Nog meer regeldruk! Maar ga je er wel slim mee om?

De uitdaging in veel directiekamers: de wet- en regelgeving wordt steeds complexer, en het naleven ervan (compliance) vraagt veel van je organisatie. Hoe zorg je ervoor dat je bedrijf compliant blijft zonder je bedrijfsvoering te vertragen? In veel gevallen wordt er iemand ‘vrijgemaakt’ van dagelijkse taken om zich volledig op compliance te richten. Dit lijkt een logische keuze. Maar in de praktijk blijken hier vaak wat haken en ogen aan te zitten…

‍

Op zoek naar een verantwoordelijke

Nieuwe wetgeving moet geïmplementeerd worden. Idealiter heb je de nodige voorbereidingen al getroffen. In het ergste geval word je overvallen door de veranderingen. Wat gebeurt er dan? Vaak maak je iemand verantwoordelijk voor de naleving, intern of extern.

Neem bijvoorbeeld NIS2, de Europese regelgeving die de beveiliging van netwerk- en informatiesystemen wil verbeteren. Je zou een CISO (Chief Information Security Officer) kunnen aannemen, tijdelijk of langdurig. De IT-manager vindt dit misschien jammer, maar een externe CISO heeft nu eenmaal meer expertise op het gebied van informatiemanagement en security. Een ander voorbeeld is de Corporate Sustainability Reporting Directive (CSRD), die bedrijven verplicht hun CO2-voetafdruk door de gehele supply chain te rapporteren. Deze verantwoordelijkheid leg je bij de Sustainability Officer van jouw bedrijf. Ongetwijfeld heb je zelf andere voorbeelden. Wie heb jij bijvoorbeeld verantwoordelijk gemaakt voor de AVG? En een extra vraag: leeft het onderwerp privacybescherming nog steeds onder al je medewerkers?

‍

Het risico van deze aanpak

Mensen willen dat hun project een succes wordt – falen is geen optie. Dit kan echter ook een keerzijde hebben. De persoon die verantwoordelijk is voor het compliance-project kan gaan denken dat zijn project nu ‘the center of the universe’ is. Dit betekent dat hij/zij ervan uitgaat dat iedereen het project net zo belangrijk vindt en er volop energie in steekt. Het gevaar is dat er onvoldoende draagvlak is binnen de organisatie en collega's gewoon doorgaan met hun dagelijkse werkzaamheden, die zij als belangrijker beschouwen. Vaak op de vertrouwde manier.

‍

Een ander risico is dat men denkt dat compliance simpelweg bestaat uit het afvinken van lijstjes. Het gaat om die ‘papieren tijger’ gesprekken, waarin je verplichtingen snel afhandelt zonder echt in te gaan op de inhoud. Het afvinken van een checklist biedt enige houvast, maar zonder een intrinsieke motivatie vanuit de hele organisatie kan je bijvoorbeeld op vrijdag je ISO 27001-certificaat behalen en op maandagmiddag al te maken krijgen met een datalek. Compliance vastleggen is slechts de eerste stap. Het daadwerkelijk handelen naar deze richtlijnen creëert pas waarde voor je organisatie en klanten.

‍

Wat is dan het alternatief?

Heb je onvoldoende capaciteit om al die regeldruk te verwerken? Dan lijkt het inschakelen van een externe partij een logische oplossing. Maar wat gebeurt er dan? Veel dienstverleners werken ook met uitgebreide checklists en eisen, die alsnog een zware druk op jouw organisatie leggen. Jij en je collega’s moeten helaas het grootste deel van het werk doen, terwijl je eigenlijk bezig wilt zijn met je kernactiviteiten.

Er is een beter alternatief. In onze volgende blog leggen we uit waarom een holistische aanpak nodig is om regeldruk op een slimmere manier aan te pakken, zodat het geen blokkade wordt, maar juist een kans om compliant te blijven.

‍

Nu al nieuwsgierig?

Neem contact met ons op. Wij vertellen je graag wat wij anders doen!

‍