Tag: Cultuur

  • Ethische risico’s in organisaties: waarom kleine beslissingen grote impact hebben

    Ethische risico’s in organisaties: waarom kleine beslissingen grote impact hebben

    In veel organisaties komen risico’s niet voort uit grote incidenten, maar uit kleine keuzes die iemand maakt onder druk. Een uitzondering voor een vaste klant. Een stukje informatie dat niet wordt vastgelegd omdat iedereen verder wil. Een collega die twijfelt maar niets zegt om de sfeer niet te belasten. Het lijken onschuldige momenten, maar juist daar ontstaan de risico’s die later terugkomen in incidenten, klantklachten of auditbevindingen.

    Ethische risico’s worden nog vaak onderschat. Er is aandacht voor informatiebeveiliging, beleid, risicoanalyses en audits, maar keuzes in de dagelijkse praktijk krijgen minder structuur. Terwijl juist díe keuzes bepalen of een organisatie echt betrouwbaar functioneert.

    Deze blog laat zien hoe ethische risico’s ontstaan, waarom organisaties er gevoelig voor zijn en hoe je ze beheersbaar maakt met een helder kader, praktische maatregelen en transparantie in besluitvorming.

    Wanneer goede bedoelingen risico worden

    Ethische risico’s ontstaan op momenten waarop iemand snel iets moet beslissen, met beperkte informatie of onder druk van klanten of collega’s. De intentie is zelden verkeerd. De impact kan dat wel zijn.

    Veelvoorkomende situaties:

    • Een beslissing over hoe zorgvuldig klantinformatie wordt vastgelegd;
    • Het overslaan van een interne controle om een project sneller op te leveren;
    • Het niet benoemen van een risico om een collega niet te belasten;
    • Het accepteren van een uitzondering om een klant tevreden te houden.

    In de blog Soft controls: hoe gedrag bepaalt of compliance werkt beschreven we eerder dat gedrag vaak belangrijker is dan procedures. Dat geldt ook hier: ethische risico’s ontstaan aan de voorkant van gedrag, nog voordat iets zichtbaar misgaat.

    Waarom organisaties ze vaak niet zien

    Ethische risico’s zijn lastig te herkennen omdat ze niet direct als risico worden ervaren. Ze ontstaan vaak midden in de dagelijkse werkstroom, waar snelheid, klantgerichtheid en onderlinge samenwerking een grote rol spelen. Zeker in kleinere teams waar processen minder formeel zijn en één persoon meerdere verantwoordelijkheden draagt, worden keuzes vaak intuïtief genomen.

    Daar komt bij dat veel beslissingen niet worden vastgelegd. In de blog De risicoanalyse: een onmisbaar instrument voor elke ondernemer laten we zien dat risico’s pas goed beheersbaar worden wanneer aannames en keuzes expliciet zijn. Ethische risico’s zitten juist in dat deel dat onzichtbaar blijft.

    Wanneer bewijsvoering ontbreekt, ontstaat bovendien een tweede kwetsbaarheid: achteraf is niet duidelijk waarom iets is besloten. Dat zagen we bijvoorbeeld in het PIMS-incident dat we eerder beschreven, waar een kleine keuze leidde tot een grotere impact op informatiebeveiliging.

    Waarom kleine organisaties extra kwetsbaar zijn

    De dynamiek in kleinere teams maakt ethische risico’s zichtbaarder, maar ook lastiger te beheersen. Herkenbare factoren zijn:

    • Minder formele scheiding van rollen;
    • Meer informele samenwerking en vertrouwen;
    • Uitzonderingen die sneller normaal worden;
    • Beperkte tijd om keuzes te documenteren;
    • Collega’s die elkaar uit loyaliteit niet willen afvallen.

    Ethische risico’s hoeven niet groot te zijn om effect te hebben. Ze stapelen zich op in patronen van werkwijzen en verwachtingen. In onze blog over incidenten zagen we dat kleine incidenten vaak signalen zijn van een onderliggend structureel probleem. Hetzelfde geldt hier.

    Drie situaties waarin ethische risico’s vaak ontstaan

    1.     Tijdsdruk en klantverwachtingen

    Bij urgente vragen wordt sneller besloten, minder vastgelegd en soms een procedure overgeslagen. Op korte termijn lijkt dat efficiënt. Op lange termijn creëert het risico op inconsistenties of onvolledige informatie.

    2.     Onvoldoende bewijsvoering

    Wanneer keuzes niet worden gedocumenteerd, ontstaat ruimte voor interpretatie. In de blog Waarom GRC-software belangrijk is voor moderne bedrijven benadrukken we hoe belangrijk aantoonbaarheid is. Ethische risico’s verschijnen vaak precies op het moment dat documentatie ontbreekt.

    3.     Sociale dynamiek binnen teams

    Mensen willen conflicten vermijden. Een medewerker gaat niet tegen een collega in. Een leidinggevende stelt kritische vragen niet omdat de sfeer goed moet blijven. Die patronen beïnvloeden besluitvorming veel meer dan organisaties vaak doorhebben.

    Hoe je ethische risico’s zichtbaar maakt

    Ethische risico’s worden beheersbaar zodra je weet waar ze kunnen ontstaan. Drie vragen helpen om dit concreet te maken:

    1. Waar in onze processen nemen medewerkers beslissingen die niet volledig door procedures worden bepaald?
    2. Welke belangen spelen mogelijk een rol in dat moment?
    3. Wat kan er gebeuren als deze beslissing anders uitpakt dan bedoeld?

    Deze aanpak maakt ethische risico’s concreet zonder theoretische discussies. Je kijkt eenvoudig naar je eigen processen, gedrag en realistische werkdruk.

    Wanneer deze risico’s zichtbaar zijn, wordt het eenvoudiger om gericht maatregelen te nemen.

    Hoe je ethische risico’s beheerst zonder extra bureaucratie

    Het doel is niet om elke beslissing dicht te regelen, maar om medewerkers een kader te geven waarin zij goede keuzes kunnen maken en deze kunnen verantwoorden. Dat kan met een paar praktische maatregelen.

    1.     Maak het moreel kader duidelijk

    Geen dikke beleidsdocumenten, maar drie tot vijf principes die richting geven. Denk aan zorgvuldigheid, transparantie en objectiviteit. Als medewerkers die principes kennen, kunnen ze zelf consistente keuzes maken.

    2.     Bespreek echte voorbeelden

    Casussen uit eigen organisatie werken beter dan generieke regels. Zoals we schreven in Incidenten registreren en verbeteren, zijn realistische voorbeelden de sleutel tot gedragsverandering.

    3.     Laat twijfels bespreekbaar zijn

    Veel risico’s ontstaan omdat iemand niet zeker is maar het niet durft te benoemen. Een cultuur waarin twijfel als professioneel wordt gezien in plaats van zwak, voorkomt veel misverstanden.

    4.     Leg keuzes kort vast

    Twee tot drie regels zijn genoeg. Wie nam de beslissing? Waarom? Wat is afgesproken? Dit maakt toekomstige audits eenvoudiger en voorkomt dat aannames een eigen leven gaan leiden.

    5.     Gebruik tooling voor helderheid en consistentie

    CompliTrack kan helpen om risico’s, besluiten en acties inzichtelijk te maken. Niet om gedrag te controleren, maar om structuur te bieden en ruis te verwijderen.

    Hoe ethische risico’s onderdeel worden van risicomanagement

    Ethische risico’s horen net zo goed in een risicoanalyse als technische of operationele risico’s. Ze vormen vaak de oorzaak achter zichtbare incidenten: datalekken, verkeerde leverancierskeuzes, onzorgvuldige documentatie of fouten die tijdens audits terugkomen.

    Door ethische risico’s bewust mee te nemen in je periodieke risicoanalyse ontstaat een veel vollediger beeld van waar processen kwetsbaar zijn. Het helpt bovendien om verbeteracties gerichter te prioriteren.

    Waarom de relevantie toeneemt

    Wetgeving en rapportage-eisen richten zich steeds meer op governance, besluitvorming en integriteit. Onder NIS2 moeten organisaties kunnen aantonen dat risico’s structureel worden beheerd. Ook binnen duurzaamheids- en governance-rapportages groeit de nadruk op gedrag, transparantie en controle.

    Ethische risico’s worden daarmee geen zachte randvoorwaarde meer, maar een meetbaar onderdeel van volwassen bedrijfsvoering.

    Conclusie

    Ethische risico’s ontstaan in de dagelijkse praktijk. Niet door slechte intenties, maar door normale keuzes in drukke momenten. Door deze risico’s zichtbaar te maken, een helder kader te bieden en besluiten transparant vast te leggen, bouw je aan betrouwbaarheid en voorspelbaarheid. Het zorgt niet alleen voor minder incidenten, maar ook voor meer rust en duidelijkheid in de organisatie.

    Verder lezen

  • De melding die iedereen zag aankomen, maar niemand deed

    De melding die iedereen zag aankomen, maar niemand deed

    Er ging al weken iets mis. Kleine dingen eerst: onverklaarbare afwijkingen in rapportages, besluiten die niet meer werden gedeeld, een spanning in vergaderingen die niemand benoemde. Tot het op een ochtend misging. Een klant ontdekte dat vertrouwelijke informatie was gedeeld buiten het team. Niet bewust, maar slordig. En met grote gevolgen.

    Iedereen wist eigenlijk al langer dat het fout zat. Toch deed niemand een melding. Niet uit onverschilligheid, maar uit angst. Angst om de sfeer te verpesten. Angst om “moeilijk” te zijn. Angst dat het management zou denken dat je klaagt in plaats van bijdraagt.

    Die angst is herkenbaar in veel organisaties. We hebben beleid, procedures en systemen voor bijna alles, behalve voor het moment waarop iemand iets durft te zeggen. In een organisatie waar iedereen elkaar kent, wordt melden nóg spannender.

    De paradox van openheid: beleid op papier, stilte in de praktijk

    Steeds meer organisaties hebben een klokkenluidersregeling of interne meldprocedure. Sinds de Wet bescherming klokkenluiders geldt in Nederland dat organisaties met vijftig of meer medewerkers een interne meldregeling moeten hebben. In een aantal sectoren – zoals de financiële dienstverlening of zorg – geldt die plicht zelfs voor kleinere organisaties.

    Toch blijkt uit onderzoek van het Huis voor Klokkenluiders dat slechts een klein deel van de medewerkers weet hoe ze daadwerkelijk en melding kunnen doen, laat staan dat ze zich veilig genoeg voelen om dat te doen.

    De regels bestaan dus, maar de meldcultuur ontbreekt. En dat is precies waar het verschil ligt tussen compliance op papier en vertrouwen in de praktijk.

    Wie alleen procedures opstelt om “aan de wet te voldoen”, mist het doel. Een effectieve meldcultuur draait niet om formulieren, maar om gedrag. Om leiders die luisteren. En om medewerkers die geloven dat hun stem ertoe doet.

    Waarom zwijgen de standaard wordt

    In bijna elke organisatie ontstaat vroeg of laat een moment waarop iemand iets ziet, maar niets zegt. Dat kan gaan om een onveilige werksituatie, een ethisch dilemma, of een risico dat niemand wil benoemen. De redenen om te zwijgen zijn vaak menselijk:

    • Sociale druk: “We doen het hier zo.”
    • Hiërarchie: melden voelt als tegenspreken.
    • Slechte ervaring: eerdere meldingen leverden gedoe op.

    Het gevolg is dat signalen te laat worden opgepikt. Incidenten worden pas zichtbaar als er schade is: financiële verliezen, reputatieschade of een verlies van vertrouwen bij klanten.

    Het ironische is dat veel leidinggevenden juist denken dat er wél een open cultuur heerst. Ze geloven dat medewerkers altijd kunnen zeggen wat ze vinden. Maar openheid is niet wat je denkt dat er is, het is wat medewerkers ervaren.

    Meldcultuur begint bij voorspelbaarheid

    Een gezonde meldcultuur vraagt niet om heroïek, maar om voorspelbaarheid. Medewerkers moeten weten wat er gebeurt zodra ze een melding doen.

    Zolang medewerkers weten dat hun melding serieus wordt genomen, dat hun identiteit beschermd blijft en dat ze terugkoppeling krijgen over wat ermee gedaan wordt, wordt melden een stuk minder spannend.

    Als dat helder is, verdwijnt de angst. En dat is precies wat de wetgever met de vernieuwde klokkenluidersregeling probeert te bereiken: vertrouwen creëren door transparantie in het proces.

    Wie de juridische kant wil uitdiepen, leest in onze blog Klokkenluidersregeling voor bedrijven: alles wat je nú moet regelen vóór 2026. Daar gaat het over de wettelijke eisen, hier over het gedrag eromheen.

    De rol van leiderschap: luisteren als compliance-maatregel

    Veel organisaties besteden tijd aan controles en audits, maar weinig aan gesprek. Terwijl juist die gesprekken de vroegste signalen opleveren.

    Een manager die actief vraagt “wat zie jij gebeuren dat beter kan?” voorkomt meer incidenten dan welk protocol ook. Zeker in organisaties waar HR geen volle functie is, moet het meldproces zó duidelijk zijn dat het zonder uitleg werkt.

    Echte compliance begint niet bij regels, maar bij gedrag. En gedrag begint bij leiderschap dat zichtbaar laat zien dat melden niet gelijk staat aan verraad, maar aan verantwoordelijkheid.

    Daarom is het goed om meldingen te behandelen zoals je een audit zou doen: feitelijk, gestructureerd en zonder oordeel. In onze blog Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem lees je hoe auditcultuur ook kan bijdragen aan intern vertrouwen, want dezelfde principes gelden hier.

    Technologie kan helpen, maar lost het probleem niet op

    Tools voor anoniem melden zijn handig. Maar zonder opvolgproces blijft een melding een regel in een systeem. Software zoals CompliTrack helpt juist bij dát deel: opvolging, taakverdeling en aantoonbaarheid. Zo wordt compliance geen papieren werkelijkheid, maar een beheersbaar proces dat inzicht geeft in wat er speelt. En wat er beter kan.

    Wie meer wil weten over hoe incidenten worden vertaald naar verbeteringen, leest Van incident naar verbetering: Hoe organisaties incidentbeheer optimaliseren met GRC-software.

    Zo maak je melden normaal in je organisatie

    De kern van een goede meldcultuur is vertrouwen. Vertrouwen dat fouten besproken mogen worden. Dat kritiek niet persoonlijk is. En dat een melding geen teken is van wantrouwen, maar van zorgvuldigheid.

    Dat vertrouwen groeit niet vanzelf; het vraagt om bewuste keuzes:

    1. Maak meldingen normaal. Bespreek ze als onderdeel van verbetering, niet als uitzondering.
    2. Bescherm melders zichtbaar. Benoem in het team dat meldingen worden gewaardeerd, niet afgestraft.
    3. Gebruik meldingen als leerinstrument. Analyseer patronen en koppel ze terug naar beleid, audits of risicoanalyses.

    Wie meldingen behandelt als data in plaats van drama, voorkomt escalatie en verbetert continu.

    Waarom dit juist nú urgent is

    In 2026 staat een evaluatie van de Wet bescherming klokkenluiders op de agenda. In de stukken aan de Kamer staat dat de uitkomsten worden benut om het meldklimaat verder te versterken. Wie nu al kan laten zien dat meldingen worden opgepakt en opgevolgd, loopt straks voor.

    Daarmee verschuift compliance van “aanwezigheid van beleid” naar “bewijs van werking”. En dat is een goede ontwikkeling, want het dwingt organisaties om meldcultuur niet langer te laten zien als iets optioneels.

    De organisaties die dit nu al goed oppakken, zijn straks niet alleen compliant, maar ook sterker. Juist omdat vertrouwen intern de basis vormt van veerkracht extern.

    Conclusie: de echte compliance-test begint bij je eigen mensen

    De meeste incidenten in organisaties ontstaan niet door kwaadwilligheid, maar door stilte. Door het moment dat iemand iets ziet en besluit niets te zeggen.

    Een goed meldproces voorkomt dat stilte de norm wordt. Het creëert veiligheid, transparantie en – misschien wel het belangrijkste – geloofwaardigheid.

    Voor organisaties zonder zware compliance-afdeling is dit misschien wel de belangrijkste stap: laten zien dat je naar je eigen mensen luistert, vóórdat een externe partij het vraagt.

    Want een organisatie die luistert, wordt geloofd door haar klanten.

    Interne links

    1. Klokkenluidersregeling voor bedrijven: alles wat je nú moet regelen vóór 2026
    2. Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem
    3. Van incident naar verbetering: Hoe organisaties incidentbeheer optimaliseren met GRC-software