Kantyra Kantyra

← Alle artikelen

Algemeen

Hoe maak je van compliance-management aantoonbare beheersing?

Alain Rees · 11-07-2026 · 11 min leestijd

Hoe je eisen uit wet- en regelgeving, normen en contracten vertaalt naar één werkend geheel

Compliance-management heeft bij veel professionals een stoffig imago. Het roept beelden op van lijstjes afvinken, bewijsstukken verzamelen en de auditor tevreden houden. Dat beeld doet het vakgebied tekort. Goed ingericht compliance-management is het proces dat externe en interne eisen vertaalt naar concrete maatregelen, en dat vervolgens aantoonbaar maakt dat die maatregelen werken. Het verschil tussen een organisatie die elk jaar opnieuw in paniek bewijslast bij elkaar zoekt en een organisatie die audits routinematig doorloopt, zit vrijwel volledig in dit proces. In dit artikel lees je hoe je compliance-management inricht voor informatiebeveiliging en privacy, en hoe je de AI-verordening daar alvast in meeneemt.

In het kort

  • Compliance-management vertaalt eisen uit wetgeving, normen, contracten en eigen beleid naar maatregelen, en maakt de werking daarvan aantoonbaar.
  • Compliant is niet hetzelfde als veilig: compliance is regelgestuurd, beveiliging is risicogestuurd, en de twee processen moeten elkaar voeden.
  • Het proces kent vijf stappen: eisenregister, toepasselijkheidsanalyse, vertaling naar maatregelen, monitoren en meten, en rapporteren en bijsturen.
  • Eén gemeenschappelijke maatregelenset die alle kaders bedient, voorkomt dat je hetzelfde werk drie keer doet.
  • Het compliance-proces valt samen met de vier fasen van het Kantyra-model: signaleren, beoordelen, oplossen en aantonen.

Compliant is niet hetzelfde als veilig

Om te beginnen is er een waarschuwing nodig: compliance en beveiliging overlappen sterk, maar vallen niet samen. Compliance is regelgestuurd, want je voldoet aan een eis die iemand anders heeft geformuleerd. Beveiliging is risicogestuurd, want je beheerst een dreiging die voor jouw organisatie relevant is. Een organisatie kan aan alle formele eisen voldoen en toch kwetsbaar zijn, bijvoorbeeld omdat de eisen achterlopen op het dreigingsbeeld of omdat maatregelen op papier bestaan maar in de praktijk niet werken. Omgekeerd kan een goed beveiligde organisatie toch een compliance-probleem hebben, omdat zij haar beheersing niet kan aantonen.

De praktische conclusie is dat je compliance-management nooit de plaats moet laten innemen van risicomanagement, maar beide processen elkaar moet laten voeden. Wettelijke eisen vormen de ondergrens en het kader, terwijl de risicoanalyse bepaalt wat jouw organisatie daarbovenop nodig heeft.

Het speelveld en de eisen die op je afkomen

Voor informatiebeveiliging en privacy komen de eisen uit vier richtingen. De eerste bron is wetgeving. De AVG regelt de verwerking van persoonsgegevens en geldt voor vrijwel elke organisatie. De Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn, legt een zorgplicht, een meldplicht en een registratieplicht op aan organisaties in essentiële en belangrijke sectoren, met een expliciete verantwoordelijkheid voor het bestuur. Voor de financiële sector komt daar DORA bij, en sectoren als de zorg en de overheid kennen eigen kaders zoals NEN 7510 en de BIO.

De tweede bron is normering die je vrijwillig of contractueel omarmt, met ISO 27001 als bekendste voorbeeld. Formeel is een certificering geen wettelijke plicht, maar zodra klanten erom vragen of je die in contracten toezegt, is het effect hetzelfde. De derde bron zijn de contracten zelf, zoals verwerkersovereenkomsten, beveiligingsbijlagen bij inkoopcontracten en aansluitvoorwaarden van ketenpartners. De vierde bron is intern beleid, want ook je eigen beleidsregels zijn eisen waaraan je aantoonbaar moet voldoen.

En dan is er de AI-verordening, de Europese AI Act, die gefaseerd van kracht wordt. Voor de meeste organisaties is de invloed vooralsnog beperkt maar niet nul. De verplichting om te zorgen voor voldoende AI-geletterdheid bij medewerkers geldt al, en wie AI-systemen inzet moet weten in welke risicocategorie die vallen. De les uit twintig jaar privacywetgeving is dat je zulke verordeningen niet pas moet oppakken wanneer de laatste termijn nadert. Neem AI-systemen daarom nu al op in je verwerkingsregister en je overzicht van bedrijfsmiddelen, dan groeit de AI Act straks mee in je bestaande compliance-proces in plaats van dat zij een apart traject wordt. In Kantyra heeft dat een eigen plek: de AI-module bevat een AI-register waarin elk systeem zijn rol, risicocategorie en menselijk toezicht heeft, gekoppeld aan de leverancier, het bedrijfsmiddel en de verwerking.

Het compliance-proces in vijf stappen

Compliance-management is een cyclisch proces en geen jaarlijkse gebeurtenis. Het bestaat in de kern uit vijf stappen.

De eerste stap is het eisenregister. Breng alle relevante wet- en regelgeving, normen, contracten en beleidsstukken samen in één register, met per bron de eigenaar, de toepasselijkheid en de belangrijkste verplichtingen. Dit register is het fundament van alles wat volgt. Veel organisaties slaan deze stap over en werken per kader los van elkaar, en juist daar ontstaan dubbel werk en blinde vlekken. In Kantyra is het compliance-register die ene plek: de kaders voor de Cbw (NIS2), de AVG, ISO 27701, de AI-verordening en ISO/IEC 42001 zijn ingebouwd, en eigen kaders zoals contracteisen, NEN 7510 of intern beleid voer je op of importeer je uit Excel, waarna ze in hetzelfde register meedraaien. Elke eis heeft daarbij een status, een eigenaar en een toelichting.

De tweede stap is de toepasselijkheidsanalyse. Niet elke eis geldt voor elke organisatie of elk systeem. Onder de Cbw is de eerste vraag of je organisatie überhaupt onder de wet valt, en zo ja, of dat als essentiële of als belangrijke entiteit is. Onder de AVG bepaalt de rol van verwerkingsverantwoordelijke of verwerker welke verplichtingen op jou rusten. Onder de AI-verordening bepaalt de risicocategorie van een systeem het regime. Leg deze analyses vast inclusief de onderbouwing, want ook het besluit dat iets niet van toepassing is, moet je later kunnen verantwoorden. In Kantyra markeer je een eis als niet van toepassing met een toelichting erbij, en voor de Cbw-vraag zelf bevat het platform een zelfevaluatie die de zorgplicht, de meldplicht en de registratieplicht langsloopt. Voor AI-systemen is er een eigen risicoclassificatie, die per systeem de verboden praktijken, het hoge risico en de transparantieverplichtingen toetst.

De derde stap is de vertaling naar maatregelen. Hier gebeurt het eigenlijke werk, want elke toepasselijke eis wordt gekoppeld aan één of meer concrete maatregelen, met een eigenaar en een implementatiestatus. De slimste aanpak is een gemeenschappelijk maatregelenraamwerk. De AVG vraagt om passende technische en organisatorische maatregelen, de Cbw om risicobeheersmaatregelen en ISO 27001 om de maatregelen uit Annex A, en die drie verzamelingen overlappen voor het grootste deel. Wie één maatregelenset bijhoudt en elke maatregel koppelt aan alle kaders die hij afdekt, toont met één bewijsstuk naleving aan tegenover meerdere toezichthouders en auditors. Wie per kader een eigen lijst voert, doet hetzelfde werk drie keer. Kantyra is precies zo gebouwd: één maatregel koppel je tegelijk aan eisen uit meerdere kaders én aan de Annex A-maatregelen van ISO 27001, zodat het gemeenschappelijke raamwerk de standaardwerkwijze is in plaats van een ambitie.

De vierde stap is monitoren en meten. Een maatregel die je hebt geïmplementeerd maar nooit toetst, verslapt ongemerkt. Richt per maatregel in hoe je de werking vaststelt, bijvoorbeeld via geautomatiseerde controles, steekproeven, interne audits of managementrapportages. Leg de bewijsvoering vast op het moment dat zij ontstaat en niet achteraf; aantoonbaarheid is een eigenschap van je dagelijkse processen, en wie haar achteraf als archiefproject organiseert, is te laat. In Kantyra hangt het bewijs daarom direct aan het object zelf: bewijsstukken (een bestand of een verwijzing) koppel je aan een eis, een maatregel of een bevinding, en elke maatregel heeft een effectiviteitstest met een geplande datum die als taak terugkomt zodra hij nadert.

De vijfde stap is rapporteren en bijsturen. Afwijkingen krijgen een eigenaar, een hersteltermijn en waar nodig een formeel geaccepteerd restrisico. Het geaggregeerde beeld gaat periodiek naar de directie, die onder de Cbw immers zelf verantwoordelijk is voor het toezicht op de risicobeheersing en zich actief moet laten informeren over risico's, maatregelen en incidenten. Wijzigingen in wet- en regelgeving voeden het eisenregister, en daarmee begint de cyclus opnieuw. In Kantyra landen afwijkingen in het bevindingenregister, met bron, ernst, behandelaar en deadline (auditrapporten importeer je desgewenst in één keer), loopt een formeel geaccepteerd restrisico via het uitzonderingenregister met vier-ogen-goedkeuring, en toont het compliance-register per kader de voortgang.

Rollen en verantwoordelijkheden

Compliance-management raakt meerdere functies, en juist daarom heeft het een duidelijke rolverdeling nodig. De lijn is en blijft eigenaar van de naleving binnen het eigen proces, net zoals de lijn eigenaar is van de risico's. De compliance-functie, de CISO en de centrale privacy officer vormen samen de tweede lijn. Zij vertalen eisen, toetsen de naleving en adviseren, maar nemen de verantwoordelijkheid niet over. De functionaris gegevensbescherming heeft daarnaast een wettelijk verankerde, onafhankelijke toezichtrol op de naleving van de AVG. De interne audit vormt de derde lijn en geeft onafhankelijke zekerheid over het geheel.

In kleinere organisaties vallen deze rollen deels samen in één persoon. Dat is werkbaar, zolang de organisatie zich bewust blijft van de verschillende petten. Wie de maatregelen ontwerpt, kan niet ook degene zijn die als enige de werking ervan beoordeelt.

Waar zit compliance-management in het Kantyra-model?

Net als risicomanagement valt compliance-management niet in één fase van het Kantyra-model te vangen: het is de cyclus van het model, toegepast op eisen in plaats van op risico's. De vijf stappen verdelen zich als volgt over de vier fasen.

Het eisenregister en de toepasselijkheidsanalyse zijn de fase beoordelen: je bepaalt welke kaders en eisen voor jou gelden en waar je staat, bijvoorbeeld met de Cbw-zelfevaluatie. De vertaling naar maatregelen is de fase oplossen: één maatregelenset die alle kaders afdekt. Het monitoren en meten is de fase signaleren: effectiviteitstests, afwijkingen en nieuwe wet- en regelgeving voeden het register. En het rapporteren en de bewijsvoering vormen de fase aantonen: het bewijs per eis en per maatregel, de voortgang per kader en het beeld voor de directie en de auditor.

Het compliance-proces naast de vier fasen van het Kantyra-model: monitoren en meten hoort bij signaleren, eisen en toepasselijkheid bij beoordelen, de vertaling naar maatregelen bij oplossen en de rapportage en bewijsvoering bij aantonen

Waar risicomanagement door de cyclus beweegt met de vraag "kunnen we blijven leveren en wat kan er misgaan", doet compliance-management dat met de vraag "waaraan moeten we voldoen en kunnen we dat laten zien". Beide processen delen dezelfde registers, dezelfde maatregelen en hetzelfde ritme, en dat is precies waarom ze in één omgeving thuishoren.

Aansluiting op andere processen

Net als risicomanagement functioneert compliance-management alleen wanneer het verbonden is met de processen eromheen.

De belangrijkste verbinding is die met het risicomanagement zelf. Wettelijke eisen vormen de ondergrens van je risicobehandeling, want een risico dat een wettelijke plicht raakt, kun je niet zomaar accepteren. Omgekeerd levert de risicoanalyse de onderbouwing voor de invulling van open normen. Waar de wet vraagt om "passende maatregelen", bepaalt jouw risicoanalyse wat in jouw context passend is.

De tweede verbinding is het incidentproces, omdat de meldplichten zich opstapelen. Een datalek meld je binnen 72 uur bij de Autoriteit Persoonsgegevens, een significant incident onder de Cbw meld je met een vroegtijdige waarschuwing binnen 24 uur bij de aangewezen toezichthouder, en contracten kennen vaak eigen meldtermijnen aan klanten. Het incidentproces moet die routes kennen en de afwegingen documenteren, ook wanneer je besluit dat melden niet nodig is. In Kantyra leg je per incident vast of het een datalek betreft en of het is gemeld, en bewaakt het register de Cbw-termijnen voor de waarschuwing, de melding en het eindrapport. In het afwegingsveld leg je ook vast waarom je wel of niet meldt.

De derde verbinding is leveranciersmanagement, want veel compliance-eisen werken door in de keten. Denk aan verwerkersovereenkomsten onder de AVG, ketenbeveiligingseisen onder de Cbw en straks transparantie-eisen aan aanbieders van AI-systemen. Inkoop en contractmanagement zijn daarmee uitvoeringskanalen van je compliance-proces.

De vierde verbinding is awareness en opleiding, omdat meerdere kaders hier expliciete eisen stellen. De Cbw verplicht opleiding voor het bestuur, de AVG veronderstelt dat medewerkers weten hoe zij met persoonsgegevens omgaan, en de AI-verordening eist AI-geletterdheid van iedereen die met AI-systemen werkt. Een gezamenlijk opleidingsprogramma dat deze eisen combineert, is efficiënter en geloofwaardiger dan drie losse verplichte modules.

Veelgestelde vragen over compliance-management

Wat is het verschil tussen compliance en beveiliging? Compliance is regelgestuurd: je voldoet aan eisen die anderen hebben geformuleerd. Beveiliging is risicogestuurd: je beheerst de dreigingen die voor jouw organisatie relevant zijn. Een organisatie kan compliant zijn en toch kwetsbaar, of goed beveiligd en toch niet in staat dat aan te tonen. Je hebt beide processen nodig, en ze moeten elkaar voeden.

Wat is een eisenregister? Eén register waarin alle bronnen van eisen samenkomen: wet- en regelgeving, normen, contracten en intern beleid, met per bron de toepasselijkheid en de belangrijkste verplichtingen. Het voorkomt dat elk kader zijn eigen lijstje krijgt en er dubbel werk en blinde vlekken ontstaan.

Moet ik voor elk kader aparte maatregelen bijhouden? Nee, juist niet. De AVG, de Cbw en ISO 27001 vragen voor het grootste deel om dezelfde maatregelen. Houd één maatregelenset bij en koppel elke maatregel aan alle kaders die hij afdekt; dan toon je met één bewijsstuk naleving aan tegenover meerdere toezichthouders en auditors.

Wat moet ik nu al doen voor de AI-verordening? Zorg voor AI-geletterdheid bij medewerkers die met AI-systemen werken, want die verplichting geldt al. Breng daarnaast in kaart welke AI-systemen je gebruikt en in welke risicocategorie ze vallen, en neem ze op in je verwerkingsregister en je overzicht van bedrijfsmiddelen. Dan groeit de rest van de verordening mee in je bestaande proces.

Hoe voorkom ik paniek voor een audit? Door bewijs vast te leggen op het moment dat het ontstaat, bij de eis of de maatregel waar het bij hoort, en door de werking van maatregelen doorlopend te toetsen. Wie dat doet, hoeft voor een audit niets meer te reconstrueren.

Tot slot

Compliance-management wordt beheersbaar op het moment dat je stopt met denken in losse kaders en begint met denken in één eisenregister, één maatregelenset en één bewijshuishouding. De AVG, de Cbw, ISO 27001 en straks de AI-verordening stellen elk hun eigen vragen, maar het antwoord komt uit hetzelfde stelsel van maatregelen. Wie dat stelsel op orde heeft en de werking ervan doorlopend vastlegt, hoeft voor geen enkele audit of toezichthouder meer iets te reconstrueren. Wie zo werkt, hoeft aantoonbaarheid niet meer als project te organiseren: zij ontstaat vanzelf, elke dag.

Aan de slag met compliance-management in Kantyra

Wil je je kaders, eisen, maatregelen en bewijs niet in losse lijsten beheren, maar in één omgeving die aansluit op je risicomanagement? In het GRC-platform van Kantyra beheer je het compliance-register met ingebouwde en eigen kaders, koppel je één maatregelenset aan alles wat zij afdekt, en hangt het bewijs aan de eis of de maatregel zelf. Vraag een demo aan en ontdek hoe aantoonbaarheid vanzelf ontstaat in je dagelijkse werk.


Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement en continuïteit aantoonbaar beheren, in lijn met ISO 27001, ISO 22301 en de Cyberbeveiligingswet.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen