Hoe voldoe je aan regelgeving die afhankelijk is van informatie uit een keten waar je geen controle over hebt?
De EU introduceert niet één informatieverplichting, maar een hele reeks initiatieven zoals Corporate Sustainability Reporting Directive (CSRD), Ecodesign for Sustainable Products Regulation (ESPR), Packaging and Packaging Waste Regulation (PPWR), Carbon Border Adjustment Mechanism (CBAM) [a] en de EU Deforestation Regulation (EUDR) [d].
Op papier lijken het afzonderlijke regelgevingen, maar in de praktijk stellen ze dezelfde vraag:
"Kun je aantonen waar iets vandaan komt, wat erin zit, hoe het is gemaakt en welke impact het heeft gehad?"
Die beleidsvraag wordt vertaald naar informatieverplichtingen waarmee naleving meetbaar, toetsbaar en handhaafbaar wordt gemaakt.
Toch gaat het gesprek vaak meteen over de vraag:
“Welke gegevens moeten we aanleveren?”
Maar ik vraag me af of dat wel de eerste vraag moet zijn.
Vrijwel alle nieuwe Europese verplichtingen leunen op informatie die buiten de muren van je eigen organisatie ontstaat. In leveranciersrelaties, in overdrachten, in processen die je niet bezit en in systemen waarop je geen directe invloed hebt.
Misschien is de eerste vraag daarom:
"Hoe organiseer je een keten waarin die informatie betrouwbaar beschikbaar komt?"
Daarachter ligt een fundamentelere vraag:
"Hoe krijg je grip op een keten die de informatie moet leveren waarop jouw compliance straks wordt beoordeeld?"
De upstream supply chain is geen systeem dat je aanstuurt. Het is een netwerk van leveranciers, toeleveranciers en sub-tier partijen die elk hun eigen werkelijkheid hebben. Beheersing ontstaat niet door controle, maar door afspraken die uitvoerbaar zijn in het dagelijkse werk. Door standaarden die niet alleen bestaan in een document, maar daadwerkelijk worden gevolgd door iedere schakel.
Dat is de echte opgave achter al deze regelgeving: organisaties moeten een keten beheersen die ze niet bezitten, terwijl juist die keten de informatie moet leveren waarop zij straks worden afgerekend.
Orchestratie wordt daarmee geen IT-vraag. Het wordt een ontwerpvraag: hoe richt je een keten zo in dat informatie een natuurlijk bijproduct van het werk wordt, in plaats van een administratieve laag die achteraf moet worden toegevoegd?
Ik ben benieuwd hoe anderen hiernaar kijken.
Begint de uitdaging van al deze nieuwe informatieverplichtingen bij data?
Of begint die bij de keten waar die data vandaan moet komen?