Waarom je grootste compliance-risico's buiten je organisatie liggen

maandag, 18 mei 2026 (10:58) - Banken.nl

In dit artikel:

Organisaties hebben hun interne compliance de afgelopen jaren sterk geformaliseerd: procedures, audits en verantwoordelijkheden zijn op papier vaak goed geregeld. Tegelijkertijd verschuiven de belangrijkste risico’s naar buiten de eigen organisatie — naar leveranciers, cloudplatforms en onderliggende IT-ketens — waar veel minder zicht en regie bestaat. Dat schept een vals gevoel van beheersing: intern klopt het, maar externe kwetsbaarheden stapelen zich op.

Drie knelpunten vormen de kern van het probleem:
- Onvolledig keteninzicht: bedrijven kennen doorgaans hun directe leveranciers, maar niet altijd de achterliggende lagen (subverwerkers, cloudinfrastructuren, externe tooling). Zonder helder beeld van waar data zich bevindt, wie toegang heeft en onder welke voorwaarden, is het moeilijk om verantwoordelijkheid en aansprakelijkheid te bepalen.
- Vertrouwen zonder structurele toetsing: certificaten en rapportages van leveranciers wekken vaak vertrouwen, maar in veel organisaties ontbreekt continue monitoring. Onderzoek wijst uit dat ongeveer de helft nog zonder structurele bewaking werkt, waardoor afwijkingen en incidenten te laat of onopgemerkt blijven.
- Compliance als momentopname: de nadruk ligt op audits en rapportagemomenten. Tussen die momenten is realtime inzicht vaak beperkt, waardoor naleving niet continu aantoonbaar is.

Deze problemen krijgen meer urgentie door veranderende wet- en regelgeving (onder andere NIS2 en DORA) en door de normalisering van cloud en outsourcing. Het risico zit niet primair in het ontbreken van interne regels, maar in het ontbreken van aantoonbaarheid en regie over externe afhankelijkheden.

Aanpak: niet meer regels, maar andere werkwijzen. Cruciale stappen zijn het expliciet in kaart brengen van afhankelijkheden, het vastleggen van heldere verantwoordelijkheden over de keten, het implementeren van continue monitoring en onafhankelijke toetsing van leveranciers, en actieve regie op SLA’s en naleving. Alleen dan kun je niet alleen tijdens een audit, maar permanent aantonen dat je compliant bent — ook wanneer derden veranderen.

De auteur, Hanin el Farissi (Business Unit Manager Hybrid Cloud, Cegeka), verwijst naar een trendrapport van Cegeka waarin praktijkvoorbeelden en aanpakken worden beschreven om compliance te verschuiven van een statische snapshot naar continue controle.