Losse compliance projecten? Start met duurzaam risico- en compliance management

    - - / 18 maart 2026

    Dit is deel 1 van een blogdrieluik over duurzame compliance in het Digital Decade-tijdperk. In dit eerste deel leg ik het fundament: hoe vertaal je de groeiende stapel wetgeving en (daaraan gekoppelde) normenkaders naar een duurzaam en werkbaar raamwerk? In deel 2 ontdek je hoe je dit raamwerk als een Tamagotchi levend houdt. In deel 3 duiken we in de tooling-vraag. 

    De wet- en regelbrij: herkenbaar?

    AVG, NIS2, DORA, AI Act, Data Act, de Cyberbeveiligingswet, CSRD, CSDDD... En dan heb ik de sectorspecifieke normen als NEN 7510 voor de zorg of de Algemene Beveiligingseisen voor Rijksoverheid Opdrachten (ABRO) nog niet eens genoemd. Herken je dat gevoel dat je door de sneeuw de lawine niet meer ziet?

    Je bent niet de enige. Of je nu werkzaam bent in de zorg, bij een juridisch dienstverlener, een mkb-onderneming of een overheidsinstelling: de hoeveelheid wet- en regelgeving groeit exponentieel. En het wordt niet alleen méér, het wordt ook complexer. Wetten overlappen, verwijzen naar elkaar en stellen soms net iets andere eisen aan dezelfde processen. Of de extra golf aan normen die pogen verduidelijking te brengen, maar juist nog een extra dimensie biedt.

    De reflex is begrijpelijk: voor elke wet een apart projectje, een eigen spreadsheet, een nieuwe map op SharePoint. Maar eerlijk? Dat is een recept voor dubbel werk, inconsistentie en, op het moment dat de auditor of toezichthouder langskomt, stress.

    Er is een betere manier.

    Het fundament: integrated control framework

    De sleutel tot beheersbare en duurzame compliance ligt in een geïntegreerd risico- en controleraamwerk. Niet voor elke wet een apart managementsysteem, maar één modulair raamwerk waarin eisen (wetten, normen, contractueel), risico's en beheersingsmaatregelen slim aan elkaar gekoppeld zijn.

    Het kernprincipe is eenvoudig maar krachtig: many-to-many koppelingen.

    • Het inventariseren van toepasselijke wetten, normen en andere (contractuele) eisen, welke zowel input bieden voor het bepalen en wegen van risico’s als bij het definiëren van beheersingsmaatregelen.

    • De door de organisatie geïdentificeerde risico’s worden individueel beheerst door één of meerdere maatregelen samen.

    • Elk beheersingsmaatregel is herleidbaar naar één of meerdere risico's én eisen.

    • Maak het sluitend door uit te leggen waarom je van een eis afwijkt of een risico accepteert.

    Denk aan een goed ingericht toegangsbeheer: dat helpt je bij de AVG (alleen geautoriseerde toegang tot persoonsgegevens), bij NIS2 (beveiligingsmaatregelen voor netwerk- en informatiesystemen), bij ISO 27001 (A.9 Access Control) én bij je eigen bedrijfsrisico's rondom datalekken.

    Andersom geldt hetzelfde: De AVG-eis van 'passende technische en organisatorische maatregelen' vraagt om een combinatie van toegangsbeheer, encryptie, awareness-training én incidentprocedures.

    Waarom is dit zo waardevol?

    Deze many-to-many structuur biedt drie concrete voordelen:

    1. Impact-analyse bij falende controls. Als een beheersingsmaatregel niet werkt, zie je direct welke wettelijke verplichtingen, certificeringen én bedrijfsrisico's geraakt worden. Geen verrassingen bij de audit.

    2. Snelle impact-analyse bij nieuwe of wijzigende wetgeving of contractuele eisen. Komt er een nieuwe wet of eis bij? Dan map je de eisen naar bestaande risico's en controls, en zie je direct waar je al voldoet en waar gaten zitten.

    3. Efficiënt uitbreiden. Het toevoegen van nieuwe normen (zoals ISO 42001 voor AI-managementsystemen) wordt een kwestie van mappen in plaats van opnieuw beginnen.

    Aantoonbaarheid: van 'we doen het' naar 'we bewijzen het'

    Een controleraamwerk is pas compleet als je kunt aantonen dat je maatregelen daadwerkelijk werken. Dit is geen nice-to-have meer, maar keiharde noodzaak. Dit doe je niet alleen voor je eigen organisatie en management:

    • Voor auditors en certificering instellingen: Of je nu gaat voor ISO 27001-certificering, NEN 7510-certificering of straks ISO 42001 voor AI: zonder aantoonbare naleving geen certificaat of het kost meer dan het oplevert.

    • Voor toezichthouders: Toezichthouders als AP, ACM, AFM, IGJ en RDI – ze willen bewijs zien dat je controls werken. Bij (thema) onderzoeken, maar ook na incidenten.

    • Voor je klanten: je zakelijke klanten vragen om aantoonbaarheid. Zij moeten zelf voldoen aan CSRD, CSDDD, NIS2 of DORA en worden verplicht hun leveranciersketen door te lichten. Kun je niet aantonen dat je security en compliance op orde hebt? Dan kom je niet door de leveranciersselectie of verlies je bestaande klanten.

    Geen bankensysteem, wel serieus

    Ik begon dit blog met de belofte van een pragmatische aanpak. Geen over-engineering zoals je ziet in de financiële sector, waar compliance-afdelingen soms groter zijn dan de business die ze ondersteunen.

    Maar pragmatisch betekent niet vrijblijvend. Het betekent:

    • Focus op wat ertoe doet. Risico gebaseerd werken betekent dat je je energie en middelen steekt in de controls die de grootste risico's afdekken, niet in het afvinken van elke checkbox.

    • Governance die past bij je organisatie. Een mkb-bedrijf heeft geen three lines of defense met tientallen FTE's nodig. Maar je hebt wél duidelijke afspraken nodig over wie wat doet.

    • Aantoonbaarheid die werkt. Geen mappenstructuren waar niemand meer de weg in vindt, maar een systeem waarin je binnen vijf minuten het bewijs vindt dat een control werkt.

    Het gebruik van AI in het creëren van deze raamwerken is mogelijk, maar het risicomanagement deel blijft mensenwerk. Het doel is een raamwerk dat het management comfort en inzicht geeft, dat auditors en klanten overtuigt, én dat de organisatie niet verlamt.

    Volgende stap: het raamwerk laten leven

    Een mooi raamwerk op papier is pas het begin. De echte uitdaging zit in het onderhoud: hoe zorg je dat je raamwerk meebeweegt met nieuwe wetgeving, met veranderende risico's, met de groei van je organisatie?

    In deel 2 van dit drieluik duik ik in de PDCA-cyclus als motor voor blijvende compliance. Hoe plan je je activiteiten? Hoe monitor je de effectiviteit van je controls? Hoe rapporteer je aan management? En hoe voorkom je dat je raamwerk langzaam veroudert tot een stoffig document dat niemand meer opent?

    Wil je weten waar jouw organisatie staat en welke risico's prioriteit verdienen? Wij bieden de Digital Decade Roadmap aan om inzicht te krijgen in de toepasselijkheid van wetgeving en je huidige compliance niveau, een heldere eerste stap voordat toezichthouders of auditors dat voor je doen.

    Digital Decade Roadmap
    Terug naar overzicht

    Tim Langelaar

    Senior Compliance Consultant
    Lees meer
    CTA Digital Decade Roadmap

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram