Compliance is in 2026 geen papieren exercitie meer. Organisaties in Europa hebben te maken met de accountability-eis uit de GDPR, de doorwerking van NIS2 en — in de financiële sector — DORA. Tegelijk laat Eurostat zien dat 21,54% van de EU-bedrijven in 2023 gevolgen ondervond van ICT-beveiligingsincidenten, dat slechts 35,50% formele documenten had rond ICT-securitymaatregelen en dat minder dan de helft logbestanden bijhoudt voor analyse na incidenten. ENISA analyseerde in zijn meest recente EU threat landscape bovendien 4.875 incidenten over de periode juli 2024 tot en met juni 2025. [1][2][3][4][5]
In dat speelveld wint één vraag snel aan belang: hoe maak je compliance niet alleen verplicht, maar ook beheersbaar, aantoonbaar en werkbaar voor de business? We spraken daarover met Hennie Jansen, CCO van Msafe.
“Bewijsbare compliance zonder complexiteit” is een sterke uitspraak. Wat bedoel je daar precies mee?
Hennie Jansen:
“Voor mij betekent het heel concreet dat compliance niet ergens in een map, spreadsheet of auditdossier mag blijven hangen. Het moet zichtbaar zijn in de dagelijkse operatie. Dus: wie had toegang tot welke informatie, wanneer is iets gedeeld, welke policy gold er op dat moment, wanneer is toegang ingetrokken, en kun je dat ook laten zien als een auditor, klant of toezichthouder daarom vraagt?
De kern is dat je compliance niet alleen organiseert, maar ook kunt aantonen. Dat sluit precies aan op de lijn van de GDPR: organisaties zijn niet alleen verantwoordelijk voor naleving, maar ook voor het demonstreren daarvan. En daar gaat het in de praktijk vaak mis. Bedrijven hebben wel beleid, maar missen de operationele bewijslaag.” [3]
Waarom moet dit onderwerp juist in 2026 op de agenda van directies en securityteams staan?
Hennie Jansen:
“Omdat 2026 het jaar is waarin niemand nog geloofwaardig kan zeggen dat compliance vooral iets voor later is. NIS2 moest uiterlijk op 17 oktober 2024 in nationale wetgeving zijn omgezet. DORA is sinds 17 januari 2025 van toepassing. En de Europese Commissie liet op 20 januari 2026 zelfs al zien dat compliance ook behapbaar moet blijven, met gerichte voorstellen om NIS2-naleving voor 28.700 bedrijven te vereenvoudigen, waaronder 6.200 micro- en kleine ondernemingen. Dat is een belangrijk signaal: compliance moet niet alleen streng zijn, maar ook beheersbaar.” [2][4]
“Daar komt bij dat de dreiging niet theoretisch is. Eurostat laat zien dat ruim één op de vijf EU-bedrijven al gevolgen ondervond van ICT-securityincidenten. En misschien nog belangrijker: veel organisaties zijn operationeel nog niet waar ze moeten zijn. Slechts 35,50% had formele documenten rond ICT-securitymaatregelen en maar 45,16% hield logbestanden bij voor analyse na incidenten. Dan heb je dus vaak wél risico, maar geen consistente bewijsvoering.” [1]
“ENISA bevestigt dat beeld. In het Europese dreigingslandschap blijven beschikbaarheidsaanvallen, ransomware en datadreigingen dominant, en de meest recente threat landscape-analyse keek naar 4.875 incidenten in één rapportageperiode. Dat betekent dat compliance, security en operationele weerbaarheid steeds meer in elkaar schuiven.” [5]
Wat is volgens jou de route naar bewijsbare compliance zonder complexiteit?
Hennie Jansen:
“Die route bestaat uit vier stappen.
Eerst moet je weten waar je grootste operationele risico’s zitten. In veel organisaties is dat niet meteen het allergrootste platform of de meest zichtbare applicatie, maar juist iets alledaags zoals het delen van gevoelige bestanden met klanten, leveranciers, auditors of externe partners.
De tweede stap is standaardiseren. Dus niet tien verschillende werkwijzen, maar heldere policies voor toegang, bewaartermijnen, authenticatie en intrekken van rechten.
De derde stap is automatiseren van bewijs. Als iemand achteraf moet reconstrueren wat er gebeurd is, ben je te laat. Bewijs moet automatisch ontstaan uit de workflow zelf: audit trails, exporteerbare rapportages, logging en duidelijke policy-context.
En de vierde stap is adoptie. Zodra compliance te complex wordt, gaan mensen om het systeem heen werken. Dan verlies je zowel controle als bewijs. Daarom moet een oplossing veilig zijn voor security en compliance, maar eenvoudig genoeg voor eindgebruikers.”
Wat hebben bedrijven daar concreet aan?
Hennie Jansen:
“Drie dingen. Ten eerste: sneller en rustiger auditvoorbereiding. Als je je bewijs al in je proces hebt zitten, hoef je veel minder handmatig te verzamelen.
Ten tweede: meer grip op externe samenwerking. Juist daar ontstaat vaak een blinde vlek. Bestanden gaan via e-mail, consumententools of ad-hoc links, terwijl de organisatie wel verantwoordelijk blijft voor beleid, toegang en traceerbaarheid.
Ten derde: minder frictie tussen business en control. Goede compliance moet niet betekenen dat medewerkers langzamer gaan werken. Het moet betekenen dat ze veilig kunnen werken binnen een model dat voor IT, security en compliance uitlegbaar en verdedigbaar is.
Dat is voor mij de essentie van beheersbare compliance: niet méér regels om de regels, maar betere controle zonder onnodige operationele last.”
Waarom zouden bedrijven nu specifiek naar de oplossing van Msafe moeten kijken?
Hennie Jansen:
“Omdat veel organisaties hun compliance-discussie nog te abstract voeren. Ze praten over governance, risico en regelgeving, maar vergeten te kijken naar concrete informatiestromen waar het in de praktijk vaak fout gaat. Secure file transfer is daar een goed voorbeeld van. Bijna elk bedrijf deelt contracten, technische tekeningen, rapportages, financiële documenten of andere gevoelige bestanden met externe partijen. En precies daar wil je controle, logging en aantoonbaarheid.”
“Msafe Secure File Transfer is ontworpen om dat proces beheersbaar te maken. Denk aan sterke encryptie, rolgebaseerde rechten, revocable access, policies voor expiry en retention, SSO en SCIM voor identity governance, exporteerbare audit trails en EU-hosted deployment. Daardoor maak je van een vaak rommelig proces een gecontroleerde workflow met een duidelijke bewijslaag.” [6]
“Wat ik sterk vind, is dat dit niet begint bij complexiteit, maar bij gebruik. Een oplossing werkt pas echt als mensen hem ook gebruiken. Daarom moet secure file transfer niet alleen veilig zijn, maar ook logisch in het dagelijks werk passen. Pas dan krijg je echte adoptie, en zonder adoptie krijg je geen beheersbare compliance.”
Voor welke organisaties is dit het meest relevant?
Hennie Jansen:
“Zeker voor gereguleerde sectoren. Denk aan finance, kritieke infrastructuur, industrie, zorg en andere organisaties waar vertrouwelijke data, operationele continuïteit en accountability samenkomen. Maar eigenlijk is het breder. Elk bedrijf dat gevoelige informatie deelt met externe partijen moet zich afvragen: kunnen wij laten zien wie toegang had, onder welke voorwaarden, en wat er precies is gebeurd?
In 2026 wordt die vraag niet kleiner. Klanten, auditors, ketenpartners en toezichthouders verwachten steeds vaker niet alleen mooie beleidsstukken, maar aantoonbare beheersing.”
Tot slot: wat is de kernboodschap die je organisaties wilt meegeven?
Hennie Jansen:
“Wacht niet tot compliance een rem wordt op je organisatie. Begin juist bij processen die je vandaag al kunt verbeteren. Maak risico’s zichtbaar, standaardiseer je beleid, automatiseer je bewijs en houd het werkbaar voor gebruikers.
Bewijsbare compliance zonder complexiteit is geen slogan. Het is een manier om security, compliance en business dichter bij elkaar te brengen. En organisaties die dat in 2026 goed regelen, bouwen niet alleen aan betere audits, maar ook aan meer vertrouwen, meer controle en meer operationele rust.”
Bronnen bij de cijfers
[1] Eurostat meldt dat 21,54% van de EU-bedrijven in 2023 gevolgen ondervond van ICT-securityincidenten, dat 35,50% formele documenten had over ICT-securitymaatregelen en dat 45,16% logbestanden bijhield voor analyse na incidenten.
[2] Europese Commissie / NIS2: lidstaten hadden tot 17 oktober 2024 om NIS2 om te zetten in nationale wetgeving; NIS1 werd per 18 oktober 2024 ingetrokken. Op 20 januari 2026 stelde de Commissie gerichte aanpassingen voor om compliance met EU-cyberregels te vereenvoudigen voor 28.700 bedrijven, waaronder 6.200 micro- en kleine ondernemingen.
[3] GDPR accountability: de Europese Commissie noemt accountability een hoeksteen van de GDPR en stelt dat organisaties niet alleen moeten voldoen aan de data protection principles, maar compliance ook moeten kunnen aantonen. De EDPS zegt daarbij dat organisaties passende technische en organisatorische maatregelen moeten nemen en kunnen laten zien wat zij hebben gedaan en hoe effectief dat was.
[4] DORA is van toepassing sinds 17 januari 2025.
[5] ENISA: in de Threat Landscape 2024 stonden dreigingen tegen beschikbaarheid, ransomware en dreigingen tegen data bovenaan; de Threat Landscape 2025 analyseerde 4.875 incidenten over de periode 1 juli 2024 tot en met 30 juni 2025.
[6] Msafe Msafe Secure File Transfer heeft een sterke encryptie, AES-256-beveiliging, rolgebaseerde rechten, SSO/SCIM, EU-hosting. Daarnaast audit trails, exporteerbare rapportages, Outlook/API en policies zoals revocable access en expiry/retention.
