Richtlijnen zijn overal. In de zorg, in de digitale wereld, in bedrijven en in de overheid. Ze vertellen professionals hoe ze iets het beste kunnen aanpakken. Toch weten veel mensen niet precies wat een richtlijn is, hoe die tot stand komt of wat je ermee moet. Dat is jammer, want goede aanbevelingen kunnen veel verschil maken. Voor degene die ze volgt én voor degene die er de gevolgen van voelt.
Wat een richtlijn betekent en hoe die verschilt van een wet
Een richtlijn is een document met aanbevelingen over hoe iemand iets het beste kan doen. Het is geen wet. Je bent er dus niet altijd wettelijk aan gebonden, maar afwijken doe je niet zomaar. In de gezondheidszorg bijvoorbeeld geven aanbevelingen aan hoe een arts het beste kan handelen bij een bepaalde aandoening. Toch mag een arts daarvan afwijken als de situatie van een patiënt dat vraagt. Zorg op maat staat dan voorop. Dat is een belangrijk verschil met wetgeving, waarbij je je altijd aan de regels moet houden. Een professionele norm biedt ruimte voor eigen oordeel, maar geeft wel een duidelijk vertrekpunt.
Hoe richtlijnen worden opgesteld en wie daarvoor verantwoordelijk is
Het opstellen van goede aanbevelingen kost tijd en vraagt om samenwerking. In de zorgsector werken artsen, verpleegkundigen, wetenschappers en soms ook patiënten samen aan een document. Ze bekijken wetenschappelijk onderzoek, wegen de resultaten af en vertalen die naar praktische adviezen. Dit proces heet richtlijnontwikkeling. Organisaties zoals beroepsverenigingen of overheidsinstanties zijn vaak de trekkers van dit proces. Op Europees niveau gebeurt dat ook. De Europese Unie stelt normen op voor lidstaten, zoals de NIS2 en de CER. Die gaan over digitale veiligheid en de bescherming van kritieke infrastructuur, zoals energienetwerken en betalingssystemen. Landen moeten die Europese afspraken vertalen naar eigen wetgeving.
Digitale veiligheid en de rol van Europese normen
De NIS2 en de CER zijn twee voorbeelden van Europese richtlijnen die steeds meer aandacht krijgen. De NIS2 richt zich op risico’s voor netwerk en informatiesystemen. Denk aan gevaren voor het internet of het betalingsverkeer. De CER richt zich op de weerbaarheid van organisaties die een grote rol spelen in de samenleving, zoals energiebedrijven, drinkwaterleveranciers en transportbedrijven. Beide zijn eind 2022 vastgesteld door de Europese Unie. De NIS2 is de opvolger van de eerdere NIS1 en stelt strengere eisen aan beveiliging en meldplichten. Bedrijven en overheden moeten maatregelen nemen om aanvallen of storingen te voorkomen én snel te melden als er toch iets misgaat. Voor veel organisaties betekent dit een flinke aanpassing van hun beleid.
Waarom het naleven van professionele normen in de praktijk soms lastig is
Zelfs als de afspraken duidelijk zijn, is naleving in de praktijk niet vanzelfsprekend. Soms ontbreekt het aan tijd, middelen of kennis. In de zorg zien artsen en verpleegkundigen aanbevelingen soms als te algemeen voor de complexe situaties waarmee ze te maken hebben. In het bedrijfsleven klagen organisaties regelmatig dat de eisen te ingewikkeld of te duur zijn om te volgen. Toch zijn er goede redenen om serieus met normen en aanbevelingen om te gaan. Ze zijn gebaseerd op kennis en ervaring. Ze helpen om fouten te vermijden en om verantwoording af te leggen. En ze beschermen niet alleen de professional zelf, maar ook de mensen die op diens werk vertrouwen.
Veelgestelde vragen
Is een richtlijn verplicht om op te volgen?
Een richtlijn is in de meeste gevallen niet wettelijk verplicht. Het zijn aanbevelingen gebaseerd op kennis en ervaring. Wel wordt van professionals verwacht dat ze uitleggen waarom ze afwijken. In sommige situaties, zoals bij Europese richtlijnen die zijn omgezet in nationale wet, gelden er wél verplichtingen.
Wat is het verschil tussen een richtlijn en een protocol?
Een richtlijn geeft algemene aanbevelingen en biedt ruimte voor eigen oordeel. Een protocol is een stap voor stap beschrijving van hoe iets precies gedaan moet worden. Protocollen zijn vaak specifieker en laten minder ruimte voor afwijking.
Wat houdt de NIS2-richtlijn in voor gewone bedrijven?
De NIS2-richtlijn stelt eisen aan de digitale beveiliging van organisaties in bepaalde sectoren. Bedrijven die onder deze regels vallen, moeten maatregelen nemen tegen cyberaanvallen en storingen snel melden bij de bevoegde autoriteiten. Kleine bedrijven vallen er meestal niet onder, maar middelgrote en grote organisaties in sectoren zoals energie, transport en gezondheidszorg wel.
Wie controleert of richtlijnen worden nageleefd?
Dat hangt af van het type norm. In de zorg kijken beroepsverenigingen en de Inspectie Gezondheidszorg en Jeugd toe op naleving. Voor digitale veiligheid zijn nationale autoriteiten aangewezen die controleren of organisaties voldoen aan de eisen uit Europese afspraken zoals de NIS2.
