Wetgeving, regulering en de IT-realiteit: een verhaal in stoom en kokend water
Het lezen van het artikel op AMweb over de herziening van de Europese cyberrichtlijn triggerde me. Niet alleen vanwege de inhoud van de NIS2-richtlijn, maar vooral door het grotere patroon dat ik steeds vaker zie in de verzekeringsbranche: we worden overspoeld door regels. En hoewel de intentie vaak prima is — meer veiligheid, betere controle, transparantie — voelt de uitvoering steeds zwaarder. Vooral op de IT-afdelingen.
Regels, regels, regels… maar allemaal net anders
De hoeveelheid reguleringsvereisten die op ons afkomt is enorm. Europees, nationaal, en via verschillende toezichthouders — allemaal met hun eigen blik, formulering en accenten. Maar in de kern? Vaak vragen ze naar dezelfde informatie.
Het gevolg: dubbele registraties, handmatige interpretaties, overlappende controles, en vooral veel administratieve druk. Niet alleen voor verzekeraars, maar ook voor volmachten. De harmonisatie ontbreekt, en daarmee ook de ruimte om dit structureel en efficiënt in te richten.
IT als buffer… maar wel een kwetsbare
Ik zie zeker mogelijkheden om IT slimmer in te zetten. Rapportages kunnen beter geautomatiseerd worden. Data kan consistenter beheerd worden. We kunnen processen bouwen die aansluiten op de richtlijnen.
Maar er is één probleem: de wetgeving verandert razendsnel… ná jaren van voorbereiding. Dat maakt voorsorteren lastig. En nog belangrijker: iedere toezichthouder, wetgever of controlerende instantie heeft nét een andere interpretatie van wat ze willen zien. Dus maken we maatwerk, telkens opnieuw. En dat wringt.
De gemiste kans van standaardisatie
Als er één plek is waar we écht winst kunnen behalen, dan is het in de standaardisatie van rapportage-eisen. Stel je voor dat er één set gegevens is, goed gedefinieerd, met filtermogelijkheden per partij. Dan kunnen we die basis integreren in onze systemen, en de rest afstemmen via configuratie in plaats van ontwikkeling.
Maar daarvoor is een sterke lobby nodig. Zowel nationaal als Europees. Want als elke partij haar eigen “slimme” format blijft hanteren, blijft het dweilen met de kraan open.
Waarom “compliance-projecten” altijd onderaan de backlog bungelen
En dan het grootste pijnpunt: prioriteit. Regelingen als NIS2 of DORA brengen weinig directe waarde voor de eindklant. Ze verbeteren de veiligheid of de traceerbaarheid, zeker. Maar je verkoopt er geen extra polis mee.
In de praktijk betekent dat: wachten tot het écht niet anders kan. En dan, in de laatste weken, developers in de hoogste versnelling zetten om alles met stoom en kokend water voor elkaar te krijgen. De druk stijgt, andere projecten worden on hold gezet, en de sfeer lijdt eronder. We weten het. En toch gebeurt het keer op keer.
Wat kunnen we dan wél doen?
- Zorg dat wetgevers en toezichthouders samenwerken aan één gezamenlijke gegevensdefinitie.
- Geef IT de ruimte om compliance standaard in te bouwen, in plaats van als apart project op te pakken.
- Maak de business bewust van het belang van tijdig voorbereiden, ook als het niet direct waarde oplevert.
- Zorg dat compliance by design een vast onderdeel wordt van je ontwikkelcultuur — niet als verplichting, maar als vanzelfsprekendheid
1 gedachte over “Wetgeving, regulering en de IT-realiteit: een verhaal in stoom en kokend water”