Van inzicht naar grip: de NVWA over de implementatie van Eramba
Steeds meer organisaties worstelen met dezelfde vraag: hoe toon je aan dat je écht in control bent? Versnipperde documentatie, onvolledige normstatus en ad-hoc vastgelegde risico’s maken audits onnodig complex. Ook bij de Nederlandse Voedsel- en Warenautoriteit (NVWA) groeide die uitdaging. De keuze voor een GRC-tool was dan ook geen luxe, maar een noodzaak.
In de zomer van 2025 ondersteunde Cyber Security Challengers (CSC) de NVWA bij de implementatie van Eramba, een GRC-platform voor risicomanagement, compliance en governance. Samen met opdrachtgevers Ed van Lopik, Jos Malskat en Maarten de Vries blikken we terug op de aanleiding, het traject en de belangrijkste lessen.
Waarom Eramba?
De behoefte was helder: beter inzicht, meer samenhang en eenvoudiger aantonen van compliance. Jos Malskat, Senior Consultant Security bij de NVWA, onderzocht verschillende GRC-oplossingen. “Er waren veel opties, maar Eramba bood voor ons de beste balans tussen functionaliteit en kosten.”
Samen implementeren, niet alleen configureren
Hoewel de NVWA voortvarend startte, was al snel duidelijk dat een ervaren sparringpartner cruciaal zou zijn. “De snelheid waarmee CSC het project kon starten was echt een pluspunt,” aldus Maarten de Vries. “En de flexibiliteit was prettig. Als er iets veranderde, konden we samen steeds de middenweg vinden,” vult Ed van Lopik aan. Resultaat: een basis die blijft bewegen
Is Eramba ‘af’? Nee en dat is precies de bedoeling!
“We hebben een bal gekocht en die rolt nu,” verwoordt Maarten het treffend. “Hij is nog niet uitgerold, maar hij blijft bewegen van speler naar speler.”
Lessen voor andere organisaties
“Eramba staat of valt met het strikt hanteren van definities,” benadrukt Jos. “Je moet eerst snappen wat Eramba bedoelt, en daarna kijken hoe jouw organisatie daarop aansluit.”
Vooruitkijken
De NVWA ziet kansen voor verdere integratie, bijvoorbeeld met managementrapportages via Power BI en API-koppelingen voor document- en versiebeheer.
Ed, Jos en Maarten concluderen: “Eramba is geen eindpunt, maar een platform dat meegroeit.”
Een conclusie waar ook CSC zich graag bij aansluit.
De samenwerking met de NVWA laat zien dat succesvolle GRC-implementatie draait om méér dan tooling: het vraagt om samenwerking, realisme en een gedeelde ambitie om structureel grip te krijgen op informatiebeveiliging en compliance.