Compliance: een kompas of een blokkade?

Tijdens een roundtable, georganiseerd door Dutch IT Leaders en Cloud Expo, gingen IT-leiders uit verschillende sectoren in gesprek over het nut, de noodzaak en de impact van deze wet- en regelgeving. Centraal stonden vragen als: beschermt regulering ons voldoende, of belemmert zij juist innovatie? Helpt Europese wetgeving om minder afhankelijk te worden van Amerikaanse en Chinese techreuzen? En is Europa überhaupt in staat om volwaardige alternatieven te bouwen, bijvoorbeeld op het gebied van cloud-infrastructuur en -diensten?

‘Het is gewoon heel veel’

Dat de hoeveelheid regelgeving overweldigend is, daarover bestaat weinig discussie. “Het is gewoon heel veel,” stelt een deelnemer die actief is in het cloud-aanbod. De impact verschilt per sector, maar zelfs voor de overheid — die de wetten uitvoert én eraan moet voldoen — is het lastig om overzicht te houden. “Ook is het een kunst om de overlap te duiden die er vaak in zit, of de conflicterende zaken.”

Een deelnemer uit de financiële sector herkent dat beeld. Veel regels zijn nog niet definitief of aan verandering onderhevig. “Het is lastig om daar de organisatie en de processen dan al goed op aan te passen.” Hij wijst op de overlap tussen DORA en CRA, die elkaar soms zelfs lijken tegen te spreken. “Moet dan de CRA gelden, of DORA?”

Die onduidelijkheid raakt niet alleen grote organisaties. In de zorgsector, waar veel aanbieders relatief kleinschalig zijn, is het bepalen van prioriteiten extra ingewikkeld. “De focus ligt op de kernactiviteiten, niet op alles eromheen,” stelt een deelnemer uit die sector. Ook als zorginstellingen onderdeel zijn van een grotere organisatie, blijft capaciteit een beperkende factor. Inzicht krijgen in complexe Europese regulering vraagt tijd, kennis en mensen — en die zijn schaars.

Vage wetten, nationale variaties

Volgens een IT-ondernemer begint het probleem vaak al bij de basis. “Veel is vanaf het begin niet duidelijk.” Hij noemt NIS2 als voorbeeld. De vertaling naar nationale wetgeving — in Nederland de Cyberveiligheidswet — laat op zich wachten en invoering is meermaals uitgesteld. “Moet er al wel of niet aan voldaan worden, en is alles in de wet gelijk aan de NIS2?”

Daar komt bij dat elk EU-land eigen variaties mag doorvoeren. “Er wordt een vaak vage wet losgelaten en er blijven veel vragen bestaan. Dat zorgt niet voor een stabiele omgeving.” Voor organisaties die in meerdere landen actief zijn, wordt compliance daarmee een lappendeken.

Ook grotere IT-aanbieders worstelen met die situatie. Klanten interpreteren regelgeving ieder op hun eigen manier, merkt een deelnemer op. “Vaak wordt er aan cherry picking gedaan.” Bovendien wordt security nog te vaak op applicatieniveau aangepakt, terwijl de basis — infrastructuur — onderbelicht blijft. “Klanten verwachten soms een soort toolbox aangereikt te krijgen, maar ze hebben ook een eigen verantwoordelijkheid.”

Compliance niet core business

Zelfs voor grote, internationale spelers is het voldoen aan alle security- en compliance-eisen geen vanzelfsprekendheid. “Het is echt zoeken naar hoe we goed kunnen voldoen aan die wet- en regelgeving en tegelijkertijd nog prettig ons werk kunnen doen,” zegt een deelnemer van een multinational. Compliance is immers niet de kernactiviteit. “Vaak is het vrij complex, dus is er de neiging om het inzicht krijgen en de impact bepalen naar achteren te schuiven.”

Een collega vult aan: multinationals staan vrijwel altijd ‘op de lijst’. “Is het niet vanwege de omzet, dan wel omdat we belangrijk zijn voor een sector.” Dat betekent dat processen die soms al decennialang bestaan, opeens aangepast moeten worden — terwijl klanten daar niet altijd om vragen.

Daarbij speelt ook interne cultuur een rol. Wie het ‘braafste jongetje van de klas’ wil zijn, moet meer veranderen dan wie zich strikt aan de letter van de wet houdt. “En de juridische afdeling heeft niet altijd goed door wat de impact op IT is,” stelt de deelnemer uit de financiële sector. “Sommige dingen die in de markt lijken te mogen, mogen niet van onze juridische afdeling.”

Schijnzekerheid en misverstanden

Opvallend is dat zelfs organisaties die zeer serieus met compliance omgaan, niet altijd zeker zijn dat zij daadwerkelijk compliant zijn. De deelnemer uit de zorgsector wijst op schijnzekerheid: beleid kan correct lijken, maar onvoldoende worden vertaald naar de praktijk. “Dan denk je dat je compliant bent, maar is dat niet altijd het geval.”

Die kloof tussen legal en IT komt vaker terug in de discussie. “De juridische afdeling snapt IT vaak niet en andersom,” stelt een deelnemer van een multinational. “De details over Export Control wetgeving zijn multi-interpretabel. Een medewerker van de juridische afdeling kan niet altijd bepalen wat het effect kan zijn van een interpretatie en wat hierin technisch mogelijk is in ICT-systemen.”

Bescherming versus belemmering

Wetgeving wordt vaak als lastig ervaren, terwijl ze bedoeld is om te beschermen. Worden die voordelen niet te weinig benoemd? Een deelnemer uit de Nederlandse cloud-gemeenschap wijst op initiatieven waarbij overheid en markt samen optrekken. “Het is goed dat de Nederlandse overheid met de markt interacteert, zodat voorkomen kan worden dat wetgeving in de praktijk niet realiseerbaar is.”

Tegelijkertijd klinkt kritiek op de traagheid van de overheid. Soevereiniteit circuleerde al jaren als begrip, voordat er een officiële invulling kwam. “Alleen is dat heel rekbaar en vloeibaar — terwijl er juist afkadering nodig is.”

Volgens meerdere deelnemers is regulering zoals de CRA wel degelijk nodig. “Basishygiëne op securitygebied moet worden afgedwongen,” ook bij kleinere organisaties. “Klein zijn is dan geen excuus.” Richtlijnen als NIS2 of NEN 7510 kunnen juist helpen door duidelijk te maken waar basisveiligheid begint en waar risico’s zitten.

Investeren vóórdat het misgaat

Dat profiteren van regulering eerst tijd en geld kost, wordt breed erkend. Kennis inhuren, processen aanpassen, systemen wijzigen — het vraagt investeringen. “Maar als je het nu niet doet, heb je straks een groter probleem,” waarschuwt een deelnemer. Bewustwording is daarbij cruciaal. “Als je weet waarom je moet voldoen, is dat een hele andere driver.”

Boetes en sancties werken maar beperkt, stelt een andere deelnemer. Pas wanneer duidelijk wordt dat niet voldoen kan betekenen dat een organisatie stilvalt, dringt de urgentie door. “Dat moet duidelijk worden. En daar speelt de overheid of toezichthouder een belangrijke rol.”

Kleine bedrijven, grote risico’s

Met name kleinere bedrijven hebben moeite om te bepalen wat echt risicovol is. Vaak wordt meer data verzameld dan nodig, zonder goed inzicht in de risico’s. Dat gebrek aan een gelijk speelveld kan leiden tot incidenten, zoals een datalek bij een analyse-bureau dat is ingehuurd door een gerenommeerd pensioenfonds. “Je kunt niet oneindig in je keten auditen,” klinkt het. “Dan is het goed dat regulering basishygiëne afdwingt.”

Met de opkomst van large language models verandert datagebruik bovendien fundamenteel. Meer data verzamelen is niet automatisch beter; elk datapunt wordt een nieuw bedrijfsrisico. “Die verandering gaat steeds sneller.” Nieuwe wetgeving is dan ook logisch, vinden deelnemers.

Europese autonomie en cloud

Een belangrijk deel van de discussie gaat over afhankelijkheid van Amerikaanse en Chinese techreuzen. Kan EU-regulering helpen om meer grip te krijgen op eigen data, bijvoorbeeld via soevereine of autonome clouds?

Volgens een deelnemer uit de cloud-gemeenschap is het tijd om niet alleen te stimuleren, maar ook daadwerkelijk opdrachten te gunnen aan Europese aanbieders. Frankrijk en Duitsland doen dit al. “Ook Nederland is in staat om af te wijken van internationale handelsverdragen.” In het rijksbrede cloudbeleid lijkt beweging te komen.

Tegelijkertijd waarschuwen deelnemers dat Europa geen homogeen blok is. Samenwerking is nodig voor schaalgrootte, maar misschien realistischer in ‘coalities van gelijkgestemden’. “Een soort Coalition of the Willing binnen Europa.”

Eerst bouwen, dan handhaven

Twee zaken zijn volgens de cloud-gemeenschap cruciaal: controle over eigen data en rechtsbescherming voor de data-eigenaar. Europese wetgeving zoals DMA, DSA en eIDAS 2 is bedoeld om dat te verbeteren, maar beperkt ook de bewegingsruimte. Tegelijk groeit de vraag naar Europese technologie — terwijl het aanbod nog beperkt is.

“Eerst een echt Europees cloud-alternatief opbouwen, niet zo’n praatgroep als Gaia-X,” stelt een deelnemer. “Dan wetgeving om het te ondersteunen, en daarna handhaven.” Initiatieven zoals ESTIA worden gezien als een veelbelovende eerste stap, al is het voorlopig nog vooral een belofte.

Conclusie: noodzakelijk kwaad, met potentie

De meeste deelnemers zijn gematigd optimistisch over het nut en de impact van Europese wet- en regelgeving. Het is een noodzakelijk kwaad om organisaties en burgers beter te beschermen. Tegelijk blijft het proces vaak reactief en traag, waardoor regelgeving soms alweer achterhaald is.

Proactief regie nemen — zeker met de snelle ontwikkelingen rond AI — kan Europa niet alleen veiliger maken, maar ook de eigen technologie-industrie versterken. Dan moet de stap worden gezet van subsidies naar gerichte opdrachten.

Zoals een deelnemer van een multinationaal technologiebedrijf het samenvat: “Als je nog afwacht terwijl wetgeving op je afkomt en handhaving begint, dan heb je zitten slapen. Basishygiëne en een license to operate, dat is van belang.”

Lees ook dit verslag van de eerste round table van Dutch IT Leaders en de Cloud Expo: Digitale soevereiniteit: de nieuwe randvoorwaarde voor goed bestuur.