‘Comply or explain’ is geen 'buut vrij'

‘Verstoppertje met buut vrij’ vond ik het leukste spel op het schoolplein. Hoe goed of slecht je ook verstopt was, als je maar eerder dan de zoeker bij de buutplek was, kon niemand je nog iets maken. Ik ging nooit heel ver of ‘moeilijk’ verstopt zitten, ik vertrouwde liever op mijn snelheid. Een geweldig gevoel om degene die ‘hem was’ voor te zijn bij het rennen naar de buutplaats. Vooral glorieus als je niet alleen jezelf, maar ook alle andere kinderen vrij kon krijgen, door als laatste de zoeker te snel af te zijn.

Soms bekruipt me het gevoel dat binnen de overheid verschillende mensen denken dat ‘comply or explain’ hetzelfde werkt. Als je maar op tijd ‘explain’ roept, kan de toezichthouder (intern of extern) je niets meer maken, want je ben immers eerlijk én uit jezelf naar voren gekomen zonder dat je ‘gezien’ was. Maar zo werkt het niet.

‘Comply or explain’ is een wat oudere term en verwijst naar het wel of niet gebruiken van een set van normen, samengebracht onder een standaard. Deze sectorspecifieke standaarden zijn binnen sectoren en beleidsterreinen opgesteld door gedeelde interpretatie van de wet systematisch ‘door te rekenen’ naar allerlei gevallen en situaties. Die standaarden komt u tegen in de vorm van keurmerken, ISO/NEN-normenkaders, kwaliteitsstandaarden en bijvoorbeeld de BIO over informatiebeveiliging.

Het gebruiken en verwijzen naar zo’n standaard levert organisaties gemak en tijdsbesparing op. Bijkomend voordeel is dat organisaties hun processen en organisatieonderdelen kunnen (laten) auditen op deze normen, waardoor ze aantoonbaar aan kwaliteitsstandaarden voldoen. Ze voldoen dan in ieder geval aan de wet, maar ook nog aan zelfgekozen specifieke standaarden. Denk aan ISO-gecertificeerd of EKO biologisch product.

Standaarden zijn voor organisaties heel handig, ook wanneer het gaat om het naleven van wet- en regelgeving. Begrippen uit de wet worden namelijk doorvertaald naar concrete normen die je gewoon mag overnemen, zonder zelf nog uit te leggen waarom nou precies díe norm passend is. Bijvoorbeeld: een organisatie kan de wettelijke opdracht voor een ‘passende technische en organisatorische maatregel’ voor een bepaalde verwerking aan de hand van de BIO invullen naar een praktische norm. Hier komt dan bijvoorbeeld voor een bepaalde verwerking of informatiestroom uit dat deze met één wachtwoord beveiligd zou moeten worden. Wanneer de organisatie dit volgt en later gevraagd wordt uit te leggen waarom ze geen meerfactor-authenticatie bij dit proces hebben toegepast, kan gemakkelijk geantwoord worden: ‘wij volgen de BIO’.

Maar hoe fijn het ook is om een set van vuistregels te hebben, soms is een organisatie of situatie net te speciaal voor de algemene set.

In dergelijke gevallen wil een organisatie kunnen afwijken van de standaardnorm, zonder het kind met het badwater weg te gooien en bijvoorbeeld het kwaliteitskeurmerk te verliezen. Bovendien kunnen organisaties een eigen oplossing hebben die net zo ‘veilig’ en ‘goed’ is als de norm, maar nog niet in de standaard beschreven staat. Voor díe gevallen is het ‘pas toe of leg uit’-principe bedacht (voor de liefhebber: volgens Wikipedia is de term ‘comply or explain’ gemunt in 1992).

Als de standaardnorm niet wordt toegepast, moet de organisatie wel uitleggen waarom de door haar gekozen maatregel passend is en maakt dat de organisatie binnen het kader opereert.

Dat is het ‘uitleg’-gedeelte. Het ‘explain’ slaat dus niet op het opbiechten dat je afwijkt van de norm. Het slaat op het verantwoorden van de door jou gekozen nieuwe norm en het uitleggen waarom jij meent dat je ook aan de hand deze afwijkende norm binnen de standaard en geldende wet- en regelgeving blijft.

Om het nog iets complexer te maken zijn sommige standaarden inmiddels verplicht gesteld, waardoor het ‘pas toe of leg uit’ een dwingend karakter krijgt. De norm is dan niet langer een middel om te voldoen aan wet- en regelgeving, het wordt de nieuwe wettelijke standaard.

Het blijft van belang om te onderscheiden of het gaat om het naleven van een norm of het naleven van de wet. Van normen uit een standaard mag je afwijken, indien je kunt onderbouwen hoe je alsnog binnen de standaard blijft (‘pas toe of leg uit’). Bij vastgestelde wetgeving en in wet genoemde normen is die ruimte er niet.

In de praktijk kan zich een situatie voordoen die nog niet door de wetgever geregeld is, of waarvan een organisatie meent dat het niet mogelijk is om binnen het wettelijk kader te opereren maar die wel écht nodig is. Dan komt het op uw bureau. In het uitzonderlijke geval dat u als bestuurder stelt dat uw organisatie zich niet aan de wet kan houden, is dat een belangrijk maatschappelijk signaal. Dat is veel omvangrijker dan een simpel ‘comply or explain’. Soms wordt dan gesproken over de keuze om ‘bewust onbekwaam’ te zijn en/ of te hopen op een gedoogconstructie tot nieuwe wetgeving van kracht is.

Onthoud: indien het over de naleving van de wet gaat, kan ‘comply or explain’ nooit worden gebruikt. Naleving van de wet kan nooit ‘buiten scope’ worden geplaatst.

Misschien helpt het wanneer we consequent het Nederlandse ‘Pas toe of leg uit’ gebruiken. Dan is gelijk duidelijk dat de vraag ‘wel of niet toepassen?’ over een norm in een standaard gaat. Want de vraag of u de wét wel of niet wil toepassen is voor u als bestuurder in het openbaar bestuur natuurlijk een overbodige vraag. ‘Comply or explain’ is geen ‘buut vrij’, en zéker niet voor de hele pot!