Veel ondernemers herkennen het beeld. U laat een compliance-scan doen, ontvangt na een paar weken een keurig rapport, en bergt het op in een map. Het gevoel is goed: het is geregeld. Tot het moment dat iemand erom vraagt, en u merkt dat het document de werkelijkheid van vandaag niet meer beschrijft.
In dit artikel leggen we uit waarom een rapport per definitie veroudert, en wat het alternatief is.
Een rapport beschrijft één moment
Een compliance-rapport is een foto. Het legt vast hoe uw organisatie ervoor stond op de dag van de scan: welke maatregelen er waren, welke risico's openstonden, wat er nog moest gebeuren. Dat is waardevol als startpunt, maar het heeft een ingebouwde beperking. Vanaf het moment dat de foto genomen is, begint de werkelijkheid eraan voorbij te bewegen.
Denk aan wat er in twee weken kan veranderen:
- Een medewerker krijgt nieuwe toegangsrechten, of vertrekt
- U schakelt een nieuwe leverancier in die persoonsgegevens verwerkt
- Een wachtwoordbeleid wordt aangepast, of juist niet nageleefd
- Er verschijnt een nieuwe verplichting in de wet die nog niet in het rapport stond
Elk van die gebeurtenissen maakt een deel van het rapport onnauwkeurig. Niet omdat het slecht is opgesteld, maar omdat een statisch document de beweging van uw organisatie niet kan bijhouden.
Het gevaar is niet dat het rapport fout is, maar dat u erop vertrouwt alsof het nog actueel is. Bij een controle telt niet wat u twee maanden geleden geregeld had, maar wat u vandaag kunt aantonen.
Compliance is geen project, maar een toestand
De achterliggende denkfout is dat compliance een project is: een begin, een eind, en een opgeleverd resultaat. In werkelijkheid is het een doorlopende toestand. Uw organisatie is compliant of niet, en die status verandert continu mee met wat u doet.
Toezichthouders kijken er ook zo naar. De AVG verlangt dat u passende maatregelen treft en die actueel houdt. De aankomende Cyberbeveiligingswet (de Nederlandse uitwerking van NIS2, naar verwachting in 2026 van kracht) gaat uit van een doorlopende zorgplicht: maatregelen actueel houden, niet één keer een plan schrijven. De vraag bij een controle is steevast: kunt u nu aantonen dat het op orde is?
Een rapport beantwoordt die vraag in de verleden tijd. Een levend dossier beantwoordt hem in de tegenwoordige tijd.
Wat een levend dossier anders doet
Een levend dossier is geen document maar een systeem dat de status van elke maatregel volgt en bijwerkt. Het verschil zit in drie dingen.
- Het beweegt mee. Wijzigt er iets in uw organisatie, dan verandert de status van de bijbehorende maatregel mee. U ziet op elk moment waar u staat, niet waar u stond.
- Het herinnert u. Maatregelen verlopen. Een beleidsstuk dat een jaar oud is, moet opnieuw bekeken worden. Een levend dossier signaleert dat voordat het een probleem wordt.
- Het houdt het bewijs vast. Niet alleen dat iets geregeld is, maar het onderliggende bewijs blijft gekoppeld en terugvindbaar. Dat is precies wat een controleur wil zien.
Bij een rapport zoekt u bij een controle naar het juiste document en hoopt u dat het nog klopt. Bij een levend dossier opent u de actuele status en laat u het bewijs direct zien.
Van momentopname naar doorlopende zekerheid
Dit betekent niet dat een scan of een rapport waardeloos is. Integendeel: een goede nulmeting is het natuurlijke beginpunt. Het punt is wat erna gebeurt. Blijft het bij een document in een map, dan verslechtert uw aantoonbaarheid vanaf dag één. Wordt het de basis van een dossier dat meebeweegt, dan groeit uw zekerheid in plaats van dat ze wegzakt.
De keuze is dus niet rapport of geen rapport, maar een rapport dat stilstaat of een dossier dat meeloopt. Voor een organisatie die op enig moment moet kunnen aantonen dat ze compliant is, is dat onderscheid bepalend.
"De vraag bij een controle is nooit wat u ooit geregeld had, maar wat u vandaag kunt laten zien."
Wilt u weten welke kaders op uw organisatie van toepassing zijn, dan is een scope-check een goed startpunt. Het kost u een paar minuten en geeft u een helder beeld van waar uw verplichtingen liggen.
Bron: Autoriteit Persoonsgegevens: Verantwoordingsplicht AVG
Wilt u weten of uw compliance aantoonbaar is op het moment dat het ertoe doet?
