Geplaatst 11-06-25
Dit artikel is gepubliceerd in het FD op 13 juni 2025 in de verdiepingsuitgave Legal Success & Compliance
Wet- en regelgeving rond informatiebeveiliging en privacy ontwikkelt zich snel en wordt steeds uitgebreider en ingewikkelder. Tegelijk groeit de maatschappelijke en bestuurlijke druk op aantoonbare verantwoording. Het betekent dat organisaties meer moeten doen dan regels volgen: ze moeten bewuste keuzes maken, risico’s inzichtelijk beheersen en draagvlak creëren bij de mensen die het werk doen.
Binnen dat spanningsveld werkt TrustBound aan een alternatief voor ad-hoc compliancebeheer: een platform en gedachtegoed dat helpt om verantwoording op een zinvolle, samenhangende manier te organiseren. “We willen organisaties helpen om van ‘voldoen’ naar ‘begrijpen en verbeteren’ te bewegen,” zegt medeoprichter Arjaan Kunst.
GRC is geen controlevraagstuk, maar een organisatievraagstuk
Thirdwave, het softwarehuis achter TrustBound, ontwikkelt al sinds 1999 kennissystemen voor de professionele markt. Oprichter Robert-Jan de Vries zag bij de invoering van AVG-wetgeving een kans zijn expertise in te zetten voor een eigen platform en bundelde krachten met Arjaan Kunst (oud-Wolters Kluwer). “We hadden al ervaring met ISO 27001 certificering en wisten hoe lastig het is om normen en wetgeving praktisch werkbaar te maken”, zegt De Vries. “Daaruit ontstond TrustBound: een platform waarmee je grip krijgt op processen, risico’s en verantwoordelijkheden.”
Inmiddels is TrustBound een volwassen GRC-platform dat, naast marktleider in Hoger Onderwijs, ook groeit in overheid, zorg en mkb. Klanten gebruiken het platform om uiteenlopende kaders te beheren, zoals ISO 27001, BIO, NIS2, NEN 7510, AVG en AI Governance. Integratie van risicobeheer, audits en managementrapportages maakt het een krachtig stuurmiddel.
Compliance als strategisch instrument
De visie achter TrustBound is helder: GRC moet niet gaan over naleven-om-het-naleven, maar over het ontwikkelen van weerbare, doordachte organisaties. “Je ziet vaak een reflexmatige aanpak,” stelt Kunst. “Nieuwe regelgeving wordt vertaald naar extra spreadsheets, vinklijsten en rapportageverplichtingen. Maar die werkwijze leidt zelden tot verbetering, en al helemaal niet tot begrip op de werkvloer.”
“Extra spreadsheets, vinklijsten en rapportageverplichtingen leiden zelden tot verbetering.”
TrustBound wil juist dat laatste versterken: bewustwording, samenwerking en reflectie. Dat vraagt om meer dan tools; het vraagt om het verbinden van strategische doelen met operationele uitvoering. “GRC moet niet losstaan van de business,” zegt De Vries. “Je kijkt naar risico’s in relatie tot je doelen. Wat wil je bereiken, wat kan misgaan, en hoe kun je dat beheersen zonder je organisatie onnodig te belasten?” Goed GRC-management draagt zelfs bij aan zakelijk nut”, vult Kunst aan: “Als je in het kader van je AVG-beleid besluit minder persoonsgegevens te verzamelen, win je niet alleen op privacy; je bespaart ook tijd, verlaagt risico’s en verbetert de klantervaring.”
Ketenverantwoordelijkheid wordt de norm
Met de komst van richtlijnen als NIS2 en de AI Act verschuift de focus van compliance naar ketenverantwoordelijkheid en transparantie. Organisaties moeten niet alleen hun eigen processen beheersen, maar ook kunnen aantonen hoe zij omgaan met externe risico’s, leveranciers, datastromen en algoritmes. “Dat vraagt om een integrale benadering,” zegt Kunst. “En ook om meer volwassenheid in het gesprek tussen bestuurders, complianceprofessionals en lijnverantwoordelijken.”
“We willen organisaties helpen om van ‘voldoen’ naar ‘begrijpen en verbeteren’ te bewegen.”
De rollen van eerste, tweede en derde lijn zijn in de praktijk vaak in beweging en groeien mee met de volwassenheid van een organisatie. TrustBound verbindt juist die lagen met elkaar. In het platform krijgen eerstelijnsmedewerkers verantwoordelijkheden die aansluiten op hun rol en kennisniveau, terwijl compliance officers en auditors monitoren vanuit hun expertise en gemakkelijk rapportages kunnen samenstellen. “Zo geef je mensen eigenaarschap, zonder ze te overladen met complexiteit.”
Rust creëren in een beweeglijke omgeving
De praktijk laat zien dat veel organisaties moeite hebben met de constante stroom aan nieuwe eisen. Niet alleen op juridisch vlak, maar ook qua tooling, normenkaders, audits en rapportageverplichtingen. Dat zorgt voor onrust en versnippering.
TrustBound vertaalt die complexiteit naar hanteerbare stappen. Niet via een alles-in-één-belofte, maar door te faciliteren dat organisaties zelf richting geven aan hun GRC-aanpak. “Wat je wil vermijden, is dat compliance verwordt tot een losse verzameling maatregeltjes,” aldus De Vries. “Door het geheel te structureren en expliciet te maken wie waarvoor verantwoordelijk is, ontstaat ruimte om inhoudelijke keuzes te maken en te profiteren van elkaars activiteiten.”
Verantwoording als strategisch thema
Steeds vaker wordt verantwoording ook bestuurlijk en politiek relevant. Gemeenten moeten naast privacy en informatiebeveiliging ook kunnen aantonen dat hun uitgaven rechtmatig zijn. Zorginstellingen leggen verantwoording af aan toezichthouders, patiënten en verzekeraars. En het bedrijfsleven krijgt te maken met ESG-criteria en ketenverantwoordelijkheid.
Volgens Kunst is het daarom essentieel dat compliance en risicomanagement geen gesloten bolwerk wordt. “Je moet het gesprek voeren over wat je doet, waarom je dat doet en hoe je dat onderbouwt. Niet alleen intern, maar ook richting stakeholders. De compliance specialisten treden daarbij steeds minder op als controleur, maar meer als adviseur. Een platform kan dat ondersteunen, maar het begint bij visie.”
Van volwassenheidsniveaus naar bewuste keuzes
TrustBound stimuleert organisaties om hun eigen volwassenheidsniveau te herkennen en daarop hun GRC-aanpak af te stemmen. Niet elk proces hoeft tot in detail vastgelegd, niet elk risico hoeft afgedekt. Wat telt, is dat keuzes bewust gemaakt zijn, onderbouwd zijn en geborgd worden. Daarmee ontstaat een cyclus van reflectie en verbetering, geen eindeloze controle.
“Door verantwoordelijkheden op de juiste plek te beleggen, is compliance geen doel op zich, maar een resultaat.”
“Een risico dat je kent en bewust accepteert, is vaak minder schadelijk dan een risico dat ongemerkt blijft liggen,” zegt De Vries. “Als je verantwoordelijkheden helder belegt en keuzes onderbouwt, wordt compliance geen verplichting, maar het natuurlijke gevolg van goed georganiseerde processen.” Zo wordt governance geen papieren exercitie, maar een manier om rust, richting en vertrouwen in de organisatie te brengen—precies waar het om draait.