Vendor-onafhankelijk advies herkennen

Vendor-onafhankelijk advies is advies waarbij de diagnose van het probleem losstaat van de verkoop van een oplossing. De adviseur stelt eerst vast wat een specifieke organisatie in haar landschap en werkproces feitelijk raakt, en pas daarna komt er een aanbeveling, die soms een tool is, soms geen tool, en soms "doe eerst iets anders". Een adviseur die zijn omzet haalt uit de doorverkoop, implementatie of licentie van het product dat hij aanbeveelt, kan deze positie structureel niet innemen. Het label "vendor-agnostisch" of "vendor-neutraal" zegt daar weinig over. Wat ertoe doet is gedrag, en gedrag is toetsbaar voordat je een offerte tekent.

Hoe je zelf bepaalt of een adviseur echt onafhankelijk is. De rest van dit stuk werkt drie tests uit die de claim van onafhankelijkheid op gedrag toetsen, niet op marketing, en sluit af bij de vraag die de inkoopbeslissing stuurt: wat overhoud je aan de relatie als de aanbeveling iets blijkt te zijn dat de adviseur zelf niet levert.

Waarom "vendor-agnostisch" zonder gedragstoets niets zegt

Het Nederlandse adviesveld zit vol met partijen die zichzelf onafhankelijk noemen. Resellers met een neutraal jasje, MSP's die hun eigen stack adviseren, boutiques met één voorkeursleverancier die in elke diagnose terugkomt. Het probleem is niet dat dit bestaat. Het probleem is dat het label niets uitsluit. Iedere partij die security-werk levert kan zichzelf agnostisch noemen, en niemand staat aan de andere kant van die claim met een toetsingskader.

De gangbare reflex is dan om naar de tool-portefeuille te kijken. Hoeveel leveranciers voert het bureau? Hoeveel certificeringen op verschillende producten? Dat meet weinig. Een adviseur die vijftien tools voert kan nog steeds aan elke klant dezelfde drie aanbevelen, omdat daar de marge zit. Een adviseur die maar twee tools voert kan honderden klantsituaties hebben gehad waarin hij vaststelde dat geen van beide paste en dat ook adviseerde. Het aantal logo's op de partner-pagina is een ruis-signaal.

Wat wel telt is wat er gebeurt in de drie momenten waarop onafhankelijkheid zich bewijst of vervliegt: bij de diagnose, bij de aanbeveling, en bij de uitkomst. ENISA wijst in zijn Threat Landscape herhaaldelijk op het patroon dat organisaties tools kopen die niet aansluiten op hun specifieke risicoprofiel, met als gevolg dat de telemetrie er wel is maar de detectie achterblijft. Dat patroon is niet een tool-probleem. Het is een diagnose-probleem dat met een tool werd opgelost, en daar zit het verschil dat onafhankelijkheid herkenbaar maakt.

Welke drie tests laten zien of een adviseur echt onafhankelijk is?

De drie tests werken op gedrag dat je in een eerste gesprek of een eerste opdracht al kunt zien. Geen van de drie vraagt om interne documenten van de adviseur. Ze zijn ontworpen om als koper te gebruiken, niet als auditor.

De diagnose-eerst-test. Stel een open vraag over een actueel probleem, zonder context over je voorkeursrichting of de tools die je al voert. Bijvoorbeeld: "Onze detectie loopt achter en we weten niet of dat aan de regels ligt of aan de telemetrie." Wat doet de adviseur in de eerste vijf minuten? Stelt hij doorvragen over je landschap, je werkprocessen, wat er feitelijk geraakt wordt, en welke vraag eronder zit? Of komt hij binnen drie zinnen bij een productcategorie en welk merk hij daar aanraadt? Een adviseur die de diagnose vóór de oplossing stelt, vraagt eerst. Een vendor-led adviseur herkent in jouw zin een keyword en koppelt het aan zijn portefeuille. Het verschil is direct hoorbaar.

De belang-test. Vraag expliciet: "Als jullie iets aanraden, wat verdient jullie organisatie aan de implementatie of doorverkoop van dat advies?" Een onafhankelijke adviseur kan dit eenvoudig beantwoorden. Hij benoemt waar hij wel marge, licentie-inkomsten of een implementatie-relatie heeft, en waar niet, op het moment dat je een keuze maakt op basis van zijn advies. Een adviseur die wegduikt achter "wij zijn onafhankelijk" zonder de vraag te beantwoorden, geeft daarmee het antwoord. Dit is een van de twee gedragstoetsen die NEN in zijn richtlijnen voor onafhankelijke audits en assessments expliciet benoemt: transparantie over financiële belangen op het moment van de aanbeveling, niet achteraf in het kleine letters.

De vertrek-test. Vraag wat er overblijft als de opdracht klaar is, en wie er dan eigenaar is van de uitkomst. Een onafhankelijke adviseur beschrijft een organisatie die zelf verder kan: jouw mensen, jouw beleid, jouw architectuur. Hij bouwt mee tot dat staat en vertrekt dan. Een vendor-led adviseur beschrijft een doorlopende relatie via een platform, een managed service of een licentie die elk jaar verlengd moet worden, omdat dat zijn omzetmodel is. Dat is geen verwijt, het is een verdienmodel. Maar het bepaalt waar zijn belang ligt bij de richting van het advies, en dus wat hij in jouw landschap zal zien.

Deze drie tests verhouden zich tot elkaar als een keten. Als de eerste faalt, de adviseur stelt geen diagnose voordat hij naar een oplossing duikt, dan zijn de andere twee niet meer relevant. Als de tweede faalt, de adviseur kan geen transparant antwoord geven over zijn belangen, dan staat het advies op losse grond, hoe scherp de diagnose ook was. Als de derde faalt, de adviseur bouwt geen organisatie maar een afhankelijkheid, dan ben je niet onafhankelijk geadviseerd maar lock-in binnengehaald onder een neutrale vlag.

Wat onafhankelijkheid niet is, en waar de claim meestal misgaat

Onafhankelijkheid is niet de afwezigheid van tools. Een adviseur die geen enkele leverancier voert, omdat hij alles zelf bouwt of alleen rapporten levert, is even ongeschikt voor de meeste opdrachten als een reseller die maar één merk verkoopt. Onafhankelijkheid is dat tools een middel zijn om een capability te realiseren, soms een noodzakelijk middel, soms een kans, nooit de ingang van een relatie en nooit het primaire doel. De vraag is niet of de adviseur tools kent of zelfs voorkeur heeft voor sommige tools. De vraag is of de volgorde klopt: probleem, diagnose, oplossing, en pas daarna een keuze die soms binnen, soms buiten de eigen portefeuille valt.

Onafhankelijkheid is ook niet hetzelfde als objectiviteit. Een onafhankelijke adviseur heeft opvattingen, voorkeuren en ervaringen die uitkomsten kleuren. Dat moet ook, anders koop je consultancy-vakkennis zonder kompas. Wat onafhankelijk maakt is dat die voorkeuren voortkomen uit kennis, ervaring, marktinzicht en absorptievermogen, niet uit een doorverkoop-portefeuille. Het Nationaal Cyber Security Centrum (NCSC) merkt in zijn handreikingen voor het inkopen van diensten op dat de gevraagde scheiding tussen advies en levering bedoeld is om belangen herkenbaar te maken, niet om expertise of opvatting weg te wassen. Een adviseur zonder opvatting is geen onafhankelijke adviseur. Een adviseur met een opvatting die toevallig altijd bij zijn eigen omzetmodel uitkomt, ook niet.

De claim "vendor-agnostisch" mist meestal op het tweede van de drie tests. De diagnose lijkt grondig, het advies lijkt verstandig, en pas op het moment van de aanbeveling blijkt dat de adviseur een implementatie-relatie heeft op precies de leverancier die hij aanraadt. Dat is geen samenzwering, het is hoe veel adviesmodellen werken. Wat de inkoper kan doen is niet de wereld veranderen, maar de transparantie afdwingen op het moment dat de keuze gemaakt wordt. Dan kan hij wegen of het advies klopt, of dat het door belang gekleurd is. Beide is mogelijk, en beide is een gesprek waard.

Wat dit betekent voor de inkoopbeslissing

Voor de CISO die intern verantwoording aflegt over de keuze van een adviseur: de bruikbare samenvatting is dat onafhankelijkheid geen label is dat je inkoopt, maar gedrag dat je toetst in de eerste twee gesprekken en in de eerste opdracht. Naar de CFO en de board is de boodschap zakelijker: een onafhankelijke adviseur kost niet meer dan een vendor-led adviseur, hij kost soms minder, omdat hij geen oplossing verkoopt die je anders niet had gekocht. Wat hij wel kost is een eerlijke diagnose die soms onwelkome dingen zegt over wat eerst moet gebeuren. Dat is precies de waarde, en het is precies wat met de drie tests vooraf herkenbaar wordt.

De logische volgende stap is geen RFP uitsturen waarin staat dat de adviseur "vendor-agnostisch" moet zijn, want elke partij vinkt dat aan. Zet in plaats daarvan de drie tests in het eerste gesprek. Stel een diagnose-vraag zonder context en kijk wat de adviseur in de eerste vijf minuten doet. Vraag expliciet naar belangen op het moment van de aanbeveling. Vraag wat er overblijft als hij weg is. Drie antwoorden, en je hebt meer informatie dan een offertevergelijking je geeft. Leg je eigen situatie naast deze drie tests, en als een adviseur op een van de drie wegduikt, weet je dat het label niet dekt wat eronder ligt.