Tag: compliance

  • Ethische besluitvorming in kleine organisaties: hoe een goed besluit toch verkeerd uitpakte

    “Kunnen jullie ons laten zien welke patronen jullie zien in de oorzaken van meldingen, zodat we de dienstverlening kunnen verbeteren?”

    Dat was de vraag van een nieuwe klant. Ze wilden begrijpen waarom sommige processen vastliepen en welke meldingen voorafgingen aan vertragingen. De organisatie had de informatie gewoon in huis: wachttijden in het CRM-systeem, interne meldingen in het ticketsysteem en een Excelbestand met oorzaken van klachten. Het combineren van de datasets is in de dienstverlening heel normaal, dus de vraag leek eenvoudig te beantwoorden.

    Een collega stelde voor om de drie datasets samen te voegen tot één analyse. Technisch was dat zo gedaan en het leek prima te passen binnen het bestaande werkproces. Niemand zag direct risico’s. De klant wilde snel resultaat, dus het besluit werd genomen.

    Tot zover niets spannends.

    Waarom deze dataset tóch gevoelig werd

    Wat in de vergadering niet expliciet werd besproken, was de aard van sommige meldingen. Het ticketsysteem bevatte namelijk niet alleen procesmeldingen of technische klachten. Klanten deelden daar ook persoonlijke situaties, problemen in communicatie, ervaringen met medewerkers en soms zelfs gezondheidsinformatie of andere gevoelige omstandigheden.

    Normaal bleef dit binnen een klein intern team. Maar bij het combineren van datasets gaat die scheiding onvermijdelijk verloren. Niet inhoudelijk, maar in hoe de gegevens in analyses terugkomen. Als je zelf werkt met klantmeldingen, herken je waarschijnlijk hoe snel gevoelige informatie onderdeel wordt van wat in dashboards simpelweg “data” heet.

    Dat maakt data-analyse op zichzelf niet verkeerd, maar het vraagt wel dat je bewust kijkt naar wat er gebeurt met informatie die klanten in vertrouwen delen.

    Hoe de data uiteindelijk verkeerd terechtkwam

    De gecombineerde dataset werd gebruikt voor wat hij bedoeld was: een trendanalyse voor de klant. De analyse liet keurig zien welke processen vertraging veroorzaakten en welke types meldingen daaraan voorafgingen. De klant was tevreden.

    Daarna belandde de analyse in een intern dashboard. Niet publiek, maar wel toegankelijk voor andere teams. Het marketingteam ontdekte dat bepaalde categorieën meldingen vaker voorkwamen bij klanten die later overstapten naar een concurrent. Dat vonden ze waardevolle informatie voor een campagne die gericht was op het voorkomen van klantverlies.

    Wat marketing niet wist, was dat sommige van die meldingen indirect verwezen naar persoonlijke of vertrouwelijke situaties. Voor de data-analist was dit een anoniem datapunt, maar voor de klant was het een gevoelig verhaal dat hij nooit als marketinginput had bedoeld.

    Toen één van die klanten een opvallend gericht aanbod kreeg, voelde hij zich ongemakkelijk. Hij herkende elementen uit een melding die hij eerder had gedaan en vroeg zich af hoe zijn informatie op deze manier was gebruikt. Het was geen datalek, geen schending van systemen en op het eerste gezicht leek er zelfs weinig mis met de verwerking zelf. Maar ethisch zat het anders: de klant had dit niet kunnen verwachten.

    De ethische fout: niet technisch, maar verwachtingsgericht

    De fout zat niet in de techniek, maar in het ontbreken van een bewuste afweging. De organisatie keek naar wat technisch kon en praktisch nuttig was, maar niet naar wat de klant redelijkerwijs zou verwachten.

    Dat kwam neer op vier zaken:

    1. De oorspronkelijke uitvraag ging over procesverbetering, niet over commerciële zaken.
    2. De dataset bevatte meldingen met vertrouwelijke details die nooit bedoeld waren voor hergebruik.
    3. De analyse kwam in een gedeeld dashboard terecht zonder duidelijke uitleg over de gevoeligheid van de brondata.
    4. Marketing gebruikte de inzichten zonder te weten dat sommige meldingen meer waren dan “klachtcategorieën”.

    Het commerciële gebruik was dus niet kwaadwillend, maar wél onverwacht vanuit klantperspectief. En precies daar wringt ethiek: kun je uitleggen aan de klant waarom je deze informatie op deze manier hebt gebruikt.

    Waarom dit soort situaties zo makkelijk ontstaan

    Als je in een kleinere organisatie werkt, herken je waarschijnlijk hoe dit gebeurt. Rollen overlappen, teams werken pragmatisch en beslissingen moeten vaak snel genomen worden. In die dynamiek ontstaan situaties waarin:

    • Een technisch logische keuze onverwachte gevolgen heeft,
    • Gevoelige informatie onderdeel wordt van dashboards,
    • Verschillende teams dezelfde data anders interpreteren,
    • En niemand expliciet bewaakt of het gebruik past bij de bedoeling.

    Dat is geen kwestie van onzorgvuldigheid, maar van het ontbreken van vaste momenten waarop je stil staat bij de impact van een besluit op vertrouwen.

    Ethische besluitvorming als onderdeel van normaal werk

    Ethische besluitvorming hoeft niet zwaar of theoretisch te zijn. Vaak helpt het al om een paar eenvoudige vragen te stellen wanneer je besluiten neemt over data:

    • Zitten er elementen in deze dataset die gevoelig zijn of in vertrouwen zijn gedeeld.
    • Kan deze analyse, zelfs indirect, leiden tot iets wat een klant anders interpreteert dan bedoeld.
    • Zou ik dit gebruik van data kunnen uitleggen aan een klant die de melding heeft gedaan.
    • Moeten teams die de analyse gebruiken weten waar de data vandaan komt.

    Als je deze vragen vroeg in het proces stelt, ontstaat er vanzelf duidelijkheid. Dan kun je bijvoorbeeld ervoor kiezen om meldingen te anonimiseren, bepaalde categorieën uit te sluiten of toegang tot dashboards te beperken.

    Dat maakt het besluit niet zwaarder, maar beter onderbouwd. En het voorkomt verrassingen achteraf.

    Technologie helpt, maar bepaalt niet

    Dashboard, ISMS-tools, kwaliteitsmanagementsystemen en AI-modellen bieden veel waarde. Ze helpen patronen te zien die je anders mist. Maar technologie neemt nooit de morele afweging over. Systemen kunnen niet bepalen of een klant iets als eerlijk of wenselijk ervaart.

    In eerdere blogs over AI-governance en het RAM-schandaal bleek hoe snel verantwoordelijkheid diffuus kan worden als systemen meer bepalen dan mensen beseffen. Juist daarom is het belangrijk dat organisaties blijven nadenken over context, betekenis en verwachting.

    Tools zoals CompliTrack kunnen helpen om inzicht te bieden in risico’s, incidenten en procesverbeteringen. Maar de vraag of een besluit uitlegbaar is, blijft altijd menselijk.

    De kernles van het verhaal

    De fout zat niet in de analyse. Niet in het combineren van datasets. Niet in marketing. De fout zat in een ontbrekende expliciete afweging over wat klanten redelijkerwijs mogen verwachten.

    Data vertelt veel, maar niet wat het betekent voor een klant die vertrouwt op jouw zorgvuldigheid. Ethische besluitvorming maakt dat zichtbaar, zodat je als organisatie niet alleen de juiste dingen doet, maar ze ook op de juiste manier doet.

    In een volgend artikel laat ik zien hoe je ethische risico’s concreet kunt opnemen in je risicobeheer, zodat dit soort dilemma’s eerder zichtbaar worden.

    Lees verder

    Van risico’s naar actie: de volgende stap in effectief risicobeheer
    Hoe je risico’s structureel koppelt aan concrete verbeteracties

    Incidenten registreren én verbeteren: hoe je leert van je fouten
    Over het herkennen van patronen in incidenten en het doorvoeren van structurele verbeteringen.

    We hadden beleid, processen en tools, maar niemand voelde zich verantwoordelijk
    Over het belang van eigenaarschap en gedrag in governance.

    Van toezicht naar vertrouwen: lessen uit het RAM-schandaal voor jouw organisatie
    Wat je kunt leren van situaties waarin technologie, toezicht en verantwoordelijkheid botsen

    AI-governance in de praktijk: hoe je slimme systemen uitlegbaar houdt
    Over het borgen van verantwoordelijkheid bij geautomatiseerde besluitvorming.

  • Eigenaarschap in compliance: zo zorg je dat regels ook echt van iemand zijn

    Eigenaarschap in compliance: zo zorg je dat regels ook echt van iemand zijn

    Veel organisaties geloven dat hun compliance goed geregeld is. Er ligt beleid, processen zijn beschreven en medewerkers weten waar de documentatie staat. Op papier klopt het allemaal.

    Tot er iets gebeurt.

    Een incident blijft liggen. Een auditvraag leidt tot stress omdat informatie niet direct voorhanden is. Of een klant stelt een kritische vraag en niemand weet zeker wie erover gaat. Dan blijkt dat de regels wel bestaan, maar dat het eigenaarschap niet stevig genoeg is.

    Compliance werkt alleen wanneer iemand zich verantwoordelijk voelt. Niet omdat het ergens staat, maar omdat die persoon het oppakt precies op het moment dat dit nodig is.

    In deze blog gaat het over dat gevoel van verantwoordelijkheid. Waarom het vaak wegvalt, en hoe je eigenaarschap kunt organiseren zonder extra lagen, complexe structuren of een grote compliance-afdeling.

    Waarom eigenaarschap doorslaggevend is

    Wanneer naleving hapert, zie je dat het zelden ligt aan kennis of intentie. De oorzaak is bijna altijd dat niemand zich verantwoordelijk voelt. Niet omdat mensen onwillig zijn, maar omdat verantwoordelijkheden diffuse grenzen hebben.

    Veelvoorkomende problemen:

    • Een incident wordt besproken maar niet opgevolgd.
    • Een risicoanalyse wordt gemaakt en daarna niet meer bijgewerkt.
    • Een auditvoorbereiding wordt een race tegen de klok omdat taken nergens zijn toegewezen.
    • Verbeteracties verdwijnen omdat niemand ze langer bewaakt.

    Het gaat niet mis op papier; het gaat mis tussen mensen. Eigenaarschap is dat ene element dat de stap van papieren compliance naar echte naleving maakt.

    De twee lagen onder compliance; hard controls en soft controls

    Elke organisatie werkt, bewust of onbewust, met twee lagen:

    1. Hard controls
      De formele kant: beleid, procedures, maatregelen, regisraties, audits, versiebeheer.
    2. Soft controls
      De gedragskant: houding, voorbeeldgedrag, onderlinge verwachtingen, verantwoordelijkheidsgevoel.

    Soft controls zijn een onderdeel van ISO-normen, maar bepalen wel of die normen in de praktijk werken. Als iemand niet durft te melden, of denkt dat een collega iets wel oppakt, functioneren hard controls slechts gedeeltelijk.

    Zonder soft controls blijft compliance een papieren activiteit. Met soft controls wordt compliance onderdeel van dagelijkse keuzes.

    Waarom eigenaarschap zo makkelijk vervaagt

    Eigenaarschap raakt vaak op de achtergrond door een optelsom van kleine patronen:

    Het is niet helder wie ergens van is

    Wanneer verantwoordelijkheid te breed is (“HR doet privacy”,  “IT doet security”) voelt niemand zich echt verantwoordelijk. Hoe vager de rol, hoe kleiner de kans dat iemand het vanzelf oppakt.

    Er is geen plek waar taken zichtbaar worden

    Zonder gestructureerde registratie raken acties versnipperd. Mails verdwijnen. Excel raakt verouderd, en taken worden ad hoc opgepakt.

    Incidenten voelen als kritiek in plaats van signaal

    Wanneer een incident wordt gezien als fout in plaats van kans, melden mensen minder. Hoe minder informatie, hoe minder eigenaarschap.

    Prioriteit wint altijd van structuur

    Compliance is vaak een rol naast andere werkzaamheden. Zonder ondersteuning wint het urgente altijd van het belangrijke.

    Processen veranderen sneller dan rollen worden bijgewerkt

    Als het werk verandert maar de verantwoordelijkheden niet mee evolueren, ontstaat er snel een mismatch tussen verwachting en werkelijkheid.

    Eigenaarschap vervaagt zelden in één keer. Het verdwijnt langzaam door dagelijkse keuzes, kleine misverstanden en gebrek aan ritme.

    Hoe je eigenaarschap concreet en werkbaar maakt

    Hieronder staan vijf bouwstenen die eigenaarschap versterken zonder complexe reorganisaties of grote systemen.

    1. Houd verantwoordelijkheden klein en duidelijk

    Eigenaarschap ontstaat wanneer iemand precies weet wat er onder zijn of haar verantwoordelijkheid valt. Dit werkt alleen als:

    • één persoon eigenaar is van één onderwerp
    • de verantwoordelijkheid concreet is
    • het verband met risico’s en maatregelen duidelijk is

    Voorbeelden:

    • Niet: “HR is verantwoordelijk voor privacy.”
      Wel: “Eén persoon bewaakt inzageverzoeken en wettelijke termijnen.”
    • Niet: “IT beheert incidenten.”
      Wel: “Eén verantwoordelijke beoordeelt, registreert en sluit beveiligingsincidenten af.”

    Wanneer verantwoordelijkheid persoonlijk is, wordt opvolging vanzelf sterker.

    2. Zorg dat verantwoordelijkheden terugkomen in het dagelijks werk

    Eigenaarschap moet zichtbaar zijn in taken, niet alleen in documentatie.

    Dat betekent:

    • Terugkerende taken plannen
    • Opvolging registreren
    • Acties zichtbaar houden
    • Koppeling maken tussen risico’s en maatregelen
    • Inzicht creëren in wat openstaat en wat afgerond is

    Wanneer verantwoordelijkheden niet in het werkritme zitten, verdwijnen ze. Wanneer ze onderdeel worden van het werk, blijven ze leven.

    3. Gebruik incidenten om processen sterker te maken

    Incidenten laten zien hoe processen écht werken. Je hebt twee manieren om ze te benaderen:

    Als fout:
    De aandacht gaat naar een persoon die iets niet goed deed.

    Als signaal:
    Het incident laat zien waar het proces kwetsbaar is.

    In organisaties waar incidenten worden gezien als feedback op het proces, durven mensen eerder te melden en kunnen eigenaren sneller verbeteren. De kracht zit in de toon van het gesprek: niet “waarom deed jij dit” maar “wat zegt dit over hoe we werken”.

    4. Maak eigenaarschap haalbaar

    Eigenaarschap wordt pas duurzaam wanneer iemand de middelen heeft om het goed uit te voeren. Dat vraagt om:

    • Inzicht in alle relevante informatie
    • Duidelijke verwachtingen
    • Automatisering voor terugkerende taken
    • Actuele documentatie
    • Reminders die het geheugen ontlasten
    • Een werkproces dat niet afhankelijk is van losse lijstjes

    Overzicht is essentieel. Zeker wanneer mensen meerdere rollen tegelijk vervullen. Een lichtgewicht GRC-tool kan hier helpen, niet als extra laag, maar als rustpunt. Niet om nieuwe verplichtingen te introduceren, maar om grip te creëren.

    5. Maak gedrag onderdeel van het gesprek

    Compliance zit in dagelijkse keuzes, niet in documenten. Daarom helpt het om gedrag bespreekbaar te maken in korte, regelmatige momenten:

    • Wat viel je op in incidenten of risico’s?
    • Waar heb je getwijfeld over verantwoordelijkheden?
    • Welke signalen zag je, maar heb je niet opgepakt?
    • Wat heb je nodig om eigenaarschap beter te vervullen?

    Dit zijn geen evaluaties, maar microgesprekken die bewustzijn vergroten. Wanneer gedrag bespreekbaar is, ontwikkelen soft controls zich vanzelf.

    Hoe CompliTrack eigenaarschap ondersteunt

    Een tool creëert geen eigenaarschap, maar het maakt het wél zichtbaar en uitvoerbaar.

    • Risico’s, incidenten en acties krijgen één eigenaar
    • Opvolging wordt automatisch bewaakt
    • Iedereen werkt vanuit dezelfde informatie
    • Auditbewijslast ontstaat tijdens het werk
    • Structuur voorkomt dat verantwoordelijkheden verdwijnen

    Hierdoor wordt eigenaarschap minder afhankelijk van discipline of geheugen en meer van een voorspelbaar proces.

    Conclusie

    Compliance wordt niet sterk door meer beleid of uitgebreidere documentatie. Het wordt sterk wanneer verantwoordelijkheden duidelijk zijn, werkbaar zijn en gedragen worden.

    Eigenaarschap draait uiteindelijk om drie vragen:

    1. Wie is verantwoordelijk
    2. Wat betekent dat in de praktijk
    3. Hoe zorgen we dat deze persoon dat kan waarmaken

    Wanneer je die drie vragen scherp hebt, ontstaat een vorm van compliance die niet alleen op papier werkt, maar in de dagelijkse praktijk voelbaar is.

    Dat is de basis voor rust, transparantie en aantoonbare beheersing.

    Verder lezen

  • Ons grootste compliance-risico bleek geen proces, maar gedrag

    Ons grootste compliance-risico bleek geen proces, maar gedrag

    We waren ervan overtuigd dat alles keurig op orde was. De documentatie stond netjes bijgewerkt, het risicoregister was volledig en onze GRC-tool gaf een overzicht dat er geruststellend uitzag. Processen, maatregelen, acties: alles was ingericht. Op papier leek de organisatie strak en betrouwbaar. Tot de dag van de interne audit.

    De auditor keek naar een maatregel, draaide zich naar ons om en stelde de eenvoudigste vraag die je kunt bedenken: “Wie is hier verantwoordelijk voor?”

    Niemand antwoordde.

    De stilte was niet vijandig of ongeïnteresseerd, maar ongemakkelijk en pijnlijk herkenbaar. Iedereen dacht dat iemand anders het zou oppakken. De auditor hoefde verder niets te zeggen. Het echte risico zat niet in een ontbrekend document of een fout in de tool. Het zat in ons gedrag.

    Op dat moment werd duidelijk dat structuur zonder eigenaarschap geen controle oplevert, maar schijnzekerheid.

    De stille aannames die werkprocessen ondermijnen

    In organisaties waar mensen meerdere verantwoordelijkheden dragen, ontstaan onbewust aannames. Wat niet expliciet is toegewezen, wordt stilzwijgend doorgeschoven. Dat werkt zolang er geen echte druk op staat. Tot een audit, incident of klantvraag dat patroon blootlegt.

    Een treffend voorbeeld was het intrekken van toegang bij offboarding. De procedure was zorgvuldig beschreven. De taak verscheen automatisch in de GRC-tool. Maar in de praktijk ging het mis. IT dacht dat HR het signaal zou geven. HR dacht dat teamleads dit zouden melden. Teamleads dachten dat IT monitoring had.

    De taak bestond wel, maar het eigenaarschap niet. Het was een maatregel die “in het proces zat”, maar niet in ons werkritme. In de blog Van risicoanalyse naar actie lieten we eerder zien hoe kritisch het is dat processen niet alleen bestaan, maar ook gedragen worden. Dit voorbeeld bevestigde dat opnieuw

    Hoe de audit een spiegel werd

    De auditor bladerde verder en wees op een actie die al maanden openstond. “Waarom is deze niet opgevolgd?” vroeg hij.

    Het antwoord was niet in een document te vinden. Het zat in onze gewoontes. De auditor testte niets technisch. Hij testte de meest onderschatte laag van compliance: gedrag.

    Het deed denken aan een eerdere blog, Wat er gebeurde toen onze auditor onaangekondigd langskwam, waarin duidelijk werd hoe snel paniek ontstaat wanneer aantoonbaarheid en uitvoering niet één geheel vormen. Nu zaten we opnieuw op dat punt. Niet omdat processen ontbraken, maar omdat ze niet leefden. De audit maakte zichtbaar dat onze aanpak vooral vanuit structuur was georganiseerd, maar weinig vanuit praktijkgedrag.

    Waarom dit patroon zo vaak voorkomt

    Veel organisaties herkennen dit zonder het hardop te zeggen. Zeker wanneer dezelfde mensen klantafspraken, projecten, audits en interne controles combineren. Processen worden dan wel ingericht, maar niet verankerd. Documentatie wordt bijgewerkt omdat het moet. Acties worden aangemaakt omdat het hoort. Maar de vraag wie voelt zich eigenaar? blijft impliciet.

    In een eerdere blog, Van Excel naar overzicht, zo kies je voor GRC-software, lieten we zien dat tooling werkt wanneer gedrag meegroeit. Het auditmoment bewees hoe waar dat is: geen enkele tool kan compenseren voor onduidelijke afspraken of ontbrekend eigenaarschap.

    De omslag naar echt eigenaarschap

    We besloten het anders te doen. Niet door extra lagen structuur toe te voegen, maar door bestaande processen eenvoudiger en persoonlijker te maken.

    We begonnen met één praktische verandering: per maatregel één eigenaar. Niet een afdeling, maar een persoon. Dat maakte opvolging concreet. Iemand wist voortaan: dit hoort bij mij.

    Daarna creëerden we een vast ritme. Korte, maandelijkse check-ins waarin we procesuitvoering bespraken. Geen lange vergaderingen. Geen presentaties. Gewoon de vraag: “Wat loopt goed? Wat loopt stroef?” Dankzij die eenvoud schoof opvolging niet meer van agenda naar agenda, maar kreeg het een vaste plek.

    Ook herschreven we onze procedures. Minder formele taal, meer voorbeelden uit het werk. Dat lijkt klein, maar het had een groot effect. Mensen die begrijpen wat iets oplevert, voeren het sneller uit. In onze blog ISMS in de praktijk: beleid dat wél werkt beschreven we al hoe begrijpelijke taal het verschil maakt tussen naleven en nalezen.

    Tot slot maakten we melden normaal. Soms is een twijfel of een kleine fout waardevoller dan een incidentmelding. Zodra medewerkers dat merkten, ontstond er meer openheid. Problemen kwamen eerder naar boven en verbeteringen volgden vanzelf.

    Deze vier stappen maakten de basis sterker. Niet omdat we meer deden, maar omdat we bewuster deden.

    Hoe dat zichtbaar werd bij de volgende audit

    Een paar maanden later stond dezelfde auditor weer voor de deur. Hij merkte het verschil direct. We konden helder uitleggen wie verantwoordelijk was voor welke maatregelen. We konden onderbouwen waarom iets gedaan was, of juist niet. Bevindingen uit voorgaande audits waren aantoonbaar opgevolgd.

    Niets daarvan voelde geforceerd. Het was simpelweg logisch geworden. Omdat eigenaarschap logisch was geworden.

    Veel organisaties denken dat audits ingewikkeld zijn, maar vaak zijn ze vooral een spiegel. Dat zagen we eerder in de blog Klachten zijn geen fouten, maar wij behandelden ze wel zo, waarin de essentie duidelijk werd: aantoonbaarheid zit niet in formulieren, maar in gedrag.

    Dat herhaalden we nu in de praktijk. De auditor hoefde ons nauwelijks meer te corrigeren. Hij hoefde alleen te constateren dat dingen op hun plek waren gevallen.

    Het echte risico: gedrag zonder richting

    Een organisatie kan alles op orde hebben op papier, maar als niemand iets voelt als “van hem of haar”, ontstaan er blinde vlekken. Die vlekken worden pas zichtbaar wanneer er druk ontstaat. Bij een audit . Een incident. Een klantvraag.

    Gedrag zonder richting is het grootste risico dat vaak als laatste wordt gezien. Terwijl het tegelijk de meest voorspelbare oorzaak is van afwijkingen, vertragingen en gemiste maatregelen.

    In de blog Waarom alles in Excel netjes lijkt, tot je iets moet terugvinden beschreven we hoe gebrek aan structuur leidt tot chaos. Het omgekeerde is net zo waar: structuur zonder gedrag leidt tot schijnzekerheid. De vorm is er, maar de inhoud niet.

    Conclusie

    Compliance komt niet tot leven door systemen of documenten, maar door mensen die hun rol begrijpen en serieus nemen. Structuur is de basis. Gedrag geeft het betekenis. Eigenaarschap maakt het betrouwbaar.

    De organisaties die dat doorhebben, zijn niet per se organisaties met meer middelen. Het zijn organisaties waar verantwoordelijkheden klein en duidelijk zijn, waar opvolging ritme heeft en waar medewerkers signalen durven te geven.

    Daar ontstaat aantoonbaarheid. Daar ontstaat vertrouwen. Daar ontstaat controle zonder kramp.

    En precies daar begint echte compliance.

  • Onze klant vroeg: “Hoe duurzaam zijn jullie eigenlijk?” en we hadden geen antwoord

    Onze klant vroeg: “Hoe duurzaam zijn jullie eigenlijk?” en we hadden geen antwoord

    We zaten midden in een goed gesprek met een nieuwe klant. Alles liep soepel, tot hij ineens vroeg: “Even tussendoor, hoe duurzaam zijn jullie eigenlijk?”

    De stilte die volgde zei alles. We hadden best wat gedaan: ledverlichting, minder printen, een paar elektrische auto’s. Maar een écht antwoord hadden we niet. Geen beleid, geen cijfers, geen idee of we goed bezig waren of niet.

    Op dat moment realiseerden we ons: dit was geen losse vraag uit beleefdheid. Dit was een signaal. Klanten willen weten waar ze aan toe zijn, en duurzaamheid hoort daar tegenwoordig gewoon bij.

    Waarom kleine bedrijven deze vraag steeds vaker krijgen

    Nog niet zo lang geleden was “duurzaamheid” iets voor grote bedrijven met aparte afdelingen en dikke jaarverslagen. Maar dat beeld klopt niet meer.

    Steeds vaker stellen klanten, leveranciers en opdrachtgevers vragen over duurzaamheid. Niet omdat ze ineens allemaal wereldverbeteraars zijn, maar omdat ze dat moeten. Door nieuwe Europese regels, zoals de CSRD (Corporate Sustainability Reporting Directive).

    De eerste grote ondernemingen rapporteren al over deze richtlijn (over boekjaar 2024). Voor andere categorieën volgt een gefaseerde invoering, met in 2025 extra verlichting en uitstel aangekondigd. Voor mkb-bedrijven betekent dit vooral één ding: klanten gaan vaker om informatie vragen.

    Omdat grote bedrijven voortaan ook hun keten moeten onderbouwen, zullen hun leveranciers – mkb’ers zoals jij – vaker om basisgegevens vragen.

    Goed nieuws: er ís een vrijwillige mkb-standaard (VSME) waarmee kleinere bedrijven eenvoudig kunnen rapporteren, en er is een zogenoemde value-chain cap (een praktische grens aan welke data grote bedrijven bij mkb-leveranciers mogen opvragen).

    Je hoeft dus geen jaarverslag of certificaat te hebben. Een paar duidelijke basisgegevens en een werkbare werkwijze zijn vaak al genoeg om professioneel over te komen.

    Kortom: ook als je zelf niet direct onder de CSRD valt, is het slim om nu al te weten hoe je ervoor staat.

    De CSRD in het kort (mkb-versie)

    De CSRD draait om transparantie. Bedrijven moeten laten zien welke invloed ze hebben op mens, milieu en maatschappij. Dat gaat verder dan winstcijfers. Het gaat om energieverbruik, afval, uitstoot en arbeidsomstandigheden.

    Voor mkb-bedrijven klinkt dat al snel groot en ver weg. Maar in de praktijk gaat het om eenvoudige vragen: Hoeveel energie verbruik je? Waar komt je afval vandaan? Koop je duurzaam in? En hoe zorg je dat je medewerkers veilig en gezond werken?

    Wie die informatie op orde heeft, helpt zijn klanten enorm én laat zien dat het bedrijf toekomstgericht werkt.

    ISO 14001: de praktische kant van duurzaamheid

    Als de CSRD vooral de vraag stelt (“hoe duurzaam ben je?”), dan helpt ISO 14001 je met het antwoord.

    ISO 14001 is de internationale standaard voor milieumanagement. Dat klinkt zwaar, mar het is in feite een praktische kapstok om alles at je doet op milieugebied te structureren. Het biedt systeemeisen voor een werkbaar mileumanagementsysteem. Geen prestatiecijfers, geen verplichte certificering, maar een helder raamwerk op grip te krijgen op je milieu-impact.

    Het helpt je om te bepalen waar jouw bedrijf invloed heeft: energieverbruik, afval, transport, inkoop, opslag. Vervolgens stel je doelen, koppel je acties en zorg je dat verbeteringen ook echt worden vastgehouden.

    Je hoeft geen windmolens op je dak te zetten of een CO2-compensatieprogramma te starten. Voor mkb-bedrijven zit de winst vaak in eenvoudige, haalbare verbeteringen: zuiniger werken, minder verspilling, betere keuzes bij leveranciers en vooral inzicht in wat je doet.

    Onze eigen reality check

    Na die klantvraag besloten we het niet langer voor ons uit te schuiven. We wilden weten waar we stonden.

    We begonnen simpel. Geen dikke rapporten of consultants, maar gewoon een middag inventariseren: hoeveel energie gebruiken we, waar komt ons afval vandaan, wat kunnen we hergebruiken of besparen? En voldoen we eigenlijk aan de milieuregels die voor ons gelden?

    Die eerste analyse was confronterend én verhelderend. We zagen dat er best veel goed ging, maar dat het toevallig goed ging. Niet omdat we er bewust beleid op hadden.

    Daarna kwam de volgende stap: doelen stellen.
    We besloten onder andere 20% minder elektriciteit te verbruiken in een jaar, volledig over te stappen op groene stroom en onze papierstroom te halveren. Niet revolutionair, maar realistisch. En belangrijker: het gaf richting.

    De valkuil van losse initiatieven

    Veel mkb’ers doen al iets aan duurzaamheid, maar vaak ad hoc. Een paar zonnepanelen hier, een elektrisch busje daar, of minder printen op kantoor. Allemaal goede stappen, maar zonder structuur verdwijnt de aandacht langzaam naar de achtergrond.

    De ene medewerker doet er iets mee, de ander niet. En binnen een jaar ben je terug bij af. Daarom helpt ISO 14001 juist: het voorkomt dat duurzaamheid iets vrijblijvends wordt.

    Hoe ISO 14001 structuur brengt

    ISO 14001 dwingt je om na te denken over vier logische stappen:

    1. Bepaal waar jouw milieu-impact zit: energie, afval, grondstoffen, transport.
    2. Ken je verplichtingen: bijvoorbeeld rond afvalverwerking of opslag van gevaarlijke stoffen.
    3. Kies verbeteringen die bij jouw bedrijf passen: minder verbruik, betere inkoop, bewuster gedrag.
    4. Evalueer en verbeter continu: blijf meten en stel bij waar nodig.

    Een eenvoudig voorbeeld: een middelgroot technisch bedrijf bracht via een risicoanalyse in kaart dat hun verfopslag niet voldeed aan milieueisen. Dankzij die ontdekking voorkwamen ze een boete en konden ze direct verbeteringen doorvoeren.

    Een ander bedrijf, actief in de IT, zag via een energieanalyse dat hun volledige omgeving, inclusief  testservers, 24/7 draaiden. Alleen al het terugbrengen van het nachtverbruik scheelde ruim €1200 per jaar. Zonder enige investering.

    Dat is precies de kracht van een gestructureerde aanpak: je ontdekt wat er echt toe doet.

    Een systeem dat wél werkt voor kleine organisaties

    De meeste kleine bedrijven hebben geen KAM-afdeling of milieumanager. Daarom moet een systeem vooral eenvoudig en werkbaar zijn.

    Wij gebruiken daarvoor CompliTrack, onze eigen tool die helpt om risico’s, audits en acties bij te houden. We voegden er ook onze milieudoelen aan toe. Zo staat alles overzichtelijk bij elkaar, zonder losse Excel-sheets of vergeten mailtjes.

    Iedere taak heeft een verantwoordelijke, een deadline en een herinnering. Het klinkt simpel, maar dat is juist precies waarom het werkt. Je hoeft niet méér papierwerk te hebben, je hebt gewoon meer inzicht.

    De echte winst

    Na een paar maanden merkten we verschil. Niet alleen in cijfers, maar ook in houding. Medewerkers letten beter op kleine dingen: lichten uit, printers uit, minder verspilling. We hadden gesprekken over duurzamer inkopen en over milieueisen bij nieuwe projecten.

    Duurzaamheid was geen “project” meer, maar een manier van werken.

    En toen diezelfde klant later terugkwam, konden we eindelijk een eerlijk en onderbouwd antwoord geven. Geen verkoopverhaal, maar feiten, doelen en resultaten.

    Duurzaamheid zonder certificaat: gewoon beginnen

    Veel mkb’ers denken dat ze eerst moeten certificeren, maar dat hoeft niet. Je kunt prima beginnen zonder keurmerk of audit. De kracht zit in bewustwording en structuur, niet in het certificaat aan de muur.

    Een goede start maak je met drie eenvoudige vragen:
    Waar gebruiken we de meeste energie of grondstoffen? Waar ontstaat de meeste verspilling? En wie kan helpen om dat structureel te verbeteren?

    Schrijf de antwoorden op, bespreek ze met je team en zet de eerste acties in gang. Dat kost je hooguit een middag, maar levert waardevolle inzichten op. Vaak al meer dan wat veel grotere organisaties doen.

    Conclusie: de klantvraag als kans

    Voor mkb’ers is duurzaamheid geen marketingtruc of verplicht nummer. Het is een manier om slimmer te werken, kosten te besparen en aantrekkelijker te worden voor klanten die waarde hechten aan verantwoord ondernemen.

    De CSRD en ISO 14001 klinken misschien als “grote thema’s”, maar in de praktijk gaat het gewoon om grip krijgen op wat je doet en laten zien dat je het serieus neemt.

    Dus wacht niet tot iemand je die vraag stelt. Zorg dat je het antwoord al klaar hebt. Want vroeg of laat komt die vraag weer voorbij: “Hoe duurzaam zijn jullie eigenlijk?”

    En als je dan kunt zeggen: “We weten het, en we werken er elke dag aan om beter te worden,” dan ben je precies op de juiste weg.

    Tip: donderdag lees je onze vervolgblog “ISO 14001 en CSRD: wat milieu management betekent voor mkb-bedrijven”. Een praktisch stappenplan vol voorbeelden.

    Wil je alvast weten hoe je als mkb’er zonder grote investering structuur aanbrengt in duurzaamheid? Ontdek hoe CompliTrack milieumanagement eenvoudig maakt. Zónder gedoe, maar mét resultaat.

  • AI-leveranciers beoordelen: due-diligence checklist voor MKB-organisaties

    AI-leveranciers beoordelen: due-diligence checklist voor MKB-organisaties

    De belofte en de schrik van AI-tools

    Een leverancier komt met een AI-oplossing die al je problemen lijkt op te lossen: een chatbot die klanten direct helpt, een analyse-tool die bergen data in minuten verwerkt of een slimme assistent die documenten opstelt. De pitch klinkt vlekkeloos en de prijs valt mee.

    Maar stel dat je later ontdekt dat klantgegevens op servers buiten de EU staan? Of dat er geen logboeken zijn om te bewijzen wie toegang had? Precies daar gaat het mis. In de praktijk blijkt dat organisaties pas tijdens een DPIA of, erger nog, na een incident ontdekken dat er grote gaten in de afspraken met hun AI-leverancier zitten.

    Om dat te voorkomen, is een due-diligenceproces onmisbaar.

    Praktijkvoorbeeld: AI in de klantenservice

    Een MKB-bedrijf besloot een AI-chatbot in te zetten voor hun klantenservice. Alles leek goed geregeld: het contract was getekend en de tool werkte prima. Totdat een klant vroeg om inzage in zijn gegevens.

    Toen bleek: gesprekken waren opgeslagen op servers buiten de EU, er was geen verwerkersovereenkomst en er bestond geen procedure om data te verwijderen. Het bedrijf moest in allerijl schakelen, met boze klanten en reputatieschade tot gevolg.

    Met een due-diligenceproces vooraf waren deze problemen grotendeels te voorkomen geweest.

    Waarom due diligence bij AI cruciaal is

    Voor veel Mkb’s voelt het logisch om snel in te stappen bij een AI-tool. Maar de risico’s zijn vaak groter dan bij traditionele software. Data kan ongemerkt terecht komen bij onderaannemers of gebruikt worden voor modeltraining. Zonder goede logging is het onmogelijk om aan te tonen wie at met welke data deed. Een ISO-certificaat of keurmerk geeft bovendien een valse zekerheid als contracten en processen niet op orde zijn> Daarbovenop komt nieuwe regelgeving, zoals de Europese AI-verordening, die extra verplichtingen meebrengt voor leveranciers én afnemers.

    Juist omdat AI zich razendsnel ontwikkelt, is due diligence geen vinkje, maar een doorlopend proces.

    DPIA: verplicht waar nodig, nuttig altijd

    Volgens de AVG is een DPIA (Data Protection Impact Assessment) verplicht bij verwerkingen met een waarschijnlijk hoog risico voor betrokkenen. Denk aan grootschalige monitoring, gebruik van bijzondere persoonsgegevens of innovatieve technologie. AI valt daar vaak onder.

    Ook als het formeel niet verplicht is, loont een DPIA. Het dwingt je om drie vragen concreet te beantwoorden:

    1. Welke persoonsgegevens worden verwerkt?
    2. Welke risico’s lopen betrokkenen?
    3. Welke maatregelen neemt de leverancier om die risico’s te beperken?

    Een DPIA is dus niet alleen een juridische verplichting, maar ook een nuttig hulpmiddel om jouw due diligence te structureren.

    De due-diligence checklist voor AI-leveranciers

    1. Contract en data-eigenaarschap

    Leg vast dat jouw organisatie eigenaar blijft van alle aangeleverde data. Bepaal bewaartermijnen en maak afspraken over subverwerkers. Vraag om aantoonbare maatregelen, zoals ISO 27001 of een gelijkwaardige standaard, maar geef ook ruimte aan kleinere leveranciers die andere vormen van bewijs kunnen leveren.

    2. Logging en transparantie

    Vraag minimaal om inzage in trainingslogs: wie had wanneer toegang tot welke data? Idealiter levert de leverancier exporteerbare logbestanden, maar zelfs eenvoudige rapportages zijn al een stap vooruit. Zonder logging is compliance aantonen vrijwel onmogelijk.

    3. Datapaden en modeltraining

    Vraag welke databronnen zijn gebruikt voor de training van het AI-model. Leg vast dat jouw data niet zonder toestemming wordt gebruikt voor verdere training. Controleer of doorgifte naar landen buiten de EU goed geregeld is (bijvoorbeeld via SCC’s of een adequaatheidsbesluit).

    4. Incidentrespons en meldplicht

    Spreek een meldtermijn van 24-48 uur af, zodat jij je eigen 72-uurs verplichting onder de AVG kunt halen. Vraag hoe eerdere incidenten zijn afgehandeld en of er een draaiboek beschikbaar is.

    5. Privacyrechten en AVG-afspraken

    Zorg voor een duidelijke verwerkersovereenkomst. Controleer of de leverancier het mogelijk maakt om inzage-, correctie- en verwijderverzoeken uit te voeren. Betrek ook hun DPO of privacy-officer in het proces.

    Hoe CompliTrack dit proces ondersteunt

    Due diligence hoeft geen papieren tijger te zijn. Met CompliTrack kun je dit proces slim en eenvoudig organiseren:

    • Leveranciers koppelen aan bedrijfsmiddelen: je ziet direct welke leveranciers toegang hebben tot welke kritieke processen of data.
    • DPIA’s centraal beheren: voer DPIA’s stap voor stap uit en leg bevindingen vast in één overzicht.
    • Taken en controles automatiseren: stel terugkerende beoordelingen in zodat je niets vergeet.
    • Auditklaar overzicht: toon met één druk op de knop welke maatregelen en afspraken zijn gemaakt.

    Voor ondernemers betekent dit: minder afhankelijk van losse Excel-lijstjes en meer grip zonder zware systemen.

    Interne links en verdieping

    Deze blog maakt deel uit van de serie rond AI-governance. Wil je verder lezen?

    Conclusie: AI zonder due diligence is een gok

    AI kan het MKB enorme kansen bieden, maar ook forse risico’s. Zonder due diligence loop je het gevaar dat je pas na een incident ontdekt dat de afspraken tekortschieten.

    Met de checklist in dit artikel, gecombineerd met een DPIA, heb je een solide basis om je AI-leveranciers verantwoord te beoordelen. Voeg daar een tool als CompliTrack aan toe en je bent voorbereid op audits, klanten en toezichthouders.

    Wil je weten hoe CompliTrack jouw organisatie kan helpen bij AI-governance en leveranciersbeheer? Vraag een demo aan en ontdek het verschil.

  • Grip op compliance: hoe je verder komt dan ISO en Excel

    Grip op compliance: hoe je verder komt dan ISO en Excel

    Stel je voor: een klant vraagt tijdens een gesprek om bewijs van je laatste risicoanalyse. Je opent je zorgvuldig bijgehouden Excel-bestand, maar ontdekt dat acties niet zijn opgevolgd en incidenten nergens zijn gekoppeld. Je ISO-certificaat hangt wel aan de muur, maar in de praktijk voelt het alsof je geen controle hebt. Herkenbaar? Je bent niet de enige.

    Lees ook eerst: Van risicoanalyse naar actie | Volgende stap: Incidenten registreren én verbeteren

    Veel organisaties steken veel energie in het behalen van een norm of het vullen van spreadsheets. Maar echte grip ontbreekt vaak. Hoe komt dat? En belangrijker: hoe zorg je wél voor grip?

    Waarom ISO en Excel soms schijncontrole geven

    ISO-certificeringen zijn waardevol: ze geven richting, zorgen voor structuur en vergroten het vertrouwen van klanten. Het gevaar is alleen dat de norm een doel op zich wordt. Compliance wordt dan een vinkjesoefening.

    Excel kent eenzelfde valkuil. In het begin lijkt het overzichtelijk. Maar na verloop van tijd ontstaan er meerdere versies, raakt opvolging zoek en ontbreekt eigenaarschap. Het resultaat: je denkt grip te hebben, maar loopt in de praktijk steeds achter de feiten aan.

    Het punt is niet dat ISO of Excel verkeerd zijn. Ze kunnen juist waardevol zijn, mits je ze koppelt aan eigenaarschap, opvolging en een continu proces.

    Vier pijlers voor échte grip op compliance

    Met deze vier stappen verlaag je auditstress en verkort je doorlooptijd van acties.

    1. Continu proces in plaats van jaarlijkse auditstress

    Veel organisaties leven van audit naar audit. Pas vlak van tevoren wordt alles bijgewerkt, met stress en fouten tot gevolg.

    Beter: maak compliance een doorlopend proces. Plan bijvoorbeeld elke maand een korte check van de belangrijkste risico’s en incidenten.

    Vandaag regelen: Zet een vaste reminder in je agenda: 20 minuten compliance-check elke maand.

    Extra tip: Houd drie KPI’s bij: aantal open acties, percentage overdue taken en de doorlooptijd van incident tot maatregel.

    2. Automatiseer taken en opvolging

    Compliance valt of staat met opvolging. Als taken blijven liggen, verlies je grip. Tools zoals CompliTrack bieden taakbeheer en automatische herinneringen, zodat terugkerende taken nooit vergeten worden – zoals eerder besproken in onze blogs over audit- en taakbeheer.

    Vandaag regelen: Activeer herinneringen voor de drie belangrijkste compliance-taken in je organisatie.

    3. Koppel incidenten en verbeteringen aan risico’s

    Incidenten zijn waardevolle signalen. Een datalek of fout in een proces laat zien waar je kwetsbaar bent. Door incidenten direct te koppelen aan risico’s en maatregelen, bouw je een systeem dat leert en verbetert.

    Vandaag regelen: Koppel de vijf meest recente incidenten aan bestaande risico’s, noteer één root cause per incident en voeg minimaal één verbetermaatregel toe.

    Lees ook: Incidenten registreren én verbeteren: hoe je leert van je fouten.

    4. Cultuur en gedrag: compliance moet leven

    De grootste uitdaging zit vaak niet in systemen, maar in mensen. Als compliance voelt als extra administratie, gaat het nooit leven. Zorg dat het onderdeel wordt van de dagelijkse praktijk: bespreek risico’s in teamoverleggen, betrek medewerkers actief en laat zien dat goede opvolging tijd bespaart en fouten voorkomt.

    Vandaag regelen: Vraag in het volgende teamoverleg: “Wat was deze week onze grootste bijna-misser, en wat leren we daarvan?”

    Zet nu de eerste stap: wat je morgen al kunt doen (15 minuten)

    • Plan een maandelijkse compliance-check in je agenda.
    • Activeer reminders voor drie kritieke taken.
    • Koppel vijf recente incidenten aan risico’s en verbetermaatregelen.

    Kleine stappen, groot effect: zo maak je compliance een continu proces in plaats van een jaarlijkse sprint.

    Van normdenken naar grip in de praktijk

    Compliance is geen luxe voor grote organisaties met aparte afdelingen. Grip op compliance is haalbaar voor iedereen, zolang je verder kijkt dan de norm en de spreadsheet.

    Door te werken vanuit een continu proces, taken te automatiseren, incidenten te koppelen aan risico’s en gedrag centraal te stellen, ontstaat er échte controle. Je voldoet niet alleen aan normen, je maakt je organisatie ook wendbaarder en betrouwbaarder.

    Conclusie

    Een ISO-certificaat en een Excel lijst kunnen nuttige hulpmiddelen zijn, maar ze geven je nog geen grip. Echte grip ontstaat pas als compliance leeft in je organisatie: continu, geautomatiseerd, gekoppeld aan verbeteringen én gedragen door je mensen.

    Wil je auditstress structureel omlaag brengen, doorlooptijden verkorten en aantoonbare opvolging realiseren? Ontdek hoe CompliTrack je helpt om overzicht te creëren, opvolging te automatiseren en compliance wél te laten werken.

    Verder lezen:

  • Waarom onze compliance-map ons bezig hield, maar niets oploste

    Waarom onze compliance-map ons bezig hield, maar niets oploste

    Om 09:12 uur vroeg een klant: “Kun je laten zien wie deze maatregel de afgelopen drie maanden heeft gecontroleerd?”

    We hadden een keurige documentstructuur, ons beleid was op orde, onze checklists bijgewerkt. En toch bleef het stil. De map hield ons bezig, maar leverde geen antwoord.

    Het comfortabele gevoel van een volle map

    Een volle map voelt veilig: je kunt laten zien dát er beleid is. Alleen: een map is statisch. Hij verandert niets aan de praktijk. In Continu verbeteren: Zo helpt CompliTrack jouw bedrijf vooruit schreven we al dat aantoonbare verbetering pas ontstaat als je opvolging organiseert, niet alleen documenteert.

    3 signalen dat je vooral schijncontrole hebt

    • Versies zwerven rond
      Iemand vraagt: “Welke versie is leidend?” en je weet het niet zeker.
    • Acties verdwijnen uit het zicht
      Notulen en mails staan vol “actiepunten”, maar er is geen systeem dat bewaakt of het ook gebeurt.
    • Aantoonbaarheid kost tijd
      Een auditor of klant wil bewijs van uitvoering, niet van intentie. Je hebt documenten, maar geen sporen van wie-wat-wanneer. Zie ook Zorgeloos auditen: Hoe een GRC-tool je interne audits eenvoudiger maakt.

    Waarom verzamelen iets anders is dan beheersen

    Compliance gaat niet om “hebben”, maar om doen: risico’s, prioriteiten, incidenten opvolgen, taken uitvoeren, leren van bevindingen. In Van risicoanalyse naar actie laten we zien dat echte controle ontstaat wanneer uitkomsten van je risicoanalyse automatisch doorstromen naar concrete acties met eigenaars en deadlines.

    Van map naar proces: zo krijg je échte grip

    1. Maak risico’s leidend

    Vertaal elk top-risico naar 1-3 maatregelen met een eigenaar en een termijn. Koppel deze aan terugkerende taken. (Van risicoanalyse naar actie).

    2. Registreer incidenten én sluit ze af

    Leg vast wat er misging, benoem de oorzaak en borg de maatregel. Anders herhaalt het zich. Dit voorkomt “rapporteren zonder verbeteren”.

    3. Automatiseer het ritme

    Zet terugwerkende controles, reviews en interne audits in een vast schema. PDCA werkt pas als “Check” en “Act” niet worden vergeten.

    4. Stop met Excel als eindstation

    Excel is handig om te analyseren, niet om te bewaken. Wil je ketenrisico’s of leveranciersdossiers structureel volgen, dan heb je relaties, taken en geschiedenis nodig.

    Een korte reality-check

    Een collega dacht “klaar” te zijn na het uploaden van een procedure voor offboarding. Tot we vroegen: “Wie checkt binnen 24 uur het intrekken van toegang bij vertrek?”

    • “Dat staat in het document.”
    • “Prima, maar waar zien we dat het gebeurde op 12 mei, 7 juni en 1 juli?”

    Bewijs komt niet uit beleid, maar uit het proceslog: wie deed wat, wanneer en met welk resultaat?

    Conclusie

    Een map geeft rust, maar geen grip. Echte controle zit in je opvolging: risico’s die doorlopen naar acties, incidenten die leiden tot verbeteringen en audits die niet eindigen bij een rapport, maar starten bij veranderingen. Met dat ritme ben je aantoonbaar, zonder te verdrinken in documenten.

    Donderdag delen we hoe je dit praktisch opzet – zónder Excel-ellende of ISO-fetisj: welke minimale structuur zorgt voor maximale grip, en hoe je voorkomt dat je terugvalt in “map-denken”.

    Verder lezen

  • We hadden een ISO-certificaat. Maar onze taken stonden nog op post-its.

    We hadden een ISO-certificaat. Maar onze taken stonden nog op post-its.

    De auditor stelde een simpele vraag. Niet eens een kritische, maar gewoon een normale controlevraag:

    “Waar documenteren jullie de opvolging van auditbevindingen?”

    We keken elkaar aan. Werden even stil. Tot iemand voorzichtig zei:

    Volgens mij ligt dat nog in de map… op de administratie?”
    Een ander:
    “Nee wacht, ik had daar een notitie over gemaakt. Of een post-it? In ieder geval stond het op het whiteboard… tot we dat vorige week schoonmaakten.”

    Het was een pijnlijk moment. Niet omdat de vraag moeilijk was, maar omdat we het antwoord wél zouden moeten weten. En vooral: omdat we ons realiseerden dat we het eigenlijk al maanden niet echt goed geregeld hadden.

    En dat… terwijl we ISO-gecertificeerd zijn.

    Certificering ≠ structuur

    Laten we eerlijk zijn: ISO-certificering is voor veel organisaties een mijlpaal. Het is een bewijs van volwassen processen, van grip, van professionaliteit. Tenminste, dat hóórt het te zijn.

    Maar in de praktijk zie ik het vaak anders. Organisaties hebben het papiertje op muur, maar daarachter schuilt een werkelijkheid waarin auditbevindingen niet worden opgevolgd, incidenten ad hoc worden opgelost (maar nergens worden vastgelegd), en verbeteracties eindigen als losse aantekeningen, verspreid over Excelbestanden, mailboxen en – inderdaad – post-its.

    Wat er op papier staat, klopt.
    Wat er in de praktijk gebeurt, is iets anders.

    Hoe je grip verliest zonder het door te hebben

    Het is niet zo dat mensen niet wéten wat er moet gebeuren. Je weet dat die auditactie openstaat. Je weet dat er iets afgesproken is na die directiebeoordeling. Je weet dat er iemand een notitie heeft gemaakt van die ene afwijking.

    Alleen: je weet niet wáár het precies staat. Wie ermee bezig is. Of het al is afgerond. Of het überhaupt nog op de radar staat.

    Dat is hoe grip verdwijnt. Niet met grote fouten, maar met kleine gaten in het systeem. En dat is geen kwestie van onwil, maar van structuur.

    Want als taken alleen in het hoofd van één collega zitten, of in een Excelbestand op een persoonlijke schijf, of op een geeltje dat per ongeluk is weggegooid… dan kun je simpelweg niet aantonen dat je in control bent.

    Compliance zonder opvolging is een papieren werkelijkheid

    Een van de grootste misverstanden rond compliance is dat het ‘geregeld’ is als de documentatie klopt. Maar dat is precies waar het vaak fout gaat.

    Documentatie is niet het probleem. De meeste bedrijven hebben hun ISO-handboek keurig op orde.

    Maar dat zegt nog niets over:

    • Of risico’s worden opgevolgd met maatregelen
    • Of auditbevindingen daadwerkelijk tot actie leiden
    • Of taken zijn toegewezen, gemonitord en afgevinkt
    • Of verbeteringen structureel worden geborgd

    Daar zit het verschil tussen ‘certificering’ en ‘daadwerkelijke beheersing’. Tussen papier en praktijk.

    Wat dit doet met je organisatie

    Zonder structuur in opvolging, ontstaat er iets geks. Niet alleen verlies je overzicht, je verliest ook momentum.

    Ineens is het niet meer duidelijk wie waar verantwoordelijk voor is. Afdelingen gaan op elkaar wachten, of op de directie. Acties blijven openstaan omdat “iemand daar nog iets mee moest.”

    En het team dat vorige maand vol energie een verbeteridee had, ziet het verdwijnen in het moeras van de vergetelheid.

    Dat frustreert. Niet alleen jou, maar ook je collega’s. Mensen willen bijdragen aan verbetering, maar als dat geen vervolg krijgt, dan haken ze af.

    Dan voelt het alsof je elk jaar opnieuw begint. Alsof audits een ritueel worden, geen leerproces.

    Structuur is geen luxe. Het is een voorwaarde

    Laten we het helder stellen: je hebt geen mega-tool of ingewikkeld systeem nodig om dit goed te doen.

    Wat je nodig hebt is één centrale plek waarin je:

    • Taken toewijst aan de juiste mensen
    • Deadlines bewaakt zonder handmatige lijstjes
    • Bevindingen koppelt aan risico’s, normen en maatregelen
    • Ziet wat er openstaat, wat afgerond is, en wat te laat dreigt te gaan

    Geen versnippering. Geen twijfel. Geen post-its.

    Wij kozen uiteindelijk voor één centrale omgeving waarin we al onze auditacties, risico’s en verbetertaken gestructureerd bijhouden: geautomatiseerd, gedeeld en transparant. Gewoon, zodat iedereen weet waar hij aan toe is, en waar hij moet kijken.

    Waarom we dit pas serieus nemen als het misgaat

    De reden dat dit onderwerp vaak onderaan de prioriteitenlijst bungelt, is simpel: zolang het goed gaat, lijkt er geen probleem. Je redt je er wel mee.

    Tot je je er niet meer mee redt.

    Tot de auditor op de mat staat.
    Tot een klant om bewijs vraagt.
    Tot er iets fout gaat, en niemand weet waar het stond.

    Dan wordt het ineens wél urgent.

    En dan zeggen we: “Dat moeten we de volgende keer beter regelen.” Alleen… wanneer is “de volgende keer”?

    Grip is geen kwestie van meer werk. Het is een kwestie van beter georganiseerd werk.

    Je hoeft niet méér te doen om ISO of compliance goed te borgen. Je moet het slimmer doen. Gestructureerder. Herhaalbaar.

    En precies daar zit de kracht van tooling. Niet om nóg een systeem te hebben. Maar om het juiste systeem te hebben. Eentje die je helpt, in plaats van extra werk oplevert.

    Bijvoorbeeld met CompliTrack. Waar je auditacties automatisch koppelt aan taken. Waar je opvolging centraal bijhoudt. Waar auditstress plaatsmaakt voor rust, omdat je weet dat alle gewoon staat waar het moet staan.

    Tot slot

    De auditor stelde een simpele vraag. Wij hadden géén goed antwoord.

    En dat is precies waarom we het nu wél geregeld hebben.

    Voorkom dat jouw ISO-certificaat een papieren werkelijkheid blijft

  • Toen onze enige compliance-expert uitviel, viel het hele systeem om

    Toen onze enige compliance-expert uitviel, viel het hele systeem om

    Wat er gebeurde toen ons systeem slechts in één hoofd bleek te zitten

    We dachten dat we het prima geregeld hadden. De risicoanalyse was afgerond, de auditplanning stond op de agenda en het beleid was netjes opgeslagen in een map. Of in ieder geval: ergens. Alles leek te lopen zoals het moest.

    Totdat Karin uitviel.

    Karin was onze collega die alles rondom compliance regelde. Ze kende elke norm, elk proces, elke verplichting. Ze hield auditbevindingen bij in Excel, stuurde herinneringen via Outlook en had antwoord op vrijwel elke vraag.

    En ineens was ze er niet meer. Onverwacht ziek. Niemand kon bij haar laptop. Niemand wist waar de actuele documenten stonden. En nog belangrijker: niemand wist wie waarvoor verantwoordelijk was.

    Binnen één week viel alles stil.

    De comfortabele illusie van overzicht

    Compliance lijkt vaak op orde zolang er iemand is die zich ermee bezighoudt. Iemand die het ‘gewoon regelt’. Maar een systeem dat afhankelijk is van één persoon, is geen systeem. Dat is een kwetsbaarheid met een naamplaatje.

    Wat als die persoon morgen wegvalt? Dan blijkt ineens dat de auditplanning nergens staat, dat risico’s niet opnieuw beoordeeld zijn, dat er geen directiebeoordeling is – alleen een verzameling losse bestanden en goede bedoelingen.

    En die bedoelingen zijn waardeloos als je onder tijdsdruk iets moet aantonen.

    De afhankelijkheid die je niet ziet, tot het misgaat

    In veel organisaties rust compliance op één persoon. Vaak iemand die naast z’n werk gewone werk ook de ISO-processen in de lucht houdt. Zolang diegene beschikbaar is, lijkt alles te kloppen. Maar zodra die persoon uitvalt, op vakantie is of vertrekt, blijkt dat er geen gedeeld systeem is – alleen gewoontes en impliciete kennis.

    Dat is geen onwil. Dat is hoe dingen groeien: pragmatisch, decentraal, menselijk. Tot het moment dat je er niet meer mee wegkomt.

    ISO-normen – of het nu gaat om informatiebeveiliging, kwaliteit, privacy of bedrijfscontinuïteit – vragen geen heldendom, maar overdraagbare processen. Wat je vastlegt, moet herhaalbaar zijn. Wat je belooft, moet aantoonbaar zijn. Alleen dan is compliance geen papieren werkelijkheid, maar een werkend systeem.

    Wat we sindsdien anders doen

    Na een week van zoeken, improviseren en herhaaldelijk ‘nee, dat hebben we niet beschikbaar’ zeggen, was het duidelijk: dit mocht niet nog eens gebeurden.

    We wilden geen logge software of maandenlange implementaties. Geen consultants die ons vertelden hoe we moesten werken. We wilden een manier om wél structuur aan te brengen, zonder dat het onze organisatie veranderde in een bureaucratisch project.

    We kozen voor CompliTrack.

    En sindsdien:

    • Zijn risico’s, audits, beleid en acties op één plek te vinden.
    • Heeft elke taak een eigenaar, deadline en opvolging.
    • Weten we wanneer een herbeoordeling moet gebeuren, en waarom.
    • Krijgt niemand meer een auditmail waar alleen Karin op kan reageren.
    • En hebben we eindelijk overzicht, ook als iemand uitvalt.

    Wat begon als ‘laten we het gewoon oplossen’, is uitgegroeid tot een manier van werken die rust geeft. Niet omdat alles perfect is. Maar omdat het beheersbaar, overdraagbaar is en omdat het ons niet meer verrast.

    De echte winst? Geen compliance-stress meer

    Sinds we het structureel geregeld hebben, voelt compliance niet meer als ‘iets extra’s’. Het zit in ons ritme. Acties worden opgevolgd, documenten zijn beschikbaar, audits komen niet meer onverwacht.

    En het geeft ruimte. Ruimte om te verbeteren, in plaats van te herstellen. Ruimte om te sturen, in plaats van te zoeken.

    Misschien wel het belangrijkste: het vertrouwen dat het systeem werkt, óók als de persoon even niet beschikbaar is.

    Ook interessant

    Wil je voorkomen dat compliance in jouw organisatie afhangt van één persoon?

    Ontdek hoe CompliTrack je helpt risico’s, audits en processen te structureren. Zonder complexiteit, zonder afhankelijkheid en zonder Excel.

    Plan een demo en bekijk hoe je de controle terugkrijgt.

  • 6 eisen waaraan elk lichtgewicht GRC-systeem moet voldoen

    6 eisen waaraan elk lichtgewicht GRC-systeem moet voldoen

    Voor MKB’s die overzicht willen zonder gedoe

    De auditor komt langs.
    “Wie volgt dit risico op?” vraagt hij.
    Stilte.

    Je weet het eigenlijk wel. Maar je tool laat het niet zien. Geen status, geen taak, geen herinnering. En dus heb je een probleem.

    Veel MKB’s gebruiken een GRC-oplossing die “lichtgewicht” zou moeten zijn. Maar in de praktijk is het vaak óf te kaal, óf juist onnodig complex. Je verliest tijd aan zoeken, uitleggen, kopiëren. En je collega’s? Die gebruiken het niet.

    Dit is wat een lichtgewicht GRC-systeem écht moet doen. Niet alles – maar wél precies genoeg om je bedrijf in control te houden, zonder spreadsheets, stress of stiltes tijdens audits.

    Lichtgewicht ≠ leeg

    Te vaak betekent “lichtgewicht” in de praktijk: een takenlijstje zonder context. Een Excel-achtig dashboard met kleurtjes. Of een systeem dat alleen jij begrijpt.

    Maar als je risico’s, maatregelen en audits serieus wilt nemen – en dat moet, gezien NIS2, ISO 27001, ISO 9001 of leveranciersdruk – dan moet je systeem niet minder doen.

    Het moet precies genoeg doen.

    6 eisen voor een lichtgewicht GRC-systeem

    Hieronder vind je wat je minimaal mag verwachten. Geen overbodige features, geen consultancy, maar wél structuur, overzicht en grip.

    1. Risico’s vastleggen én opvolgen

    Iedereen heeft een risicomatrix. Maar als er geen actie aan hangt, is het waardeloos. Dan ben je compliant op papier, maar kwetsbaar in de praktijk.

    Je systeem moet:

    • Risico’s kunnen registreren, beoordelen en prioriteren.
    • Direct maatregelen koppelen én opvolgen.
    • Zicht geven op wat open staat, met een deadline en een eigenaar.

    Als je dit alsnog in Excel moet doen, is je systeem overbodig.

    2. Slim taakbeheer (zodat niets blijft liggen)

    Zonder taakbeheer wordt compliance een project dat je start… en vergeet. Tot de volgende audit.

    Jouw systeem moet:

    • Terugkerende taken automatisch plannen (bijv. kwartaalreviews, beheersmaatregel-checks).
    • Herinneringen sturen naar de juiste mensen.
    • Zichtbaar maken wat (nog) open staat – per persoon, per norm, per deadline.

    Als jij de enige bent die taken opvolgt, is er geen systeem. Alleen jij.

    3. Auditacties die niet blijven liggen

    Audit gedaan = acties verdelen. Maar als niemand ziet wie wat moet doen, blijft alles liggen.

    Een goed systeem laat je:

    • Bevindingen registreren en direct omzetten in taken.
    • Eigenaren toewijzen.
    • Status van openstaande auditacties volgen – op elk moment.

    Bij de volgende audit wil je niet meer zeggen: “Daar zouden we nog iets mee doen…”

    4. Documenten die werken (niet alleen bestaan)

    Je hebt een beleid. Procedures. Instructies. Maar waar liggen ze? In SharePoint? In versie 7? Of in de inbox van de vorige KAM-coördinator?

    Een lichtgewicht GRC-systeem:

    • Koppelt beleid aan risico’s.
    • Laat de juiste versie zien. Altijd.
    • Zorgt dat medewerkers weten wát geldt, en wáár ze het vinden.

    Zo voorkom je dubbel werk, misverstanden en fouten tijdens controles.

    5. Klaar voor normdruk (ISO, NIS2, SOC 2)

    De eisen worden strenger. Ook als je geen certificaat op de muur wilt. Denk aan leveranciers, ketenverantwoordelijkheid, klanten met audits.

    Jouw tool moet:

    • Ondersteunen bij meerdere normen (ISO 27001, ISO 9001, NIS2)
    • Inzicht geven in wat geregeld is – én wat nog niet.
    • Geen blanco sjablonen geven, maar gestructureerde ondersteuning.

    Audits worden voorspelbaar als je systeem dat ook is.

    6. Gebruikt worden door mensen zonder compliance-rol

    Als jij de enige bent die het system snapt, gaat het mis.

    Een goed GRC-systeem is:

    • Intuïtief. Iedereen weet wat zijn taak is, zonder uitleg.
    • Zichtbaar. Herinneringen komen vanzelf.
    • Toegankelijk. Geen cursus, geen handleiding, gewoon doen.

    Als anderen het niet gebruiken, is het geen systeem. Dan is het jouw persoonlijke compliance-archief.

    Samengevat: je tool moet het werk doen, niet jij

    Een lichtgewicht GRC-systeem is geen spreadsheet met kleurtjes. Het is ook geen monstertool met implementatietijd van 6 maanden.

    Het is een werkend fundament. Voor rust, voor overzicht, voor continuïteit.

    Als jij:

    • Nog taken uit je hoofd beheert
    • Bevindingen in e-mails rondstuurt
    • Of risico’s in Excel naloopt voor elke audit…

    … dan doet je systeem te weinig.

    En nu?

    Twijfel je of jouw tool wérkt? Lees dan ook de blog van maandag: Waarom je GRC-tool niks oplevert als niemand ermee werkt.

    Wil je zien hoe een lichtgewicht GRC-systeem wél werkt in het MKB? Vraag dan een demo aan. Niet om software te bekijken, maar om te ontdekken waar jij nu tijd, overzicht en grip verliest.