Skip to main content

Waarom blijven dezelfde fouten zich herhalen? (5-Why)

Zelfs in organisaties met goed beleid en bekende, breed gebruikte software

Omdat we vaak symptoombestrijders zijn, geen oorzaakoplossers. We zien een datalek en roepen “training nodig!” of “software moet beter!”, maar vergeten te vragen: waarom gebeurde dit echt? En dan de ‘waarom’ daarna nog vier keer.

De 5 Why-methode helpt je de ware oorzaak van complianceproblemen bloot te leggen. En dat is cruciaal. Want of het nu gaat om privacy, informatiebeveiliging of AI-verantwoordelijkheid, het is zelden de technologie die faalt, maar het ‘systeem’ eromheen. Wie grip wil krijgen op risico’s, moet durven doorvragen. En precies daar begint deze methode zijn waarde te bewijzen.

Hieronder leg ik uit hoe je de 5 Why-methode effectief inzet voor compliance binnen de context van:

  • AVG (GDPR)
  • Informatiebeveiliging (IB)
  • EU AI Act

Waarom de 5 Why-methode bij compliance?

Omdat compliance-afwijkingen zelden een ‘losstaand incident’ zijn. Ze zijn meestal het gevolg van een onderliggend probleem in beleid, gedrag of processen. De 5 Why's helpen je dat boven water te halen. Soms heb je één of enkele extra Why’s nodig, ook dat is natuurlijk geen probleem.

Eerst een paar voorbeelden om de toepassing te verduidelijken.

Voorbeeld 1: AVG-incident – ongeautoriseerde toegang tot persoonsgegevens

Probleem: Een medewerker had toegang tot persoonsgegevens die niet voor hem bedoeld waren.

  1. Waarom? Omdat zijn toegangsrechten te breed waren ingesteld.
  2. Waarom? Omdat er geen standaardrichtlijn was voor rolgebaseerde toegangscontrole.
  3. Waarom? Omdat de organisatie geen autorisatiebeleid heeft vastgelegd.
  4. Waarom? Omdat men niet op de hoogte was van deze verplichting vanuit de AVG.
  5. Waarom? Omdat medewerkers geen AVG-bewustzijnstraining hebben gevolgd.

Diepere oorzaak: Gebrek aan bewustzijn en training, geen beleid voor autorisaties → risico op datalekken.

Voorbeeld 2: Informatiebeveiliging – ransomware-aanval via phishing

Probleem: Een medewerker opende een kwaadaardige link.

  1. Waarom? Omdat hij de e-mail als betrouwbaar inschatte.
  2. Waarom? Omdat hij het verschil tussen een legitieme en malafide e-mail niet herkende.
  3. Waarom? Omdat hij nooit training heeft gehad over phishing.
  4. Waarom? Omdat awareness-trainingen niet verplicht zijn gesteld.
  5. Waarom? Omdat informatiebeveiliging niet als prioriteit is geborgd in het beleid.

Diepere oorzaak: Onvoldoende prioriteit voor IB-beleid en training → menselijke fouten blijven risico.

Voorbeeld 3: EU AI Act – Gebrek aan documentatie bij inzet AI-model

Probleem: AI-model wordt gebruikt, maar de documentatie over datasets ontbreekt.

  1. Waarom? Omdat de ontwikkelaars geen vast proces hebben voor data-documentatie.
  2. Waarom? Omdat compliance niet betrokken was bij de AI-ontwikkeling.
  3. Waarom? Omdat er geen multidisciplinair team is ingericht voor AI-projecten.
  4. Waarom? Omdat AI-projecten worden gezien als “experimenteel” en niet als risicovol.
  5. Waarom? Omdat er geen organisatiebreed beleid is voor het toepassen van de EU AI Act.

Diepere oorzaak: Gebrek aan beleid en multidisciplinaire aanpak → risico op niet-conformiteit EU AI Act.

 Zo pas je het zelf toe in je eigen bedrijf of organisatie:

  1. Gebruik incidenten of risico’s als startpunt.
  2. Stel telkens vijf keer “waarom?” binnen een multidisciplinair team.
  3. Documenteer de keten van oorzaken.
  4. Koppel de uitkomst aan maatregelen zoals training, beleid, techniek of cultuur.
  5. Gebruik het ook preventief: bijvoorbeeld bij audits, DPIA’s of AI impact assessments.

Waarom het werkt:

  • Je kijkt verder dan de oppervlakkige oorzaak (zoals 'fout van medewerker').
  • Je ontdekt structurele gaten in beleid, bewustwording, processen of techniek.
  • Je bouwt aan een cultuur van voorkomen i.p.v. reageren.

Externe deskundige

Bij het beantwoorden van de laatste ‘Why’ is het vaak waardevol om een externe deskundige te betrekken. Een frisse blik van buitenaf helpt om blinde vlekken te signaleren, aannames te bevragen en praktijkkennis in te brengen die binnen de organisatie mogelijk ontbreekt. Bovendien is een externe partij neutraler, minder beïnvloed door interne dynamieken en beter in staat om de vinger op de zere plek te leggen. Zeker bij compliancevraagstukken zoals de AVG, informatiebeveiliging of de EU AI Act, kan dit hét verschil maken tussen een oppervlakkige oplossing en echte structurele verbetering.

Conclusie: van waarom naar bewustzijn en actie

De 5-Why methode is zoveel meer dan een simpel trucje om tot de kern van een probleem te komen. Het is een denktechniek die organisaties helpt de échte oorzaken van non-compliance te achterhalen, en niet te blijven hangen in oppervlakkige oplossingen. Of het nu gaat om onbewuste datalekken, verkeerd gebruik van AI of onduidelijke interne afspraken: door vijf keer ‘waarom’ te vragen, dwing je jezelf om kritisch, eerlijk en grondig te kijken naar wat er werkelijk speelt.

Compliance vraagt namelijk niet alleen om regels en protocollen, maar vooral om inzicht, gedrag en continu bewustzijn. Juist daar ligt de kracht van deze methode. Want wie de juiste vragen stelt, krijgt antwoorden die leiden tot blijvende verbetering.

Wil je weten hoe je deze aanpak effectief inzet in jouw organisatie? Onze praktijkgerichte compliance trainingen helpen je verder. Gericht op bewustzijn, geborgd in gedrag.

Vraag een gratis demo-training aan en ontdek ‘waarom’ onze compliance trainingen wél helpen.

Meest gelezen

Vraag nu een demo-training aan.
WhatsApp Vragen? Stuur een appje.
Peter van Ooijen Sales

Gebruik Whatsapp om snel antwoord op je vragen te krijgen.