Het is november. Tijd voor jouw compliance jaarplan 2025? Zo’n plan baseer je normaal gesproken op tenminste (a) nieuwe risicoanalyses, (b) signalen op basis van jullie eigen meldingen (wat gaat er vaak of flink mis), (c) audit-rapportages, alsook (d) nieuwe / komende wetgeving. Wat zijn de trends en ontwikkelingen de komende periode, waar zou onze aandacht naar uit moeten gaan, en wat zijn de onderliggende gedachten en principes. In onderstaand lijstje vat ik de belangrijkste heel kort samen (waarmee jij wellicht jouw conceptplan nog kunt aanvullen).
- Cybersecurity risico’s:
Menselijk gedrag blijft de zwakste schakel mbt de ICT-risico’s en vergt dus jouw aandacht. Phishing, vishing, malware, te eenvoudige wachtwoorden (die soms ruimhartig worden gedeeld), social engineering en ga zo maar door. Alertheid blijft essentieel en moet worden geborgd. Dat is een giga-uitdaging. Tip: zorg dat je deze onderwerpen meeneemt niet alleen in je trainingsprogramma’s, maar ook middels nudges en steekproeven. - Kunstmatige intelligentie (AI Act):
Dit onderwerp heeft nog te weinig aandacht gekregen in Nederland maar gaat ons allemaal (veel) meer werk bezorgen dan we zouden willen, dus begin er alvast aan. Elke organisatie heeft wel medewerkers die nu al aan het ‘uitproberen/hobbyen’ zijn geslagen. Help voorkómen dat jullie straks met een mond vol tanden staan bij incidenten of vragen van jullie zakenpartners. Tip: hergebruik de goede onderdelen en lessons learned mbt jullie aanpak indertijd van de AVG (GDPR). Analyseer waar de toegevoegde waarde op dit onderwerp van de ethics&compliance functie kan liggen en schrijf snel mee aan een goede handleiding ‘verantwoord AI-gebruik’. - Exportcontrole en sancties:
Deze regels lijken het nieuwe verdienmodel in de USA te worden (bovenop boetes voor corrupt gedrag). Dit onderwerp wordt voor steeds meer organisaties belangrijk(er), niet alleen vanwege internationale handelsstromen maar ook vanwege extra controles. Tip: ondersteun de eerste-lijn om zélf hun huiswerk te (gaan) doen; probeer te voorkómen dat ethics&compliance het huiswerk van inkoop of verkoop moet gaan doen; bespreek in een commissie de twijfelgevallen (inclusief de valse positieven). - Leveranciersrisico’s:
Steeds meer aandacht gaat uit naar de risico’s die de leveranciersketen oplevert. TPRM wordt een begrip voor bijna élke organisatie (Third Party Risk Management). Tip: de inkooporganisatie moet data gaan verzamelen maar heeft de hulp van Ethics&Compliance daarbij nodig. Denk aan de interpretatie van het Duitse Lieferkettengesetz; de CSDDD richtlijn; de cybersecurity- en privacy risico’s die jullie leveranciers met zich brengen, enz. De eerstelijn kan het vaak niet zonder jullie advies, maar laat de verantwoordelijkheid in de eerste lijn. - ESG rapportages:
Ook hier is de boodschap dat deze rapportages alleen met en dankzij jullie ondersteuning en input kunnen worden gemaakt. Dit is een uitgelezen kans om meer aandacht voor ethics&compliance te vragen. Maar óók om holistischer naar risico’s en kansen te kijken door samen met experts van andere afdelingen de risico-bereidheid en strategische doelen visionair aan te gaan pakken, vanuit en in lijn met jullie strategische doelen. - Ongewenst gedrag:
Als laatste maar zeker zo belangrijk: blijf ondersteuning bieden aan een veilig werkklimaat, inclusief een cultuur waarin het delen vaan je zorgen, observaties, vermoedens van overtredingen kunnen worden gedeeld zonder angst voor negatieve gevolgen. Vaak zijn respectvol gedrag, inclusiviteit, diversiteit onderdeel van jullie gedragscode: vraag er dan ook -samen met HR- aandacht voor en ondersteun leidinggevenden daarbij. Tip: bij meldingen over ongewenst gedrag probeer eerst te de-escaleren en te onderzoeken of de werkrelatie kan worden hersteld!
Méér weten over een van deze onderwerpen? Bel gerust om te klankborden (is gratis).
Bel gerust om te klankborden: dat is altijd gratis!
English version:
Compliance plan 2025: trends and priorities
It’s November. Is it time for your compliance plan for 2025? Normally, you base this plan on at least (a) new risk analyses, (b) signals from your own reporting procedure (what goes wrong frequently), (c) audit reports, and (d) new laws and draft regulations. What are the trends and developments, where should we focus our attention, and what are the key ideas behind it? Below, I briefly summarize the most important points that you might want to add to your draft plan.
- Cybersecurity Risks:
Human behavior is still the weakest link when it comes to ICT risks, so pay attention to this. Issues like phishing, vishing, malware, weak passwords (or sharing passwords freely), and social engineering are ongoing challenges. Staying alert is crucial and needs to be ensured. This is a huge challenge. Tip: Include these topics not only in your training programs but also use nudges and spot checks. - Artificial Intelligence (AI Act):
This topic hasn’t received enough attention in the Netherlands, but it will create more work for us than we’d like, so start preparing. Many employees are already experimenting with AI. Help ensure you’re not caught off guard by incidents or questions from business partners. Tip: Reuse good practices and lessons learned from your approach to the GDPR. Analyze how ethics and compliance can add value here and quickly join writing a sound policy on responsible AI use. - Export Controls and Sanctions:
These regulations are becoming a new business model in the USA, adding to penalties for corrupt behavior. This topic is increasingly important for organizations due to international trade and additional controls. Tip: Help your first line do their homework; avoid having ethics and compliance do aal of that work. Discuss the most difficult cases in a committee (like false positives). - Supplier Risks:
There’s growing attention on the risks posed by the supply chain. Third Party Risk Management (TPRM) will become important for almost every organization. Tip: The procurement team must collect data but will need help from ethics and compliance. Think about interpreting the German Supply Chain Act and the CSDDD directive, as well as the cybersecurity and privacy risks created by your suppliers. The first tline often needs your advice and support, but the responsibility should remain with them. - ESG Reporting:
These reports can only be created with your support and input. This is a great opportunity to raise awareness for ethics and compliance. It’s also a chance to look more holistically at risks and opportunities by collaborating with experts from other departments to tackle risk appetite, based on the strategic goals and objectives. - Inappropriate Behavior:
Lastly, but just as important: continue to support a safe work environment, including a culture where concerns, observations, and suspicions of violations can be shared without fear of negative consequences. Respectful behavior, inclusivity, and diversity are often part of your code of conduct, so raise these points in your communications, together with HR, and focus on supporting all managers. Tip: When reports of inappropriate behavior come in, try to de-escalate first and analyse together whether the working relationship can be repaired.
Want to know more about any of these topics? Feel free to call to discuss (it’s free).