De grootste complianceuitdaging is niet de inhoud. Het is de adoptie.

    - - / 25 juni 2026

    Organisaties investeerden de afgelopen jaren fors in compliance. Normen, beleidsdocumenten, risicoanalyses, audits, dashboards, GRC-tooling en adviestrajecten.

    Herkenbaar?

    En de EU voert de druk verder op met nieuwe en aangescherpte wetgeving: AVG, NIS2, AI-verordening, MDR, CRA en DORA. Allemaal met eigen eisen aan informatiebeveiliging, privacy en governance. De compliance-agenda groeit, de beschikbare resources doorgaans niet.

    Toch zien wij in de praktijk steeds hetzelfde patroon.

    Compliance blijft het domein van een kleine groep specialisten. De compliance officer, of het nu gaat om kwaliteit, security, privacy of AI, draagt verantwoordelijkheid voor het managementsysteem, maar is afhankelijk van de hele organisatie. Medewerkers ervaren compliance vaak als iets dat naast hun dagelijkse werk bestaat: een verplichting, geen onderdeel van hun werkproces.

    Ze verzamelen bewijslast handmatig, houden risico's bij in losse overzichten en laten beleidsdocumenten na goedkeuring verdwijnen in een digitale lade.

    Enkele weken voor de audit begint vervolgens hetzelfde ritueel: iedereen probeert bewijsvoering, acties en documentatie weer bij elkaar te sprokkelen.

    Herkenbaar?

    Het probleem is geen kennisgebrek

    Er is geen tekort aan informatie over compliance. Organisaties weten meestal welke normen, wetten en richtlijnen relevant zijn voor hun situatie. De uitdaging zit veel vaker in de vertaling naar de dagelijkse praktijk.

    Hoe zorg je ervoor dat beleid, risico's, controles en bewijsvoering niet los van elkaar bestaan, maar onderdeel worden van de manier waarop de organisatie werkt?

    In de praktijk zien we vaak hetzelfde beeld:

    • Risico's staan in een spreadsheet

    • Beleid in losstaande documenten

    • Verbeteracties in inboxes

    • Bewijs van compliance in verschillende afdelingsgebonden applicaties

    • De compliance specialisten communiceren beperkt met elkaar

    En de GRC-tool? Daar werken de compliance-specialisten in. De rest van de organisatie niet of alleen na herhaalde herinneringen.

    Het gevolg is dat compliance een schaduworganisatie wordt. Een parallel universum dat vooral lijkt te bestaan voor auditors, toezichthouders en certificerende instellingen.

    Waarom bestaande oplossingen tekortschieten

    Wij zien grofweg drie dominante aanpakken in de markt:

    Scherm­afbeelding 2026-06-25 om 10.35.07

    Het kernprobleem bij al deze aanpakken is hetzelfde: ze trekken mensen naar compliance, in plaats van compliance naar mensen te brengen. Medewerkers zien vaak niet waarom een activiteit belangrijk is. Welk risico wordt ermee beheerst? Aan welke normvereiste draagt deze bij? Wat gebeurt er als deze controle niet wordt uitgevoerd? Zonder die context voelt compliance al snel als extra administratie.

    Dat verklaart waarom adoptie zo vaak achterblijft. Mensen werken niet in de compliance-tool. Ze werken in hun eigen processen, projecten en systemen. Zolang dat zo blijft, blijft compliance iets van "die andere afdeling".

    De vraag is daarom niet hoe je nóg meer compliance-functionaliteit toevoegt. De vraag is hoe je compliance onderdeel maakt van de manier waarop mensen al werken. Voor organisaties die Atlassian gebruiken of openstaan voor een geïntegreerde aanpak, leidt die vraag opvallend vaak tot dezelfde conclusie. Waarom zou compliance in een aparte omgeving moeten leven als documentatie, samenwerking en taakbeheer al ergens anders plaatsvinden?

    Een andere benadering: compliance waar je al werkt

    De toekomst van compliance ligt niet in meer functionaliteit, maar in betere adoptie. Niet in nóg een tool, maar in een aanpak waarbij compliance onderdeel wordt van hoe organisaties al werken.

    Voor veel organisaties is Atlassian Confluence en Jira, al de plek waar documentatie wordt beheerd, besluiten worden vastgelegd en werkzaamheden worden opgevolgd. Juist omdat medewerkers daar al dagelijks werken, verdwijnen veel adoptieproblemen die traditionele GRC-oplossingen kennen. Waarom zou compliance dan buiten die omgeving georganiseerd worden?

    Vanuit die gedachte ontwikkelden wij de ICTRecht GRC Blueprint. Gebaseerd op ervaringen uit tientallen implementaties en compliance-trajecten. Een praktische basis waarmee organisaties sneller en aantoonbaar kunnen voldoen aan eisen rondom informatiebeveiliging, privacy en verwante wet- en regelgeving.

    Wat de GRC Blueprint biedt

    De GRC Blueprint is geen GRC-tool. Het is een kant-en-klare oplossing binnen Atlassian Cloud, gebaseerd op drie principes:

    1. Werk waar de organisatie al werkt

    Confluence voor beleid, processen, werkinstructies en overige kennisborging. Jira voor taken, controles en opvolging. Geen apart systeem waar mensen naartoe moeten.

    2. Structuur boven functionaliteit

    Beleid, risico's, maatregelen en normvereisten zijn met elkaar verbonden door middel van relationele databases. Hiermee wordt direct zichtbaar waarom een maatregel bestaat, welk risico ermee wordt beheerst en aan welke normvereisten deze bijdraagt.

    3. Aantoonbaarheid ingebouwd

    Controles, reviews en verbeteracties worden onderdeel van het reguliere werkproces. Daardoor ontstaat bewijsvoering tijdens het werk, in plaats van vlak voor een audit.

    Concreet bevat de blueprint:

    • Herbruikbare templates voor beleid, processen en werkinstructies

    • Database-structuur voor risico's, beheersmaatregelen, bedrijfsmiddelen, normvereisten, autorisaties, dataverwerkingen en verantwoordelijkheden

    • Koppeling naar Jira voor operationele opvolging

    • Jira automations voor operationele planning en rapportages

    • Implementatieplan op basis van de PDCA-cyclus

    • User manual zodat teams zelfstandig kunnen starten

    Belangrijk: De blueprint levert de structuur en templates. Jouw organisatie vult deze met eigen risico's, maatregelen en past documentatietemplates aan op de eigen context. Wij kunnen daarbij ondersteunen, maar je kunt het ook zelf. Geen maandenlange implementatie, maar een werkende basis binnen twee werkdagen. En een structuur die vervolgens kan meegroeien met aanvullende normen, wetgeving en klanteisen.

    Compliance hoeft geen schaduworganisatie te zijn

    Met de juiste structuur wordt compliance onderdeel van hoe organisaties werken: zichtbaar, behapbaar en aantoonbaar.

    De GRC Blueprint neemt het inhoudelijke werk niet uit handen. Organisaties moeten nog steeds risico's beoordelen, beleid maken en keuzes onderbouwen.

    Wat de Blueprint wel biedt, is een structuur waarmee je sneller kunt starten, eenvoudig kunt aantonen wat je doet en gecontroleerd kunt doorgroeien. Gebouwd op meer dan twintig jaar ervaring met het vertalen van complexe regelgeving naar werkbare praktijk.

    Compliance hoeft geen schaduworganisatie te zijn. Wanneer beleid, risico's, maatregelen, bewijsvoering en verbeteracties onderdeel worden van het dagelijkse werkproces, wordt aantoonbaar in control zijn een stuk eenvoudiger.

    Meer weten over de opzet en investering? Download de brochure of bezoek onze webpagina voor alle details.

    Benieuwd hoe dit er in jouw Atlassian-omgeving uitziet? Plan een demo in. Binnen 30 minuten weet je of deze opzet voor jouw organisatie past.

    Neem contact op
    Terug naar overzicht

    Wim Veenstra

    Information Security Consultant
    Lees meer
    CTA - Security compliance

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram