Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven

Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

Door Nicholas Fearn • 8 januari 2026

Compliance is voor de meeste bedrijfsleiders niet bepaald een aantrekkelijke bezigheid. Ze zien het wellicht als een noodzakelijke maatregel om druk van regelgevende instanties te vermijden, maar ook als iets dat ze kunnen overlaten aan een junior medewerker of op zijn minst incidenteel kunnen afhandelen.

Maar nu technologie de levensader is van de meeste moderne bedrijven, criminelen daar misbruik van maken en toezichthouders en andere belanghebbenden bedrijven onder druk zetten om compliance serieuzer te nemen, is een dergelijke aanpak niet langer houdbaar.

Compliance en governance moeten nu een continu proces zijn, ondersteund door uniforme kaders en draagvlak binnen het management, om de groeiende hoeveelheid informatie-, cyber- en toeleveringsketenrisico's waarmee bedrijven en hun stakeholders worden geconfronteerd, het hoofd te bieden. Maar hoe kan dit worden bereikt?

Cyberrisico is een bedrijfsrisico.

Een belangrijke drijfveer achter de verschuiving van compliance van een afvinklijstje naar een strategische prioriteit in de dagelijkse bedrijfsvoering is "de enorme hoeveelheid wetten, regelgeving, normen en goede praktijken" waaraan bedrijven nu moeten voldoen, aldus Stephanie Locke, hoofd productontwikkeling bij AI-experts Nightingale HQ. Zij stelt dat niet-naleving kan leiden tot aanzienlijke reputatieschade en financiële gevolgen.

Opvallende voorbeelden van wetten en regelgeving die deze verandering hebben teweeggebracht, zijn de Europese Unie-richtlijn inzake netwerk- en informatiebeveiliging 2 (NIS2) en de baanbrekende Artificial Intelligence Act – om nog maar te zwijgen van de uiteenlopende normen voor gegevensbescherming in verschillende delen van de wereld. Aangezien technologie diep verankerd is in alle aspecten van de bedrijfsvoering, zegt Locke dat besturen deze regels nauwlettend in de gaten houden en IT-risico's nu als een bedrijfsrisico beschouwen.

Locke stelt dat bedrijven, nu het technologische ecosysteem – en het regelgevingskader dat is ontworpen om het in toom te houden – zich snel ontwikkelen, gedwongen zijn om cyberrisico's continu in plaats van periodiek te beheren. Ze voegt eraan toe: "AI creëert met name nieuwe operationele, juridische en reputatierisico's, waarbij de eerste handhavingspatronen waarschijnlijk de ontwrichtende impact zullen weerspiegelen die de AVG na de invoering had."

Jake Moore, wereldwijd cybersecurityadviseur bij antivirussoftwarefabrikant ESET, deelt deze mening en stelt dat de opkomst van wettelijke kaders zoals NIS2 en de EU AI-wetgeving "cyberrisico's heeft omgevormd tot bedrijfsrisico's". Hij benadrukt dat beide wetten "verantwoordelijkheid op directieniveau" vereisen en dat "naleving nu de bedrijfsmodellen bepaalt, in plaats van andersom".

Hij vertelt aan IO: "De kosten van een fout zijn hoog, en afvinkvakjes zijn niet altijd voldoende. Compliance is misschien een langere weg, maar het bewijst wel dat organisaties veilig en op grote schaal kunnen opereren."

Regulatoren worden steeds slimmer.

Regulatoren zijn niet alleen snel bezig met het invoeren en aanpassen van branchewetten. Ze werken achter de schermen ook veel sneller aan het opsporen van bedrijven die mogelijk de regels overtreden, dankzij de vooruitgang in kunstmatige intelligentie.

Lee Bryan, oprichter en CEO van Arcus Compliance, een aanbieder van compliance-oplossingen, zegt dat toezichthouders dankzij AI producten, verpakkingen, gegevens en documentatie op grote schaal en in complete productcategorieën kunnen scannen. De technologie stelt hen ook in staat om direct hiaten, inconsistenties en valse beweringen op te sporen.

Hij voegt eraan toe dat zo'n ingrijpende verandering in de werkwijze van toezichthouders betekent dat merken zich niet langer kunnen verschuilen achter "volume, geografische ligging of trage handmatige controles", waardoor ze geen andere keuze hebben dan naleving als een cruciale bedrijfsactiviteit te beschouwen, anders riskeren ze sancties van de toezichthouder.

Niet langer een bijzaak

Toezichthouders zijn niet de enigen die verwachten dat bedrijven de naleving van de regels serieus nemen.

Andere belanghebbenden, zoals investeerders, klanten en partners, onderzoeken de beveiligings- en privacymaatregelen van bedrijven steeds kritischer, zowel vóór als na het tekenen van contracten.

Gezien de toenemende cyberaanvallen op de toeleveringsketen, zoals die SolarWinds trof, zegt Locke van Nightingale dat bedrijven zich bewust zijn van de risico's die externe technologieleveranciers kunnen vormen als ze zich niet houden aan de beste praktijken en regels op het gebied van cyberbeveiliging. Ze voegt eraan toe: "Daardoor zijn beveiliging en privacy essentiële onderdelen geworden van de due diligence bij commerciële en investeringsprojecten."

Als het specifiek gaat om digitale due diligence, legt George Tziahanas – vicepresident compliance bij Archive360, specialist in archiveringssoftware – uit dat potentiële klanten mogelijk terughoudend zullen zijn om samen te werken met bedrijven die niet kunnen uitleggen hoe ze gegevens opslaan, beheren en verwijderen, en dit als een "operationeel risico" beschouwen.

Bestaande belanghebbenden verwachten ook een hoge mate van naleving van de regelgeving door de bedrijven waarmee ze samenwerken, omdat ze willen voorkomen dat ze betrokken raken bij incidenten in de toeleveringsketen. Tziahanas zegt dat het niet naleven hiervan kan leiden tot "contractuele boetes, disciplinaire maatregelen en reputatieschade" voor bedrijven.

Het vermijden van silo's

Slechte naleving is echter niet alleen een kwestie van zakendoen als een verplicht nummertje. Tziahanas legt uit dat lacunes in de naleving, zoals "inconsistente controles, onvolledige registraties en onbetrouwbare gegevens", kunnen leiden tot problemen als "valse rapportage, mislukte verklaringen en overmatige bewaring van gegevens".

Om dit te voorkomen, zouden bedrijven idealiter alle verschillende aspecten van compliance – risico, beveiliging, privacy en bedrijfscontinuïteit – moeten combineren in één overkoepelende governance-strategie. Volgens Moore van ESET zal dit ertoe leiden dat hun compliance- en risicobeleid verschuift van "reactief brandjes blussen" naar "proactief" handelen, wat tegelijkertijd "geld en verborgen kosten bespaart".

John Phillips, algemeen directeur EMEA bij boekhoudsoftwareleverancier FloQast, ziet ook de voordelen van een uniforme en proactieve aanpak van compliance en cyberrisicobeheer. Hij zegt dat teams die deze aanpak hanteren "interne en externe veranderingen kunnen anticiperen, vroegtijdig kunnen afstemmen met het management en middelen kunnen inzetten waar ze de grootste impact hebben".

Het naleven van brancheregels en best practices in de beginfase van een nieuwe onderneming of product kan ook op de lange termijn voordelen opleveren. Zo voorkomt het volgens Tziahanas van Archive360 bijvoorbeeld "kostbare aanpassingen achteraf", omdat de "regels voor classificatie, bewaring en verwijdering" al zijn vastgesteld en geïmplementeerd.

Een robuuste nalevingsstrategie helpt bedrijven ook bij het opbouwen van sterke, op vertrouwen gebaseerde relaties met stakeholders, voegt Tziahanas eraan toe. Dit is de sleutel tot "snellere transactiecycli en een soepelere markttoegang".

Praktische stappen

Bij het opzetten en implementeren van een sterke compliance-strategie kunnen gerespecteerde branchestandaarden zoals ISO 27001, ISO 42001, SOC 2 en ISO 27701 een goed uitgangspunt vormen.

Locke van Nightingale HQ omschrijft ze als een 'basishandleiding voor governance' en zegt dat ze bedrijven voorzien van alle 'fundamenten' die nodig zijn om aan hun compliance- en governanceverplichtingen te voldoen. Ze voegt eraan toe dat dergelijke raamwerken organisaties en hun stakeholders ook in staat stellen zich te verbinden aan 'gedeelde verwachtingen en afspraken' met betrekking tot compliance en governance.

Duidelijk inzicht in risico's is ook belangrijk. Bryan van Arcus Compliance legt uit dat bedrijfsleiders zich mogelijk niet bewust zijn van de risico's waarmee ze te maken hebben, omdat "gegevens, documentatie en leveranciers verspreid zijn over verschillende systemen". Hij is van mening dat dit kan worden opgelost door de implementatie van "flexibele systemen, een risicogebaseerde aanpak en een echte compliancecultuur".

Volgens Moore van ESET is draagvlak binnen het management essentieel voor het succes van compliance- en governanceplannen. Maar dat kan alleen bereikt worden door leiders te informeren over het snel veranderende cyberdreigingslandschap en de impact daarvan op de bedrijfsvoering, zegt hij.

Op het eerste gezicht lijkt compliance een vervelende taak die alleen maar bedoeld is om toezichthouders tevreden te stellen. Maar het kan bedrijven juist ten goede komen door hen in staat te stellen risico's te signaleren en op te lossen voordat ze ernstige schade aanrichten. Tegelijkertijd kan het potentiële klanten aantrekken en de banden met bestaande klanten versterken – die zich allemaal zorgen maken over recente cyberaanvallen op de toeleveringsketen en er zeker van willen zijn dat elk bedrijf waarmee ze samenwerken deze risico's serieus neemt.

Nicholas Fearn

Nicholas Fearn is een freelance journalist uit de Welsh Valleys. Hij heeft geschreven voor grote media als de Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, maar ook voor B2B-publicaties als Computer Weekly, Computing en IT Pro. Als Nic niet over de nieuwste gadgets en technologische trends schrijft, luistert hij waarschijnlijk naar de hele discografie van Mariah Carey.

Lees meer van Nicholas Fearn

Cyber security 27 November 2025

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Cyberinbreuken richten grote schade aan bij bedrijven. Ze kunnen de bedrijfsvoering lamleggen, de schatkist leegtrekken en het vertrouwen van klanten ondermijnen. Vaak...

Nicholas Fearn

Cyber security 4 September 2025

Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Een recent datalek bij Qantas, waarbij de persoonlijke gegevens van 5.7 miljoen klanten in gevaar kwamen, heeft de voortdurende cyberbeveiligingsrisico's van hun bedrijf aan het licht gebracht.

Nicholas Fearn

Cyber security 16 July 2025

Wat hogere defensie-uitgaven betekenen voor de cybersecuritysector

Terwijl de geopolitieke spanningen wereldwijd blijven toenemen, hebben we in 2025 een dramatische stijging van de defensie-uitgaven gezien die we sinds de Koude Oorlog niet meer hebben gezien.

Nicholas Fearn

Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

Cyberrisico is een bedrijfsrisico.

Regulatoren worden steeds slimmer.

Niet langer een bijzaak

Het vermijden van silo's

Praktische stappen

Nicholas Fearn

Gerelateerde artikelen

Leven na de deadline: DORA-naleving omzetten in operationele stabiliteit

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Rapport over de stand van zaken op het gebied van informatiebeveiliging: 11 belangrijke statistieken en trends voor de juridische sector.

Lees meer van Nicholas Fearn

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Wat hogere defensie-uitgaven betekenen voor de cybersecuritysector