Tag: ISO 14001

  • Wat een management review onder ISO 9001, ISO 27001 en ISO 14001 echt moet opleveren

    Wat een management review onder ISO 9001, ISO 27001 en ISO 14001 echt moet opleveren

    In veel organisaties staat de management review keurig op de kalender. Eén keer per jaar komt het onderwerp langs, er wordt een document voorbereid en na afloop verdwijnt het verslag in een map met auditbewijzen.

    Toch is dat niet waar de ISO-normen dit moment voor bedoeld hebben.

    Een management review is geen administratieve verplichting. Het is het moment waarop het management beoordeelt of het managementsysteem nog doet wat het moet doen. Of het nog past bij de organisatie, of de prestaties voldoende zijn en of de belangrijkste risico’s onder controle zijn.

    Wie dat goed begrijpt, merkt dat de management review veel meer is dan een verplicht agendapunt.

    Waarom ISO een management review verplicht stelt

    Managementsystemen zoals ISO 9001, ISO 27001 en ISO 14001 zijn ontworpen om organisaties gestructureerd te laten sturen op kwaliteit, informatiebeveiliging of milieuprestaties. Maar structuur alleen is niet genoeg.

    De normen gaan er expliciet van uit dat het management periodiek beoordeelt of het systeem nog geschikt, toereikend en effectief is.

    Met andere woorden: werkt het managementsysteem nog zoals bedoeld, en helpt het nog bij het realiseren van de doelen van de organisatie?

    Daarom verplicht ISO een management review. Het is het moment waarop het management afstand neemt van de dagelijkse operatie en kijkt naar het grotere geheel. Niet naar afzonderlijke procedures, maar naar de prestaties van het systeem als geheel.

    Zonder zo’n moment blijft een managementsysteem vaak operationeel, maar niet bestuurbaar.

    Wat een management review volgens ISO eigenlijk moet behandelen

    De normen schrijven niet exact voor hoe een management review eruit moet zien, maar ze geven wel duidelijk aan waar het gesprek over moet gaan.

    In de kern draait het om drie vragen.

    Hoe presteert het managementsysteem?
    Wat is er veranderd in de organisatie of de omgeving?
    En waar moeten we bijsturen?

    Dat betekent dat onderwerpen zoals deze vrijwel altijd terugkomen:

    • resultaten van audits en controles
    • incidenten, afwijkingen en klachten
    • voortgang van verbeteracties
    • belangrijkste risico’s en kansen
    • prestaties van processen en doelstellingen
    • veranderingen die invloed hebben op het systeem

    Interne audits spelen hierbij vaak een belangrijke rol, omdat ze signalen geven over waar processen afwijken of waar verbeteringen nodig zijn. In Een interne audit werkt pas als mensen durven zeggen wat niet klopt ga ik uitgebreider in op hoe organisaties zulke audits inhoudelijk sterker maken.

    Verbeteracties vormen een tweede belangrijk signaal. Veel verbeterpunten ontstaan tijdens audits of evaluaties, maar verdwijnen later weer uit beeld. In Wat de opvolging van verbeterpunten zegt over hoe serieus je compliance neemt beschrijf ik waarom juist die opvolging veel zegt over hoe serieus een organisatie haar managementsysteem neemt.

    Daarnaast spelen risico’s een belangrijke rol in de management review. De norm verwacht dat organisaties regelmatig beoordelen of hun risicoanalyse nog actueel is en of bestaande maatregelen nog effectief zijn. Hoe je zo’n risicoanalyse praktisch inricht, lees je in De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    Wanneer deze onderwerpen regelmatig worden besproken, ontstaat vanzelf het soort gesprek dat auditors verwachten te zien.

    Wat auditors daadwerkelijk willen zien

    Wanneer auditors naar een management review kijken, zoeken ze meestal niet naar een perfecte presentatie of een uitgebreid verslag. Ze proberen vooral te begrijpen of het management het systeem daadwerkelijk bestuurt.

    In de praktijk komt dat neer op drie vragen.

    Wordt de review daadwerkelijk uitgevoerd?
    Is zichtbaar dat het management betrokken is bij het gesprek?
    En worden er concrete besluiten genomen?

    Auditors kijken daarom bijvoorbeeld naar de frequentie van de review, de onderwerpen die worden besproken en de besluiten die daaruit voortkomen.

    Een management review zonder besluiten roept vrijwel altijd vragen op. Het laat zien dat er wel naar informatie wordt gekeken, maar dat het managementsysteem niet echt wordt gebruikt om richting te geven aan de organisatie.

    Waarom management reviews in de praktijk vaak hun waarde verliezen

    Ondanks de duidelijke bedoeling van de norm verandert een management review in veel organisaties toch in een formaliteit.

    Vaak gebeurt dat ongemerkt. De kwaliteitsmanager of security officer bereidt een presentatie voor. Tijdens de vergadering worden cijfers en rapportages doorgenomen. Iedereen knikt instemmend en daarna gaat de aandacht weer terug naar de dagelijkse praktijk.

    Het gesprek blijft dan hangen in rapportage.

    Er wordt gekeken naar wat er is gebeurd, maar er worden weinig keuzes gemaakt over wat er moet gebeuren. Risico’s worden benoemd, maar niet gewogen. Verbeteringen worden genoemd, maar niet geprioriteerd.

    Op dat moment verliest de management review zijn bestuurlijke rol.

    Hoe een management review pragmatisch kan worden ingericht

    Een effectieve management review hoeft geen lange vergadering te zijn. In veel organisaties werkt een compacte aanpak juist beter.

    Het helpt om vooraf een beperkt aantal signalen te verzamelen. Auditresultaten, belangrijke incidenten, risico’s en de voortgang van verbeteracties geven vaak al een goed beeld van hoe het systeem functioneert.

    Tijdens de review zelf ligt de nadruk op besluitvorming.

    Welke ontwikkelingen vragen aandacht?
    Zijn de huidige maatregelen nog voldoende?
    Moeten prioriteiten worden aangepast?
    Zijn er extra middelen nodig?

    Wanneer de vergadering zich op dit soort vragen richt, ontstaat automatisch een bestuurlijk gesprek.

    De vastlegging kan vervolgens eenvoudig blijven. Niet een uitgebreid verslag van alles wat besproken is, maar een overzicht van conclusies, besluiten en acties. Dat is meestal precies wat auditors willen zien.

    Wanneer een management review echt waarde toevoegt

    Een goed uitgevoerde management review doet meer dan voldoen aan een norm.

    Het helpt om risico’s expliciet te maken.
    Het dwingt tot keuzes over prioriteiten.
    Het voorkomt dat verbeteringen blijven liggen.
    En het zorgt dat audits zelden verrassingen opleveren.

    Kort gezegd is het het punt waarop het managementsysteem daadwerkelijk wordt bestuurd.

    Niet als formaliteit, maar als onderdeel van hoe een organisatie richting geeft aan kwaliteit, risico’s en verbetering.

    Tot slot

    De management review wordt vaak gezien als een verplicht onderdeel van ISO-certificering. In werkelijkheid is het één van de momenten waarop governance het meest zichtbaar wordt.

    Wanneer het gesprek zich richt op prestaties, risico’s en keuzes, wordt de review een waardevol stuurinstrument. Niet omdat er meer wordt vastgelegd, maar omdat duidelijk wordt waar de organisatie op stuurt.

    Management reviews worden bovendien een stuk eenvoudiger wanneer risico’s, auditresultaten en verbeteracties op één plek samenkomen.

    In CompliTrack komen risico’s, maatregelen, audits en verbeteracties samen in één overzicht. Daardoor ontstaat automatisch de samenhang die nodig is voor een effectieve management review.

  • Duurzaam? Tot iemand om bewijs vroeg

    Duurzaam? Tot iemand om bewijs vroeg

    Hoe één vraag onze koers veranderde, van intentie naar aantoonbare resultaten

    “Kunnen jullie aantonen hoe duurzaam jullie eigenlijk zijn?”

    Het bleef even stil in de vergaderkamer. De vraag kwam van een vaste klant tijdens wat een routinematige leveranciersaudit had moeten zijn. Op papier stond het bedrijf bekend als duurzaam: groene energie, hergebruik van materialen en lokale leveranciers. Maar nu iemand om bewijs vroeg, viel er een ongemakkelijke stilte. Niemand wist waar de cijfers vandaan kwamen, laat staan of ze controleerbaar waren.

    Dat moment waarin een goedbedoelde duurzaamheidsclaim plots onder druk komt te staan, is herkenbaar voor veel organisaties. Niet omdat ze hun verantwoordelijkheid ontlopen, maar omdat ‘duurzaam werken’ vaak blijft hangen in intenties en losse initiatieven. Tot iemand vraagt om bewijs.

    Van goedbedoeld naar onderbouwd

    Steeds vaker vragen klanten, auditors en toezichthouders niet wat je denkt dat je doet voor het milieu, maar wat je kunt aantonen. Met de Corporate Sustainability Reporting Directive (CSRD) verschuift de lat definitief. Steeds meer organisaties, direct of via keteneisen, moeten werken met aantoonbare duurzaamheidsdata.

    Voor sommige geldt dit al over boekjaar 2024/2025, voor genoteerde kleinere ondernemingen vanaf boekjaar 2026. Dat vraagt om cijfers in plaats van slogans.

    Veel bedrijven hebben duurzame ambities, maar geen meetproces. Daar gaat het mis. Zonder meting blijft duurzaamheid perceptie, geen prestatie. En dat wordt een risico zodra klanten bewijs verwachten.

    Een audit die alles veranderde

    De audit werd een wake-upcall. Eén ogenschijnlijk eenvoudige vraag, “Hoeveel CO2 besparen jullie jaarlijks, onderbouwd per locatie?”, leidde tot een zoektocht door drie verschillende bestanden. De marketingafdeling had percentages in een brochure, maar geen bron. Inkoop kon certificeringen niet verifiëren. En de technische dienst had energiegegevens, maar verspreid over verschillende systemen.

    De auditor was helder: sterke ambitie, maar geen aantoonbaar beleid. Nog belangrijker, de klant koppelde vervolgopdrachten voortaan aan meetbare voortgang. Wat begon als een controle eindigde in een harde les en een kans om het beter te doen.

    Waarom bewijs zwaarder weegt dan belofte

    De tijd dat duurzaamheid vooral een marketingthema was, ligt achter ons. Klanten en toezichthouders verwachten dat organisaties hun claims kunnen onderbouwen. Niet uit wantrouwen, maar omdat ze afhankelijk zijn van betrouwbare data in hun eigen rapportages.

    Duurzaamheid raakt inmiddels direct aan governance, risk en compliance. Dat betekent dat het niet alleen om intenties draait, maar om meetbare resultaten, onderbouwde beslissingen en structurele verbetering. Ook leveranciers worden hier steeds vaker op beoordeeld.

    Wie zijn cijfers niet kan laten zien, verliest niet alleen geloofwaardigheid, maar ook kansen.

    Van losse acties naar een systeem

    Na die pijnlijke audit besloot het bedrijf het anders aan te pakken. Geen losse initiatieven meer, maar een gestructureerde aanpak op basis van ISO 14001, de internationale norm voor milieumanagement. Niet met het doel om te certificeren, maar om duurzaamheid te vertalen naar concreet gedrag en meetbare resultaten.

    Het verschil werd snel zichtbaar. In plaats van te zeggen “we verminderen ons energieverbruik”, werd het doel: “we reduceren ons gasverbruik met 15% binnen twaalf maanden.”

    In plaats van “we scheiden afval beter”, werd het “90% van ons bedrijfsafval wordt gescheiden ingezameld en geregistreerd.”

    Door doelen vast te leggen, verantwoordelijkheden te koppelen en resultaten te monitoren, ontstond iets dat daarvoor ontbrak: aantoonbaarheid.

    Bij de volgende audit lag er geen PowerPoint, maar een dashboard. En het gesprek ging niet langer over beloftes, maar over bewijs.

    Drie pijlers die het verschil maken

    De belangrijkste les: duurzaamheid wordt pas geloofwaardig als het is ingebed in de bedrijfsvoering. Dat vraagt om structuur, niet om grote woorden.

    1. Inzicht – weet waar je impact ligt: energie, afval, transport, inkoop en grondstoffen.
    2. Meten – verzamel data op vaste momenten en uit betrouwbare bronnen.
    3. Verbeteren – stel doelen, wijs verantwoordelijkheden toe en volg acties op.

    Met deze drie pijlers heb je niet alleen de bouwstenen voor audits en CSRD-rapportages in handen, maar ook een organisatie die wet wat werkt.

    De valkuil van greenwashing

    Greenwashing lijkt iets dat alleen grote bedrijven overkomt, maar ook kleinere organisaties kunnen erin verstrikt raken. Eén zin als “wij werken klimaatneutraal” kan al misleidend zijn als er geen bewijs achter zit.

    De Europese Unie werkt aan strengere regels tegen misleidende duurzaamheidsclaims. De richting is helder: claims moeten onderbouwd en controleerbaar zijn, ook als ze in een brochure of op een website staan.

    Wie transparant wil zijn, moet zijn cijfers kunnen laten zien, en dat begint bij structuur.

    Technologie als hulpmiddel, niet als obstakel

    Rapporteren hoeft niet complex te zijn. Het begint met overzicht, niet met zware software. Een toegankelijke GRC-aanpak (Governance, Risk & Compliance) helpt om milieuaspecten, doelen en acties vast te leggen zonder bureaucratie.

    Met zo’n systeem kun je:

    • Milieuaspecten identificeren;
    • Acties toewijzen aan verantwoordelijken;
    • En bewijs centraal opslaan.

    Het resultaat is overzicht, consistentie en minder stress bij audits. Het versterkt bovendien het vertrouwen bij klanten, omdat je data altijd beschikbaar en controleerbaar is.

    Van crisis naar vertrouwen

    Toen de klant een jaar later opnieuw langskwam voor een audit, was de sfeer compleet anders. De cijfers lagen klaar, de doelstellingen waren meetbaar en de voortgang aantoonbaar. In plaats van te verdedigen, ging het gesprek over verbetering.

    De klant zag niet alleen de resultaten, maar ook de transparantie. En dat wekte vertrouwen. Niet omdat alles perfect was, maar omdat alles onderbouwd was.

    Duurzaamheid zonder bewijs is een belofte. Duurzaamheid mét bewijs is een prestatie.

    Conclusie: bewijs is de nieuwe belofte

    Duurzaamheid draait niet langer om de juiste woorden, maar om controleerbare daden. De toekomst is aan organisaties die hun inspanningen kunnen aantonen, volgen en verbeteren.

    Een geloofwaardige duurzaamheidsclaim begint bij structuur: inzicht in je milieu-impact, vastgelegde processen en betrouwbare data. Daarmee voldoe je niet alleen aan regelgeving zoals de CSRD of ISO 14001, maar bouw je vooral aan iets belangrijkers: vertrouwen.

    Begin vandaag met meten wat je al doet. Dat is vaak de eerste stap naar bewijs.

    Lees ook:

  • ISO 14001 & CSRD: wat je er nú mee kunt

    ISO 14001 & CSRD: wat je er nú mee kunt

    “Hoe duurzaam zijn jullie eigenlijk?” De vraag kwam onverwacht. Niet van een toezichthouder of grote corporate, maar van een vaste klant die jarenlang vooral over kwaliteit en prijs sprak. Voor veel organisaties is dit inmiddels het nieuwe gesprek aan de keukentafel van de business: duurzaamheid is geen modewoord meer, maar een concreet onderwerp waar klanten iets mee willen.

    De druk om te verduurzamen komt niet alleen van wet- en regelgeving, maar vooral uit de markt zelf. Grote ondernemingen moeten aantoonbaar duurzaam opereren en kijken daarvoor steeds vaker naar hun leveranciers. En dat betekent dat kleinere organisaties zich moeten voorbereiden op vragen over milieubeleid, CO2-uitstoot en duurzame keuzes.

    Gelukkig hoeft dat geen ingewikkeld of duur traject te zijn. Met de principes van ISO 14001 breng je structuur aan in je milieumanagement. En met een beetje inzicht in de CSRD weet je precies waarom klanten duurzaamheid steeds vaker “aantoonbaar” willen zien.

    Waarom duurzaamheid nú op de agenda staat

    Tot een paar jaar geleden was duurzaam ondernemen vooral een kwestie van gezond verstand: afval scheiden, energie besparen en misschien een elektrische auto in de vloot. Dat verandert snel.

    Drie ontwikkelingen zorgen ervoor dat duurzaamheid belangrijker wordt dan ooit:

    1. Ketenverantwoordelijkheid. Grote bedrijven worden verantwoordelijk gehouden voor de duurzaamheidsimpact van hun leveranciers. Die druk werkt door in de hele keten.
    2. Aanbestedingen en offertes. Duurzaamheidscriteria wegen zwaarder mee bij opdrachten. Wie niets kan laten zien, staat 1-0 achter.
    3. Verwachtingen van klanten en medewerkers. Duurzame keuzes worden een teken van betrouwbaarheid en toekomstgerichtheid.

    Die marktdruk krijgt een formeel staartje door CSRD en de toegenomen aandacht voor milieumanagement binnen ISO 14001. Juist nu is dit hét moment om gestructureerd te werken aan duurzaamheid. Zonder te verzanden in papierwerk.

    ISO 14001: structuur in milieumanagement

    ISO 14001 is de internationale standaard voor milieumanagementsystemen. Waar ISO 9001 zich richt op kwaliteit, gaat ISO 14001 over de manier waarop een organisatie haar milieu-impact beheerst. De norm biedt houvast, niet door extra administratie te creëren, maar door te helpen nadenken over drie simpele vragen: Wat doen we dat impact heeft op het milieu? Wat willen we verbeteren? En hoe laten we zien dat het werkt?

    De kern van de norm bestaat uit vier principes:

    • Milieuaspecten in kaart brengen. Welke processen hebben invloed op het milieu? Van energieverbruik tot transport en afvalstromen.
    • Doelen stellen en maatregelen nemen. Denk aan 10% minder stroomverbruik, overstap naar groene energie of duurzamer inkopen.
    • Voldoen aan wet- en regelgeving. Zoals de energiebesparingsplicht en het correct registreren van afvalstromen.
    • Continu verbeteren. Jaarlijks kijken wat er beter kan en successen zichtbaar maken.

    Belangrijk om te weten: je hoeft niet direct te certificeren om te profiteren van ISO 14001. Alleen al werken met de principes van de norm – plannen, meten en verbeteren – geeft structuur én geloofwaardigheid richting klanten.

    CSRD: wat betekent het in de praktijk?

    De Corporate Sustainability Reporting Directive (CSRD) is de Europese richtlijn die grote ondernemingen verplicht om te rapporteren over hun milieu- en maatschappelijke impact. De invoering verloopt in golven:

    • Wave 1 (NFRD-bedrijven): rapporteren over boekjaar 2024 (publicatie 2025).
    • Wave 2 (overige grote ondernemingen): door het stop-the-clock-besluit twee jaar uitstel, rapporteren over boekjaar 2027 (publicatie 2028).
    • Wave 3 (beursgenoteerde kmo’s): eveneens twee jaar uitstel, rapporteren over boekjaar 2028 (publicatie 2029), met de eerder bekende opt-out tot 2028.

    Kleinere organisaties vallen dus (nog) niet onder de verplichting, maar hun klanten wél. Grote ondernemingen moeten namelijk ook gegevens over hun waardeketen verzamelen. En dus zullen ze die informatie opvragen bij hun leveranciers.

    Zelfs met het uitstel blijft de praktijk hetzelfde: wie duurzaamheid nu al gestructureerd vastlegt, kan klanten snel van gegevens voorzien en voorkomt stress als de eisen strenger worden.

    Van inzicht naar aantoonbare verbetering

    Duurzaam ondernemen hoeft niet groot te beginnen. Met een paar praktische stappen kun je direct vooruitgang boeken. Vaak met een tijdsinvestering van niet meer dan één à twee uur per week.

    Begin met inzicht. Breng je belangrijkste milieuaspecten in kaart: energieverbruik, transport, afval en inkoop. Vaak doe je al meer dan je denkt, je mist alleen overzicht. Kies daarnatwee of drie haalbare doelen (bijvoorbeeld -10% stroom, -12% brandstof, beter scheiden van afval) en wijs een eigenaar aan, zodat het thema niet tussen wal en schip valt.

    Maak bewijs eenvoudig. Bewaar één of twee harde bewijzen per maatregel: een energierekening of foto’s van LED-vervanging, een export uit je fleet-app met brandstoftrend of een inkoopcontract voor groene stroom. Dat is genoeg om te laten zien dat je structureel verbetert.

    Vertel wat je doet. Deel kort de resultaten. Je hoeft niets te rapporteren volgens CSRD, maar klanten waarderen transparantie. Een eenvoudige alinea in een offerte of een korte LinkedIn-update maakt al verschil.

    Een praktijkvoorbeeld

    Een technisch dienstverlener met twintig medewerkers merkte dat een woningcorporatie bij de aanbesteding ineens vroeg naar hun milieubeleid. Tot dan toe hadden ze daar niets over vastgelegd.

    Ze begonnen klein: ze maakten een overzicht van milieuaspecten (energie, transport, afval), stelden drie doelen op en kozen één verantwoordelijke. In CompliTrack hielden ze acties en resultaten bij: gereden kilometers, verbruik per bus en het stroomverbruik van hun werkplaats.

    Na een jaar konden ze aantonen dat hun brandstofverbruik met 12% was gedaald en dat ze volledig waren overgestapt op groene stroom. Geen certificering, geen dikke rapporten, maar wél tastbaar bewijs. De klant waardeerde dat inzicht, en bij de volgende aanbesteding stond duurzaamheid niet langer als risico op de lijst, maar als pluspunt.

    Hoe CompliTrack helpt

    Voor veel organisaties is duurzaamheid iets dat “erbij” komt. De intentie is goed, maar het overzicht ontbreekt. Dat is precies waar CompliTrack het verschil maakt.

    Met deze lichtgewicht GRC-oplossing kun je:

    • Milieuaspecten en risico’s centraal registreren. Zo weet je precies wat impact heeft en waar je kunt verbeteren.
    • Doelen en acties koppelen aan verantwoordelijken. Geen losse Excel-lijsten meer. Iedereen weet wat er moet gebeuren en wanneer.
    • Bewijsmateriaal vastleggen. Upload documenten, foto’s of facturen om aan te tonen dat maatregelen zijn uitgevoerd.
    • Voortgang volgen en rapporteren. Met één overzicht toon je aan wat je doet aan duurzaamheid, zonder een volledige CSRD-rapportage te hoeven schrijven.

    Zo maak je milieumanagement praktisch, meetbaar en vooral: uitvoerbaar.

    Veelvoorkomende misverstanden

    “ISO 14001 is alleen voor grote bedrijven”

    Integendeel. De principes zijn juist uitstekend toepasbaar in organisaties van elke omvang. Je bepaalt zelf hoeveel diepgang je aanbrengt.

    “De CSRD geldt niet voor mij, dus ik hoef niets te doen”

    Niet helemaal. Ook als je niet rapportageplichtig bent, kunnen klanten alsnog gegevens bij je opvragen. Wie nu al structuur aanbrengt, voorkomt later stress.

    “Duurzaamheid kost alleen maar geld”

    Op korte termijn vraagt het aandacht, maar het levert structurele voordelen op: minder verspilling, lagere energiekosten en een sterker imago bij klanten.

    De echte winst: vertrouwen en toekomstbestendigheid

    Duurzaam ondernemen is geen verplichting van bovenaf, maar een kans om je organisatie sterker te maken. Door te werken volgens de principes van ISO 14001 laat je zien dat je bewust bezig bent met het milieu, efficiëntie en continu verbeteren. En door te begrijpen wat de CSRD vraagt van je klanten, help je hen tegelijkertijd aan de juiste gegevens.

    Het verschil zit niet in de omvang van de rapportage, maar in de kracht van het bewijs. Met een helder plan, meetbare doelen en een eenvoudig systeem zoals CompliTrack maak je duurzaamheid tastbaar. Zonder complexiteit.

    Conclusie

    De vraag “Hoe duurzaam zijn jullie eigenlijk?” zal steeds vaker gesteld worden. Door klanten, financiers en zelfs nieuwe medewerkers. Of je daar een goed antwoord op hebt, hangt niet af van een certificaat aan de muur, maar van de structuur waarmee je laat zien wat je doet.

    ISO 14001 biedt dat kader, de CSRD zorgt voor de urgentie, en een tool als CompliTrack maakt het praktisch uitvoerbaar. Duurzaam ondernemen begint dus niet bij rapporten, maar bij inzicht. En daar ligt de sleutel tot toekomstbestendigheid.

    Verder lezen

  • Onze klant vroeg: “Hoe duurzaam zijn jullie eigenlijk?” en we hadden geen antwoord

    Onze klant vroeg: “Hoe duurzaam zijn jullie eigenlijk?” en we hadden geen antwoord

    We zaten midden in een goed gesprek met een nieuwe klant. Alles liep soepel, tot hij ineens vroeg: “Even tussendoor, hoe duurzaam zijn jullie eigenlijk?”

    De stilte die volgde zei alles. We hadden best wat gedaan: ledverlichting, minder printen, een paar elektrische auto’s. Maar een écht antwoord hadden we niet. Geen beleid, geen cijfers, geen idee of we goed bezig waren of niet.

    Op dat moment realiseerden we ons: dit was geen losse vraag uit beleefdheid. Dit was een signaal. Klanten willen weten waar ze aan toe zijn, en duurzaamheid hoort daar tegenwoordig gewoon bij.

    Waarom kleine bedrijven deze vraag steeds vaker krijgen

    Nog niet zo lang geleden was “duurzaamheid” iets voor grote bedrijven met aparte afdelingen en dikke jaarverslagen. Maar dat beeld klopt niet meer.

    Steeds vaker stellen klanten, leveranciers en opdrachtgevers vragen over duurzaamheid. Niet omdat ze ineens allemaal wereldverbeteraars zijn, maar omdat ze dat moeten. Door nieuwe Europese regels, zoals de CSRD (Corporate Sustainability Reporting Directive).

    De eerste grote ondernemingen rapporteren al over deze richtlijn (over boekjaar 2024). Voor andere categorieën volgt een gefaseerde invoering, met in 2025 extra verlichting en uitstel aangekondigd. Voor mkb-bedrijven betekent dit vooral één ding: klanten gaan vaker om informatie vragen.

    Omdat grote bedrijven voortaan ook hun keten moeten onderbouwen, zullen hun leveranciers – mkb’ers zoals jij – vaker om basisgegevens vragen.

    Goed nieuws: er ís een vrijwillige mkb-standaard (VSME) waarmee kleinere bedrijven eenvoudig kunnen rapporteren, en er is een zogenoemde value-chain cap (een praktische grens aan welke data grote bedrijven bij mkb-leveranciers mogen opvragen).

    Je hoeft dus geen jaarverslag of certificaat te hebben. Een paar duidelijke basisgegevens en een werkbare werkwijze zijn vaak al genoeg om professioneel over te komen.

    Kortom: ook als je zelf niet direct onder de CSRD valt, is het slim om nu al te weten hoe je ervoor staat.

    De CSRD in het kort (mkb-versie)

    De CSRD draait om transparantie. Bedrijven moeten laten zien welke invloed ze hebben op mens, milieu en maatschappij. Dat gaat verder dan winstcijfers. Het gaat om energieverbruik, afval, uitstoot en arbeidsomstandigheden.

    Voor mkb-bedrijven klinkt dat al snel groot en ver weg. Maar in de praktijk gaat het om eenvoudige vragen: Hoeveel energie verbruik je? Waar komt je afval vandaan? Koop je duurzaam in? En hoe zorg je dat je medewerkers veilig en gezond werken?

    Wie die informatie op orde heeft, helpt zijn klanten enorm én laat zien dat het bedrijf toekomstgericht werkt.

    ISO 14001: de praktische kant van duurzaamheid

    Als de CSRD vooral de vraag stelt (“hoe duurzaam ben je?”), dan helpt ISO 14001 je met het antwoord.

    ISO 14001 is de internationale standaard voor milieumanagement. Dat klinkt zwaar, mar het is in feite een praktische kapstok om alles at je doet op milieugebied te structureren. Het biedt systeemeisen voor een werkbaar mileumanagementsysteem. Geen prestatiecijfers, geen verplichte certificering, maar een helder raamwerk op grip te krijgen op je milieu-impact.

    Het helpt je om te bepalen waar jouw bedrijf invloed heeft: energieverbruik, afval, transport, inkoop, opslag. Vervolgens stel je doelen, koppel je acties en zorg je dat verbeteringen ook echt worden vastgehouden.

    Je hoeft geen windmolens op je dak te zetten of een CO2-compensatieprogramma te starten. Voor mkb-bedrijven zit de winst vaak in eenvoudige, haalbare verbeteringen: zuiniger werken, minder verspilling, betere keuzes bij leveranciers en vooral inzicht in wat je doet.

    Onze eigen reality check

    Na die klantvraag besloten we het niet langer voor ons uit te schuiven. We wilden weten waar we stonden.

    We begonnen simpel. Geen dikke rapporten of consultants, maar gewoon een middag inventariseren: hoeveel energie gebruiken we, waar komt ons afval vandaan, wat kunnen we hergebruiken of besparen? En voldoen we eigenlijk aan de milieuregels die voor ons gelden?

    Die eerste analyse was confronterend én verhelderend. We zagen dat er best veel goed ging, maar dat het toevallig goed ging. Niet omdat we er bewust beleid op hadden.

    Daarna kwam de volgende stap: doelen stellen.
    We besloten onder andere 20% minder elektriciteit te verbruiken in een jaar, volledig over te stappen op groene stroom en onze papierstroom te halveren. Niet revolutionair, maar realistisch. En belangrijker: het gaf richting.

    De valkuil van losse initiatieven

    Veel mkb’ers doen al iets aan duurzaamheid, maar vaak ad hoc. Een paar zonnepanelen hier, een elektrisch busje daar, of minder printen op kantoor. Allemaal goede stappen, maar zonder structuur verdwijnt de aandacht langzaam naar de achtergrond.

    De ene medewerker doet er iets mee, de ander niet. En binnen een jaar ben je terug bij af. Daarom helpt ISO 14001 juist: het voorkomt dat duurzaamheid iets vrijblijvends wordt.

    Hoe ISO 14001 structuur brengt

    ISO 14001 dwingt je om na te denken over vier logische stappen:

    1. Bepaal waar jouw milieu-impact zit: energie, afval, grondstoffen, transport.
    2. Ken je verplichtingen: bijvoorbeeld rond afvalverwerking of opslag van gevaarlijke stoffen.
    3. Kies verbeteringen die bij jouw bedrijf passen: minder verbruik, betere inkoop, bewuster gedrag.
    4. Evalueer en verbeter continu: blijf meten en stel bij waar nodig.

    Een eenvoudig voorbeeld: een middelgroot technisch bedrijf bracht via een risicoanalyse in kaart dat hun verfopslag niet voldeed aan milieueisen. Dankzij die ontdekking voorkwamen ze een boete en konden ze direct verbeteringen doorvoeren.

    Een ander bedrijf, actief in de IT, zag via een energieanalyse dat hun volledige omgeving, inclusief  testservers, 24/7 draaiden. Alleen al het terugbrengen van het nachtverbruik scheelde ruim €1200 per jaar. Zonder enige investering.

    Dat is precies de kracht van een gestructureerde aanpak: je ontdekt wat er echt toe doet.

    Een systeem dat wél werkt voor kleine organisaties

    De meeste kleine bedrijven hebben geen KAM-afdeling of milieumanager. Daarom moet een systeem vooral eenvoudig en werkbaar zijn.

    Wij gebruiken daarvoor CompliTrack, onze eigen tool die helpt om risico’s, audits en acties bij te houden. We voegden er ook onze milieudoelen aan toe. Zo staat alles overzichtelijk bij elkaar, zonder losse Excel-sheets of vergeten mailtjes.

    Iedere taak heeft een verantwoordelijke, een deadline en een herinnering. Het klinkt simpel, maar dat is juist precies waarom het werkt. Je hoeft niet méér papierwerk te hebben, je hebt gewoon meer inzicht.

    De echte winst

    Na een paar maanden merkten we verschil. Niet alleen in cijfers, maar ook in houding. Medewerkers letten beter op kleine dingen: lichten uit, printers uit, minder verspilling. We hadden gesprekken over duurzamer inkopen en over milieueisen bij nieuwe projecten.

    Duurzaamheid was geen “project” meer, maar een manier van werken.

    En toen diezelfde klant later terugkwam, konden we eindelijk een eerlijk en onderbouwd antwoord geven. Geen verkoopverhaal, maar feiten, doelen en resultaten.

    Duurzaamheid zonder certificaat: gewoon beginnen

    Veel mkb’ers denken dat ze eerst moeten certificeren, maar dat hoeft niet. Je kunt prima beginnen zonder keurmerk of audit. De kracht zit in bewustwording en structuur, niet in het certificaat aan de muur.

    Een goede start maak je met drie eenvoudige vragen:
    Waar gebruiken we de meeste energie of grondstoffen? Waar ontstaat de meeste verspilling? En wie kan helpen om dat structureel te verbeteren?

    Schrijf de antwoorden op, bespreek ze met je team en zet de eerste acties in gang. Dat kost je hooguit een middag, maar levert waardevolle inzichten op. Vaak al meer dan wat veel grotere organisaties doen.

    Conclusie: de klantvraag als kans

    Voor mkb’ers is duurzaamheid geen marketingtruc of verplicht nummer. Het is een manier om slimmer te werken, kosten te besparen en aantrekkelijker te worden voor klanten die waarde hechten aan verantwoord ondernemen.

    De CSRD en ISO 14001 klinken misschien als “grote thema’s”, maar in de praktijk gaat het gewoon om grip krijgen op wat je doet en laten zien dat je het serieus neemt.

    Dus wacht niet tot iemand je die vraag stelt. Zorg dat je het antwoord al klaar hebt. Want vroeg of laat komt die vraag weer voorbij: “Hoe duurzaam zijn jullie eigenlijk?”

    En als je dan kunt zeggen: “We weten het, en we werken er elke dag aan om beter te worden,” dan ben je precies op de juiste weg.

    Tip: donderdag lees je onze vervolgblog “ISO 14001 en CSRD: wat milieu management betekent voor mkb-bedrijven”. Een praktisch stappenplan vol voorbeelden.

    Wil je alvast weten hoe je als mkb’er zonder grote investering structuur aanbrengt in duurzaamheid? Ontdek hoe CompliTrack milieumanagement eenvoudig maakt. Zónder gedoe, maar mét resultaat.

  • Van risicoanalyse naar actie: De volgende stap in effectief risicobeheer

    Van risicoanalyse naar actie: De volgende stap in effectief risicobeheer

    Je hebt een risicoanalyse uitgevoerd en inzicht gekregen in de belangrijkste bedreigingen voor jouw organisatie. Maar hoe zorg je ervoor dat deze inzichten niet alleen op papier blijven staan? De echte uitdaging ligt in de implementatie: het omzetten van risicoanalyses naar concrete verbetermaatregelen die jouw organisatie veiliger en veerkrachtiger maken.

    In dit artikel bespreken we hoe je effectief aan de slag gaat met de opvolging van risicoanalyses en geven we praktische handvatten om risicobeheer structureel te verbeteren.

    Stap 1: Van analyse naar actieplan

    Een risicoanalyse zonder opvolging is als een diagnose zonder behandeling. Om daadwerkelijk impact te maken, moet je een actieplan opstellen en zorgen voor een gestructureerde uitvoering.

    Hoe pak je dit aan?

    • Prioriteer risico’s: Gebruik een risicomatrix om te bepalen welke risico’s als eerste moeten worden aangepakt. Maak hierbij onderscheid tussen hoge, middelgrote en lage risico’s.
    • Bepaal beheersmaatregelen: Kies voor een mix van preventieve, detectieve en correctieve maatregelen. Denk hierbij aan technische maatregelen (zoals firewall-instellingen), organisatorische maatregelen (zoals beleid en procedures) en personele maatregelen (zoals trainingen en bewustwordingscampagnes).
    • Maak een duidelijk actieplan: Definieer acties, stel deadlines vast en wijs verantwoordelijkheden toe. Gebruik een format met de kolommen: risico, maatregel, verantwoordelijke, deadline en status.
    • Gebruik een centraal systeem: Door alle maatregelen in een GRC-tool als CompliTrack vast te leggen, zorg je voor overzicht en opvolging.

    Voorbeeld

    Een organisatie signaleert dat phishing-aanvallen een toenemend risico vormen. Om dit te beheersen, voert de organisatie de volgende maatregelen door:

    1. Technisch: Strengere e-mailfilters en DMARC-configuratie.
    2. Organisatorisch: Een nieuw beleid voor veilige e-mailcommunicatie.
    3. Personeel: Trainingen voor medewerkers en testcampagnes met gesimuleerde phishing-e-mails.
    4. Controle: Periodieke evaluatie van het aantal succesvolle phishing-aanvallen.

    Stap 2: Borging in de organisatie

    Een eenmalige actie is niet voldoende om risico’s blijvend te beheersen. Risicomanagement moet een vast onderdeel van de organisatiecultuur worden.

    Hoe doe je dat?

    • Maak risicobeheer onderdeel van werkprocessen: Definieer duidelijke protocollen en zorg ervoor dat risicobeheer wordt meegenomen in bestaande workflows, zoals change management en leveranciersbeheer.
    • Stimuleer eigenaarschap: Betrek medewerkers bij het proces en wijs duidelijke verantwoordelijkheden toe. Dit kan via een RACI-matrix waarin je aangeeft wie verantwoordelijk, aansprakelijk, te consulteren en geïnformeerd moet worden.
    • Gebruik terugkerende controles: Stel periodieke evaluaties in om de effectiviteit van maatregelen te monitoren. Gebruik KPI’s zoals het aantal geïdentificeerde risico’s versus het aantal opgeloste risico’s.

    Voorbeeld

    Een IT-bedrijf voert periodieke security-audits uit en gebruikt CompliTrack om verbeteracties op te volgen. Iedere maand wordt er een review gehouden met IT en security om te beoordelen of maatregelen effectief zijn.

    Stap 3: Van incidenten leren

    Incidenten bieden waardevolle inzichten in zwakke plekken binnen de organisatie. Door incidenten systematisch te registreren en te analyseren, kun je het risicobeheer continu verbeteren.

    Hoe pak je dit aan?

    • Registreer incidenten direct in een centraal systeem: Maak het melden van incidenten laagdrempelig door een eenvoudig meldformulier te implementeren.
    • Analyseer trends en patronen: Gebruik root cause analysis (RCA) om onderliggende oorzaken van incidenten te achterhalen.
    • Pas je risicomanagementstrategie aan op basis van incidenten: Zorg ervoor dat incidenten leiden tot verbeterde maatregelen en niet slechts incident-afhandeling zonder structurele oplossingen.

    Voorbeeld

    Een organisatie merkt een stijging in datalekken door menselijke fouten. Om dit aan te pakken, worden de volgende maatregelen genomen:

    1. Analyse: RCA wijst uit dat medewerkers gevoelige gegevens per ongeluk mailen naar externe partijen.
    2. Maatregel: Implementatie van DLP (Data Loss Prevention) software die gevoelige data herkent en waarschuwingen geeft.
    3. Training: Medewerkers krijgen een verplichte training over veilig omgaan met gegevens.
    4. Controle: Periodieke audits en simulaties worden uitgevoerd om de effectiviteit te meten.

    Stap 4: Risicobeheer koppelen aan strategische doelstellingen

    Effectief risicobeheer ondersteunt de bredere bedrijfsstrategie. Door risico’s en beheersmaatregelen af te stemmen op organisatiedoelstellingen, creëer je een solide basis voor groei en continuïteit.

    Hoe doe je dit?

    • Koppel risico’s aan strategische doelen: Denk aan compliancy-doelstellingen zoals ISO 27001, NIS2 of AVG.
    • Beoordeel de impact van risico’s op organisatiedoelen: Gebruik impactanalyses om te bepalen welke risico’s een bedreiging vormen voor lange termijn doelen.
    • Gebruik KPI’s om de voortgang te meten: Definieer meetbare indicatoren zoals ‘aantal succesvolle security-audits’ of ‘percentage geïdentificeerde risico’s met een beheersmaatregel’.

    Voorbeeld

    Een organisatie die zich voorbereidt op ISO 27001-certificering gebruikt CompliTrack om risico’s, maatregelen en controles te monitoren. Hierdoor kunnen ze audits efficiënter doorlopen en aantonen dat ze in control zijn.

    Conclusie: Van risicoanalyse naar continu risicobeheer

    Risicobeheer is geen eenmalige oefening, maar een doorlopend proces. Door risicoanalyses om te zetten in concrete acties, opvolging te borgen en te leren van incidenten, zorg je ervoor dat risicomanagement een integraal onderdeel van je organisatie wordt.

    Checklist voor effectief risicobeheer:

    • Risico’s geprioriteerd en actieplan opgesteld
    • Verantwoordelijkheden en deadlines vastgelegd
    • Periodieke controles ingesteld
    • Incidenten geregistreerd en geanalyseerd
    • Risicobeheer gekoppeld aan strategische doelen

    Wil je weten hoe CompliTrack jouw organisatie kan helpen bij effectief risicobeheer? Neem contact met ons op en ontdek de mogelijkheden!