Compliance hoort in je Definition of Done

De Definition of Done (DoD) is een onlosmakelijk deel van de Agile werkwijze. Het is het exit-criterium waarmee een Agile team bepaalt aan welke kwaliteitseisen het door hen opgeleverde product voldoet. Op Scrum.org staat het mooi omschreven: ‘DoD is a shared understanding within the Scrum Team on what it takes to make your Product Increment releasable.’ Maar… is ‘releasable’ wel hetzelfde als ‘het is veilig om het product uit te leveren?’  

In mijn ervaring wordt hierbij door veel Agile teams een denkfout gemaakt. Of beter gezegd: er wordt een denkstap vergeten. Want vaak wordt ‘releasable’ geïnterpreteerd als: het product is getest, geverifieerd, beoordeeld en akkoord bevonden en werkt technisch correct. Dus ‘Er zitten naar eer en geweten geen grote bugs in de software’. Maar er is meer dan dat nodig om te stellen dat het product increment releasable is.

Want: Compliance. Dat is het aantoonbaar voldoen aan interne en externe afspraken, verplichtingen en wetgeving. In de technologie wereld kan dat bijvoorbeeld zijn: 

• Richtlijnen zoals werken onder architectuur of voldoen aan de pipeline principes;
• Principes toepassen rondom Privacy en Security by design;
• Het systeem voldoet functioneel ook aan wetgeving als AVG;
• Het systeem voldoet ook aan algemene normeringskaders (bijv. vanuit ISO-certificering).

Ik snap dat hier een hele uitdaging in zit. Voor veel teams zal het een hele tour zijn om én aan zoveel regelgeving te moeten voldoen én om dit ook aantoonbaar te hebben. Dat is ook niet nodig, maar compliance is wel iets dat tot de scope van werk van een Agile team behoort. Daarin werkt de volgende aanpak vaak goed:

1. Breng in kaart aan welke compliance jouw team behoort te voldoen en bespreek dit met je Product Owner. Begin met laaghangend fruit. Haal indien nodig een specialist erbij om noodzaak, uitvoerbaarheid en nauwkeurigheid te bepalen.
2. Breng het verschil in beeld tussen waar je nu staat qua compliance en waar je aan zou moeten voldoen.
3. Draag de lijst over aan de Product Owner en verfijn de hoogst geprioriteerde items in jullie refinements. De specialist kan als materiedeskundige hierin een rol spelen. 
4. Neem aantoonbaarheid als acceptatiecriterium mee.
5. Neem het werk op in je sprint- en of kwartaalplanning. Dit kan gefaseerd en op basis van een risico-afweging.
6. Begin opnieuw bij stap 1, omdat je nu hebt geleerd van dit proces.

Bij het voldoen aan compliance gaat het er niet zo zeer om dat je ineens aan alle criteria voldoet, maar wel dat je a) het werk onderkend hebt, b) er op een gestructureerde manier mee bezig bent en c) elk increment deel an sich compliant moet zijn. In geval van een onderzoek of audit zal je op die manier een gedegen verhaal hebben en voorkom je ad hoc maatregelen. Daarmee zorg je ook dat de flow van Agile in stand kan blijven :).