de audit. Bespreek wat al is opgelost en wat nog openstaat. Zo blijft de energie erin, en zie je de vooruitgang daadwerkelijk ontstaan.

    5. Corrigerende maatregelen worden niet geëvalueerd

    Veel bedrijven voeren wel verbeteracties door, maar vergeten te controleren of ze werken. De maatregel is uitgevoerd, het vinkje gezet, maar niemand vraagt of het probleem echt is opgelost.

    ISO 9001 draait om de PDCA cyclus (Plan-Do-Check-Act). Die laatste stap, Check en Act, wordt vaak vergeten.

    Evalueer daarom de effectiviteit van elke maatregel. Heeft de verandering het gewenste resultaat? Wordt de nieuwe werkwijze daadwerkelijk gevolgd? Dat kan ik kwartaaloverleggen of in managementreviews.

    CompliTrack helpt hierbij door acties te koppelen aan evaluatiemomenten. Zo blijf je aantoonbaar verbeteren, en kun je bij de volgende audit laten zien dat de PDCA-cyclus rond is.

    Meer lezen? Bekijk Van chaos naar controle: zo verbind je risico’s, incidenten en audits in één werkproces.

    6. Geen verbinding tussen audits, risico’s en klachten

    Een audit staat niet op zichzelf. Ze vormt onderdeel van je bredere kwaliteits- of compliance-aanpak. Toch zien we vaak dat audits, risicoanalyses en klachten los van elkaar worden beheerd. De organisatie mist daardoor het totaalbeeld.

    Een voorbeeld: tijdens een audit komt naar voren dat medewerkers verschillende versies van werkinstructies gebruiken. In het klachtenregister blijkt dat klanten klagen over foutieve leveringen. Twee symptomen van hetzelfde probleem, maar niemand legt de link.

    Door auditbevindingen te koppelen aan risico’s en klachten, ontstaat inzicht in patronen. Zo zie je niet alleen wat er misgaat, maar ook waarom.

    In CompliTrack zijn die verbanden standaard aanwezig: risico’s, incidenten en auditbevindingen komen samen in één overzicht. Dat maakt audits niet zwaarder, maar juist slimmer.

    7. Audits worden als straf ervaren

    Misschien wel de belangrijkste valkuil: audits voelen als controle.

    Wanneer medewerkers het idee hebben dat ze beoordeeld worden, krijg je sociaal wenselijke antwoorden in plaats van eerlijke feedback.

    Een audit hoort geen afrekening te zijn, maar een gezamenlijk leermoment. Begin gesprekken daarom met open vragen als: “Wat zou jij veranderen als je de kans kreeg?” of “Waar loopt dit proces vast in de praktijk?”

    Zo krijg je informatie die echt waardevol is. De beste verbeteringen komen meestal van de mensen die er dagelijks mee werken.

    Lees ook Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem voor meer over hoe je auditgesprekken opbouwt.

    Van fouten naar structuur

    De rode draad in al deze valkuilen is niet een gebrek aan kennis, maar een gebrek aan structuur. Veel bedrijven hebben geen aparte compliance-afdeling. De mensen die audits uitvoeren, runnen tegelijkertijd de operatie.

    Daarom is eenvoud cruciaal. Met een overzichtelijke auditplanning, duidelijke taakverdeling en automatische opvolging wordt auditen een doorlopend proces, niet een jaarlijks stressmoment.

    Met CompliTrack plan je audits eenvoudig in, koppel je bevindingen aan acties en houd je overzicht over alle lopende verbeteringen.

    Conclusie: audit zonder stress

    De interne audit ISO 9001 hoeft geen hoofdpijndossier te zijn. Met een vaste planning, objectieve uitvoering en zichtbare opvolging verander je een controle-moment in een motor voor verbetering.

    Wil je direct aan de slag? Neem dan contact met ons op voor een gratis en vrijblijvende kennismaking en maak van jouw volgende audit een kans om te groeien.

    Verder lezen

    Tip: Plan vandaag nog de eerste audit van het komende jaar. Begin klein, documenteer wat je leert en bouw van daaruit verder. Zo groeit auditen vanzelf uit tot iets dat niet voelt als een verplichting, maar als bewijs dat je bedrijf continu beter wordt.

  • Klachten zijn geen fouten, maar wij behandelden ze wel zo

    Klachten zijn geen fouten, maar wij behandelden ze wel zo

    De auditor keek me aan met een lichte glimlach.

    “Hoe gaan jullie om met klachten?”

    “Met klachten?” vroeg ik. “We houden al onze incidenten netjes bij. Niets ontsnapt aan het overzicht.”

    “Ik bedoel niet wat u registreert,” zei hij rustig. “Ik bedoel wat u ermee doet.”

    Die opmerking bleef hangen. Niet omdat we iets fout deden, maar omdat we dachten dat bijhouden hetzelfde was als begrijpen. Onze lijsten stonden vol cijfers en beschrijvingen, maar zonder context, zonder lering.

    En dáár ging het de auditor om. Niet over definities, maar over betekenis. Want kwaliteitsmanagement draait niet om wat je noteert, maar om wat je ervan leert.

    Waarom klachten belangrijker zijn dan je denkt

    Het woord klacht roept bij veel bedrijven direct spanning op. “We doen toch ons best?” of “Die klant overdrijft gewoon.” Toch zijn klachten geen lastposten, maar waarschuwingslampjes. Ze laten zien waar verwachtingen niet helemaal op elkaar aansluiten.

    Een klacht is geen aanval. Het is een signaal. Een kans om te ontdekken wat klanten écht ervaren en waar processen beter kunnen.

    Juist in kleine teams zonder aparte kwaliteitsafdeling is dat goud waard. Je kunt snel reageren, direct verbeteren en zichtbaar maken dat je klantgericht werkt. Het vraagt alleen één ding: overzicht.

    Waarom klachten vaak onzichtbaar blijven

    In de praktijk verdwijnen de meeste klachten tussen e-mails, telefoontjes en losse gesprekken. “Het is opgelost” betekent vaak “we hebben het afgevinkt”, niet “we hebben ervan geleerd”.

    Een paar herkenbare situaties:

    • Een klant belt omdat een levering te laat is. De medewerker regelt het, maar noteert niets.
    • Een rapportage bleek onvolledig. De fout wordt hersteld, maar niemand onderzoekt waarom.
    • Een medewerker signaleert een terugkerend probleem, maar het blijft bij een opmerking in de kantine.

    Zo herhalen dezelfde fouten zich, zonder dat iemand het doorheeft. Niet uit onwil, maar omdat er geen systeem is dat klachten, afwijkingen en verbeterpunten met elkaar verbindt.

    Klacht, afwijking en verbetermogelijkheid. Drie vormen van leren

    In kwaliteitsmanagement kom je drie begrippen vaak tegen: klacht, afwijking en verbetermogelijkheid. Ze lijken op elkaar, maar vullen elkaar aan.

    1. De klacht

    Komt van buitenaf: een klant, leverancier of partner is ontevreden. Het is feedback uit de praktijk. Wie luistert, ontdekt waar verwachtingen niet overeenkomen met de realiteit.

    2. De afwijking

    Ontstaat intern: iets is niet volgens afspraak gegaan. Misschien is een controle overgeslagen of is een document niet goedgekeurd. Het is een signaal dat processen niet werken zoals bedoeld.

    3. De verbetermogelijkheid

    Komt voort uit de eerste twee: het moment waarop je denkt: “hoe kunnen we dit slimmer doen?”. Dat kan gaan over techniek, communicatie of samenwerking.

    Samen vormen ze de motor van continu verbeteren. Een klacht kan leiden tot een afwijking, en die afwijking tot een verbeteridee. Het zijn drie kanten van hetzelfde leerproces.

    Van registreren naar begrijpen: de kern van ISO 9001

    ISO 9001 zegt eigenlijk iets heel eenvoudigs:

    “Een organisatie moet leren van wat er misgaat.”

    De norm vraagt geen dikke handboeken, maar structuur en aantoonbaarheid. In de praktijk betekent dat vijf logische stappen:

    1. Klachten ontvangen – Weet waar signalen binnenkomen en wie ze registreert.
    2. Begrijpen wat er speelt – Onderzoek de oorzaak, niet alleen het gevolg.
    3. Actie ondernemen – Herstel de fout en communiceer met de klant.
    4. Evalueren – Controleer of de actie het probleem écht heeft opgelost.
    5. Leren en verbeteren – Gebruik de inzichten om processen te versterken.

    Niet het formulier telt, maar het leervermogen. Auditors willen zien dat je begrijpt wat er gebeurt en dat je niet alleen het symptoom herstelt, maar de bronoorzaak wegneemt.

    Meer weten over audits? Lees ook: De initiële ISO-audit: stapsgewijze gids naar ISO-certificering

    Van klacht naar inzicht: hoe CompliTrack helpt

    Veel bedrijven beginnen met de beste bedoelingen: een Excel-lijst voor afwijkingen, een mapje voor klachten, actiepunten in e-mail. Tot het overzicht verdwijnt.

    CompliTrack helpt om klachten, afwijkingen en verbeteringen samen te brengen in één overzichtelijke workflow.

    Stel je voor:

    Een klant belt omdat een levering te laat is. In CompliTrack maak je met één klik een klachtmelding aan, gekoppeld aan het proces orderverwerking en de betrokken leverancier. Je wijst een collega aan om de oorzaak te onderzoeken, voegt de taak toe (“aanpassing leveringsplanning”) en markeert de melding als opgelost zodra de verbetering is doorgevoerd.

    Bij de audit toon je in één overzicht: klacht -> oorzaak -> actie -> resultaat.

    Geen losse bestanden meer, maar direct inzicht in hoe je leert van wat er misging.

    CompliTrack maakt het verschil tussen “we lossen het op” en “we leren ervan.”

    Wil je verder lezen? Bekijk dan: Continu verbeteren: zo helpt CompliTrack jouw bedrijf vooruit

    De kracht van een goed klachtenproces

    Een klacht is geen bewijs dat je iets fout hebt gedaan, maar dat iemand de moeite neemt om feedback te geven. Organisaties die klachten serieus nemen, winnen vertrouwen.

    Klanten zien niet dat je nooit fouten maakt, maar dat je professioneel reageert wanneer het wél gebeurt. Een goed klachtenproces vergroot klantvertrouwen, voorkomt herhaling van fouten en voedt structurele verbetering.

    Conclusie: van klacht naar kracht

    De vraag van de auditor bleek geen semantische discussie, maar een spiegel. Niet om fouten te vinden, maar om te zien of we begrijpen wat klachten ons proberen te vertellen.

    Een klacht, een afwijking en een verbetermogelijkheid zijn drie kanten van dezelfde medaille: groei.

    Met de juiste structuur – en een hulpmiddel als CompliTrack – wordt klachtenafhandeling geen last, maar een kans om sterker te worden.

    Dus als de auditor de volgende keer vraagt: “Hoe gaan jullie om met klachten?”

    Dan is het antwoord heel eenvoudig: “We luisteren, we leren en we verbeteren. Elke dag opnieuw.

    Verder lezen

  • Business Continuity: eenvoudige BIA & BCP in 5 stappen

    Business Continuity: eenvoudige BIA & BCP in 5 stappen

    Maandagochtend, 08:47 uur. De telefooncentrale ligt eruit, orders komen niet meer binnen en de klantenservice zit met de handen in het haar. Iedereen doet z’n best om het probleem op te lossen, maar niemand weet precies wat er moet gebeuren. Herkenbaar?

    Veel bedrijven ontdekken pas tijdens een incident hoe kwetsbaar ze zijn. Niet omdat er geen inzet is, maar omdat er geen plan is. Business continuity – of bedrijfscontinuïteit – lijkt vaak iets voor grote organisaties met crisisteams en procedures. In werkelijkheid gaat het om één eenvoudige vraag: kan jouw bedrijf draaien als er iets onverwachts gebeurt?

    In deze blog leggen we uit wat business continuity inhoudt, hoe de ISO 22301-norm structuur biedt, en hoe je met een praktische aanpak in vijf stappen een effectief continuïteitsplan opzet. Zonder dikke handboeken of dure trajecten.

    Wat business continuity écht betekent

    Business continuity draait om het vermogen van je organisatie om door te gaan bij verstoringen. Denk aan stoomuitval, ziekte van een sleutelmedewerker, een cyberaanval of een leverancier die plots uitvalt.

    Belangrijk: bedrijfcontinuïteit gaat verder dan IT.

    Het gaat over mensen, communicatie en afhankelijkheden. Over wat er gebeurt als één schakel tijdelijk wegvalt.

    Het doel is niet om elk risico te voorkomen, maar om voorbereid te zijn. Wie van tevoren weet wat kritiek is en waar de grootste kwetsbaarheden liggen, kan snel reageren, schade beperken en klanten blijven bedienen.

    ISO 22301: structuur zonder verplichting

    De internationale norm ISO 22301 beschrijft hoe organisaties continuïteit structureel kunnen organiseren. De norm helpt om risico’s te begrijpen, processen te herstellen en verantwoordelijkheden te verdelen.

    Een certificering is niet verplicht om er voordeel uit te halen. Zelfs zonder officiële audit biedt ISO 22301 houvast doordat je:

    • In kaart brengt welke processen kritiek zijn,
    • Begrijpt waar risico’s samenkomen, en
    • Leert hoe je testen en verbeteren onderdeel maakt van je werk.

    Voor kleinere organisaties is dat bijzonder waardevol: je krijgt structuur, zonder onnodige complexiteit.

    De praktische gids: in 5 stappen naar een werkbaar continuïteitsplan

    1. Begin met een Business Impact Analyse (BIA)

    Een Business Impact Analyse helpt je bepalen wat écht belangrijk is voor je organisatie. Je brengt in kaart welke processen, teams, middelen of leveranciers essentieel zijn en hoe lang je ze kunt missen voordat het schadelijk wordt.

    Stel per proces drie vragen:

    1. Wat gebeurt er als dit proces stilvalt?
    2. Hoe lang mag dat duren voordat de schade te groot wordt (Recovery Time Objective)?
    3. Welke middelen, mensen of leveranciers heb ik nodig om dit proces draaiende te houden?

    Voorbeeld:

    • Orderverwerking ligt plat door een systeemstoring. Binnen één dag merken klanten het; na twee dagen verlies je omzet.
    • Marketing kan gerust een week stilliggen zonder grote gevolgen.
    • IT-beheer is kritisch, want meerdere processen zijn ervan afhankelijk.

    Je kent zo een waarde toe aan elk onderdeel: Kritiek, Hoog, Gemiddeld of Laag. Die waardering vormt de basis voor de volgende stap, want de BIA bepaalt hoe zwaar de impact zal zijn als er iets mis gaat.

    De BIA bepaalt wat belangrijk is. De risicoanalyse laat zien waardoor dat belangrijke stuk in gevaar kan komen.

    2. Koppel risico’s en kwetsbaarheden aan je BIA

    De tweede stap is het inzichtelijk maken van waardoor je kritieke processen kunnen uitvallen. De BIA vertelt je wat belangrijk is, de risicoanalyse vertelt je wat het bedreigt.

    Wanneer een proces in de BIA als kritiek is aangemerkt, betekent dat dat elk risico dat dit proces raakt, in principe ook een hoge impactscore krijgt, tenzij je maatregelen neemt om de impact te beperken.

    Voorbeeld:

    Kritisch proces (uit BIA)KwetsbaarheidRisicoImpact voor maatregelBeheersmaatregelVerwachte impact na maatregel
    OrderverwerkingEén server zonder back-upSysteemstoring / dataverliesKritiekBack-upserver + automatische back-upMiddel
    KlantenserviceSleutelmedewerker afwezigOnbereikbaarheid klantenHoogVerachtingsschema + belscriptsLaag
    LeveringEnkele transportpartnerTransportstakingHoogAlternatieve partnercontractenGemiddeld

    De waarde uit de BIA bepaalt dus direct de impactwaarde in de risicoanalyse.
    Een kritiek proces zonder maatregelen = kritische impact.
    Een goed beveiligd proces = lagere impact.

    In de praktijk kan context (zoals seizoenspieken of contractuele verplichtingen) de impact verder beïnvloeden, maar dit principe helpt om snel de juiste prioriteiten te stellen.

    3. Stel beheersmaatregelen vast

    Zodra duidelijk is welke risico’s de grootste bedreiging vormen, bepaal je wat je eraan kunt doen. Beheersmaatregelen kunnen technisch, organisatorisch of menselijk zijn. Ze hoeven niet groot of duur te zijn, als ze maar effectief zijn.

    Voorbeelden:

    • IT & data: automatische back-ups, noodstroomvoorziening, dubbele internetverbinding.
    • Mensen: vervangingsschema’s, duidelijke rolverdeling bij incidenten.
    • Leveranciers: alternatieve leveranciers, voorraadbuffers.
    • Communicatie: vooraf klaarliggende berichten voor klanten en partners.

    Een maatregel verlaagt meestal de impact, soms ook de kans. Bijvoorbeeld: een extra back-upserver verlaagt de kans op uitval én de impact als het toch misgaat.

    4. Ontwikkel en implementeer het Business Continuity Plan (BCP)

    Een Business Continuity Plan beschrijft wie wat doet bij een verstoring. Het is de vertaling van je analyse naar concrete acties.

    Een goed BCP bevat:

    • Kritieke processen: wat moet als eerste hersteld worden?
    • Contactpersonen: wie is verantwoordelijk voor welke actie?
    • Herstelprocedures: hoe worden processen opnieuw opgestart?
    • Communicatieplan: hoe informeer je medewerkers, klanten of leveranciers?

    Een BCP hoeft geen lijvig document te zijn. Een plan van vijf pagina’s dat iedereen begrijpt, is waardevoller dan een map die niemand openslaat.

    Zorg dat het plan actueel blijft, op een vaste plek te vinden is en dat mensen weten wat hun rol is bij een incident.

    5. Test, evalueer en verbeter – de PDCA-cyclus

    Een plan dat niet getest wordt, is in de praktijk weinig waard. Daarom is testen en verbeteren essentieel: de PDCA-cyclus (Plan-Do-Check-Act) houdt continuïteit levend.

    • Plan: Stel je plan op op basis van je BIA en risicoanalyse;
    • Do: Test het plan met een oefening of simulatie;
    • Check: Evalueer wat werkte en wat niet. Kwam de impact overeen met de verwachting?
    • Act: Pas de maatregelen aan waar nodig.

    Begin klein. Test bijvoorbeeld eens wat er gebeurt als je een dag zonder internet werkt, of simuleer de uitval van een sleutelmedewerker. Zo ontdek je knelpunten zonder dat de bedrijfsvoering echt in gevaar komt.

    Hoe CompliTrack helpt om continuïteit beheersbaar te maken

    Overzicht is vaak de grootste uitdaging. In veel bedrijven staat de BIA in Excel, de risicoanalyse in Word en de actiepunten in e-mails. Een tool als CompliTrack brengt dat samen in één omgeving.

    Je hoeft geen expert te zijn: CompliTrack is een hulpmiddel om risico’s, maatregelen en acties overzichtelijk te beheren.

    StapWat CompliTrack doet
    BIA uitvoerenLeg per proces vast wat kritiek is en welke afhankelijkheden bestaan.
    Risico’s koppelen aan BIAGebruik de BIA-waardering als uitgangspunt voor de impactscore van risico’s.
    Beheersmaatregelen beherenRegistreer maatregelen, wijs verantwoordelijken toe en monitor voortgang.
    Periodieke controlesStel automatische taken in voor tests, reviews en updates van het BCP.
    Documentatie en bewijslastAlles centraal vastgelegd, direct aantoonbaar bij audits of klantvragen.

    Zo wordt bedrijfscontinuïteit niet een eenmalig project, maar een doorlopend proces dat automatisch geborgd is.

    Conclusie: continuïteit is geen luxe, maar een verantwoordelijkheid

    Business continuity is geen groot strategisch plan, maar een manier om voorbereid te zijn. Wie inzicht heeft in zijn belangrijkste processen, begrijpt automatisch waar de echte risico’s liggen. Met ISO 22301 als richtlijn, een praktische aanpak in vijf stappen en ondersteuning van een toegankelijke tool zoals CompliTrack, blijft continuïteit beheersbaar voor elke organisatie, groot of klein.

    Wil je weten hoe jouw bedrijf eenvoudiger grip krijgt op continuïteit? Plan een vrijblijvende demo met CompliTrack en ontdek hoe je voorbereid blijft, zonder onnodige complexiteit.

  • Toen onze leverancier uitviel, viel ons plan ook stil

    Toen onze leverancier uitviel, viel ons plan ook stil

    We hadden alles onder controle. Althans, dat dachten we. De productie liep strak volgens planning, de voorraad was op orde en de leveringen aan klanten liepen soepel. Totdat op een dinsdagochtend om half acht de telefoon ging. Onze vaste leverancier – al jaren een betrouwbare partner – had brand gehad. Magazijn onbruikbaar, transport plat, communicatie stil. En wij? We hadden geen idee wat we moesten doen.

    Binnen een uur stond het hele kantoor op zijn kop. Orders die diezelfde dag de deur uit moesten, kwamen stil te liggen. Klanten begonnen te bellen: “Jullie leveren toch wel op tijd?”

    We probeerden alternatieven te vinden, maar ontdekten dat we te afhankelijk waren van één partij. De frustratie sloeg om in schaamte. We hadden dit scenario nooit serieus doordacht.

    Toen het stof eenmaal neerdaalde, zagen we waar het echt misging: niet bij de brand van onze leverancier, maar bij het ontbreken van onze eigen veerkracht.

    Continuïteit is meer dan IT

    Bij bedrijfscontinuïteit denken veel mensen meteen aan servers, back-ups en cyberaanvallen. Maar de echte risico’s liggen vaak dichter bij de dagelijkse praktijk. Wat gebeurt er als een leverancier uitvalt, een belangrijke klant niet betaalt of een medewerker met cruciale kennis langdurig ziek wordt?

    Geen van die scenario’s heeft iets met IT te maken. Ze raken de kern van je bedrijfsvoering: productie, mensen, dienstverlening. Continuïteit gaat dus niet voer techniek, maar over het vermogen om door te blijven draaien, wat er ook gebeurt.

    Van herstel naar voorbereiding

    De dagen na het incident waren chaotisch. We belden, schoven met planningen en zochten naar noodoplossingen. Na vier dagen vonden we een tijdelijke vervanger, tegen twintig procent hogere kosten en met veel nachtwerk. De schade bleef beperkt, maar de stress was enorm.

    Toen we later met het team terugblikten, werd duidelijk dat er één rode draad was: we hadden geen proces om dit soort situaties op te vangen. Geen lijst van leveranciers, geen scenario’s, geen vooraf vastgestelde verantwoordelijkheden. We waren niet nalatig of onverschillig, we waren gewoon onvoorbereid.

    Waarom ondernemers continuïteit onderschatten

    Continuïteit voelt abstract zolang alles goed gaat. De dagelijkse druk wint het van de voorbereiding, routine sust het risico en beperkte middelen zorgen ervoor dat het onderwerp naar de achtergrond verdwijnt. En we denken al snel dat continuïteitsplanning iets is voor grote organisaties met aparte risk-afdelingen. Tot de dag dat het niet zo is.

    Voor kleinere bedrijven kan één verstoring het verschil maken tussen overleven en omvallen. Juist daarom is veerkracht geen luxe, maar noodzaak.

    Wat een Business Continuity Plan écht doet

    Een Business Continuity Plan (BCP) klinkt groot, maar is in de kern heel eenvoudig: een plan dat vastlegt wat er moet gebeuren als iets cruciaals wegvalt.

    Een goed BCP beschrijft vier dingen:

    1. Wat er écht moet gebeuren om je bedrijf draaiende te houden,
    2. Wie beslissingen neemt en wie communiceert met klanten en leveranciers,
    3. Welke alternatieven of noodvoorzieningen klaar staan,
    4. Welke eerste acties binnen 24 uur worden uitgevoerd om de schade te beperken.

    Zo’n plan hoeft geen dik handboek te zijn. Sterker nog: hoe eenvoudiger, hoe beter. Het moet bruikbaar zijn in de hectiek van het moment.

    Kleine stappen, groot effect

    Na de brand besloten we onze risico’s in kaart te brengen. Geen ingewikkelde exercitie, gewoon met een whiteboard en een uur tijd. We stelden onszelf drie vragen: wat zijn de grootste risico’s die ons bedrijf kunnen stilleggen, hoe groot is de kans dat ze optreden en wat kunnen we nú doen om voorbereid te zijn?

    Dat leverde verrassend concrete acties op. We legden een tweede leverancier vast voor kritieke grondstoffen, spraken af dat we de kredietwaardigheid van grote klanten periodiek controleren en maakten vervangingsafspraken voor sleutelrollen bij ziekte. Ook oefenden we één keer per kwartaal een noodcommunicatie: wie belt wie als het misgaat?

    Binnen twee weken hadden we een praktisch plan. Geen map in een la, maar een document dat we actief gebruiken en regelmatig actualiseren. We blokten wekelijks twintig minuten om de status te checken en kleine bijstellingen te doen; dat ritme kost weinig tijd en voorkomt terugval.

    De rol van compliance en borging

    Voor veel ondernemers voelt dit als gezond verstand. Voor compliance-officers is het daarnaast een kwestie van aantoonbaarheid: kunnen we laten zien dat we risico’s kennen, dat er controles plaatsvinden en dat maatregelen periodiek worden beoordeeld?

    Maak je continuïteitsplan onderdeel van je managementcyclus. Plan elke maand een korte review, leg besluiten vast in een logboek en bewaar testnotities, bijvoorbeeld van een belboom-oefening. Zo blijft het onderwerp toetsbaar én levend.

    Wie verder wil lezen over risicoborging en aantoonbaarheid, vindt praktische voorbeelden in onze blog De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    ISO 22301: structuur zonder bureaucratie

    Voor wie meer houvast wil, biedt ISO 22301, de internationale norm voor bedrijfscontinuïteitsmanagement, een stevig maar praktisch kader. Andrees dan ISO 27001 richt deze zicht op het héle bedrijf: processen, mensen, locaties en leveranciers.

    Het mooie is dat certificering niet nodig is om voordeel te halen uit deze aanpak. ISO 22301 biedt vooral structuur en herhaalbaarheid: je identificeert risico’s systematisch, bepaalt wat écht kritisch is via een Business Impact Analyse en borgt dat je plan wordt getest en verbeterd.

    Of je nu een productiebedrijf, zorginstelling of adviesbureau bent: het principe blijft hetzelfde. Weet waar je kwetsbaar bent en beslis vooraf wat je doet als het misgaat.

    Continuïteit als onderdeel van de bedrijfscultuur

    Een plan op papier is waardevol, maar het wordt pas echt effectief als het leeft binnen de organisatie. Continuïteit is geen checklist, het is een houding. Dat betekent: medewerkers betrekken, successen delen en open praten over wat er fout ging.

    Tijdens de periode na het incident merkten we hoe krachtig die betrokkenheid is. Medewerkers die normaal niets met inkoop te maken hadden, zochten zelf naar alternatieven. Collega’s dachten mee over hoe we klanten konden informeren. Die gedeelde verantwoordelijkheid maakte het verschil tussen chaos en controle.

    Technologie als hulpmiddel, niet als redder

    Hoewel ons verhaal niets met IT te maken had, speelt technologie wel een rol bij het vasthouden van structuur. Met een toegankelijke GRC-tool zoals CompliTrack leg je risico’s, acties en periodieke reviews vast. Zo blijft continuïteit geen eenmalig project, maar een vast ritme in je organisatie.

    De belangrijkste les

    Toen onze leverancier uitviel, hadden we geen controle. Nu weten we beter: veerkracht bouw je niet in crisistijd, maar in rustiger water.

    Een goed continuïteitsplan voorkomt niet dat er iets misgaat, maar zorgt ervoor dat je weet wat je moet doen als het gebeurt. Dat is het verschil tussen overleven en ondergaan.

    En wie nog geen plan heeft, kan klein beginnen. In onze blog van donderdag laten we zien hoe je in vijf haalbare stappen een Business Impact Analyse en BCP opzet die past bij jouw organisatie. Inclusief voorbeeldvragen en een bondig BCP-skelet.