Tag: awareness

  • Hoe 52 cadeaubonnen onze compliance onderuit haalden

    Hoe 52 cadeaubonnen onze compliance onderuit haalden

    We hadden het allemaal goed geregeld. Dacht ik.

    Ik weet nog hoe opgelucht ik, als Security Officer, was toen het ISO-certificaat binnen was. De trainingen waren afgerond, het beleid stond scherp. De eLearning zat in het systeem, elk jaar netjes op herhaling. Iedereen door de quiz. Certificaatje binnen. Vinkje erbij.

    We dachten: we zijn compliant. Veilig. Goed bezig.

    Tot het misging.

    Een collega kreeg een bericht van iemand die zich voordeed als onze CEO. Zijn naam, zijn e-mailadres (of iets dat er sterk op leek), zijn toon. De boodschap? “Laten we het personeel bedanken voor hun inzet.” Het verzoek: cadeaubonnen voor 52 medewerkers, ieder ter waarde van 50 euro.

    Alles was professioneel opgezet: bedrijfslogo, KvK-nummer, zelfs een link naar onze echte website. En heldere instructies voor het aanschaffen en versturen van de codes.

    De collega twijfelde even. Maar hij kende onze CEO als daadkrachtig. Dus hij handelde. Kocht de bonnen. Stuurde de codes. Naar de oplichter.

    En het geld? Dat was weg.

    Eerst dacht ik: menselijke fout. Maar het was ons systeem dat faalde.

    In eerste instantie voelde ik vooral medelijden. En ook schaamte. Want deze collega deed precies wat we vaak waarderen: initiatief nemen, meedenken, handelen zonder onnodige vertraging. Geen klager, geen dromer – maar een doener.

    Maar hoe langer ik erover nadacht, hoe duidelijker het werd: dit was geen individueel falen. Dit was een structurele zwakte. Een omgeving waarin te weinig ruimte was voor twijfel. Waarin procedures er wel zijn, maar niet leven.

    Als dit zó makkelijk mis kon gaan, hadden we een groter probleem dan één verkeerde beslissing.

    Was ging er mis?

    1. Onze compliance zat in documenten, niet in gedrag
      Onze inkooprichtlijnen stonden ergens op SharePoint. Gedragsregels waren formeel vastgelegd. Maar ze leefden niet. Niemand sprak erover. Niemand herkende ze in z’n werk.
    2. Awareness was een verplicht nummer, geen bewustzijn
      De eLearning draaide om basisprincipes. Klik niet op linkjes. Download geen bijlagen. Let op verdachte afzenders. Allemaal relevant, maar het bood geen bescherming tegen slimme aanvallen op vertrouwen en loyaliteit. Deze aanval speelde zich niet af op de IT-laag, maar op de relationele laag. Dáár waar het risico zat. En daar had onze training geen antwoord op.

      Lees ook: Wat is een ISMS en waarom het belangrijk voor jouw bedrijf – hoe je bewustwording, processen en gedrag structureel verankert.
    3. Er was geen ruimte voor twijfel
      De collega voelde wel dat het vreemd was. Maar hij kende de werkdruk. En dacht: “Ik wil het goed doen. Niet vertragen. Niet lastig zijn.” We hadden geen cultuur waarin je kon zeggen: “Mag ik dit even checken?” – zonder het gevoel dat je werd weggezet als traag of onzeker.
    4. Er was geen vangnet.
      Geen proces voor uitzonderlijke betaalverzoeken. Geen check op afwijkende e-mails. Geen tussenstap die hem had kunnen beschermen. We hadden het risico nooit expliciet onderkend – laat staan benoemd.

      Meer hierover lees je in: De risicoanalyse: een onmisbaar instrument voor elke ondernemer – waarom risico’s zoals deze pas zichtbaar worden als je ze vooraf definieert.

    Vinkjes bouwen geen veiligheid

    We hadden de ISO’s. We hadden de eLearning. We hadden beleid. En toch: toen het spannend werd, had niemand iets aan die papieren zekerheden. Want gedrag verander je niet met regels. Gedrag verander je met cultuur.

    Een veilige organisatie vraagt méér dan procedures. Het vraagt om ruimte voor twijfel. Voor een opgetrokken wenkbrauw. Voor het gesprek. Voor een “Hé, dit voelt raar, mag ik dit checken?” zonder dat iemand zucht of met de ogen rolt.

    Ik zag het te laat. Maar ik zag het.

    Wat we sindsdien anders doen

    We hebben de technische maatregelen aangescherpt. Maar de echter verandering zit in hoe we samenwerken.

    Concreet:

    • Soft controls zijn nu onderdeel van ons risicomanagement. We meten cultuur, organiseren dilemma-workshops en maken psychologische veiligheid bespreekbaar.
    • Digitale inkoop boven een bepaald bedrag? Altijd met dubbele controle. En ja, ook voor cadeaubonnen.
    • Onze eLearning is herschreven. Geen abstracte animaties meer. We gebruiken scenario’s die écht kunnen gebeuren. Zoals dit.
    • Twijfel melden is niet optioneel meer. We hebben een proces van één minuut waarin twijfel net zo serieus wordt genomen als incidenten.

    We zijn niet immuun. Maar we zijn wakker.

    Deze fout? Die kan iedereen overkomen. Ook ons. Zeker in een drukke organisatie met loyale mensen die snel willen schakelen.

    En dat is precies waarom compliance niet in de kast hoort te liggen. Maar op de werkvloer. In het gesprek. In het gedrag.

    Het is pijnlijk om te beseffen dat onze trainingen mensen niet beschermden. Maar het is ook het moment waarop ik besefte: we kunnen beter. We móeten beter.

    Onze grootste zwakte was niet wat we níét wisten, maar wat we dachten al geregeld te hebben.

    En sindsdien ben ik niet op zoek naar perfectie. Alleen naar eerlijkheid. En een beetje meer gezonde twijfel.

    NB: Dit is een hypothetisch voorbeeld, gebaseerd op realistische scenario’s – geïnspireerd op situaties die zich elders in de praktijk hebben voorgedaan.

    Wil je zeker weten dat jouw team niet op goed vertrouwen struikelt?

    Lees donderdag hoe je soft controls – zoals cultuur, voorbeeldgedrag en ruimte voor twijfel – vertaalt naar een praktisch en meetbaar onderdeel van je GRC-aanpak.