We hadden alles onder controle. Althans, dat dachten we. De productie liep strak volgens planning, de voorraad was op orde en de leveringen aan klanten liepen soepel. Totdat op een dinsdagochtend om half acht de telefoon ging. Onze vaste leverancier – al jaren een betrouwbare partner – had brand gehad. Magazijn onbruikbaar, transport plat, communicatie stil. En wij? We hadden geen idee wat we moesten doen.
Binnen een uur stond het hele kantoor op zijn kop. Orders die diezelfde dag de deur uit moesten, kwamen stil te liggen. Klanten begonnen te bellen: “Jullie leveren toch wel op tijd?”
We probeerden alternatieven te vinden, maar ontdekten dat we te afhankelijk waren van één partij. De frustratie sloeg om in schaamte. We hadden dit scenario nooit serieus doordacht.
Toen het stof eenmaal neerdaalde, zagen we waar het echt misging: niet bij de brand van onze leverancier, maar bij het ontbreken van onze eigen veerkracht.
Continuïteit is meer dan IT
Bij bedrijfscontinuïteit denken veel mensen meteen aan servers, back-ups en cyberaanvallen. Maar de echte risico’s liggen vaak dichter bij de dagelijkse praktijk. Wat gebeurt er als een leverancier uitvalt, een belangrijke klant niet betaalt of een medewerker met cruciale kennis langdurig ziek wordt?
Geen van die scenario’s heeft iets met IT te maken. Ze raken de kern van je bedrijfsvoering: productie, mensen, dienstverlening. Continuïteit gaat dus niet voer techniek, maar over het vermogen om door te blijven draaien, wat er ook gebeurt.
Van herstel naar voorbereiding
De dagen na het incident waren chaotisch. We belden, schoven met planningen en zochten naar noodoplossingen. Na vier dagen vonden we een tijdelijke vervanger, tegen twintig procent hogere kosten en met veel nachtwerk. De schade bleef beperkt, maar de stress was enorm.
Toen we later met het team terugblikten, werd duidelijk dat er één rode draad was: we hadden geen proces om dit soort situaties op te vangen. Geen lijst van leveranciers, geen scenario’s, geen vooraf vastgestelde verantwoordelijkheden. We waren niet nalatig of onverschillig, we waren gewoon onvoorbereid.
Waarom ondernemers continuïteit onderschatten
Continuïteit voelt abstract zolang alles goed gaat. De dagelijkse druk wint het van de voorbereiding, routine sust het risico en beperkte middelen zorgen ervoor dat het onderwerp naar de achtergrond verdwijnt. En we denken al snel dat continuïteitsplanning iets is voor grote organisaties met aparte risk-afdelingen. Tot de dag dat het niet zo is.
Voor kleinere bedrijven kan één verstoring het verschil maken tussen overleven en omvallen. Juist daarom is veerkracht geen luxe, maar noodzaak.
Wat een Business Continuity Plan écht doet
Een Business Continuity Plan (BCP) klinkt groot, maar is in de kern heel eenvoudig: een plan dat vastlegt wat er moet gebeuren als iets cruciaals wegvalt.
Een goed BCP beschrijft vier dingen:
- Wat er écht moet gebeuren om je bedrijf draaiende te houden,
- Wie beslissingen neemt en wie communiceert met klanten en leveranciers,
- Welke alternatieven of noodvoorzieningen klaar staan,
- Welke eerste acties binnen 24 uur worden uitgevoerd om de schade te beperken.
Zo’n plan hoeft geen dik handboek te zijn. Sterker nog: hoe eenvoudiger, hoe beter. Het moet bruikbaar zijn in de hectiek van het moment.
Kleine stappen, groot effect
Na de brand besloten we onze risico’s in kaart te brengen. Geen ingewikkelde exercitie, gewoon met een whiteboard en een uur tijd. We stelden onszelf drie vragen: wat zijn de grootste risico’s die ons bedrijf kunnen stilleggen, hoe groot is de kans dat ze optreden en wat kunnen we nú doen om voorbereid te zijn?
Dat leverde verrassend concrete acties op. We legden een tweede leverancier vast voor kritieke grondstoffen, spraken af dat we de kredietwaardigheid van grote klanten periodiek controleren en maakten vervangingsafspraken voor sleutelrollen bij ziekte. Ook oefenden we één keer per kwartaal een noodcommunicatie: wie belt wie als het misgaat?
Binnen twee weken hadden we een praktisch plan. Geen map in een la, maar een document dat we actief gebruiken en regelmatig actualiseren. We blokten wekelijks twintig minuten om de status te checken en kleine bijstellingen te doen; dat ritme kost weinig tijd en voorkomt terugval.
De rol van compliance en borging
Voor veel ondernemers voelt dit als gezond verstand. Voor compliance-officers is het daarnaast een kwestie van aantoonbaarheid: kunnen we laten zien dat we risico’s kennen, dat er controles plaatsvinden en dat maatregelen periodiek worden beoordeeld?
Maak je continuïteitsplan onderdeel van je managementcyclus. Plan elke maand een korte review, leg besluiten vast in een logboek en bewaar testnotities, bijvoorbeeld van een belboom-oefening. Zo blijft het onderwerp toetsbaar én levend.
Wie verder wil lezen over risicoborging en aantoonbaarheid, vindt praktische voorbeelden in onze blog De risicoanalyse: een onmisbaar instrument voor elke ondernemer.
ISO 22301: structuur zonder bureaucratie
Voor wie meer houvast wil, biedt ISO 22301, de internationale norm voor bedrijfscontinuïteitsmanagement, een stevig maar praktisch kader. Andrees dan ISO 27001 richt deze zicht op het héle bedrijf: processen, mensen, locaties en leveranciers.
Het mooie is dat certificering niet nodig is om voordeel te halen uit deze aanpak. ISO 22301 biedt vooral structuur en herhaalbaarheid: je identificeert risico’s systematisch, bepaalt wat écht kritisch is via een Business Impact Analyse en borgt dat je plan wordt getest en verbeterd.
Of je nu een productiebedrijf, zorginstelling of adviesbureau bent: het principe blijft hetzelfde. Weet waar je kwetsbaar bent en beslis vooraf wat je doet als het misgaat.
Continuïteit als onderdeel van de bedrijfscultuur
Een plan op papier is waardevol, maar het wordt pas echt effectief als het leeft binnen de organisatie. Continuïteit is geen checklist, het is een houding. Dat betekent: medewerkers betrekken, successen delen en open praten over wat er fout ging.
Tijdens de periode na het incident merkten we hoe krachtig die betrokkenheid is. Medewerkers die normaal niets met inkoop te maken hadden, zochten zelf naar alternatieven. Collega’s dachten mee over hoe we klanten konden informeren. Die gedeelde verantwoordelijkheid maakte het verschil tussen chaos en controle.
Technologie als hulpmiddel, niet als redder
Hoewel ons verhaal niets met IT te maken had, speelt technologie wel een rol bij het vasthouden van structuur. Met een toegankelijke GRC-tool zoals CompliTrack leg je risico’s, acties en periodieke reviews vast. Zo blijft continuïteit geen eenmalig project, maar een vast ritme in je organisatie.
De belangrijkste les
Toen onze leverancier uitviel, hadden we geen controle. Nu weten we beter: veerkracht bouw je niet in crisistijd, maar in rustiger water.
Een goed continuïteitsplan voorkomt niet dat er iets misgaat, maar zorgt ervoor dat je weet wat je moet doen als het gebeurt. Dat is het verschil tussen overleven en ondergaan.
En wie nog geen plan heeft, kan klein beginnen. In onze blog van donderdag laten we zien hoe je in vijf haalbare stappen een Business Impact Analyse en BCP opzet die past bij jouw organisatie. Inclusief voorbeeldvragen en een bondig BCP-skelet.
Geef een reactie