Tag: Risicobeheer

  • Wanneer je risico’s buiten je organisatie beginnen: leveranciersbeheer als basis voor grip

    Wanneer je risico’s buiten je organisatie beginnen: leveranciersbeheer als basis voor grip

    Veel organisaties hebben hun interne zaken redelijk op orde. Rollen zijn verdeeld, verantwoordelijkheden benoemd en risico’s besproken. Er is nagedacht over wat er binnen de organisatie kan misgaan en hoe daarop wordt gestuurd. Tot het moment dat er iets gebeurt bij een leverancier. Dan wordt zichtbaar hoe relatief die interne grip eigenlijk is.

    Steeds vaker ontstaan de grootste risico’s niet binnen de eigen organisatie, maar daarbuiten. Bij partijen waar dagelijks op wordt vertrouwd, maar waar zelden structureel bij wordt stilgestaan. Leveranciersbeheer is daarmee geen administratief onderwerp meer, maar een essentieel onderdeel van goed bestuur en beheersing.

    De verschuiving van risico’s naar buiten

    De afgelopen jaren is het werk van organisaties fundamenteel veranderd. Taken worden uitbesteed, systemen draaien extern en specialistische kennis ligt steeds vaker bij derden. Dat is geen bewuste strategie om risico’s te verplaatsen, maar een logisch gevolg van schaal, digitalisering en specialisatie.

    IT wordt geleverd als dienst. Applicaties draaien in de cloud. Externe partijen beheren data, ondersteunen klantprocessen of leveren cruciale functionaliteiten waarop de organisatie zelf nauwelijks nog invloed heeft. Tegelijkertijd blijft de verwachting bestaan dat dienstverlening beschikbaar, betrouwbaar en uitlegbaar blijft.

    Die afhankelijkheden ontstaan meestal geleidelijk. Ze worden zelden expliciet ontworpen, maar groeien mee met keuzes die op zichzelf logisch zijn. Een leverancier die ooit ondersteunend was, wordt ongemerkt kritisch. Een tijdelijke oplossing wordt structureel. En een externe partij wordt de enige die een bepaald proces echt begrijpt.

    Zolang alles werkt, voelt dat comfortabel. Er is weinig aanleiding om vragen te stellen. Pas wanneer een klant zekerheid vraagt, een incident zich voordoet of een audit scherper doorvraagt, blijkt hoe weinig overzicht er eigenlijk is op al die afhankelijkheden.

    Leverancierbeheer als governancevraagstuk

    Leveranciersbeheer wordt vaak gezien als iets operationeels. Contracten, afspraken, prestaties en evaluaties. In de kern gaat het echter over vertrouwen en verantwoordelijkheid.

    De relevante vraag is niet of een leverancier “goed” presteert, maar of je kunt uitleggen waarom deze partij wordt vertrouwd. En of helder is welke risico’s daarbij horen. Keuzes die buiten de organisatie worden gemaakt, hebben vaak directe impact op betrouwbaarheid, continuïteit en reputatie. De verantwoordelijkheid daarvoor blijft intern liggen.

    Zonder structureel leveranciersbeheer ontbreekt dat overzicht. Dan worden keuzes wel gemaakt, maar zijn ze achteraf moeilijk te verklaren. Niet omdat ze per se verkeerd waren, maar omdat niemand expliciet heeft vastgelegd waarom ze logisch leken op dat moment.

    De valkuil van eenmalig beoordelen

    In veel organisaties bestaat leveranciersbeoordeling wel degelijk. Vaak bij aanvang van de samenwerking of bij contractverlenging. De beoordeling wordt vastgelegd, besproken en daarna opgeborgen.

    Het probleem zit niet in het beoordelen zelf, maar in het idee dat één moment voldoende is. Risico’s veranderen. Leveranciers breiden hun dienstverlening uit, nemen andere partijen in de keten op, of wijzigen hun manier van werken. Tegelijkertijd verandert ook de organisatie zelf, waardoor afhankelijkheden verschuiven.

    Een beoordeling die geen vervolg kent, geeft vooral een gevoel van zekerheid. Op papier is alles geregeld, maar niemand kan aangeven of aannames nog kloppen. Wanneer niet zichtbaar is hoe actueel een beoordeling is, ontstaat schijncontrole. Er is documentatie, maar weinig grip.

    Niet elke leverancier is even kritisch

    Een veelgemaakte fout is dat alle leveranciers gelijk worden behandeld. Dat leidt tot twee ongewenste effecten. Ofwel er ontstaat onnodige administratieve last voor partijen die weinig risico vormen. Ofwel de aandacht voor echt kritische leveranciers verwatert.

    Effectief leveranciersbeheer begint bij onderscheid maken. Welke leveranciers raken kernprocessen? Welke hebben toegang tot gevoelige informatie? Welke zijn lastig te vervangen zonder directe impact op dienstverlening?

    Zodra dat onderscheid helder is, verschuift het gesprek. Dan gaat het minder over formulieren en meer over afhankelijkheid en impact. Dat gesprek is soms ongemakkelijker, maar ook veel waardevoller dan een uniforme beoordeling die niets zegt over prioriteit.

    Waarom eenvoud beter werkt dan perfectie

    Er bestaat een hardnekkig idee dat leveranciersbeheer complex moet zijn om serieus genomen te worden. Dat leidt tot uitgebreide modellen, uitgebreide vragenlijsten en theoretisch perfecte beoordelingskaders die in de praktijk nauwelijks worden gebruikt.

    Wat daadwerkelijk werkt, is eenvoud en herhaalbaarheid. Dat dezelfde vragen periodiek worden gesteld. Dat keuzes worden vastgelegd, ook als ze niet ideaal zijn. En dat zichtbaar is wanneer een beoordeling is gedaan en wanneer niet.

    Een eenvoudige structuur die consequent wordt gebruikt, levert meer grip op dan een perfect model dat alleen tijdens audits wordt geraadpleegd. Juist in organisaties waar compliance geen aparte discipline is, maar onderdeel van het dagelijkse werk, is dat verschil bepalend.

    Van individuele leverancier naar ketenbewustzijn

    Wie leveranciersbeheer structureel oppakt, merkt al snel dat het onderwerp breder wordt. Het gaat niet alleen meer over afzonderlijke partijen, maar over de keten als geheel.

    Leveranciers zijn zelf ook afhankelijk van andere partijen. Meerdere leveranciers kunnen dezelfde onderliggende dienst gebruiken. Een verstoring op één plek kan daardoor onverwacht veel impact hebben. Dat maakt risico’s cumulatief in plaats van geïsoleerd.

    Ketenbewustzijn betekent dat deze samenhang zichtbaar wordt. Niet door alles te analyseren, maar door te begrijpen waar afhankelijkheden elkaar raken. Dat vraagt geen ingewikkelde modellen, maar wel aandacht en periodieke reflectie op de vraag waar kwetsbaarheden samenkomen.

    Vertrouwen vraagt onderbouwing

    Leveranciersbeheer draait uiteindelijk om vertrouwen. Niet het naïeve vertrouwen dat alles wel goed geregeld is, maar het onderbouwde vertrouwen dat gebaseerd is op inzicht en bewuste keuzes.

    Organisaties die dit op orde hebben, hoeven minder uit te leggen wanneer er iets misgaat. Ze weten waar hun kwetsbaarheden zitten en kunnen laten zien waarom bepaalde keuzes zijn gemaakt. Dat maakt het verschil tussen reactief handelen en regie houden.

    Juist daarom past leveranciersbeheer binnen compliance. Niet als verplicht nummer, maar als manier om grip te houden op wat je zelf niet volledig beheerst.

    Afronding

    Risico’s stoppen niet bij de grenzen van de eigen organisatie. Ze lopen door in de keten van leveranciers, partners en externe partijen waarop dagelijks wordt vertrouwd. Leveranciersbeheer is de manier om die risico’s zichtbaar en bespreekbaar te maken.

    Niet door alles dicht te regelen, maar door bewust om te gaan met afhankelijkheden. Organisaties die dat doen, bouwen niet alleen aan compliance, maar ook aan betrouwbaarheid.

    Verder lezen

  • Toen het misging deed iedereen z’n best maar niemand volgde het proces

    Toen het misging deed iedereen z’n best maar niemand volgde het proces

    Het begon op een dinsdagochtend die nergens bijzonder in leek. De agenda stond vol, het team was net opgestart en iedereen was bezig om de dag rustig in te glijden. De eerste melding kwam om 09:03 uur. Een klant kon niet meer inloggen. Het gebeurt vaker, dus niemand raakte direct in paniek. Vijf minuten later volgde de tweede melding. Binnen een kwartier stond de teller op drie. De lichte onrust veranderde in gespannen alertheid. Iedereen keek elkaar aan. Dit was geen toeval meer.

    In een reflex stond het hele team paraat. De een dook in systemen, een ander pakte de telefoon, een derde probeerde alvast een workaround voor de klant te regelen. Het was pure betrokkenheid. Niemand wachtte af, niemand wilde dat de klant langer in onzekerheid bleef. En toch speelde precies dat moment het zwakke punt van de organisatie bloot. Iedereen deed zijn uiterste best, maar niemand volgde het incidentproces.

    Wanneer betrokkenheid de structuur verdringt

    Naarmate de minuten verstreken, groeide de druk. De meldingen bleven binnenkomen, vragen stapelden zich op en klanten wilden weten wat er aan de hand was. Het overzicht verdween razendsnel. Wat bedoeld was als een gecoördineerde aanpak, veranderde in parallelle pogingen om het probleem op te lossen. Er werd gemaild, geappt en tegelijk in meerdere systemen gezocht. Een collega noteerde iets in een privé notitieboek, een ander in een Excel-bestand, een derde in een chatsysteem.

    Het was geen chaos door gebrek aan kunde. Het was chaos omdat niemand dezelfde eerste stap nam. Dat is precies wat er gebeurt wanneer een proces wél bestaat, maar niet leeft. Een document kan netjes zijn opgesteld, maar als het geen onderdeel is van het dagelijkse werk, verdwijnt het op het moment dat de druk het hoogst is.

    Later die dag, toen de storing onder controle was en de adrenaline gedaald, was er ruimte voor reflectie. De vraag die terugkwam was simpel. Hoe kan het dat we een incidentproces hebben, en toch volledig terugvallen op improvisatie zodra het spannend wordt.

    De eerlijkste conclusie was ook de meest confronterende. Het proces was geen routine. Het was informatie. Geen gedrag.

    Een proces op papier is nog geen proces in de praktijk

    In veel organisaties blijft een incidentproces hangen in theoretische bekendheid. Mensen hebben het ooit gezien, weten dat het er is, maar hebben het nooit echt hoeven toepassen. En als het dan zover is, grijpen ze naar wat het meest natuurlijk voelt: direct handelen. Dat is begrijpelijk, maar ook gevaarlijk.

    Een proces werkt alleen als medewerkers het herkennen als houvast, niet als verplichting. Het moet intuïtief zijn. Het moet een routine worden. En routines ontstaan niet door een presentatie, een folder of een pagina in het handboek. Ze ontstaat doordat je een proces regelmatig toepast, bespreekt, herhaalt en controleert. Pas dan beklijft het.

    Het team besefte achteraf dat niemand nog precies wist waar het proces stond, laat staan hoe het begon. Sommigen dachten dat de storing zo uitzonderlijk was dat het proces waarschijnlijk niet volledig zou passen. Anderen begonnen uit gewoonte aan hun favoriete oplossingsrichting. Iedereen handelde met de beste intenties, maar het ontbrak aan een gedeeld startpunt. Dat is een van de meest voorkomende oorzaken van falend incidentbeheer: het proces voelt niet logisch of dichtbij genoeg.

    Onze eerdere blogs over continuïteit en ISMS laten hetzelfde zien. Een procedure die niet is ingeslepen, blijft niet overeind wanneer de druk toeneemt. Onder stress volgt iedereen zijn eigen instinct. Daarom moet een proces dat je in crisistijd wilt gebruiken, vooral heel simpel zijn.

    Waarom incidentprocessen zo vaak instorten onder druk

    Incidentbeheer heeft twee natuurlijke tegenpolen. Aan de ene kant wil een organisatie snel handelen. Aan de andere kant wil ze gestructureerd werken. Wanneer de druk toeneemt, wint snelheid het bijna altijd van structuur. Zeker in kleinere teams, waar iedereen meerdere rollen heeft en niemand fulltime met compliance bezig is.

    Dat leidt tot herkenbare patronen. Stappen worden overgeslagen omdat ze “later wel” worden ingevuld. Incidentregistratie gebeurt achteraf, selectief of versnipperd. Wat in e-mails staat, staat niet in het registratiesysteem. Wat in persoonlijke notities staat, bereikt het team niet. Bewijslast ontbreekt. Analyse wordt moeilijk. En tijdens een audit blijkt dat de opvolging niet aantoonbaar is, ook al heeft iedereen heel hard gewerkt.

    Dit patroon zagen we eerder ook in onze blog over risico’s, incidenten en audits. Een proces dat niet verbonden is met het dagelijks werk, kan ook niet functioneren als het erop aankomt. Het verschil tussen theoretische naleving en praktische beheersing komt altijd bovendrijven op momenten waarop je het het minst kunt gebruiken.

    Hoe we het proces weer klein en logisch maakten

    Het inzicht was helder. Het proces was niet te ingewikkeld op papier, maar voelde wel ingewikkeld op het moment zelf. Dat moest anders. Daarom besloten we het proces terug te brengen naar drie basisvragen die iedereen, ongeacht rol of ervaring, direct moet kunnen beantwoorden.

    • Wat is er precies gebeurd?
    • Wat is de impact op klant en operatie?
    • Wie pakt de eerste actie op?

    Door het proces te versimpelen, werd het niet minder compleet. Het werd toegankelijk. Herkenbaar. Toepasbaar in stresssituaties. Het gaf medewerkers duidelijkheid in plaats van keuzestress. En dat zorgde voor een interessant effect.

    Het proces werd vaker gevolgd omdat het eenvoudiger werd. Incidenten werden vaker geregistreerd omdat de drempel lager werd. Niet alleen grote, maar ook kleine afwijkingen kwamen boven water. Die signalen zijn goud waard. Kleine incidenten laten zien waar routines afwijken, waar communicatie schuurt of waar processen onnodig kwetsbaar zijn. Dat is precies het niveau waarop organisaties leren en verbeteren.

    Incidenten oplossen is niet hetzelfde als incidenten beheersen

    In de evaluatie ontdekten we dat we incidenten goed konden oplossen, maar onvoldoende beheersten. Oplossen gebeurt in de operatie. Beheersen gebeurt in het proces. Het eerste draait om actie, het tweede om structuur, analyse en verbetering.

    Wanneer incidenten niet worden beheerst, ontstaan steeds dezelfde patronen. Werk verdwijnt in mailboxen. Gegevens worden niet eenduidig geregistreerd. Incidenten worden als losse gebeurtenissen gezien, niet als onderdeel van een trend. Het gevolg is dat de organisatie stabiliteit mist. En tijdens audits ontstaat onzekerheid, omdat er geen helder verhaal is over wat er is gebeurd en wat ermee is gedaan.

    Een audit later dat jaar maakte dat pijnlijk duidelijk. De auditor vroeg niet alleen naar incidentregisters, maar vooral naar de manier waarop we opvolging borgden. Welke informatie vastgelegd werd op het moment zelf. Hoe het team wist wie de eerste stap moest zetten. En hoe we zeker wisten dat niets tussen wal en schip viel. Het nieuwe, eenvoudige proces gaf ineens een helder antwoord. Het was aantoonbaar. Begrijpelijk. Praktisch.

    De vraag die elk team zichzelf zou moeten stellen

    Wat doen wij als eerste wanneer er morgen een incident is?

    Dat is de vraag die je team in één zin moet kunnen beantwoorden. Als de antwoorden uiteenlopen, leeft het proces niet. Als iedereen dezelfde startstap kent, staat het fundament. Incidentbeheer begint niet bij tooling of procedures, maar bij gedrag. Bij mensen die weten waar de eerste stap ligt. En pas daarna bij het systeem dat die stap ondersteunt, documenteert en opvolging afdwingt.

    Goede incidentbeheersing is geen hogere wiskunde. Het is voorspelbaar samenwerken. Het is helderheid creëren op het moment dat alles onduidelijk lijkt. Het is het verschil tussen paniek en overzicht. En vooral: het geeft klanten vertrouwen dat je organisatie grip heeft op wat er gebeurt, ook wanneer er iets misgaat.

    Een proces is pas waardevol wanneer het in de praktijk werkt. Niet wanneer het op papier perfect staat, maar wanneer het team het instinctief volgt. Dat is de stap van document naar gewoonte. Van papier naar gedrag. Van losse incidenten naar structurele verbetering.

    Verder lezen

    Deze blogs sluiten goed aan op het thema van incidentgedrag, opvolging en aantoonbaarheid:

  • Ketenrisico’s in kleine organisaties: waarom het verder gaat dan leveranciersbeheer

    Ketenrisico’s in kleine organisaties: waarom het verder gaat dan leveranciersbeheer

    Veel organisaties richten hun aandacht vooral op de leveranciers waar zij formele afspraken mee hebben. Er zijn contracten, SLA’s en terugkerende evaluaties die moeten aantonen dat alles onder controle is. Toch ontstaan de grootste verstoringen zelden bij deze partijen. Problemen komen juist van een heel andere hoek: de externe ontwikkelaar die een cruciale module onderhoudt, het bureau dat klantgegevens bewaart zonder dat dit expliciet is afgesproken of de partner die wijzigingen doorvoert zonder vooraf overleg.

    Dit zijn geen uitzonderlijke situaties. Ze laten zien dat ketenrisico’s veel verder reiken dan traditionele leveranciersrelaties. Ze raken aan kennis, toegang, continuïteit en zelfs cultuur. En juist omdat deze risico’s buiten de formele processen vallen, blijven ze vaak onzichtbaar tot het misgaat.

    In eerdere blogs hebben we al verkend hoe je leveranciers beoordeelt en risico’s beheerst. In deze blog kijken we verder. Wat gebeurt er wanneer je de hele keten in beeld brengt, en hoe krijg je daar grip op zonder het zwaar te maken.

    1. De keten is groter dan je leverancierslijst

    Wanneer mensen over ketenbeheer praten, denken ze vaak aan leveranciers waar facturen vandaan komen. De praktijk is anders. Veel organisaties werken met tijdelijke experts, nichepartners en freelancers die onderdeel zijn van de dienstverlening, maar niet worden gezien als formele leverancier.

    Denk aan een externe ontwikkelaar die toegang heeft tot productiedata. Een adviseur die inlogt op interne omgevingen. Of een creatief bureau dat klantinformatie ontvangt om een campagne te bouwen. Hoewel deze partijen een directe rol spelen in processen, staan ze meestal niet in een risicomatrix of leveranciersregister.

    Dat maakt de keten kwetsbaar. Wanneer een externe specialist uitvalt, vertrek aankondigt of simpelweg tijdelijk niet beschikbaar is, kan een proces volledig stilvallen. Niet omdat het systeem faalt, maar omdat er afhankelijkheden bestaan die nooit zijn vastgelegd.

    2. Afhankelijkheden moeten eerst zichtbaar zijn

    Ketenrisico’s kun je pas beoordelen wanneer je weet wie invloed heeft op je processen. Dat vraagt niet om uitgebreide documentatie, maar om een helder beeld van de externe partijen die in jouw organisatie meedraaien.

    Een goede inventarisatie begint bij drie eenvoudige vragen:

    • Welke externe partijen raken processen, systemen of informatie.
    • Wat gebeurt er wanneer hun werk wegvalt.
    • Welke afspraken bestaan er al en welke worden alleen in de praktijk gemaakt.

    Zodra je deze vragen beantwoordt, ontstaat er een duidelijk beeld van waar de echte kwetsbaarheden zitten. Je ziet welke werkzaamheden door één persoon worden uitgevoerd, waar kennis niet is gedeeld en welke processen afhankelijk zijn van informele afspraken. Dat inzicht maakt het mogelijk om risico’s te beheersen voordat ze zich voordoen.

    3. Risico’s in de keten zijn vaak menselijk

    Veel ketenrisico’s ontstaan niet door techniek, maar door gedrag. Een externe specialist die meerdere projecten combineert, een partner die wijzigingen doorvoert zonder melding of een dienstverlener die blijft vertrouwen op verouderde middelen. Het zijn kleine beslissingen die grote gevolgen kunnen hebben.

    In een eerdere blog beschreven we hoe gedrag bepalend is voor de effectiviteit van compliance. Dat geldt ook in de keten. Contracten zijn belangrijk, maar ze bepalen niet of iemand zorgvuldig werkt, kennis overdraagt of wijzigingen actief communiceert. Dat hangt af van gewoonten, verwachtingen en samenwerking.

    Daarom is het bij ketenrisico’s belangrijk om niet uitsluitend naar afspraken te kijken, maar ook naar de manier waarop externen hun werk uitvoeren. Hoeveel kennis ligt bij één persoon. Is het werk goed gedocumenteerd. Kan iemand anders het proces overnemen. Deze vragen bepalen hoe robuust de keten in werkelijkheid is.

    4. Een eenvoudige risicoanalyse voor je keten

    Grip krijgen op ketenrisico’s hoeft niet complex te zijn. Een lichte risicoanalyse kan al voldoende inzicht geven om structurele risico’s te verkleinen. Daarbij helpt het om vijf elementen te beoordelen:

    1. Externe partijen
      Breng alle partijen in kaart die invloed hebben op jouw processen, systemen of informatie.
    2. Geraakte onderdelen
      Noteer welke activiteiten of applicaties afhankelijk zijn van deze partijen.
    3. Impact bij uitval
      Onderzoek wat er stagneert wanneer een externe partij tijdelijk wegvalt.
    4. Toegang en beveiliging
      Bepaal welke accounts, systemen en data toegankelijk zijn voor deze partij.
    5. Vervangbaarheid
      Bekijk hoe snel iemand anders het werk kan overnemen.

    Dit overzicht geeft een realistisch beeld van waar de keten kwetsbaar is. De kracht zit in eenvoud: hoe duidelijker het beeld, hoe gemakkelijker het wordt om maatregelen te nemen zonder een zware beheersstructuur op te tuigen.

    5. Toegang door externen: het meest onderschatte risico

    Wanneer externe partijen toegang hebben tot systemen of data, ontstaat een risico dat vaak pas wordt opgemerkt wanneer iets misgaat. Accounts blijven bestaan nadat een project is afgerond. Toegang wordt niet herzien wanneer rollen veranderen. Of een partij werkt met gedeelde wachtwoorden omdat dat in de praktijk eenvoudiger is.

    Dit is geen technisch probleem, maar een organisatorische keuze. Wie toegang heeft, bepaalt in grote mate de beveiliging van je keten. In eerdere blogs over informatiebeveiliging beschreven we hoe derde partijen expliciet risico’s introduceren, vooral wanneer zij toegang hebben tot gevoelige informatie of kritische systemen.

    Daarom is het belangrijk om te weten welke toegang externen hebben, waarom zij die toegang nodig hebben en hoe lang die toegang relevant blijft. Door dit periodiek te controleren, verklein je een van de meest voorkomende kwetsbaarheden binnen de keten.

    6. NIS2 maakt ketenverantwoordelijkheid concreet

    Niet elke organisatie valt onder NIS2. Voor bedrijven die wel binnen de richtlijn vallen, geldt een duidelijke verplichting: zij moeten kunnen aantonen dat zij risico’s in de keten herkennen, beoordelen en monitoren.

    Dat betekent in de praktijk dat organisaties:

    • Externe partijen moeten opnemen in hun risicoanalyse;
    • Beveiligingsmaatregelen moeten afstemmen op de rol en toegang van deze partijen;
    • Incidenten moeten onderzoeken wanneer die impact hebben op de dienstverlening;
    • Continuïteit binnen de keten moeten borgen.

    NIS2 maakt hiermee zichtbaar wat in de praktijk allang relevant is: organisaties zijn verantwoordelijk voor de risico’s die ontstaan door partijen waarmee zij samenwerken. Voor bedrijven die niet formeel onder de richtlijn vallen, blijft dit een waardevol kader om grip te krijgen op hun keten en risico’s beheersbaar te houden.

    7. In vijf stappen naar meer grip op je keten

    Een praktisch ketenbeheerproces hoeft niet zwaar of tijdrovend te zijn. De volgende vijf stappen werken in vrijwel elke organisatie:

    1. Breng alle externe partijen in kaart, inclusief freelancers, nichepartijen en tijdelijke specialisaten.
    2. Koppel elke partij aan processen, systemen of informatie die zij raken.
    3. Bepaal wat er gebeurt wanneer een partij tijdelijk wegvalt.
    4. Controleer welke toegang externen hebben en stel vast waarom die toegang nodig is.
    5. Herhaal de beoordeling jaarlijks of wanneer een rol, project of samenwerking verandert.

    In deze stappen ontstaat structuur zonder dat het proces complex wordt. Door klein te beginnen en de beoordeling consequent te herhalen, krijgt de keten een steviger fundament.

    Conclusie

    Ketenrisico’s gaan verder dan leveranciers. Ze raken je dienstverlening, beveiliging, continuïteit en reputatie. De kwetsbaarheden zitten vaak in partijen die niet in formele processen zijn opgenomen, maar wél een directe rol spelen in jouw operatie. Door inzicht te krijgen in deze afhankelijkheden, toegang van externen te beheersen en risico’s periodiek te beoordelen, bouw je een keten die minder gevoelig is voor verstoringen.

    Het gaat er niet om elke situatie volledig te beheersen. Het belangrijkste is dat je weet waar de risico’s zitten en dat je deze stap voor stap verkleint. Daarmee ontstaat een keten die wendbaar, transparant en beter voorbereid is op de toekomst.

    Verder lezen

    Effectieve leveranciersbeoordeling met CompliTrack
    Hoe je leveranciers koppelt aan bedrijfsmiddelen en risico’s binnen ISO 9001 en ISO 27001.

    Wat is NIS2 en hoe beïnvloedt het jouw ISMS?
    Waarom NIS2 organisaties dwingt om risico’s in de toeleveringsketen serieus te nemen.

    Van incident naar verbetering
    Hoe organisaties incidenten gebruiken om risico’s in de keten structureel te verkleinen.

    Van spreadsheets naar gestructureerd risicobeheer
    Waarom Excel tekortschiet voor leveranciers- en ketenbeoordelingen.

    Leveranciers beoordelen zonder Excel: zo krijg je grip op risico’s
    Praktische verdieping op leveranciers- en ketenafhankelijkheden

  • Business Continuity: eenvoudige BIA & BCP in 5 stappen

    Business Continuity: eenvoudige BIA & BCP in 5 stappen

    Maandagochtend, 08:47 uur. De telefooncentrale ligt eruit, orders komen niet meer binnen en de klantenservice zit met de handen in het haar. Iedereen doet z’n best om het probleem op te lossen, maar niemand weet precies wat er moet gebeuren. Herkenbaar?

    Veel bedrijven ontdekken pas tijdens een incident hoe kwetsbaar ze zijn. Niet omdat er geen inzet is, maar omdat er geen plan is. Business continuity – of bedrijfscontinuïteit – lijkt vaak iets voor grote organisaties met crisisteams en procedures. In werkelijkheid gaat het om één eenvoudige vraag: kan jouw bedrijf draaien als er iets onverwachts gebeurt?

    In deze blog leggen we uit wat business continuity inhoudt, hoe de ISO 22301-norm structuur biedt, en hoe je met een praktische aanpak in vijf stappen een effectief continuïteitsplan opzet. Zonder dikke handboeken of dure trajecten.

    Wat business continuity écht betekent

    Business continuity draait om het vermogen van je organisatie om door te gaan bij verstoringen. Denk aan stoomuitval, ziekte van een sleutelmedewerker, een cyberaanval of een leverancier die plots uitvalt.

    Belangrijk: bedrijfcontinuïteit gaat verder dan IT.

    Het gaat over mensen, communicatie en afhankelijkheden. Over wat er gebeurt als één schakel tijdelijk wegvalt.

    Het doel is niet om elk risico te voorkomen, maar om voorbereid te zijn. Wie van tevoren weet wat kritiek is en waar de grootste kwetsbaarheden liggen, kan snel reageren, schade beperken en klanten blijven bedienen.

    ISO 22301: structuur zonder verplichting

    De internationale norm ISO 22301 beschrijft hoe organisaties continuïteit structureel kunnen organiseren. De norm helpt om risico’s te begrijpen, processen te herstellen en verantwoordelijkheden te verdelen.

    Een certificering is niet verplicht om er voordeel uit te halen. Zelfs zonder officiële audit biedt ISO 22301 houvast doordat je:

    • In kaart brengt welke processen kritiek zijn,
    • Begrijpt waar risico’s samenkomen, en
    • Leert hoe je testen en verbeteren onderdeel maakt van je werk.

    Voor kleinere organisaties is dat bijzonder waardevol: je krijgt structuur, zonder onnodige complexiteit.

    De praktische gids: in 5 stappen naar een werkbaar continuïteitsplan

    1. Begin met een Business Impact Analyse (BIA)

    Een Business Impact Analyse helpt je bepalen wat écht belangrijk is voor je organisatie. Je brengt in kaart welke processen, teams, middelen of leveranciers essentieel zijn en hoe lang je ze kunt missen voordat het schadelijk wordt.

    Stel per proces drie vragen:

    1. Wat gebeurt er als dit proces stilvalt?
    2. Hoe lang mag dat duren voordat de schade te groot wordt (Recovery Time Objective)?
    3. Welke middelen, mensen of leveranciers heb ik nodig om dit proces draaiende te houden?

    Voorbeeld:

    • Orderverwerking ligt plat door een systeemstoring. Binnen één dag merken klanten het; na twee dagen verlies je omzet.
    • Marketing kan gerust een week stilliggen zonder grote gevolgen.
    • IT-beheer is kritisch, want meerdere processen zijn ervan afhankelijk.

    Je kent zo een waarde toe aan elk onderdeel: Kritiek, Hoog, Gemiddeld of Laag. Die waardering vormt de basis voor de volgende stap, want de BIA bepaalt hoe zwaar de impact zal zijn als er iets mis gaat.

    De BIA bepaalt wat belangrijk is. De risicoanalyse laat zien waardoor dat belangrijke stuk in gevaar kan komen.

    2. Koppel risico’s en kwetsbaarheden aan je BIA

    De tweede stap is het inzichtelijk maken van waardoor je kritieke processen kunnen uitvallen. De BIA vertelt je wat belangrijk is, de risicoanalyse vertelt je wat het bedreigt.

    Wanneer een proces in de BIA als kritiek is aangemerkt, betekent dat dat elk risico dat dit proces raakt, in principe ook een hoge impactscore krijgt, tenzij je maatregelen neemt om de impact te beperken.

    Voorbeeld:

    Kritisch proces (uit BIA)KwetsbaarheidRisicoImpact voor maatregelBeheersmaatregelVerwachte impact na maatregel
    OrderverwerkingEén server zonder back-upSysteemstoring / dataverliesKritiekBack-upserver + automatische back-upMiddel
    KlantenserviceSleutelmedewerker afwezigOnbereikbaarheid klantenHoogVerachtingsschema + belscriptsLaag
    LeveringEnkele transportpartnerTransportstakingHoogAlternatieve partnercontractenGemiddeld

    De waarde uit de BIA bepaalt dus direct de impactwaarde in de risicoanalyse.
    Een kritiek proces zonder maatregelen = kritische impact.
    Een goed beveiligd proces = lagere impact.

    In de praktijk kan context (zoals seizoenspieken of contractuele verplichtingen) de impact verder beïnvloeden, maar dit principe helpt om snel de juiste prioriteiten te stellen.

    3. Stel beheersmaatregelen vast

    Zodra duidelijk is welke risico’s de grootste bedreiging vormen, bepaal je wat je eraan kunt doen. Beheersmaatregelen kunnen technisch, organisatorisch of menselijk zijn. Ze hoeven niet groot of duur te zijn, als ze maar effectief zijn.

    Voorbeelden:

    • IT & data: automatische back-ups, noodstroomvoorziening, dubbele internetverbinding.
    • Mensen: vervangingsschema’s, duidelijke rolverdeling bij incidenten.
    • Leveranciers: alternatieve leveranciers, voorraadbuffers.
    • Communicatie: vooraf klaarliggende berichten voor klanten en partners.

    Een maatregel verlaagt meestal de impact, soms ook de kans. Bijvoorbeeld: een extra back-upserver verlaagt de kans op uitval én de impact als het toch misgaat.

    4. Ontwikkel en implementeer het Business Continuity Plan (BCP)

    Een Business Continuity Plan beschrijft wie wat doet bij een verstoring. Het is de vertaling van je analyse naar concrete acties.

    Een goed BCP bevat:

    • Kritieke processen: wat moet als eerste hersteld worden?
    • Contactpersonen: wie is verantwoordelijk voor welke actie?
    • Herstelprocedures: hoe worden processen opnieuw opgestart?
    • Communicatieplan: hoe informeer je medewerkers, klanten of leveranciers?

    Een BCP hoeft geen lijvig document te zijn. Een plan van vijf pagina’s dat iedereen begrijpt, is waardevoller dan een map die niemand openslaat.

    Zorg dat het plan actueel blijft, op een vaste plek te vinden is en dat mensen weten wat hun rol is bij een incident.

    5. Test, evalueer en verbeter – de PDCA-cyclus

    Een plan dat niet getest wordt, is in de praktijk weinig waard. Daarom is testen en verbeteren essentieel: de PDCA-cyclus (Plan-Do-Check-Act) houdt continuïteit levend.

    • Plan: Stel je plan op op basis van je BIA en risicoanalyse;
    • Do: Test het plan met een oefening of simulatie;
    • Check: Evalueer wat werkte en wat niet. Kwam de impact overeen met de verwachting?
    • Act: Pas de maatregelen aan waar nodig.

    Begin klein. Test bijvoorbeeld eens wat er gebeurt als je een dag zonder internet werkt, of simuleer de uitval van een sleutelmedewerker. Zo ontdek je knelpunten zonder dat de bedrijfsvoering echt in gevaar komt.

    Hoe CompliTrack helpt om continuïteit beheersbaar te maken

    Overzicht is vaak de grootste uitdaging. In veel bedrijven staat de BIA in Excel, de risicoanalyse in Word en de actiepunten in e-mails. Een tool als CompliTrack brengt dat samen in één omgeving.

    Je hoeft geen expert te zijn: CompliTrack is een hulpmiddel om risico’s, maatregelen en acties overzichtelijk te beheren.

    StapWat CompliTrack doet
    BIA uitvoerenLeg per proces vast wat kritiek is en welke afhankelijkheden bestaan.
    Risico’s koppelen aan BIAGebruik de BIA-waardering als uitgangspunt voor de impactscore van risico’s.
    Beheersmaatregelen beherenRegistreer maatregelen, wijs verantwoordelijken toe en monitor voortgang.
    Periodieke controlesStel automatische taken in voor tests, reviews en updates van het BCP.
    Documentatie en bewijslastAlles centraal vastgelegd, direct aantoonbaar bij audits of klantvragen.

    Zo wordt bedrijfscontinuïteit niet een eenmalig project, maar een doorlopend proces dat automatisch geborgd is.

    Conclusie: continuïteit is geen luxe, maar een verantwoordelijkheid

    Business continuity is geen groot strategisch plan, maar een manier om voorbereid te zijn. Wie inzicht heeft in zijn belangrijkste processen, begrijpt automatisch waar de echte risico’s liggen. Met ISO 22301 als richtlijn, een praktische aanpak in vijf stappen en ondersteuning van een toegankelijke tool zoals CompliTrack, blijft continuïteit beheersbaar voor elke organisatie, groot of klein.

    Wil je weten hoe jouw bedrijf eenvoudiger grip krijgt op continuïteit? Plan een vrijblijvende demo met CompliTrack en ontdek hoe je voorbereid blijft, zonder onnodige complexiteit.

  • AI-governance voor het MKB: beleid, risico’s en 10 haalbare controles

    AI-governance voor het MKB: beleid, risico’s en 10 haalbare controles

    AI-tools worden steeds vaker gebruikt door medewerkers van kleine en middelgrote bedrijven. Soms heel bewust, soms stiekem in de marge van het werk. Een tekst sneller schrijven, een klantmail samenvatten, een planning in Excel automatisch laten opstellen – het gaat vaak ongemerkt. Handig? Zeker. Maar zonder duidelijke afspraken ontstaat er ook een risico: persoonsgegevens belanden in publieke AI-diensten, beslissingen worden niet meer goed verklaard en auditors stellen lastige vragen waar je geen antwoord op hebt.

    Daarom is het tijd om ook in het MKB serieus te kijken naar AI-governance. Dat hoeft geen log, duur programma te zijn. Met tien praktische controles kun je vandaag nog een basis leggen die overzicht geeft, risico’s beperkt en vertrouwen uitstraalt naar klanten en auditors.

    1. Een kort, helder AI-beleid

    Een AI-beleid hoeft geen dik document te zijn. Integendeel: hoe korter, hoe beter. Schrijf in één of twee pagina’s op welke AI-tools medewerkers mogen gebruiken, en vooral ook wat niet mag. Benoem expliciet verboden gebruik, zoals het invoeren van klantgegevens in publieke AI-systemen.

    Tip: maak het concreet met voorbeelden. Bijvoorbeeld: “Je mag ChatGPT gebruiken om interne teksten te structureren. Je mag geen klantinformatie, persoonsgegevens of broncode invoeren.”

    Zo’n beknopt beleid leest iedereen, en je creëert duidelijkheid zonder dat het voelt als extra werk.

    2. Een beslismodel voor data-invoer

    Niet alle data is gelijk. Publieke informatie kun je vaak veilig gebruiken, maar persoonsgegevens en bedrijfsgevoelige gegevens zijn een ander verhaal. Met een simpel verkeerslichtmodel maak je dit inzichtelijk:

    • Groen: openbare of dummy-data -> toegestaan.
    • Oranje: interne documenten -> alleen in goedgekeurde tools en na interne check.
    • Rood: persoonsgegevens, klantinformatie of vertrouwelijke data -> verboden.

    Door het verkeerslichtmodel toe te passen weet iedereen direct: dit valt onder “rood”.

    3. DPIA uitvoeren waar dat moet

    Een Data Protection Impact Assessment (DPIA) is verplicht onder de AVG wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor betrokkenen. Denk aan grootschalige profiling of verwerking van gevoelige gegevens.

    Voor het MKB klinkt dat zwaar, maar je hoeft het niet ingewikkeld te maken. Werk met een korte quickscan om te bepalen of een volledige DPIA nodig is:

    • Worden er persoonsgegevens verwerkt?
    • Gaat het om gevoelige data (gezondheid, financiën, etniciteit)?
    • Kan de verwerking grote impact hebben op betrokkenen?

    Als het antwoord drie keer “ja” is, voer je een volledige DPIA uit. Zo maak je AI-toepassingen AVG-proof, zonder eindeloze papierstroom.

    4. Een register van AI-toepassingen

    Zonder overzicht weet je niet wie welke AI-tools gebruikt. En dan wordt aantoonbaar maken bij een audit onmogelijk.

    Maak daarom een simpel register met kolommen als: naam tool, doel, eigenaar, datacategorieën, status goedgekeurd/niet-goedgekeurd. Dit kan in eerste instantie gewoon in Excel of in je GRC-tool.

    Praktisch voordeel: door dit vast te leggen en te beheren, kun je met één uitdraai laten zien welke tools wel en niet gebruikt mogen worden. Dit geeft beheersbaarheid en vertrouwen.

    5. Rollen en rechten koppelen aan AI-gebruik

    Niet iedere medewerker heeft dezelfde behoefte aan AI-tools. Een marketingmedewerker mag misschien een AI-tekstgenerator gebruiken, maar iemand van HR mag er geen personeelsdossiers mee verwerken.

    Door AI-gebruik te koppelen aan rollen en functies beperk je risico’s en geef je medewerkers duidelijke kaders. Leg ook vast wie toestemming kan geven voor uitzonderingen.

    Zo voorkom je dat AI ineens overal gebruikt wordt, zonder dat je weet waarvoor.

    6. Besluitvorming documenteren

    AI mag ondersteunen, maar de eindbeslissing ligt altijd bij een mens. Als AI helpt bij offertes of klantselectie, leg dan vast hoe de uitkomst tot stand kwam.

    Documenteer bijvoorbeeld: Welke prompt is gebruikt? Welke versie van de tool? Wie heeft de uitkomst beoordeeld?

    Bij een audit of een klantvraag kun je zo eenvoudig aantonen dat beslissingen niet blind aan AI zijn overgelaten.

    7. Incidentmeldproces voor AI

    Fouten gebeuren. En dat is oké, zolang je ervan leert. Richt daarom een eenvoudig meldpunt in.: een e-mailadres of kort formulier waarin medewerkers ook twijfels kunnen melden.

    Voorbeeld: een medewerker ontdekt dat hij per ongeluk klantgegevens in een AI-tool heeft ingevoerd. Door dit direct te melden kan de organisatie beoordelen of er sprake is van een datalek en snel actie ondernemen.

    Hoe sneller een incident boven tafel komt, hoe kleiner de schade.

    8. AI-awareness training

    Veel risico’s ontstaan uit onwetendheid. Een korte training van 20 minuten waarin je uitlegt wat AI is, welke tools wel en niet mogen, en waarom dat belangrijk is, levert veel op.

    Gebruik herkenbare voorbeelden: een klantmail die per ongeluk in een publieke tool belandt, of een verkeerd gegenereerde berekening. Zo snappen medewerkers waarom voorzichtigheid nodig is.

    Bewustwording voorkomt meer incidenten dan welke technische maatregel ook.

    9. Periodieke review

    AI-tools en voorwaarden veranderen razendsnel. Een tool die vandaag veilig lijkt, kan morgen ineens data opslaan in een ander land of de voorwaarden aanpassen.

    Plan daarom elk kwartaal een korte review van je AI-register. Bespreek: gebruiken we nog de juiste tools, zijn er incidenten geweest, moeten we beleid of afspraken aanpassen?

    Zo houd je governance levend in plaats van statisch.

    10. Borging in een lichtgewicht systeem

    Tot slot: Excel-documenten werken, maar alleen zolang iedereen ze trouw bijwerkt. In de praktijk schiet dat er vaak bij in.

    Met een eenvoudige GRC-tool zoals CompliTrack (€90 per maand) leg je beleid, risico’s, incidenten en controles centraal vast. Je kunt taken toewijzen, reviews inplannen en aantonen dat je in control bent, zonder logge implementaties.

    Voor kleinere organisaties is dit dé manier om governance beheersbaar te maken zonder bureaucratische last.

    Conclusie: vertrouwen door overzicht

    AI-governance is geen papieren exercitie. Het draait om vertrouwen. Bij klanten, auditors en je eigen medewerkers. Met tien praktische controles leg je een stevige basis zonder dat het ingewikkeld wordt.

    Voor het MKB betekent dat: snel toepasbare maatregelen, geen overbodige regels, maar wel aantoonbare grip. Zo benut je de voordelen van AI, zonder wakker te liggen van de risico’s.

    Lees ook:

  • GRC-software in 90 dagen: realistisch implementatieplan voor kleine teams

    GRC-software in 90 dagen: realistisch implementatieplan voor kleine teams

    Waarom veel implementaties mislukken

    Een nieuwe GRC-tool lijkt vaak de oplossing voor alle complianceproblemen. De demo overtuigt, het contract is getekend, maar drie maanden later is er niets veranderd. Excel-bestanden slingeren nog steeds rond, incidenten raken zoek in e-mails en de auditor stelt dezelfde pijnlijke vragen als vorig jaar. Het resultaat: frustratie en een gevoel van mislukking.

    Dit gebeurt vooral in kleine teams. Niet omdat de software slecht is, maar omdat implementaties worden aangevlogen alsof er een complete compliance-afdeling beschikbaar is. Dikke projectplannen, externe consultants en maandenlange trajecten: precies wat kleine organisaties níet kunnen dragen.

    Wat je nodig hebt, is een plan dat eenvoudig is, behapbaar, en stap voor stap grip geeft. Geen Excel-chaos meer, maar wél overzicht. En dat kan in 90 dagen.

    De kracht van korte stappen

    Een groot verschil tussen falen en succes zit in het tempo. In plaats van alles tegelijk te willen, deel je de implementatie op in drie duidelijke fases. Iedere fase levert direct zichtbaar resultaat. Daardoor ervaart je team de voordelen al snel, blijft de motivatie hoog en groeit het vertrouwen dat de tool écht werkt.

    Fase 1 (week 1-4): Richting kiezen

    De eerste weken draaien om focus. Vraag jezelf af: welke pijn willen we als eerste oplossen? Is het auditstress, terugkerende incidenten of simpelweg het gebrek aan overzicht in Excel? Benoem dit expliciet en wijs per onderdeel een verantwoordelijke aan.

    Begin klein. Stel een top vijf risico’s op en registreer die in de tool. Daarmee leg je een fundament dat direct overzicht biedt en discussies minder ad-hoc maakt. Vanaf dit moment voelt het alsof compliance geen losse puzzelstukjes meer zijn, maar een geheel.

    Fase 2 (week 5-8): Processen in beweging brengen

    Nu komt de praktijk. Richt een eenvoudige manier in om incidenten vast te leggen, zodat opvolging automatisch bij de juiste persoon terecht komt. Voeg taakbeheer toe, zodat terugkerende acties niet meer vergeten worden.

    Plan in deze periode je eerste interne audit in de tool. Zo laat je zien dat bevindingen niet langer verdwijnen in mapjes of post-its, maar systematisch opgevolgd worden. Het verschil met Excel wordt direct zichtaar: geen ruis, maar grip.

    Fase 3 (week 9-12): Borging en verbetering

    De laatste fase draait om continuïteit. Zet dashboards aan die in één oogopslag tonen welke risico’s en incidenten aandacht vragen. Bespreek die inzichten kort met het management: overzicht zonder dikke rapporten.

    Sluit de 90 dagen af met een gezamenlijke review. Kijk wat werkt, pas waar nodig aan en geef medewerkers een korte instructiesessie. Een kwartiertje uitleg is vaak genoeg om draagvlak te creëren: iedereen weet hoe incidenten gemeld worden, hoe taken worden opgevolgd en vooral waarom dit rust en overzicht oplevert.

    Waarom dit werkt voor kleine teams

    Omdat het simpel is. Je hoeft niet alles tegelijk te doen, maar bouwt stap voor stap. Iedere fase levert tastbaar resultaat, zonder dat je een projectteam of externe consultants nodig hebt. Geen Excel, geen chaos, wél grip.

    Conclusie: Grip in drie maanden

    Een GRC-implementatie hoeft geen eindeloos traject te zijn. Met een realistisch 90-dagenplan leg je de basis, breng je processen in beweging en borg je verbeteringen. Het resultaat: minder stress, meer overzicht en een organisatie die altijd auditklaar is.

    Wil je meteen aan de slag? Download ons gratis 90-dagen template. Daarin vind je per week concrete acties, voorbeelden en checklists waarmee jouw team binnen drie maanden grip krijgt op compliance – zonder paniek en zonder Excel-chaos.

  • Van chaos naar controle: zo verbind je risico’s, incidenten en audits in één werkproces

    Van chaos naar controle: zo verbind je risico’s, incidenten en audits in één werkproces

    De Excel voor risico’s stond nog open. Het incidentrapport zat verstopt in een gedeeld Word-bestand, dat niemand meer durfde te openen sinds de laatste audit. En die ene gele post-it met “audit dinsdag!”? Die lag onder een koffiemok.

    Zo ziet compliance er bij veel MKB’s nog steeds uit: goedbedoeld, verspreid en kwetsbaar. En het gekke is: niemand doet het expres zo. Het groeit. Van een eerste risicoanalyse naar een los incidentformulier, van losse maatregelen naar auditlijstjes. Tot het systeem zelf het risico wordt.

    Maar wat nou als je die drie werelden – risico’s, incidenten en audits – samenbrengt in één logisch werkproces?

    Versnippering maakt je blind

    Bij vrijwel elk MKB-bedrijf waar we meekijken, zien we hetzelfde: risico’s worden keurig in een matrix gezet, incidenten krijgen een aparte registratie, audits worden apart voorbereid. Maar zelden worden ze als één geheel behandeld. Terwijl ze dat in de praktijk wél zijn.

    Incidenten ontstaan vaak doordat risico’s niet goed zijn ingeschat of beheerst. Audits beoordelen juist of je dat proces beheerst. En de maatregelen die je uit audits haalt, hebben weer effect op het risicobeeld.

    Toch behandelen veel organisaties deze processen als losse projecten. Het gevolg? Je mist verbanden. Je herhaalt werk. En je merkt pas bij de audit wat je vergeten bent. Niet omdat je slordig werkt, maar omdat het systeem waarin je werkt geen verband aanbrengt.

    Wat er verandert als je risico’s, incidenten en audit verbindt

    Bij vrijwel elk MKB-bedrijf waar we meekijken, zien we hetzelfde: risico’s worden keurig in een matrix gezet, incidenten krijgen een aparte registratie, audits worden apart voorbereid. Maar zelden worden ze als één geheel behandeld. Terwijl ze dat in de praktijk wél zijn.

    Incidenten ontstaan vaak doordat risico’s niet goed zijn ingeschat of beheerst. Audits beoordelen juist of je dat proces beheerst. En de maatregelen die je uit audits haalt, hebben weer effect op het risicobeeld.

    Toch behandelen veel organisaties deze processen als losse projecten. Het gevolg? Je mist verbanden. Je herhaalt werk. En je merkt pas bij de audit wat je vergeten bent. Niet omdat je slordig werkt, maar omdat het systeem waarin je werkt geen verband aanbrengt.

    Wat er verandert als je risico’s, incidenten en audit verbindt

    Wat gebeurt er als je dit wél als één werkproces inricht? Als je risicoanalyse, incidentbeheer en auditvoorbereiding niet als drie losse taken ziet, maar als één onderling verbonden cyclus?

    Laat me je meenemen in hoe dat er in de praktijk uit kan zien.

    En als je nog nooit van “GRC” hebt gehoord, geen zorgen. Dit is geen jargon, het is gewoon logisch werken: zorgen dat alles samenkomt op één plek, in plaats van verspreid over mapjes, systemen en hoofden.

    Dan ontstaat rust. Dan ontstaat overzicht. En dan werk je aan continue verbetering in plaats van jaarlijkse stressvermijding.

    Voorbeeld uit de praktijk:

    • Je voert een risicoanalyse uit. Niet alleen per proces, maar gekoppeld aan je bedrijfsmiddelen.
    • Er doet zich een incident voor, bijvoorbeeld een datalek. Je registreert het, en koppelt het direct aan het risico “Onvoldoende gegevensbeveiliging”.
    • Je ziet meteen: welke beheersmaatregelen golden hier al? Zijn ze nageleefd? Waren ze voldoende?
    • De interne audit wordt voorbereid en dit incident staat daar al in, met oorzaak, opvolging en status.
    • De verbeteractie is toegewezen, gepland en afgerond. Zonder losse Excel, zonder extra e-mailrondjes.

    Het verandert niet wat je doet, maar wel hoe je het doet. En dat maakt het verschil.

    Van brandjes blussen naar aantoonbare beheersing

    Wat je bereikt met deze werkwijze is niet alleen rust, maar ook continuïteit. Geen incident meer dat ‘vergeten wordt op te volgen’. Geen audit meer die uitmondt in paniek. Geen managementreview die gebaseerd is op losse lijstjes.

    In plaats van te reageren op wat misgaat, werk je proactief aan verbetering. Je bouwt een systeem waarin incidenten niet verdwijnen, maar aanleiding zijn voor nieuwe inzichten. Waar audits bevestigen wat je al weet. Waar risico’s niet statisch zijn, maar dynamisch meebewegen met je organisatie.

    Slot: Controle is geen toeval

    Zolang risicoanalyse, incidentbeheer en audits los van elkaar staan, blijft compliance voelen als een verzameling losse verplichtingen. Maar breng je ze samen in één proces, dan krijg je controle. Dan is aantoonbare compliance geen bijvangst, maar een logisch gevolg van hoe je werkt.

    Met één systeem heb je overzicht, eigenaarschap én bewijsvoering. En dat is precies wat de auditor komt zoeken.

    Wil je weten hoe dat eruit ziet in de praktijk? Ontdek hoe CompliTrack risico’s, incidenten en audits samenbrengt in één logisch werkproces, speciaal voor organisaties zonder compliance-afdeling, maar mét verantwoordelijkheden.

  • Leveranciers beoordelen zonder Excel: zo krijg je écht grip op risico’s

    Leveranciers beoordelen zonder Excel: zo krijg je écht grip op risico’s

    Stel je voor: je leverancier scoort een 9,3 in je jaarlijkse beoordeling. Netjes. Je legt de score vast in Excel, checkt het vakje voor “beoordeeld” en gaat verder met je dag. Tot het misgaat. De dienst valt uit, een datalek ontstaat, of een project loopt vertraging op omdat je leverancier zijn afspraken niet nakomt. En ineens blijkt die 9,3 vooral gebaseerd op goede bedoelingen, en weinig onderbouwing.

    Voor veel organisaties is dit herkenbaar. Leveranciersbeoordeling is vaak een verplichting op papier: een lijstje, een score en hop, klaar is Kees. Maar het echte doel van zo’n beoordeling? Grip krijgen op risico’s in je keten. Juist daar gaat het met Excel vaak mis.

    In deze blog lees je waarom die klassieke aanpak tekortschiet, wat een moderne beoordeling wél inhoudt, en hoe je leveranciers structureel én risico gestuurd kunt beoordelen – zonder spreadsheets.

    Waarom Excel tekortschiet bij leveranciersbeoordeling

    Excel is laagdrempelig, maar het is niet ontworpen voor gestructureerd risicobeheer. Wat er in de praktijk gebeurt:

    • Beoordelingen zonder context
      Je weet niet wie toegang heeft tot welke systemen, data of processen. Iedereen scoort ‘voldoende’, maar niemand weet waarom.
    • Verouderde inzichten
      Zodra je een Excelbestand opslaat, is het eigenlijk al achterhaald. Certificaten verlopen, prestaties veranderen, incidenten worden vergeten.
    • Geen structurele opvolging
      Een leverancier scoort een 6 – en dan? Wie neemt actie? Wat moet er gebeuren? Excel heeft geen workflow, geen reminders, geen eigenaarschap.
    • Afhankelijkheid van personen
      Eén medewerker weet hoe het bestand werkt. Tot die met vakantie gaat – of vertrekt.

    Het resultaat? Je voldoet op papier aan je ISO 9001- of ISO 27001-verplichting, maar in de praktijk heb je weinig zicht op je echte kwetsbaarheden.

    Wat een moderne leveranciersbeoordeling wél doet

    Leveranciersbeoordeling is geen formaliteit, maar een onmisbaar onderdeel van je compliance- en risicostrategie. Zeker als je werkt met normen als ISO 9001, ISO 27001 of als je moet voldoen aan de NIS2.

    Een slimme aanpak:

    • Koppelt leveranciers aan bedrijfsmiddelen
      Denk aan systemen, klantdata, infrastructuur of operationele processen. Een leverancier die je cloudomgeving beheert, vraagt om een andere beoordeling dan je koffieleverancier.
    • Beoordeelt op basis van risico’s
      Niet elke leverancier is even kritisch. Beoordeel op impact: wie beïnvloedt je continuïteit, je informatiebeveiliging of je kwaliteit?
    • Kijkt verder dan een rapportcijfer
      Beoordeel leveranciers niet alleen op algemene indruk, maar op actuele prestaties, incidenthistorie, certificering en contractuele naleving.
    • Is cyclisch en continu
      Een eenmalige score is waardeloos zonder opvolging. Plan herbeoordelingen in, koppel acties aan uitkomsten en blijf monitoren.
    • Is aantoonbaar, gestructureerd en schaalbaar
      Auditoren vragen niet of je iets hebt beoordeeld, maar hóé. Welke criteria? Welke acties zijn genomen? Welke risico’s zijn geïdentificeerd?

    Praktijkvoorbeeld: waarom context alles is

    Stel, je werkt met een externe IT-partner die jouw klantportaal beheert. Die partner scoort elk jaar een 8,5 in je Excel-beoordeling.
    Maar…

    • “Je weet niet meer of ze nog een geldige ISO 27001-certificering hebben.”
    • “Je hebt geen zicht op incidenten die ze hebben meegemaakt.”
    • “Ze beheren systemen die klantdata bevatten, maar dat is nergens gekoppeld.”

    Als er een datalek ontstaat, kun je het niet terugleiden naar een actuele risico-inschatting.

    Had je wél gewerkt met een systeem dat deze leverancier koppelt aan je kritieke systemen, dan had je direct gezien dat hier meer controle over was – en had je eerder kunnen bijsturen.

    Hoe begin je zelf?

    Een goede eerste stap richting structurele leveranciersbeoordeling is het koppelen van leveranciers aan je bedrijfsmiddelen. Denk hierbij aan:

    • IT-systemen (zoals je CRM of klantportaal)
    • Gevoelige datasets (klantgegevens, gezondheidsinformatie)
    • Kernprocessen (productie, logistiek, support)
    • Fysieke middelen (toegang tot kantoor, apparatuur)

    Daarna: bepaal voor elk bedrijfsmiddel wat de impact is bij falen, en bepaal welk risico je accepteert. Hoe hoger de impact, hoe hoger de beoordelingsfrequentie en de eisen aan je leverancier.

    Gebruik vervolgens tooling zoals CompliTrack om:

    • Leveranciers te koppelen aan bedrijfsmiddelen
    • Risicoanalyses automatisch uit te voeren
    • Incidenten te registreren en te koppelen aan leveranciers
    • Beoordelingen te plannen, acties toe te wijzen en opvolging te borgen
    • Certificaten, contracten en prestaties inzichtelijk te houden

    Waarom dit nú belangrijk is

    De wereld verandert. Leveranciers hebben vaker directe toegang tot je informatie, je infrastructuur en je klanten. En dat betekent: hun fouten worden jouw risico’s.

    Tegelijkertijd worden de eisen strenger:

    • ISO 9001 vraagt om objectieve en herhaalbare leveranciersbeoordeling
    • ISO 27001 stelt eisen aan beheersmaatregelen voor derde partijen
    • NIS2 eist aantoonbare controle over je toeleveringsketen

    Met andere woorden: je kunt het je niet veroorloven om leveranciersbeoordeling te blijven zien als een Excel-ritueel.

    Van incident naar inzicht: een echt voorbeeld

    Een middelgroot IT-bedrijf – klant van ons – gebruikte jarenlang een jaarlijkse vragenlijst in Excel om leveranciers te beoordelen. Eén van hun leveranciers scoorde altijd keurig een 9. Tot bleek dat deze leverancier geen actuele ISO-certificering meer had én toegang had tot klantdata. Na een incident was er geen duidelijk zicht op wie waarvoor verantwoordelijk was.

    Sindsdien gebruiken ze CompliTrack om leveranciers structureel te koppelen aan systemen, risico’s en maatregelen. Beoordelingen zijn nu risico gestuurd, geautomatiseerd en gekoppeld aan incidenthistorie. En audits? Die doorstaan ze nu zonder gedoe, en met vertrouwen.

    Klaar om afscheid te nemen van Excel?

    Leveranciersbeoordeling hoeft geen corvee te zijn. Het kan je juist helpen om risico’s te verkleinen, audits soepel te laten verlopen en je organisatie soepeler en veerkrachtiger te maken.

    Wil je verder lezen? Bekijk dan ook:

    Of: plan direct een vrijblijvende demo. Dan laten we je zien hoe je met één centrale tool leveranciersbeoordeling wél overzichtelijk, efficiënt en impactvol maakt.

  • Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

    Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

    Auditresultaat: 0. Risico-inschatting: laag. Conclusie: alles onder controle.
    Totdat de productie stilvalt. Of klantdata uitlekt. Of er wéér een storing is. En ineens blijkt die ‘9’ niet zo geruststellend als gedacht.

    In deze blog lees je waarom een goed auditrapport van je leverancier geen garantie is voor werkelijke veiligheid, en hoe je voorkomt dat je leveranciersbeoordelingen vooral compliance-theater worden.

    Het leek waterdicht, tot het fout ging

    Een technisch dienstverlener in de energiesector werkte samen met een IT-partner die ISO 27001-gecertificeerd was. Die partner scoorde een 9,3 in de jaarlijkse leveranciersbeoordeling. Alle vinkjes stonden op groen. Toch ging het mis.

    Wat bleek?
    Het cloudplatform waarop zij klantdata hostten, inclusief netwerkinformatie en gebruikersgegevens, viel buiten de scope van hun ISO-certificering. In het auditrapport stond keurig vermeld: “Deze omgeving is operationeel, maar valt buiten de ISMS-scope.” Alleen: niemand heeft dat gelezen. En niemand heeft gevraagd wat dat in de praktijk betekende.

    Toen de cloudomgeving werd getroffen door een ransomware-aanval, was er geen noodscenario. Geen back-upplan. En geen aansprakelijkheid, want: de risico’s waren niet besproken, laat staan vastgelegd in een contract.

    Waarom een 9 geen garantie is

    We vertrouwen graag op auditcijfers, certificaten en beoordelingslijsten. Een hoge score voelt veilig. Maar een score vertelt niets over:

    • Welke processen en systemen precies onder die audit vallen.
    • Welke maatregelen werkelijk effectief zijn – en voor jouw situatie relevant.
    • Wat de leverancier niet heeft geregeld, of wat jij zelf moet aanvullen.
    • Hoe snel en adequaat wordt gehandeld als het wél misgaat.
    • Of er juridische afspraken zijn die aansluiten op de feitelijke risico’s (zoals DPA’s, exit-clausules of SLA’s).

    Een audit is een momentopname. En dat moment zegt niets over de praktijk van morgen, volgende week of volgend kwartaal. Toch vertrouwen veel organisaties op die momentopnames als basis voor hun leveranciersstrategie. Zo ontstaat compliance zonder context, ofwel: compliance-theater.

    De veelgemaakte denkfout

    De meeste organisaties stellen wél eisen aan leveranciers (“moet ISO-gecertificeerd zijn”, “moet aanleveren voor de audit”), maar vergeten drie essentiële vragen:

    • Waar raakt deze leverancier mijn kritieke processen of gegevens?
    • Wat is de impact als deze leverancier faalt, en wie merkt dat als eerste?
    • Hebben wij aanvullende maatregelen genomen om dát risico af te dekken?

    Zonder deze drie vragen loop je het risico dat je je risicobeoordeling uitbesteedt aan de marketingafdeling van je leverancier. En dat is – op z’n zachtst gezegd – geen geruststellend vooruitzicht.

    Excel werkt niet voor structurele beoordeling

    Veel organisaties beheren leveranciersinformatie nog in Excel of SharePoint-lijstjes. Je kunt daar wel vinkjes bijhouden, maar:

    • Je weet niet aan welke bedrijfsmiddelen of processen de leverancier gekoppeld is.
    • Risico’s blijven abstract: er is geen directe relatie met impact of context.
    • Incidenten worden niet automatisch meegenomen in je beoordeling.
    • Audits worden elk jaar opnieuw opgebouwd, in plaats van structureel bijgehouden.
    • Er is geen koppeling tussen risicoanalyse, contractbeheer en maatregelen.

    Zo blijft leveranciersbeoordeling statisch. Je vult jaarlijks een lijst in, scoort een 8,7 en gaat verder. Tot het misgaat.

    Hoe CompliTrack dit voorkomt

    CompliTrack is een lichtgewicht GRC-tool die leveranciers structureel koppelt aan je organisatie:

    • Koppel leveranciers aan bedrijfsmiddelen, processen of datatypes.
    • Voer risicoanalyses uit per leverancier, afgestemd op jouw situatie.
    • Krijg realtime inzicht in maatregelen, certificaten, SLA’s en incidenthistorie.
    • Beoordeel de impact op continuïteit en compliance als een leverancier wegvalt.
    • Plan evaluatiemomenten automatisch in en berg opvolging.

    Zo ontstaat niet alleen een vollediger beeld, maar ook een betere discussie met je leveranciers. Want een leverancier die op papier scoort, maar risico’s ontwijkt, krijgt geen 9 meer. Die krijgt een gesprek.

    Wat als jij dit over het hoofd ziet?

    Veel bedrijven hebben het niet in de gaten. Ze vertrouwen op de jaarlijkse vragenlijst, op de ISO-stempel, op het auditrapport in PDF-vorm. Tot er een storing is. Of een datalek. Of een leverancier ineens afhaakt.

    De tijd om kritische vragen te stellen, is vóór de storing. Niet erna.

    Dus: zorg dat je leveranciersbeoordeling niet stopt bij cijfers, maar begin met risico’s, processen en praktijk.

    Meer weten?

    Lees ook:

    Een hoge score is mooi. Maar als je niet weet wat níet gemeten is, weet je ook niet wat je mist.
    Wil je weten hoe je wél grip krijgt op leveranciersrisico’s? We laten het je graag zien, plan gerust een demo.

  • 6 eisen waaraan elk lichtgewicht GRC-systeem moet voldoen

    6 eisen waaraan elk lichtgewicht GRC-systeem moet voldoen

    Voor MKB’s die overzicht willen zonder gedoe

    De auditor komt langs.
    “Wie volgt dit risico op?” vraagt hij.
    Stilte.

    Je weet het eigenlijk wel. Maar je tool laat het niet zien. Geen status, geen taak, geen herinnering. En dus heb je een probleem.

    Veel MKB’s gebruiken een GRC-oplossing die “lichtgewicht” zou moeten zijn. Maar in de praktijk is het vaak óf te kaal, óf juist onnodig complex. Je verliest tijd aan zoeken, uitleggen, kopiëren. En je collega’s? Die gebruiken het niet.

    Dit is wat een lichtgewicht GRC-systeem écht moet doen. Niet alles – maar wél precies genoeg om je bedrijf in control te houden, zonder spreadsheets, stress of stiltes tijdens audits.

    Lichtgewicht ≠ leeg

    Te vaak betekent “lichtgewicht” in de praktijk: een takenlijstje zonder context. Een Excel-achtig dashboard met kleurtjes. Of een systeem dat alleen jij begrijpt.

    Maar als je risico’s, maatregelen en audits serieus wilt nemen – en dat moet, gezien NIS2, ISO 27001, ISO 9001 of leveranciersdruk – dan moet je systeem niet minder doen.

    Het moet precies genoeg doen.

    6 eisen voor een lichtgewicht GRC-systeem

    Hieronder vind je wat je minimaal mag verwachten. Geen overbodige features, geen consultancy, maar wél structuur, overzicht en grip.

    1. Risico’s vastleggen én opvolgen

    Iedereen heeft een risicomatrix. Maar als er geen actie aan hangt, is het waardeloos. Dan ben je compliant op papier, maar kwetsbaar in de praktijk.

    Je systeem moet:

    • Risico’s kunnen registreren, beoordelen en prioriteren.
    • Direct maatregelen koppelen én opvolgen.
    • Zicht geven op wat open staat, met een deadline en een eigenaar.

    Als je dit alsnog in Excel moet doen, is je systeem overbodig.

    2. Slim taakbeheer (zodat niets blijft liggen)

    Zonder taakbeheer wordt compliance een project dat je start… en vergeet. Tot de volgende audit.

    Jouw systeem moet:

    • Terugkerende taken automatisch plannen (bijv. kwartaalreviews, beheersmaatregel-checks).
    • Herinneringen sturen naar de juiste mensen.
    • Zichtbaar maken wat (nog) open staat – per persoon, per norm, per deadline.

    Als jij de enige bent die taken opvolgt, is er geen systeem. Alleen jij.

    3. Auditacties die niet blijven liggen

    Audit gedaan = acties verdelen. Maar als niemand ziet wie wat moet doen, blijft alles liggen.

    Een goed systeem laat je:

    • Bevindingen registreren en direct omzetten in taken.
    • Eigenaren toewijzen.
    • Status van openstaande auditacties volgen – op elk moment.

    Bij de volgende audit wil je niet meer zeggen: “Daar zouden we nog iets mee doen…”

    4. Documenten die werken (niet alleen bestaan)

    Je hebt een beleid. Procedures. Instructies. Maar waar liggen ze? In SharePoint? In versie 7? Of in de inbox van de vorige KAM-coördinator?

    Een lichtgewicht GRC-systeem:

    • Koppelt beleid aan risico’s.
    • Laat de juiste versie zien. Altijd.
    • Zorgt dat medewerkers weten wát geldt, en wáár ze het vinden.

    Zo voorkom je dubbel werk, misverstanden en fouten tijdens controles.

    5. Klaar voor normdruk (ISO, NIS2, SOC 2)

    De eisen worden strenger. Ook als je geen certificaat op de muur wilt. Denk aan leveranciers, ketenverantwoordelijkheid, klanten met audits.

    Jouw tool moet:

    • Ondersteunen bij meerdere normen (ISO 27001, ISO 9001, NIS2)
    • Inzicht geven in wat geregeld is – én wat nog niet.
    • Geen blanco sjablonen geven, maar gestructureerde ondersteuning.

    Audits worden voorspelbaar als je systeem dat ook is.

    6. Gebruikt worden door mensen zonder compliance-rol

    Als jij de enige bent die het system snapt, gaat het mis.

    Een goed GRC-systeem is:

    • Intuïtief. Iedereen weet wat zijn taak is, zonder uitleg.
    • Zichtbaar. Herinneringen komen vanzelf.
    • Toegankelijk. Geen cursus, geen handleiding, gewoon doen.

    Als anderen het niet gebruiken, is het geen systeem. Dan is het jouw persoonlijke compliance-archief.

    Samengevat: je tool moet het werk doen, niet jij

    Een lichtgewicht GRC-systeem is geen spreadsheet met kleurtjes. Het is ook geen monstertool met implementatietijd van 6 maanden.

    Het is een werkend fundament. Voor rust, voor overzicht, voor continuïteit.

    Als jij:

    • Nog taken uit je hoofd beheert
    • Bevindingen in e-mails rondstuurt
    • Of risico’s in Excel naloopt voor elke audit…

    … dan doet je systeem te weinig.

    En nu?

    Twijfel je of jouw tool wérkt? Lees dan ook de blog van maandag: Waarom je GRC-tool niks oplevert als niemand ermee werkt.

    Wil je zien hoe een lichtgewicht GRC-systeem wél werkt in het MKB? Vraag dan een demo aan. Niet om software te bekijken, maar om te ontdekken waar jij nu tijd, overzicht en grip verliest.