Vooral in wat grotere organisaties zie je de gezichten van mensen niet zelden betrekken als het woord compliance valt. Of in ieder geval niet vol vreugde opveren. Het woord werpt al vaak een slagschaduw van bureaucratie en discussies over bijzaken voor zich uit. In dit stuk wat meningen over hoe dat komt en hoe dat beter kan.
Compliance is een woord dat op zich al veel zegt: ’the act or process of doing what you have been asked or ordered to do’. En diep van binnen vindt lang niet iedereen het prettig om te doen wat is opgedragen. En vooral als datgene wat gedaan moet worden niet bij lijkt te dragen aan de doelstellingen van de organisatie of van de mensen die er werken. En daarbij op zijn minst complexiteit introduceert, die niet past bij het professionaliteitsniveau van de organisatie, zoals bij Europese aanbestedingsregels vaak het geval is. Of zelfs haaks lijkt te staan op de organisatiedoelen, zoals privacyregels vaak ervaren worden.
Compliance officer als remmende factor
In veel organisaties worden één of meerdere compliance officers aangewezen. Hun taak is het behoeden van de organisatie voor het overtreden van regels. Dat heeft twee gevolgen. De eerste is dat het daarmee niet langer meer een verantwoordelijkheid van anderen in de organisatie is. Compliance wordt dus een kwestie van een vinkje bij de compliance, privacy of security officer (of in het geval van Europese aanbestedingen fungeert inkoop als compliance officer) halen, want dan zal het goed zijn.
Het tweede gevolg is dat de compliance officer eigenlijk alleen aantoonbaar succes kan hebben als er dingen tegengehouden worden. Want als er niets gebeurt, dan bestaat de kleinste kans dat er regels overtreden worden. Meedenken is geen onderdeel van het tastbare resultaat, alarm slaan wel. En net als in de oude Griekse fabel van de herdersjongen die iets te vaak riep dat er een wolf was, draagt dit niet bij aan diens geloofwaardigheid.
De letter en niet de geest van de wet
De geloofwaardigheid wordt nog veel fundamenteler beschadigd omdat er veel nadruk lijkt te bestaan op de letter van de wet, of de interpretatie daarvan door de toezichthouder, dan de achterliggende gedachte. Het meest aansprekende voorbeeld hiervan zijn de cookiemuren op Nederlandse websites. De achterliggende gedacht was dat gebruikers over hun surfgedrag geïnformeerd zouden worden en daarvoor toestemming verleenden. Het informeren van gebruikers werd gereduceerd tot ‘optimalisatie van onze dienstverlening’ in plaats van ‘Google kijkt over uw schouder mee, want dat vinden wij handig’. Om over de toestemming maar te zwijgen.
Daar komt nog bij dat met name de privacywet- en regelgeving op principes gebaseerd zijn en dat de toezichthouders juist vooral handhaven op basis van de vraag in welke mate organisaties nagedacht hebben over de vraag hoe de privacy van hun klanten en medewerkers het beste beschermd kan worden. Daar waar de wetgever beoogd heeft dat men zich bijna permanent afvraagt of het met minder gegevens zou kunnen en of de technische en commerciële ontwikkelingen geen verbeteringen in de beveiliging rechtvaardigen, juist daar lijkt een kramp te ontstaan waarin men weg lijkt te vluchten in certificeringen en gretige leveranciers die ‘certified security-in-a-box’ beloven, maar dat onmogelijk waar kunnen maken. Met non-compliance als gevolg. Een diploma is geen vervanger voor gezond verstand. Informatiebeveiliging is vaak vooral een richting, geen punt.
En natuurlijk, in de praktijk hoeft niet elke dag opnieuw gezegd te worden dat wachtwoorden niet op briefjes op monitoren geplakt mogen worden. Dat is nu net zo’n regel die eigenlijk aan niemand uitgelegd hoeft te worden. Maar waarom de organisatie maar één browser toestaat, dat is er wel een die uitleg vereist en misschien het resultaat van een afweging die nog maar eens opnieuw gedaan moet worden.
De toekomst van compliance
Naar mijn mening gaat de aandacht voor compliance in een organisatie alleen blijvende resultaten boeken als het de verantwoordelijkheid van iedereen wordt gemaakt. Een beetje zoals veiligheid op de werkvloer.
Wie de opwinding deelde over een Provinciaal Statenlid dat de opdracht voor het bouwen van een website aan het bedrijf van haar zoon gunde, die kan ook begrijpen waarom ook voor kleine opdrachten door een inkoopafdeling aan ten minste drie partijen een offerte wordt gevraagd. Niet alleen omdat het moet van de Europese aanbestedingsregels, maar ook omdat iedereen in de organisatie begrijpt dat de schijn van vriendjespolitiek slecht is voor het aanzien van de organisatie.
Of dat niemand het in zijn of haar hoofd haalt om klantenbestanden met derde partijen te willen delen als je in een sector zit die het primair moet hebben van het vertrouwen van diezelfde klanten, zoals bij banken het geval is.
Want alle goedkeuringen van een privacy officer ten spijt staat de organisatie er gekleurd op als er opstand onder de klanten uitbreekt, zoals ING merkte. En om dat te bereiken moet het verhaal achter de regels uitgelegd worden én gedragen worden door de leidinggevenden die er naar handelen, niet door leidinggevenden die de randen van de regels opzoeken omdat het kan. En de verleiding om het schenden van regels te beantwoorden met meer regels beteugeld worden.
Zolang dat niet gebeurt zal het voldoen aan wet- en regelgeving een betrekkelijk vreugdeloze exercitie blijven, met speciale functionarissen die zich ondergewaardeerd voelen. En zal het fout blijven gaan, met een verhevigde roep voor meer aandacht voor, jawel, compliance.
Compliance gaat toch om het naleven van de geldende (gedrags)regels, de intrinsieke betrouwbaarheid in de vorm van integriteit?
Als dit een juiste constatering is dan zou compliance inderdaad niet zo vervelend hoeven te zijn en hebben we opzet van ‘salon-officieren’ in het compliance circus niet nodig, meestal worden hiermee alleen maar papieren tijgers getemd. Want in ‘pride towers’ is het nog redelijk gebruikelijk om sorry achteraf te zeggen, meestal als je niemand anders meer de schuld kunt geven.