Tag: Ethiek

  • Ethische risico’s in organisaties: waarom kleine beslissingen grote impact hebben

    Ethische risico’s in organisaties: waarom kleine beslissingen grote impact hebben

    In veel organisaties komen risico’s niet voort uit grote incidenten, maar uit kleine keuzes die iemand maakt onder druk. Een uitzondering voor een vaste klant. Een stukje informatie dat niet wordt vastgelegd omdat iedereen verder wil. Een collega die twijfelt maar niets zegt om de sfeer niet te belasten. Het lijken onschuldige momenten, maar juist daar ontstaan de risico’s die later terugkomen in incidenten, klantklachten of auditbevindingen.

    Ethische risico’s worden nog vaak onderschat. Er is aandacht voor informatiebeveiliging, beleid, risicoanalyses en audits, maar keuzes in de dagelijkse praktijk krijgen minder structuur. Terwijl juist díe keuzes bepalen of een organisatie echt betrouwbaar functioneert.

    Deze blog laat zien hoe ethische risico’s ontstaan, waarom organisaties er gevoelig voor zijn en hoe je ze beheersbaar maakt met een helder kader, praktische maatregelen en transparantie in besluitvorming.

    Wanneer goede bedoelingen risico worden

    Ethische risico’s ontstaan op momenten waarop iemand snel iets moet beslissen, met beperkte informatie of onder druk van klanten of collega’s. De intentie is zelden verkeerd. De impact kan dat wel zijn.

    Veelvoorkomende situaties:

    • Een beslissing over hoe zorgvuldig klantinformatie wordt vastgelegd;
    • Het overslaan van een interne controle om een project sneller op te leveren;
    • Het niet benoemen van een risico om een collega niet te belasten;
    • Het accepteren van een uitzondering om een klant tevreden te houden.

    In de blog Soft controls: hoe gedrag bepaalt of compliance werkt beschreven we eerder dat gedrag vaak belangrijker is dan procedures. Dat geldt ook hier: ethische risico’s ontstaan aan de voorkant van gedrag, nog voordat iets zichtbaar misgaat.

    Waarom organisaties ze vaak niet zien

    Ethische risico’s zijn lastig te herkennen omdat ze niet direct als risico worden ervaren. Ze ontstaan vaak midden in de dagelijkse werkstroom, waar snelheid, klantgerichtheid en onderlinge samenwerking een grote rol spelen. Zeker in kleinere teams waar processen minder formeel zijn en één persoon meerdere verantwoordelijkheden draagt, worden keuzes vaak intuïtief genomen.

    Daar komt bij dat veel beslissingen niet worden vastgelegd. In de blog De risicoanalyse: een onmisbaar instrument voor elke ondernemer laten we zien dat risico’s pas goed beheersbaar worden wanneer aannames en keuzes expliciet zijn. Ethische risico’s zitten juist in dat deel dat onzichtbaar blijft.

    Wanneer bewijsvoering ontbreekt, ontstaat bovendien een tweede kwetsbaarheid: achteraf is niet duidelijk waarom iets is besloten. Dat zagen we bijvoorbeeld in het PIMS-incident dat we eerder beschreven, waar een kleine keuze leidde tot een grotere impact op informatiebeveiliging.

    Waarom kleine organisaties extra kwetsbaar zijn

    De dynamiek in kleinere teams maakt ethische risico’s zichtbaarder, maar ook lastiger te beheersen. Herkenbare factoren zijn:

    • Minder formele scheiding van rollen;
    • Meer informele samenwerking en vertrouwen;
    • Uitzonderingen die sneller normaal worden;
    • Beperkte tijd om keuzes te documenteren;
    • Collega’s die elkaar uit loyaliteit niet willen afvallen.

    Ethische risico’s hoeven niet groot te zijn om effect te hebben. Ze stapelen zich op in patronen van werkwijzen en verwachtingen. In onze blog over incidenten zagen we dat kleine incidenten vaak signalen zijn van een onderliggend structureel probleem. Hetzelfde geldt hier.

    Drie situaties waarin ethische risico’s vaak ontstaan

    1.     Tijdsdruk en klantverwachtingen

    Bij urgente vragen wordt sneller besloten, minder vastgelegd en soms een procedure overgeslagen. Op korte termijn lijkt dat efficiënt. Op lange termijn creëert het risico op inconsistenties of onvolledige informatie.

    2.     Onvoldoende bewijsvoering

    Wanneer keuzes niet worden gedocumenteerd, ontstaat ruimte voor interpretatie. In de blog Waarom GRC-software belangrijk is voor moderne bedrijven benadrukken we hoe belangrijk aantoonbaarheid is. Ethische risico’s verschijnen vaak precies op het moment dat documentatie ontbreekt.

    3.     Sociale dynamiek binnen teams

    Mensen willen conflicten vermijden. Een medewerker gaat niet tegen een collega in. Een leidinggevende stelt kritische vragen niet omdat de sfeer goed moet blijven. Die patronen beïnvloeden besluitvorming veel meer dan organisaties vaak doorhebben.

    Hoe je ethische risico’s zichtbaar maakt

    Ethische risico’s worden beheersbaar zodra je weet waar ze kunnen ontstaan. Drie vragen helpen om dit concreet te maken:

    1. Waar in onze processen nemen medewerkers beslissingen die niet volledig door procedures worden bepaald?
    2. Welke belangen spelen mogelijk een rol in dat moment?
    3. Wat kan er gebeuren als deze beslissing anders uitpakt dan bedoeld?

    Deze aanpak maakt ethische risico’s concreet zonder theoretische discussies. Je kijkt eenvoudig naar je eigen processen, gedrag en realistische werkdruk.

    Wanneer deze risico’s zichtbaar zijn, wordt het eenvoudiger om gericht maatregelen te nemen.

    Hoe je ethische risico’s beheerst zonder extra bureaucratie

    Het doel is niet om elke beslissing dicht te regelen, maar om medewerkers een kader te geven waarin zij goede keuzes kunnen maken en deze kunnen verantwoorden. Dat kan met een paar praktische maatregelen.

    1.     Maak het moreel kader duidelijk

    Geen dikke beleidsdocumenten, maar drie tot vijf principes die richting geven. Denk aan zorgvuldigheid, transparantie en objectiviteit. Als medewerkers die principes kennen, kunnen ze zelf consistente keuzes maken.

    2.     Bespreek echte voorbeelden

    Casussen uit eigen organisatie werken beter dan generieke regels. Zoals we schreven in Incidenten registreren en verbeteren, zijn realistische voorbeelden de sleutel tot gedragsverandering.

    3.     Laat twijfels bespreekbaar zijn

    Veel risico’s ontstaan omdat iemand niet zeker is maar het niet durft te benoemen. Een cultuur waarin twijfel als professioneel wordt gezien in plaats van zwak, voorkomt veel misverstanden.

    4.     Leg keuzes kort vast

    Twee tot drie regels zijn genoeg. Wie nam de beslissing? Waarom? Wat is afgesproken? Dit maakt toekomstige audits eenvoudiger en voorkomt dat aannames een eigen leven gaan leiden.

    5.     Gebruik tooling voor helderheid en consistentie

    CompliTrack kan helpen om risico’s, besluiten en acties inzichtelijk te maken. Niet om gedrag te controleren, maar om structuur te bieden en ruis te verwijderen.

    Hoe ethische risico’s onderdeel worden van risicomanagement

    Ethische risico’s horen net zo goed in een risicoanalyse als technische of operationele risico’s. Ze vormen vaak de oorzaak achter zichtbare incidenten: datalekken, verkeerde leverancierskeuzes, onzorgvuldige documentatie of fouten die tijdens audits terugkomen.

    Door ethische risico’s bewust mee te nemen in je periodieke risicoanalyse ontstaat een veel vollediger beeld van waar processen kwetsbaar zijn. Het helpt bovendien om verbeteracties gerichter te prioriteren.

    Waarom de relevantie toeneemt

    Wetgeving en rapportage-eisen richten zich steeds meer op governance, besluitvorming en integriteit. Onder NIS2 moeten organisaties kunnen aantonen dat risico’s structureel worden beheerd. Ook binnen duurzaamheids- en governance-rapportages groeit de nadruk op gedrag, transparantie en controle.

    Ethische risico’s worden daarmee geen zachte randvoorwaarde meer, maar een meetbaar onderdeel van volwassen bedrijfsvoering.

    Conclusie

    Ethische risico’s ontstaan in de dagelijkse praktijk. Niet door slechte intenties, maar door normale keuzes in drukke momenten. Door deze risico’s zichtbaar te maken, een helder kader te bieden en besluiten transparant vast te leggen, bouw je aan betrouwbaarheid en voorspelbaarheid. Het zorgt niet alleen voor minder incidenten, maar ook voor meer rust en duidelijkheid in de organisatie.

    Verder lezen

  • Ethische besluitvorming in kleine organisaties: hoe een goed besluit toch verkeerd uitpakte

    “Kunnen jullie ons laten zien welke patronen jullie zien in de oorzaken van meldingen, zodat we de dienstverlening kunnen verbeteren?”

    Dat was de vraag van een nieuwe klant. Ze wilden begrijpen waarom sommige processen vastliepen en welke meldingen voorafgingen aan vertragingen. De organisatie had de informatie gewoon in huis: wachttijden in het CRM-systeem, interne meldingen in het ticketsysteem en een Excelbestand met oorzaken van klachten. Het combineren van de datasets is in de dienstverlening heel normaal, dus de vraag leek eenvoudig te beantwoorden.

    Een collega stelde voor om de drie datasets samen te voegen tot één analyse. Technisch was dat zo gedaan en het leek prima te passen binnen het bestaande werkproces. Niemand zag direct risico’s. De klant wilde snel resultaat, dus het besluit werd genomen.

    Tot zover niets spannends.

    Waarom deze dataset tóch gevoelig werd

    Wat in de vergadering niet expliciet werd besproken, was de aard van sommige meldingen. Het ticketsysteem bevatte namelijk niet alleen procesmeldingen of technische klachten. Klanten deelden daar ook persoonlijke situaties, problemen in communicatie, ervaringen met medewerkers en soms zelfs gezondheidsinformatie of andere gevoelige omstandigheden.

    Normaal bleef dit binnen een klein intern team. Maar bij het combineren van datasets gaat die scheiding onvermijdelijk verloren. Niet inhoudelijk, maar in hoe de gegevens in analyses terugkomen. Als je zelf werkt met klantmeldingen, herken je waarschijnlijk hoe snel gevoelige informatie onderdeel wordt van wat in dashboards simpelweg “data” heet.

    Dat maakt data-analyse op zichzelf niet verkeerd, maar het vraagt wel dat je bewust kijkt naar wat er gebeurt met informatie die klanten in vertrouwen delen.

    Hoe de data uiteindelijk verkeerd terechtkwam

    De gecombineerde dataset werd gebruikt voor wat hij bedoeld was: een trendanalyse voor de klant. De analyse liet keurig zien welke processen vertraging veroorzaakten en welke types meldingen daaraan voorafgingen. De klant was tevreden.

    Daarna belandde de analyse in een intern dashboard. Niet publiek, maar wel toegankelijk voor andere teams. Het marketingteam ontdekte dat bepaalde categorieën meldingen vaker voorkwamen bij klanten die later overstapten naar een concurrent. Dat vonden ze waardevolle informatie voor een campagne die gericht was op het voorkomen van klantverlies.

    Wat marketing niet wist, was dat sommige van die meldingen indirect verwezen naar persoonlijke of vertrouwelijke situaties. Voor de data-analist was dit een anoniem datapunt, maar voor de klant was het een gevoelig verhaal dat hij nooit als marketinginput had bedoeld.

    Toen één van die klanten een opvallend gericht aanbod kreeg, voelde hij zich ongemakkelijk. Hij herkende elementen uit een melding die hij eerder had gedaan en vroeg zich af hoe zijn informatie op deze manier was gebruikt. Het was geen datalek, geen schending van systemen en op het eerste gezicht leek er zelfs weinig mis met de verwerking zelf. Maar ethisch zat het anders: de klant had dit niet kunnen verwachten.

    De ethische fout: niet technisch, maar verwachtingsgericht

    De fout zat niet in de techniek, maar in het ontbreken van een bewuste afweging. De organisatie keek naar wat technisch kon en praktisch nuttig was, maar niet naar wat de klant redelijkerwijs zou verwachten.

    Dat kwam neer op vier zaken:

    1. De oorspronkelijke uitvraag ging over procesverbetering, niet over commerciële zaken.
    2. De dataset bevatte meldingen met vertrouwelijke details die nooit bedoeld waren voor hergebruik.
    3. De analyse kwam in een gedeeld dashboard terecht zonder duidelijke uitleg over de gevoeligheid van de brondata.
    4. Marketing gebruikte de inzichten zonder te weten dat sommige meldingen meer waren dan “klachtcategorieën”.

    Het commerciële gebruik was dus niet kwaadwillend, maar wél onverwacht vanuit klantperspectief. En precies daar wringt ethiek: kun je uitleggen aan de klant waarom je deze informatie op deze manier hebt gebruikt.

    Waarom dit soort situaties zo makkelijk ontstaan

    Als je in een kleinere organisatie werkt, herken je waarschijnlijk hoe dit gebeurt. Rollen overlappen, teams werken pragmatisch en beslissingen moeten vaak snel genomen worden. In die dynamiek ontstaan situaties waarin:

    • Een technisch logische keuze onverwachte gevolgen heeft,
    • Gevoelige informatie onderdeel wordt van dashboards,
    • Verschillende teams dezelfde data anders interpreteren,
    • En niemand expliciet bewaakt of het gebruik past bij de bedoeling.

    Dat is geen kwestie van onzorgvuldigheid, maar van het ontbreken van vaste momenten waarop je stil staat bij de impact van een besluit op vertrouwen.

    Ethische besluitvorming als onderdeel van normaal werk

    Ethische besluitvorming hoeft niet zwaar of theoretisch te zijn. Vaak helpt het al om een paar eenvoudige vragen te stellen wanneer je besluiten neemt over data:

    • Zitten er elementen in deze dataset die gevoelig zijn of in vertrouwen zijn gedeeld.
    • Kan deze analyse, zelfs indirect, leiden tot iets wat een klant anders interpreteert dan bedoeld.
    • Zou ik dit gebruik van data kunnen uitleggen aan een klant die de melding heeft gedaan.
    • Moeten teams die de analyse gebruiken weten waar de data vandaan komt.

    Als je deze vragen vroeg in het proces stelt, ontstaat er vanzelf duidelijkheid. Dan kun je bijvoorbeeld ervoor kiezen om meldingen te anonimiseren, bepaalde categorieën uit te sluiten of toegang tot dashboards te beperken.

    Dat maakt het besluit niet zwaarder, maar beter onderbouwd. En het voorkomt verrassingen achteraf.

    Technologie helpt, maar bepaalt niet

    Dashboard, ISMS-tools, kwaliteitsmanagementsystemen en AI-modellen bieden veel waarde. Ze helpen patronen te zien die je anders mist. Maar technologie neemt nooit de morele afweging over. Systemen kunnen niet bepalen of een klant iets als eerlijk of wenselijk ervaart.

    In eerdere blogs over AI-governance en het RAM-schandaal bleek hoe snel verantwoordelijkheid diffuus kan worden als systemen meer bepalen dan mensen beseffen. Juist daarom is het belangrijk dat organisaties blijven nadenken over context, betekenis en verwachting.

    Tools zoals CompliTrack kunnen helpen om inzicht te bieden in risico’s, incidenten en procesverbeteringen. Maar de vraag of een besluit uitlegbaar is, blijft altijd menselijk.

    De kernles van het verhaal

    De fout zat niet in de analyse. Niet in het combineren van datasets. Niet in marketing. De fout zat in een ontbrekende expliciete afweging over wat klanten redelijkerwijs mogen verwachten.

    Data vertelt veel, maar niet wat het betekent voor een klant die vertrouwt op jouw zorgvuldigheid. Ethische besluitvorming maakt dat zichtbaar, zodat je als organisatie niet alleen de juiste dingen doet, maar ze ook op de juiste manier doet.

    In een volgend artikel laat ik zien hoe je ethische risico’s concreet kunt opnemen in je risicobeheer, zodat dit soort dilemma’s eerder zichtbaar worden.

    Lees verder

    Van risico’s naar actie: de volgende stap in effectief risicobeheer
    Hoe je risico’s structureel koppelt aan concrete verbeteracties

    Incidenten registreren én verbeteren: hoe je leert van je fouten
    Over het herkennen van patronen in incidenten en het doorvoeren van structurele verbeteringen.

    We hadden beleid, processen en tools, maar niemand voelde zich verantwoordelijk
    Over het belang van eigenaarschap en gedrag in governance.

    Van toezicht naar vertrouwen: lessen uit het RAM-schandaal voor jouw organisatie
    Wat je kunt leren van situaties waarin technologie, toezicht en verantwoordelijkheid botsen

    AI-governance in de praktijk: hoe je slimme systemen uitlegbaar houdt
    Over het borgen van verantwoordelijkheid bij geautomatiseerde besluitvorming.