Wat er gebeurde toen ons systeem slechts in één hoofd bleek te zitten
We dachten dat we het prima geregeld hadden. De risicoanalyse was afgerond, de auditplanning stond op de agenda en het beleid was netjes opgeslagen in een map. Of in ieder geval: ergens. Alles leek te lopen zoals het moest.
Totdat Karin uitviel.
Karin was onze collega die alles rondom compliance regelde. Ze kende elke norm, elk proces, elke verplichting. Ze hield auditbevindingen bij in Excel, stuurde herinneringen via Outlook en had antwoord op vrijwel elke vraag.
En ineens was ze er niet meer. Onverwacht ziek. Niemand kon bij haar laptop. Niemand wist waar de actuele documenten stonden. En nog belangrijker: niemand wist wie waarvoor verantwoordelijk was.
Binnen één week viel alles stil.
De comfortabele illusie van overzicht
Compliance lijkt vaak op orde zolang er iemand is die zich ermee bezighoudt. Iemand die het ‘gewoon regelt’. Maar een systeem dat afhankelijk is van één persoon, is geen systeem. Dat is een kwetsbaarheid met een naamplaatje.
Wat als die persoon morgen wegvalt? Dan blijkt ineens dat de auditplanning nergens staat, dat risico’s niet opnieuw beoordeeld zijn, dat er geen directiebeoordeling is – alleen een verzameling losse bestanden en goede bedoelingen.
En die bedoelingen zijn waardeloos als je onder tijdsdruk iets moet aantonen.
De afhankelijkheid die je niet ziet, tot het misgaat
In veel organisaties rust compliance op één persoon. Vaak iemand die naast z’n werk gewone werk ook de ISO-processen in de lucht houdt. Zolang diegene beschikbaar is, lijkt alles te kloppen. Maar zodra die persoon uitvalt, op vakantie is of vertrekt, blijkt dat er geen gedeeld systeem is – alleen gewoontes en impliciete kennis.
Dat is geen onwil. Dat is hoe dingen groeien: pragmatisch, decentraal, menselijk. Tot het moment dat je er niet meer mee wegkomt.
ISO-normen – of het nu gaat om informatiebeveiliging, kwaliteit, privacy of bedrijfscontinuïteit – vragen geen heldendom, maar overdraagbare processen. Wat je vastlegt, moet herhaalbaar zijn. Wat je belooft, moet aantoonbaar zijn. Alleen dan is compliance geen papieren werkelijkheid, maar een werkend systeem.
Wat we sindsdien anders doen
Na een week van zoeken, improviseren en herhaaldelijk ‘nee, dat hebben we niet beschikbaar’ zeggen, was het duidelijk: dit mocht niet nog eens gebeurden.
We wilden geen logge software of maandenlange implementaties. Geen consultants die ons vertelden hoe we moesten werken. We wilden een manier om wél structuur aan te brengen, zonder dat het onze organisatie veranderde in een bureaucratisch project.
We kozen voor CompliTrack.
En sindsdien:
- Zijn risico’s, audits, beleid en acties op één plek te vinden.
- Heeft elke taak een eigenaar, deadline en opvolging.
- Weten we wanneer een herbeoordeling moet gebeuren, en waarom.
- Krijgt niemand meer een auditmail waar alleen Karin op kan reageren.
- En hebben we eindelijk overzicht, ook als iemand uitvalt.
Wat begon als ‘laten we het gewoon oplossen’, is uitgegroeid tot een manier van werken die rust geeft. Niet omdat alles perfect is. Maar omdat het beheersbaar, overdraagbaar is en omdat het ons niet meer verrast.
De echte winst? Geen compliance-stress meer
Sinds we het structureel geregeld hebben, voelt compliance niet meer als ‘iets extra’s’. Het zit in ons ritme. Acties worden opgevolgd, documenten zijn beschikbaar, audits komen niet meer onverwacht.
En het geeft ruimte. Ruimte om te verbeteren, in plaats van te herstellen. Ruimte om te sturen, in plaats van te zoeken.
Misschien wel het belangrijkste: het vertrouwen dat het systeem werkt, óók als de persoon even niet beschikbaar is.
Ook interessant
- Waarom GRC-software géén overbodige luxe is voor compacte teams
- Van chaos naar controle: hoe je grip krijgt op interne taken
- ISO 27001: 5 valkuilen en hoe je ze voorkomt
Wil je voorkomen dat compliance in jouw organisatie afhangt van één persoon?
Ontdek hoe CompliTrack je helpt risico’s, audits en processen te structureren. Zonder complexiteit, zonder afhankelijkheid en zonder Excel.
Geef een reactie