Strategie

Vier vragen, vier keer per jaar.

Governance hoeft geen kathedraal te zijn. Een startritme van vier vragen op je MT-agenda — eens per kwartaal — is genoeg om grip te krijgen.

Een directeur leest dat een branchegenoot is gehackt. Er knaagt iets — niet alleen medeleven, maar ook de vraag: had ons dat ook kunnen overkomen?

Die week wordt er overlegd. Iemand stelt voor om een CISO te zoeken. Iemand anders zegt dat dat duur wordt. De IT-er wordt erbij gehaald, krijgt er een takenlijst bij, kijkt sceptisch. Een externe partij komt langs voor een gesprek. Een offerte komt binnen. Niemand tekent.

Drie maanden later is de urgentie weggezakt. Nog drie maanden later komt die terug — omdat er weer iemand wordt gehackt, ergens anders.

Het ritme dat ontbreekt

Wat ontbreekt is geen functie. Geen tool, geen rapport, geen externe partij. Wat ontbreekt is een vast moment waarop deze vraag wél een antwoord krijgt.

In een MKB van 30 tot 150 mensen heb je geen risicocomité. Je hebt geen CISO-laag. Je hebt — als het meezit — een MT, een directeur, en een IT-er of IT-leverancier. Dat is de governance-architectuur die je hebt. En dat is genoeg.

Wat je toevoegt is geen organisatieonderdeel. Het is een agendapunt.

Vier vragen, vier keer per jaar

Eens per kwartaal, in een bestaand MT-overleg, voeg je vier vragen toe. Geen presentatie, geen slides, geen externe inhuur. Een half uur, mits je de antwoorden kort houdt:

  1. Wat is er sinds de vorige keer veranderd in onze IT? Een nieuwe applicatie, een leverancier eruit, een leverancier erbij, een nieuw type apparaat in gebruik. Geen technische lijst — een beheerderslijst.
  2. Wat hebben we niet opgelost sinds de vorige keer? Niet om iemand af te branden. Om te weten of iets blijft hangen. Een ding dat drie kwartalen achter elkaar terugkomt is geen taak meer — het is een keuze.
  3. Wat heeft een leverancier gemeld waar we niets mee hebben gedaan? Een securityincident bij een SaaS-partij, een gewijzigde DPA, een aangekondigde wisseling van sub-leverancier. Het hoeft niet jouw probleem te worden — het wórdt het wel als niemand ernaar kijkt.
  4. Wat zou ons morgen platleggen? Niet alle scenario’s — de twee of drie waar iemand aan tafel bang voor is. Een server die zes jaar oud is, een sleutelpersoon zonder vervanger, een cloudleverancier zonder alternatief. En zo nu en dan: iets waar nog niemand eerder over begon — een medewerker die zegt “weet je dat we eigenlijk al jaren…”, of een vraag van een klant die niemand serieus nam.

Per vraag tien minuten. “Weet ik niet” mag een antwoord zijn — mits je afspreekt wie het uitzoekt voor de volgende keer.

Wat dit niet is

Dit is geen risicomanagement-systeem. Het is geen vervanging van een ISO-traject als je daar verplicht aan moet. Het is geen handhaving van een specifieke wet.

Het is een ondergrens, geen plafond. Een startritme dat zorgt dat wat al is gespot ergens belandt — niet de complete governance van een bedrijf. En in veel MKB’s vervangt het niets, want er was niets om te vervangen.

Wat het wél doet

Vier dingen die zonder ritme niet gebeuren:

  • Wat veranderde wordt benoemd voordat het normaal wordt
  • Wat blijft hangen wordt zichtbaar voordat het terugkomt als incident
  • Wat een leverancier meldt landt ergens, in plaats van in een mailbox die niemand opent
  • Wat je echt zou platleggen krijgt aandacht — niet eens per twee jaar, maar elk kwartaal

Dat is geen kathedraal. Dat is een ritme.

En een ritme is precies wat governance is. De directeur die het bouwt heeft geen CISO nodig om grip te hebben — hij heeft een agenda die het stelt.

Vier vragen, vier keer per jaar. Begin volgend kwartaal.

Benieuwd of je aantoonbaar in control bent?

Doe de gratis Bestuurlijke Risico-Quickscan: in 45 minuten weet je waar je staat — met een Risico-Foto van één pagina.

Plan je quickscan