"Dat is toch geregeld?" — compliance in de boardroom

Ik hoor het regelmatig besprekingen. Iemand vraagt naar de informatiehuishouding, naar AI-toepassingen, naar juridische risico's. En dan klinkt, bijna reflexmatig: "Dat is toch geregeld?"

Misschien. Maar geregeld door wie, op basis van welke afspraken, en wie houdt dat bij?

Op die vervolgvragen wordt het stiller.

Dat is geen onwil, wel een patroon. Compliance rond informatie en digitale systemen wordt in veel organisaties behandeld als iets operationeels, iets wat 'onder' leeft, in systemen, procedures en werkinstructies. Begrijpelijk, maar het bijeffect is dat het onderwerp langzaam uit beeld verdwijnt aan de top. En juist in de boardroom - in het samenspel tussen bestuurders, directie en toezichthouders - moet dit geadresseerd worden.

Want wie bepaalt eigenlijk wat er met data mag gebeuren als een AI-toepassing wordt geïntroduceerd? Wie beslist welk platform de organisatie bindt aan welke leverancier? Wie is eigenaar van de informatie die dagelijks wordt gedeeld, aangepast en opgeslagen, en wat is de status daarvan als het juridisch spannend wordt?

Dit soort vragen heeft een bestuurlijke dimensie. Ze raken aan strategie, aan risico, aan aansprakelijkheid. En toch landen ze zelden als zodanig in de boardroom.

Wat ik regelmatig zie: de directie beschouwt digitale compliance als 'uitvoering', de RvC vertrouwt erop dat het geregeld is, en niemand maakt expliciet wie eigenlijk het eigenaarschap heeft. Totdat er een audit komt. Of een datalek. Of een Woo-verzoek dat onverwacht diep graaft.

Dan blijkt dat zekerheid en werkelijkheid niet hetzelfde zijn.

Ik denk dat het gesprek in de boardroom fundamenteler mag. Niet over systemen en tooling — dat is aan anderen — maar over de vraag: wat vinden wij als organisatie eigenlijk van digitale zorgvuldigheid? Wat is onze professionele norm, niet alleen op papier maar in gedrag? En hoe houden we elkaar daarop scherp?

Compliance begint niet in een systeem. Het begint in het gesprek dat we bereid zijn te voeren.

Durven we dat gesprek aan?