De groeiende nadruk op rapportages, audits en controle vertraagt innovatie.
De term ‘groene leugen’ is inmiddels een bekend begrip in duurzaamheidskringen: bedrijven die meer tijd besteden aan rapporteren over duurzaamheid dan aan het werkelijk vernieuwen ervan. Het inzicht van Erik Jager op Marketingfacts legt de vinger op de zere plek: de groeiende nadruk op rapportages, audits en controle vertraagt innovatie.
En hoewel dat verhaal wordt verteld vanuit de duurzaamheidscontext, is het minstens zo relevant voor de wereld van compliance en security. Want ook daar geldt: hoe meer organisaties proberen elk risico af te dekken, hoe trager ze worden in het reageren op verandering.
De complianceparadox
In de bestuurskamer werkt een sterk psychologisch mechanisme: loss aversion, het vermijden van verlies weegt zwaarder dan de ambitie om te winnen. Die reflex is begrijpelijk: boetes, datalekken of reputatieschade zijn concreet en zichtbaar. Innovatie daarentegen voelt onzeker.
Het resultaat is een cultuur van risicovermijding in plaats van risicobeheersing.
Compliance-afdelingen besteden meer tijd aan het voorkomen van afwijkingen dan aan het ontwikkelen van nieuwe, slimmere controles. Securityteams schrijven rapporten over beveiliging, maar krijgen weinig tijd om structurele verbeteringen te ontwerpen.
“Je kunt niet innoveren in een organisatie die alleen nog bezig is om morgen geen boete te krijgen,” aldus Thijs van der Linden CCO van Msafe.
“We zijn vergeten dat naleving bedoeld is om beter te worden, niet alleen om veilig te blijven.”
De ‘green tape’ van compliance
De literatuur over ‘green tape’ (de duurzame variant van ‘red tape’) laat zien wat er gebeurt als regels hun eigen doel voorbijschieten: de organisatie optimaliseert het bestaande in plaats van het vernieuwen.
Dat fenomeen zien we nu ook in het security- en compliance-domein.
Nalevingsdruk leidt tot een soort digitale green tape: processen die vooral bestaan om te kunnen aantonen dat ze bestaan.
De ironie is dat dit precies het tegenovergestelde effect heeft van wat de wetgever beoogt: de weerbaarheid van organisaties neemt niet toe, maar af.
- De aandacht verschuift van detectie naar documentatie.
- Innovatieve technologieën zoals AI-monitoring of zero-trust-architecturen blijven hangen in pilotfase.
- Budgetten gaan naar audits in plaats van preventie.
Het resultaat: een organisatie die voldoet aan de regels, maar onvoldoende kan omgaan met nieuwe dreigingen.
Wat security kan leren van duurzaamheid en andersom
De parallellen tussen duurzaamheids- en securitycompliance zijn opvallend.
In beide domeinen geldt: data is cruciaal, maar de context bepaalt de waarde ervan.
De securitywereld heeft de afgelopen jaren geleerd dat ‘compliance is not security’ een systeem kan volledig compliant zijn en toch kwetsbaar. Die les is ook toepasbaar op duurzaamheids- en ESG-compliance: het volgen van regels is noodzakelijk, maar niet voldoende.
Waar security-professionals zich hebben ontwikkeld van controleurs naar risicoarchitecten, ligt daar nu ook de kans voor compliance managers. Niet de checklist, maar de control intent (het waarom achter de controle) bepaalt de impact.
“De toekomst van compliance ligt in adaptieve governance,” zegt Thijs
“Regels moeten niet vastzitten in papier, maar meebewegen met gedrag, data en context.”
Advies voor compliance managers: drie lessen uit het securitydomein
1. Maak risico’s dynamisch, niet statisch
In security draait alles om dreigingsanalyse: risico’s worden continu herijkt op basis van gedrag en context.
Voor compliance geldt hetzelfde principe.
Vervang de jaarlijkse ‘tick box audit’ door continue monitoring van processen en data.
Technologie zoals security analytics en audit logging (bijvoorbeeld via Msafe) helpt om naleving te meten zonder innovatie te verstikken.
2. Automatiseer bewijslast, investeer in verbeterkracht
Security-afdelingen gebruiken SIEM- en GRC-tools om bewijslast automatisch te verzamelen.
Diezelfde aanpak voorkomt in compliance dat waardevolle tijd verloren gaat aan rapportage.
Door logs, rapportages en auditdata via API’s (zoals de Msafe API) te koppelen, ontstaat één betrouwbaar overzicht.
De vrijgekomen tijd kan worden gebruikt voor verbeterprojecten en innovatie.
3. Denk als een security-architect
In security is defense-in-depth de norm: meerdere lagen bescherming die elkaar versterken.
Compliance kan hetzelfde principe volgen.
Creëer niet één grote control, maar een gelaagde compliance-architectuur: governance, veilige samenwerking, privacy en leveranciersbeheer.
Zo ontstaat veerkracht, geen bureaucratie.
Van risicobeheersing naar veerkracht
De kernboodschap uit het stuk over de groene leugen geldt ook hier: de grootste bedreiging voor vooruitgang is niet een tekort aan regels, maar een teveel aan angst. Compliance moet niet de innovatie afremmen, maar de randvoorwaarden creëren waarin innovatie veilig kan plaatsvinden.
Dat betekent dat compliance managers (net als CISO’s) hun rol opnieuw moeten definiëren:
niet als bewakers van regels, maar als bouwers van veerkracht.
Of zoals een security-officer in een recent gesprek het samenvatte:
“De kunst is om regels niet als grenzen te zien, maar als architectuur. Pas dan wordt compliance een katalysator voor groei.”
Van vinkjes naar vooruitgang
De ‘groene leugen’ is ook een spiegel voor de wereld van compliance.
Organisaties die hun energie volledig richten op naleving, verliezen het vermogen om te vernieuwen.
De uitdaging voor 2026 is daarom helder: maak van compliance geen rem, maar een systeem dat groei mogelijk maakt.
Door inzichten uit het securitydomein te vertalen naar governance en compliance ontstaat precies dat:
een organisatie die niet alleen voldoet aan de regels, maar aantoonbaar beter wordt door ze te volgen.
