Ergens in de afgelopen jaren is compliance van urgent naar vermoeiend gegaan. De stapel normen, frameworks en verplichtingen is alleen maar hoger geworden, tot het punt dat organisaties er niet meer doorheen kijken. NIS2, ISO 27001, AVG, BIO, DORA: elk framework heeft zijn eigen taal, zijn eigen checklists en zijn eigen auditcyclus. Voor een mkb-klant met een kleine IT-afdeling en een directeur die al tien andere ballen in de lucht houdt, is het resultaat voorspelbaar: afhaken.
Als msp sta je daar middenin. Je weet dat governance noodzakelijk is. Je klant weet het ook, in theorie. Maar de praktijk is dat goede bedoelingen verzanden in halve trajecten, uitgestelde audits en documentatie die niemand meer bijhoudt.
Waarom klanten afhaken
Compliance-moeheid heeft een duidelijke oorzaak. De eisen zijn gestapeld zonder dat de capaciteit om ze te verwerken is meegegroeid. Elke nieuwe wet- of regelgeving wordt gepresenteerd als prioriteit, met deadlines en sancties als stok achter de deur. Wat er zelden bij wordt verteld, is hoe je dat rijmt met alles wat er al lag.
Daar komt bij dat veel frameworks zijn ontworpen voor grotere organisaties, met dedicated compliance-afdelingen en juridische teams. De vertaling naar mkb-schaal is vaak niet goed geregeld. Het resultaat is dat klanten zich verloren voelen in terminologie en vereisten die niet aansluiten bij hun dagelijkse realiteit.
Een derde factor is het gebrek aan zichtbaar resultaat. Compliance voelt abstract. Je hebt veel werk verzet, documenten ingevuld, beleid vastgesteld, maar je hebt niks tastbaars in handen. Geen betere beveiliging die je kunt aanwijzen, geen probleem dat je hebt opgelost. Die demotiverende werking onderschatten veel adviseurs.
Governance is geen project
Een veelgemaakte denkfout – bij klanten én bij msp’s – is dat governance een project is met een begin en een einde. Je doorloopt een traject, je haalt een certificering, en dan is het klaar. Die aanpak werkt niet, en klanten merken dat ook. Na het behalen van een certificering neemt de druk even af, maar een jaar later staat alles weer op de agenda en is er niets structureel veranderd.
Governance werkt alleen als continu proces, ingebed in de dagelijkse operatie. Dat klinkt zwaarder dan het is. Het betekent niet dat er elke week een audit plaatsvindt, maar dat de basisafspraken (wie heeft toegang waartoe, wat wordt gelogd, hoe worden incidenten afgehandeld) geborgd zijn in de manier waarop de omgeving wordt beheerd.
Voor msp’s betekent dat een andere rol: minder adviseren, meer uitvoeren. Veel governancevereisten zijn technisch vertaalbaar: toegangsbeheer via conditional access, logging via een SIEM, patchbeleid via geautomatiseerde uitrol. Wie dat goed inricht, levert governance als bijproduct van goed beheer, een veel sterkere propositie dan een losstaand compliance-traject.
Prioriteren is het echte werk
Niet alles kan tegelijk. Dat is een simpele waarheid die in compliance-gesprekken zelden hardop wordt uitgesproken, omdat adviseurs bang zijn dat klanten die ruimte aangrijpen om niets te doen. Maar het omgekeerde is ook een risico: wie alles tegelijk wil aanpakken, bereikt niets.
Effectief prioriteren begint bij risico’s. Welke data is het meest gevoelig? Welke systemen zijn het moeilijkst te herstellen na een incident? Waar zit de grootste blootstelling? Die vragen leveren een korte lijst op van maatregelen die er echt toe doen. Daarna komen de frameworks vanzelf in beeld als toetsingskader.
Fasering helpt ook bij draagvlak. Een klant die in zes maanden drie concrete verbeteringen ziet, zoals betere toegangscontrole, werkende back-ups die getest zijn, een duidelijk beleid voor mobiele apparaten, is bereid om door te gaan. Een klant die een jaar heeft gewerkt aan een ISO-traject zonder tastbaar resultaat, haakt af.
De taal die werkt
Een deel van de compliance-moeheid zit in de communicatie. Frameworks spreken in termen van controls, risicoclassificaties en beheersdoelstellingen. Directeuren van mkb-bedrijven denken in continuïteit, aansprakelijkheid en kosten. Die vertaalslag kan lastig zijn.
Leg dus niet uit wat NIS2 vereist, maar wat er gebeurt als een leverancier via jullie omgeving wordt gecompromitteerd. Praat niet over een datalekprocedure, maar over wat je doet in de eerste vier uur na een ransomware-aanval en wie dan de telefoon oppakt. Die framing maakt risico’s voelbaar en compliance bespreekbaar.
Het helpt ook om te benoemen wat je níet gaat doen. Een expliciete keuze om iets te parkeren, met een onderbouwing, geeft klanten het gevoel dat er nagedacht is, in plaats van dat ze worden overspoeld.
Van vinkjes naar volwassenheid
Het einddoel van governance is niet een gevuld auditdossier. Het is een organisatie die weet wat zijn kroonjuwelen zijn, wie toegang heeft tot wat, hoe te reageren als het misgaat en wie daarvoor verantwoordelijk is. Dat klinkt als vanzelfsprekend, maar de meeste mkb-organisaties hebben daar geen helder antwoord op.
Volwassenheid in governance bouw je stap voor stap op. Een maturity-model, hoe rudimentair ook, helpt klanten om te zien waar ze staan en wat de volgende stap is. Dat geeft richting aan gesprekken en maakt voortgang zichtbaar, ook als er geen certificering aan vastzit.
Voor msp’s is dat ook een kans om de relatie te verdiepen. Wie governance begeleidt als continu proces en niet als losstaand project, is structureel onderdeel van de bedrijfsvoering van de klant. Dat is een andere positie dan de partij die een keer per jaar een rapport oplevert.
