Op maandag 22 juni verscheen in het themakatern Bedrijfsoptimalisatie van het Financieele Dagblad een interview met onze founders Arjaan Kunst en Robert-Jan de Vries. Hun boodschap? Compliance hoeft geen bureaucratische last te zijn: het is juist een kans om je organisatie scherper en wendbaarder te maken.
Lees het interview hieronder of op fd.nl.
Organisaties krijgen te maken met steeds meer regelgeving: de Cyberbeveiligingswet, de AI Act, strenge privacyeisen en groeiende verwachtingen van klanten en ketenpartners. Tegelijkertijd zijn governance en compliance voor de meeste organisaties geen kernactiviteit. De spanning die daaruit ontstaat, is herkenbaar: hoe zorg je dat de organisatie aantoonbaar in control is, zonder dat compliance de primaire processen vertraagt of verzandt in bureaucratie?
Arjaan Kunst en Robert-Jan de Vries, founders van TrustBound GRC, zien die spanning dagelijks.
Hun vertrekpunt is helder: compliance is geen doel op zich, maar het resultaat van bewuste keuzes die aansluiten bij de eigen organisatie. "Er is niet één waarheid," zegt Kunst. "Compliance biedt ruimte om zelf je processen in te richten. Het gaat erom dat je, gegeven de eisen vanuit wet- en regelgeving en je stakeholders, een beleid maakt dat past bij jouw organisatie. En compliance volgt daaruit."
Dat klinkt misschien abstract, maar de praktijk is concreet. Wie zijn omgang met persoonsgegevens goed organiseert, werkt efficiënter én voldoet aan de AVG. Wie zijn leveranciers structureel beoordeelt, versterkt zowel zijn risicobeheersing als zijn inkoopproces. Compliance en procesverbetering versterken elkaar, als je het zo inricht. De Vries voegt toe: "Kijk naar de AI Act. Je kunt dat zien als nóg meer wetgeving. Je kunt het ook zien als een kader dat je helpt om grip te krijgen op het gebruik van AI binnen je organisatie, zodat je niet ongemerkt intellectueel eigendom in een extern model stopt."
Bestuurlijke verantwoordelijkheid neemt toe
Nieuwe wetgeving zoals de Cyberbeveiligingswet maakt bestuurders expliciet verantwoordelijk voor informatiebeveiliging en digitale weerbaarheid. Die persoonlijke aansprakelijkheid verandert de dynamiek. "Bestuurders kijken nu veel meer naar het resultaat," zegt De Vries. "Niet naar het lijstje met vinkjes, maar naar de vraag: waar staan we echt?"
Dat vraagt om andere managementinformatie. Kunst beschrijft wat bestuurders nodig hebben: inzicht in de kritieke processen, de bijbehorende risico's, wie daarvoor verantwoordelijk is en of de getroffen beheersmaatregelen nuttig zijn. "Het gaat niet alleen om het beperken van risico's, maar ook om periodiek te evalueren wat je kunt vereenvoudigen. De toenemende regelgeving vraagt ook: wat kunnen we minder doen?"
Die stuurinformatie is in veel organisaties versnipperd over spreadsheets, losse documenten en afdelingsmappen. Daardoor ontstaat schijnzekerheid: het lijkt alsof alles op orde is, maar niemand heeft het werkelijke overzicht. TrustBound brengt risico's, maatregelen, verantwoordelijkheden en acties samen in één omgeving, zodat bestuurders en managers kunnen sturen op basis van een actueel beeld.
Eigenaarschap begint bij duidelijkheid
Een terugkerend thema is eigenaarschap. Compliance werkt pas als mensen in de organisatie begrijpen wat er van hen wordt verwacht en waarom dat ertoe doet. "Op het moment dat je goed beschrijft wat het betekent om een bepaalde verantwoordelijkheid te dragen, kan iemand dat incorporeren in zijn dagelijkse werk," zegt De Vries. "In plaats van dat compliance een los iets is wat je er ook nog bij moet doen."
Dat vraagt om betrokkenheid vanuit het bestuur. Als de top het belang van governance niet uitdraagt, voelt niemand in de organisatie die verantwoordelijkheid. Maar het vraagt ook om een andere rol van de compliance professional. Kunst is direct: "De compliance officer moet veel meer een verandermanager zijn dan een achteraf-controleur. Vraag jezelf af: hoe draagt wat ik doe bij aan het verbeteren van de organisatie?"
TrustBound ondersteunt die aanpak met een rolgebaseerde inrichting die helder maakt wie verantwoordelijk, betrokken of uitvoerend is. Daardoor ontstaat rust in de organisatie en worden audits overzichtelijker.
Slim omgaan met overlappende normen
Veel organisaties werken tegelijkertijd met meerdere normen en wie dat niet slim organiseert, overvoert de eigen mensen met steeds dezelfde vragenlijsten en herhaling van werk. "Op het moment dat je je beleid goed opzet, adresseert dat tegelijk informatiebeveiliging, privacy en misschien zelfs duurzaamheid," zegt Kunst. "Dan heb je drie actuele thema's in één keer gedekt."
TrustBound zoekt actief naar de overlap tussen normen en koppelt maatregelen aan meerdere activiteiten tegelijk. Daardoor hoeven organisaties niet voor elke nieuwe wet of standaard een nieuw traject op te tuigen. Het platform is volledig Nederlands ontwikkeld, data blijft binnen Nederlandse landsgrenzen en sluit nauw aan op Nederlandse en Europese regelgeving. Die digitale soevereiniteit wordt voor organisaties in de publieke sector, zorg en onderwijs steeds relevanter.
Voor bestuurders die willen beginnen, is het advies van De Vries eenvoudig: begin. Niet met een uitgebreid meerjarenplan, maar door inzichtelijk te maken wie waarvoor verantwoordelijk is, waar de risico's liggen en welke acties nodig zijn. Kunst vult aan: "Een goed GRC-proces maakt de organisatie niet trager, maar juist wendbaarder. Je weet sneller waar je staat en waar je moet bijsturen."