Compliance en feitelijke (digitale) veiligheid zijn niet hetzelfde, zoals elke certificerende partij inmiddels heeft gemerkt. Vaak worden documenten of procedures opgesteld om te voldoen aan een norm of wet, niet omdat het de organisatie veiliger maakt. Hoe bereik je het beste van twee werelden: feitelijke veiligheid vergroten én aantoonbaar voldoen aan norm of wet?
Ik ben mijn carrière begonnen in de KYC/CDD (Know Your Customer/Customer Due Diligence)-sector. Mijn werkzaamheden daar hadden betrekking op de verplichtingen die voortkomen uit de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). In essentie zijn banken verplicht om te weten met wie ze zakendoen en dienen ze ongebruikelijke en verdachte transacties te melden bij de Financial Intelligence Unit (FIU).
Na de overstap naar cybersecurity viel mij al snel op dat ook hier veel in het teken staat van voldoen aan wetgeving (bijvoorbeeld de aankomende Cybersecuritywet) en normenkaders (ISO 271001 en NEN-7510). Vanuit mijn achtergrond in Law and Society heb ik vaak gekeken naar het samenspel tussen wetgeving en samenleving. Wat is het effect van wet- en regelgeving? En is dat het beoogde effect? Kijkend naar compliance in het algemeen, ontstond bij mij de vraag: wat is nu eigenlijk het beoogde effect van compliance? Feitelijke veiligheid of aantoonbaar voldoen aan norm of wet?
Cruciale rol van de toezichthouder
Binnen Law and Society is de rol van de handhaver van wetten erg belangrijk. Voordat er een boete stond op fietsen met je telefoon in de hand, werd dit nog vrij veel gedaan (ook door mijzelf). Toen er eenmaal boetes kwamen en hier ook streng op werd gehandhaafd, gebeurde dat minder. Hetzelfde geldt voor de Wwft die al sinds 2008 van kracht is: het aantal fte en daarmee de inspanningen in KYC en compliance is pas echt gaan stijgen nadat de DNB boetes ging uitdelen. In dat geval ben je dus alleen met compliance bezig om aan te tonen dat je voldoet aan de wet, om te voorkomen dat je een boete krijgt.
Bij feitelijke veiligheid is de rol van de toezichthouder net wat anders en gaat het ook om ondersteuning van organisaties bij het naleven van de wetgeving. Iets wat overigens ook door andere overheidsorganisaties kan worden opgepakt. Zo vroeg het ministerie van Infrastructuur en Waterstaat aan Berenschot onderzoek te doen naar de mogelijke uitwerking van ketenverantwoordelijkheid uit de NIS2 (de richtlijn waar de Cybersecuritywet invulling aan geeft) in de chemische sector. Het actief ondersteunen van de implementatie van wetgeving zorgt ervoor dat organisaties sneller weten wat ze moeten doen, meer aandacht kunnen besteden aan hoe ze effectief invulling geven aan de wet en ook feitelijk veilig zijn.
Daarnaast kan er van een toezichthouder een stimulans uitgaan om organisaties gezamenlijk te laten innoveren om compliant te zijn. Een mooi voorbeeld betreft het Verbond van Verzekeraars dat samen met Loyens en Loeff een template heeft opgesteld voor een addendum om makkelijker aan de verplichtingen van ICT-contracten te voldoen die voortkomen uit de Digital Operational Resilience Act (DORA)-wetgeving. Dergelijke initiatieven versoepelen implementatie en geven organisaties de mogelijkheid te voldoen aan de minimale eisen en eventueel te investeren in aanvullende maatregelen om daadwerkelijk veiligheid te realiseren.
Verschillende organisaties, verschillende risico’s
Opvallend in de KYC/CDD-sector was dat veel mkb-bedrijven niet compliant zijn met de Wwft, simpelweg omdat ze niet de capaciteit hebben om aan alle voorgeschreven eisen te voldoen. De valkuil van wetgeving is dat alle organisaties langs dezelfde lat worden gelegd. Organisaties worden gedwongen om papieren tijgers te bouwen om aan te tonen wat ze al doen. Denk aan een enorm informatiebeveiligingsbeleid dat extra werkzaamheden voorschrijft, enkel om aan te tonen dat de werkzaamheden die al jaren gebeuren, ook daadwerkelijk plaatsvinden.
In wet- en regelgeving, en in het verlengde daarvan bij de toezichthouder, is echter geen aandacht voor de specifieke risico’s van organisaties. Als organisaties zich enkel bezighouden met wat de wet voorschrijft, is er minder aandacht voor relevantere risico’s. In een ideale wereld stelt de wetgeving het kader en hebben organisaties de ruimte voor een risk-based approach. Toezichthouders en overheidsorganisaties kunnen hierin wederom assisteren met handreikingen om organisaties de goede weg te wijzen.
Heldere beweegreden
Er is al langer kritiek op de manier waarop de financiële sector voldoet aan de Wwft. Volgens Follow the Money is de KYC-afdeling soms 20% van het totale aantal fte. Hoewel er erg veel meldingen binnenkomen bij de FIU, is het maar de vraag of deze allemaal behandeld worden. Het kan natuurlijk niet zo zijn dat met de komst van de Cyberbeveiligingswet er straks enorme afdelingen ontstaan met cybersecurityprofessionals die enkel rapporteren over de mogelijke risico's.
Om het voorbeeld van fietsen met een telefoon weer aan te halen: ik (en anderen met mij) ben niet alleen gestopt vanwege de boetes, maar omdat ik de wetgeving accepteerde: fietsen met een telefoon in je hand is niet veilig. Daarom is het belangrijk dat organisaties beseffen waarom ze hun cybersecurity op orde moeten hebben en waarom banken moeten weten met wie ze zakendoen.
Vanwege de papieren werkelijkheid die compliance soms genereert, verdwijnt het doel uit zicht. Als dit doel is om feitelijk veilig te zijn of een zekere baseline te creëren, moet dat ook tot uiting komen in wetgeving en uitvoering (dus handhaving) van de wet. Bij de voorgeschreven implementatie van de Cyberbeveiligingswet en andere wet- en regelgeving dienen toezichthouders en overheidsinstanties zich dan ook af te vragen wat het doel is van een wet. Welk probleem wordt er opgelost? En is de gehanteerde aanpak bedoeld om aan te tonen dat organisaties ermee bezig zijn of om daadwerkelijk risico’s te mitigeren en echt veilig te zijn? Want dat laatste is waar compliance in mijn ogen echt om draait.