Meer dan papierwerk: De menselijke kant van compliance-trajecten in informatiebeveiliging

Je kent het vast. Een compliance-traject staat op de planning en je hoofd loopt al over van de documenten, eisen en technische maatregelen die je moet doorvoeren. Of het nu gaat om ISO27001, de BIO voor overheden, NIS2 voor kritieke infrastructuur of NEN7510 in de zorgsector – het voelt soms overweldigend.

Maar laten we eerlijk zijn: een succesvol compliance-traject draait om meer dan alleen techniek en documentatie. Het gaat om mensen. Om verandering. Om een cultuur waarin beveiliging vanzelfsprekend wordt.

Nieuws
31 juli 2025

De basis: waarom een sterk plan onmisbaar is

In mijn jaren als adviseur heb ik ontdekt dat een doordacht plan cruciaal is voor succes. Dit sluit direct aan bij wat we bij Samoerai ‘succesfactor 3’ noemen, onderdeel van ons 6-stappenplan (te vinden op http://Samoerai.nl ). Met dit plan pakken we compliance-trajecten gestructureerd aan. Ondersteund door specifieke content zoals templates voor beleid, templates voor de implementatie van richtlijnen en controls, vragenlijsten, een gestructureerde risicomanagement aanpak inclusief categorieën van bedrijfsmiddelen, bijhorende dreigingen en te nemen maatregelen en ga zo maar door.

Toch merkte ik dat zelfs met een waterdicht stappenplan, sommige projecten soepeler liepen dan andere. Ze werden allemaal afgerond met certificering, maar verschilden enorm in doorlooptijd en kosten. Dat maakte me nieuwsgierig naar de onderliggende succesfactoren.

Wat maakt compliance-trajecten écht succesvol?

In een gesprek met mijn collega’s viel het kwartje dat compliance-trajecten ALS DOEL HEBBEN, NIET ALLEEN MAAR DE IMPLEMENTATIE VAN MAATREGELEN, MAAR JUIST OOK EEN STUKJE VERANDERING IN DE CULTUUR EN WERKWIJZE VAN DE GEHELE ORGANISATIE. DUS WE PRATEN OVER VERANDERMANAGEMENT, en daar is door knappe koppen al heel lang over nagedacht. Na analyse van diverse projecten en bestudering van de meest gangbare verandermanagement-modellen (Kotter, Knoster) kwamen we als team tot vijf doorslaggevende succesfactoren:

1. Een heldere visie vanuit de directie

Bij organisaties waar de directie een duidelijke visie op informatiebeveiliging uitdraagt, zien we betere resultaten. Het hoeft niet lang of ingewikkeld te zijn – een kort statement waarin het belang en doel van het traject worden benoemd, doet wonderen. Dit nemen we vaak op in de ‘Directieverklaring’ die bij alle compliance-frameworks nodig is.
Uitingen van de verantwoordelijk bestuurder, wethouder of directeur helpen met het aangeven van het belang en de prioriteit binnen de gehele organisatie. Een mooi voorbeeld is wanneer de bestuurder daadwerkelijk deel uitmaakt van de stuurgroep. Bij melding van bottlenecks voor de doorlooptijd nam de bestuurder direct na de meeting contact op met de betreffende persoon en werd de prioriteit nog een extra benadrukt. Deze klant met 4000+ fte en 30+ locaties was binnen drie maanden klaar voor certificering!

2. Voldoende gevoel van urgentie

Zonder urgentie krijg je weinig mensen in beweging. Een praktische workshop waarin we de wereld van cyberdreigingen laten zien, helpt enorm. Bij zowel ISO-trajecten als BIO2-, NIS2- en NEN7510-implementaties merk ik dat deze bewustwording de betrokkenheid sterk vergroot.
Hierbij is het van groot belang dat met name het middenkader de toegevoegde waarde ziet van de tijd die besteed moet worden aan het project; de vraag wat hebben wij eraan!

3. Een gedetailleerd actieplan met ondersteuning

Een plan waarin taken, verantwoordelijkheden en resultaten duidelijk zijn omschreven, vormt de ruggengraat van het traject. Voor elk compliance-framework hebben we zo’n plan ontwikkeld, compleet met templates, vragenlijsten, workshops, standaard middelcategorieën, beschreven risicomanagement methodiek etcetera die het werk sterk vereenvoudigen en structureren. Hierbij wordt het klant specifiek maken van alle content ondersteunt door een slimme AI Compliance Manager van Samoerai!

Wat hierbij verschilt per sector:

  • Overheid (BIO2): Nadruk op het borgen van nationale veiligheid en continuïteit van dienstverlening en de overheidverplichte maatregelen

  • Kritieke infrastructuur (NIS2): Focus op incidentrespons en ketenafhankelijkheden

  • Zorgsector (NEN7510): Extra aandacht voor patiëntgegevens en medische apparatuur door implementatie van de zorgspecifieke maatregelen

4. Betrokkenheid, middelen en capaciteit

Een veelvoorkomend struikelblok is onderschatting van de benodigde inzet. Naast een externe adviseur met kennis van de norm, van informatiebeveiliging (en privacy en AI) én van ICT en andere primaire processen binnen de organisatie zijn interne mensen nodig van ICT, Facilitair, HR en andere afdelingen. Door vooraf helder te communiceren over de verwachte tijdsinvestering, voorkom je verrassingen.

Een mooi voorbeeld: bij een ziekenhuis merkten we dat het NEN7510-traject vastliep omdat de IT-afdeling overbelast was. Door tijdelijk extra ondersteuning te bieden aan het IT team op het gebied van de implementatie van IT maatregelen en de planning ervan binnen de verschillende betrokken afdelingen op te pakken, kwam het project weer op de rails.

5. Competenties en kennis

Het werkt alleen als betrokkenen beschikken over de juiste kennis. Een compliance-traject vraagt om veel verschillende soorten kennis binnen de eigen organisatie; Informatiebeveiliging, de betreffende Norm, ICT kennis en ervaring met de implementatie van de verschillende maatregelen. Soms betekent dit dat we training-on-the-job geven of extra ondersteuning bieden. Bij NIS2-implementaties zien we bijvoorbeeld dat technische kennis van operationele technologie (OT) vaak een uitdaging vormt.

De technische kant: tools en automatisering

Een handig hulpmiddel bij compliance-trajecten is een goed GRC-(Governance, Risk & Compliance) tool of information security management system (ISMS) tool. Zo’n tool helpt bij het structureren en bijhouden van alle maatregelen, risico’s en acties. Het ondersteunt zowel om compliant te worden als om compliant te blijven. Het maakt het op ieder gewenst moment aantoonbaar voldoen aan de norm eenvoudiger.

Voor kleine organisaties is een eenvoudige spreadsheet soms voldoende, maar grotere organisaties hebben baat bij een gespecialiseerd tool. Zeker als je met meerdere normenkaders werkt, zoals we vaak zien bij zorginstellingen die zowel NEN7510 als ISO27001, de ISO9001 en de ISO42001 (AI) implementeren of bij overheden die de BIO2, de NIS2 en de ISO42001 combineren.
Zo’n tool helpt ook om op ieder moment inzichtelijk te hebben wat de mate can compliance is per norm (realtime compliance dashboards) en met het borgen van alle acties van de PDCA cyclus van informatiebeveiliging, privacy en AI.

Wat levert het op?

Organisaties die compliant zijn met hun relevante frameworks, zijn aantoonbaar beter beveiligd. Ze voldoen aan wettelijke eisen en zijn beter beschermd tegen cyberdreigingen en ook tegen eventuele boetes.

Maar er is meer. Ze groeien in volwassenheid, krijgen meer grip op hun processen en weten precies wie waarvoor verantwoordelijk is (governance). Dit zie ik terug bij zowel overheidsorganisaties met BIO2 als bij zorginstellingen met NEN7510.

Bij een groot ziekenhuis bijvoorbeeld zijn we ruim een jaar bezig geweest om samen duidelijk te krijgen per primair proces en bijhorende middelen wie waarvoor verantwoordlijk was in termen van eigenaarschap, functioneel beheer, risico-eigenaar en verantwoordelijke voor de BIA’s en DPIA’s. Deze duidelijkheid maakte dat de bijhorende acties direct opgenomen konden worden in geautomatiseerde workflows en afhandeling van taken op individueel niveau door de gehele organisatie.

Na certificering: borging in de praktijk

Het behalen van een certificering is niet het eindpunt, maar het begin van een nieuwe fase. Blijvende aandacht is nodig om compliance te behouden. Enkele praktische tips:

  • Maak informatiebeveiliging onderdeel van het inwerkprogramma van nieuwe medewerkers

  • Plan regelmatige bewustwordingssessies

  • Voer interne audits uit om te controleren of maatregelen nog werken

  • Evalueer incidenten om ervan te leren

Nog te vaak zien we dat klanten het gehele jaar niet hebben ingelogd in het GRC tool en dat er geen onderhoud en opvolging is geweest van de geplande (verbeter)acties. En wanneer dan de externe audit gepland wordt moet er een inhaalslag gemaakt worden.
Dan is compliance-as-a-Service misschien een goede oplossing. Alle compliance gerelateerde taken inclusief het aanjagen en opvolgen van acties binnen de organisatie worden door deze dienst opgevangen. De organisatie kan maximaal focussen op de primaire processen en wij zorgen voor de compliance.

Jouw uitdaging

Welke veranderstrategieën zet jij in bij jouw compliance-traject? Waar liggen de uitdagingen in jouw organisatie of sector? Ik ben benieuwd naar je ervaringen.

Wil je meer weten over onze aanpak of sparren over jouw specifieke situatie? Neem gerust contact op.

Heeft u een vraag of wilt u meer informatie?

Weten hoe deze diensten jouw organisatie kunnen ondersteunen? Onze ervaren consultants helpen je graag! Neem contact op en ons team komt er binnen 24 uur op terug.

Neem contact op

Direct advies?

Neem contact met ons op