Ron Boscu, CompLions-GRC
De trend dat leveranciers en partners steeds vaker moeten aantonen aan bepaalde eisen te voldoen is duidelijk zichtbaar. Het is een ontwikkeling die door de komst van de AVG/GDPR in een stroomversnelling is geraakt. Ron Boscu van CompLions-GRC sprak over deze trend en de impact op de markt.
Waarom bedrijven, overheden en non for profit organisaties meer met certificeringen te maken krijgen is volgens Boscu simpel. De AVG/GDPR zorgt voor dynamiek in de markt omdat iedereen per 25 mei moet kunnen aantonen ‘in control’ te zijn als het gaat om de opslag en bewerking van tot personen herleidbare gegevens. “Hoewel de AVG-deadline de meest in het oog springende ontwikkeling is, is het zeker niet de enige verklaring”, aldus Boscu. “Vergeet niet dat er steeds meer organisaties deel uitmaken van een keten. Als een schakel in die keten zich laat certificeren is het bijna onvermijdelijk dat de rest in die keten vroeger of later zal volgen.” Dat komt omdat eindklanten, maar ook toezichthouders en anderen vaker kritische vragen stellen en zekerheid willen dat een hele keten de zaakjes voor elkaar heeft.”
Ondergeschoven kindje
Die toegenomen belangstelling kan echter niet worden beschouwd als een indicatie dat security en kwaliteit ook echt verbetert. “Het klinkt vreemd, maar op zich zegt de toename van bijvoorbeeld het aantal ISO27001-gecertificeerde bedrijven weinig over de kwaliteit van de informatiebeveiliging”, legt Boscu uit. “Dat komt omdat veel organisaties niet precies weten wat ze willen laten certificeren, en nog belangrijker, waarom ze willen certificeren. Is het om aan te tonen dat je gecertificeerd bent of wil je er ook daadwerkelijk de vruchten van plukken voor je organisatie? De scope kan uiteindelijk zo beperkt zijn dat je vraagtekens kunt zetten bij de praktische waarde en het nut van een dergelijke certificering.” Op de vraag hoe dat mogelijk is antwoordt hij dat er nog te weinig strategisch wordt nagedacht op directieniveau wat men in kaart gebracht wil zien en hoe dat kan bijdragen aan een betere dienstverlening en concurrentiepositie. “Certificering is daar vaak een ondergeschoven kindje, wat mede komt door het idee dat het duur, complex en tijdrovend is.”
Mkb+ vraagt om een andere aanpak
Dat idee is volgens Boscu niet uit de lucht komt vallen. Certificeren was lange tijd iets dat alleen bij grote organisaties werd gedaan. Die hadden en hebben daarvoor eigen personeel en de ondersteuning van bijvoorbeeld de grote accountantsbureaus. Daarnaast zijn certificeringstrajecten niet zelden gebaseerd op excellijsten, iets dat totaal niet schaalbaar en vooral arbeidsintensief is en die ook nooit de actuele situatie weergeven. Beiden schrikken organisaties in het segment mkb+ af die zich moeten laten certificeren. Wat zij nodig hebben is een geheel andere aanpak. Daarom is tien jaar geleden CompLions-GRC opgericht.
Partner als deskundig klankbord
CompLions-GRC levert softwaretooling waarmee organisaties realtime inzicht verkrijgen in processen en procedures waardoor ze zich naar onder andere ISO27001, NEN7510, maar ook voor ISO22301 en AVG/GDPR kunnen laten certificeren. CompLions-GRC werkt met partners en die vervullen een belangrijke rol. “Voor het certificeringsproces zal elke organisatie een beroep moeten doen op externe partijen”, zegt Boscu. “Die doen meer dan de software installeren en onderhouden. Een partner is ook een klankbord, waarmee de opdrachtgever kan sparren.” Daarmee geeft hij aan waarom het mkb+ voor de certificeringstrajecten niet bij de grote consultancy- en accountbureaus terecht kan. Die hanteren de verkeerde tariefstelling om de functie van klankbord te kunnen vervullen.
‘Veel organisaties weten niet precies wat ze willen laten certificeren’
Boscu onderstreept verder dat kennis van de doelgroep voor zakendoen met het mkb+ echt het verschil maakt tussen een doorsnee partner te zijn en een partner die waarde toevoegt. Daarom legt CompLions-GRC de lat ook vrij hoog voor bedrijven die de diensten willen leveren en onderhouden. “In de praktijk betekent het dat in ons partnerkanaal alleen bedrijven zitten die een zekere omvang hebben en aantoonbaar over kennis en ervaring beschikken.” Een CompLions-GRC partner is bij voorkeur zelf ook gecertificeerd. “We zien toch vaak een groot verschil in de kwaliteit van de klantondersteuning tussen bedrijven die zelf al naar bijvoorbeeld ISO 9001 zijn gecertificeerd en zij die dat niet zijn. Die eigen ervaring zorgt ervoor dat ze beter advies kunnen geven.”
Risico’s door overspannen markt
Mede door de AVG/GDPR is er op dit moment een grote vraag naar deskundigen. Bij CompLions-GRC merken ze dat op twee manieren. Allereerst krijgt men veel vragen van organisaties die in principe eindklanten zijn. Die zijn op zoek naar proven technology met een trackrecord om de AVG-deadline van 25 mei te halen. Men ziet ook toenemende belangstelling van kandidaat-partners. Dit zijn uiteenlopende bedrijven die de potentie inzien van de GRC-tooling en dit graag aan het portfolio willen toevoegen. Die situatie noopt Boscu tot het doen van de uitspraak dat het meer dan ooit zaak is op te letten. “Dat bedrijven geholpen willen worden met certificeringsvraagstukken begrijpen we, we verwachten dat die vraag alleen maar zal toenemen. Tegelijkertijd zien we dat het aanbod achterblijft, het is een overspannen markt. Dit kan ertoe leiden dat organisaties met partners in zee gaan die minder capabel blijken dan gehoopt.”
Minder reden voor zorg en tijdswinst
Voor organisaties die al ervaring hebben met bijvoorbeeld ISO- of NEN-certificeringen en gebruikmaken van de CompLions-GRC tooling is er overigens minder reden voor zorg om aan de AVG-deadline te voldoen, geeft Boscu aan. “Er is sprake van overlap tussen de eisen en criteria die gesteld worden. Afhankelijk van de certificeringen kan die tot 70 procent oplopen. Met onze tooling wordt dubbel werk voorkomen, omdat we het ‘map once, comply to many’-principe hanteren”. Het spreekt voor zich dat zo een forse tijdswinst te behalen valt.
New business voor partners
Die tijdswinst is natuurlijk in het voordeel van de eindklant. Die kan daardoor sneller dan via een traditionele certificeringsmethodiek aan de gestelde eisen voldoen. Voor de partner is tijdswinst ook een pluspunt. Het leidt namelijk aantoonbaar tot een hogere klant-tevredenheid. De CompLions-GRC tooling opent daarmee de deur tot new business, upsell, hogere loyaliteit en retentie. “De ervaring leert dat de CompLions-GRC tooling leidt tot een optimale winwinsituatie als partners en klanten security en kwaliteit serieus nemen. Dan verloopt het traject soepel, waarmee de basis voor een verdere samenwerking wordt gelegd of uitgebreid.”
[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 3-2018]