#21 - Training en sturing van het management (met Remco Rekoert)
Hey, leuk dat je weer luistert naar Keep Talking aflevering 21. En in deze aflevering ga ik in gesprek met de CISO van de gemeente Beverwijk, Remco. En naast dat we even terugblikken over een periode van 10 jaar gaan we het inhoudelijke vooral hebben over de rol van topmanagement en het bestuur op ons vakgebied en hoe Tennis 2 en zij hebben beveiligingswet daar veranderingen in kunnen en misschien wel zullen brengen. Al met al moest ik er een aantal kilometers voor afleggen en een aantal stations de trein overstappen, maar ik vond het erg leuk om eindelijk met Remco eens te podcasten en ik hoop dat jij als luisteraar het ook een interessante aflevering vindt. Veel plezier.
Speaker 1:En ook de audio loopt. Dat betekent dat we officieel begonnen zijn met een nieuwe podcast, nieuwe aflevering van Keep Talking en vandaag bevind ik mij, ja, voor mijn doen lang ver weg van huis. Ik zit namelijk in Beverwijk en tegenover mij zit een, ja, een oude bekende durf ik wel te zeggen. Het werd hoog tijd dat we een keer gingen podcasten. In zijn kantoor tegenover mij zit Remco Recourt.
Speaker 1:Remco, leuk dat je in de podcast bent.
Speaker 2:Graag gedaan. Ik ben vereerd.
Speaker 1:Vereerd zelfs? Ja. Ik zou willen dat iedereen zo begint.
Speaker 2:Ja? Dat heb je het al voor voor mekaar toch?
Speaker 1:Ja, in deze aflevering in ieder geval wel. We zijn bijna naamgenoten. Ja. Remco en Remco. Ik heb vanmorgen 4 overstappen moeten verwerken om van Zwolle naar Beverwijk te komen.
Speaker 1:Jij woont wat dichterbij gelukkig.
Speaker 2:Ja, gelukkig wel.
Speaker 1:Remco, voordat we de inhoud induiken is het misschien aardig om iets te vertellen over hoe wij elkaar kennen. Dus als jij dat wil aftrappen, hoe kennen wij elkaar?
Speaker 2:Nou, dat is denk ik 10 jaar geleden dat we elkaar voor het eerst ontmoetten en dat was tijdens opleiding van security academie in En toen hebben we elkaar voor het eerst ontmoet en samen met Joeri.
Speaker 1:Ja, Joeri Lammerts van Buuren.
Speaker 2:Ja, met die mooie dubbele achternaam inderdaad.
Speaker 1:Ja,
Speaker 2:heet ik Kurkooz, met Holza Koel. Je hebt ze ook met COU, maar dat is een ander verhaal. Maar inderdaad toen hebben we elkaar ontmoet en zijn we een soort van als 3 nummers en kies zijn we dan inderdaad er doorheen gegaan door die opleiding. Vanaf dat moment kennen we elkaar.
Speaker 1:Toen was het eigenlijk ook nog best wel nieuw voor gemeentes. Toen hadden we net de BIG en toen had security academy kennelijk net bedacht daar moeten we eens een training omheen sleutelen. Daar zaten wij dus als cursisten. Het grote verschil is wel dat Joeri en ik net kwamen kijken en dachten: dit is wel interessant, daar willen we misschien wel ons werk van maken. Jij werkt al bij een gemeente.
Speaker 2:Ik werkte toen bij Edam-Volendam en toen was mij naar aanleiding van de digi nota hebben wij toen bij Edam Volendam een assessment laten uitvoeren en toen kwam daaruit dat er een security manager aangesteld moet worden. Remco die had daar gelegenheid tijd voor, ik het zo zeggen. Had dat achter de rug. En toen werd mij gevraagd of ik dat wilde worden. Nou dat wilde ik wel, maar in Edam Fonelam kan je geen security manager zijn.
Speaker 2:Dan moet je gewoon informatie bevuiers, fusionaris worden. Anders begrijpen ze dat niet. Dus in die hoedanigheid ben ik daar al een 13 jaar terug mee gestart.
Speaker 1:Je was er wat voorbij dan?
Speaker 2:Ja, want heel informatie beveiliging management, laat ik het zo maar zeggen, en ook het privacy management hebben we bij Eden en Vonna opgezet. Dus dat hebben we toen gedaan en toen vond ik ook wel nodig dat ik opleiding kreeg en die heb ik toen bij de security academie gedaan.
Speaker 1:Leuk is dat. Allebei nog steeds werkzaam in het vak. Is raar om Jorik te noemen als je niet aan tafel zit, maar daar kan ik misschien in de toekomst nog eens verandering in brengen. Als hij deze aflevering hoort, dan wil hij natuurlijk niks liever dan ook een keer podcast.
Speaker 2:Kan niet, maar dan moet hij wel,
Speaker 1:De druk die wordt te
Speaker 2:hoog,
Speaker 1:maar we zitten alle 3 nog in het informatie beveiligings vak. Dus we hebben wat dat betreft goede afslag genomen ruim 10 jaar geleden. Jij vertelde net al Edam Foladam. Je vertelde ook even Diginotar. Voordat we de opnameknop indrukten liet je mij net zien uit het raam waar het gebouw zit waar destijds bedrijf Diginotar gevestigd had.
Speaker 2:Precies. Daar is het erg fout gegaan.
Speaker 1:Er begon al ellende.
Speaker 2:Ja, een kabeltje wat ze hadden gemaakt is het helemaal fout gegaan en de gevolgen waren niet te overzien. Hoe dat dan is gegaan is natuurlijk prachtig te lezen in het mooie boek van ben zijn naamwerk kwijt die dat is een boek van Aardmonnikal? Ja, ik geloof dat het daarin staat. Hoe dat allemaal opgegaan is en de rollen van de ministers en dat soort dingen. Dat die ook niet wisten waar het dan over ging enzo.
Speaker 2:En daarin zitten wij bij de gemeente eigenlijk nog een beetje mee. Een wel lager niveau, maar wel hetzelfde principe.
Speaker 1:Ja, wij bedoel je dan wij als je noemde net het woord informatie beveiligings functionaris andere term die misschien wat populairder is is SISO. Wat gebruik je nu? SISO?
Speaker 2:SISO, ja.
Speaker 1:Dus je bent SISO van de gemeente Beverwijk.
Speaker 2:Ja, klopt.
Speaker 1:En als je zegt daar hebben wij ook mee te maken. Wij zijn dan jij, ik en anderen die CISO zijn bij gemeente. En waar hebben wij dan precies mee te maken?
Speaker 2:Nou, met het overtuigen van mensen waar je van afhankelijk bent of dingen doorgaan of niet goed uitgewerkt worden, maatregelen of wat dan ook, te overtuigen van het belang van informatiebeveiliging en van security.
Speaker 1:Wij komen met allerlei adviezen, doen analyses. Daar komt dan uit dat er allerlei maatregelen genomen moeten worden. Sommige van die maatregelen neem je gewoon in 1 klap in je je infra omgeving, maar heel veel van die maatregelen moet ook een individuele teamleider of een manager op het procesniveau nemen. Daar maken we onszelf niet altijd populair mee.
Speaker 2:Nee, dat klopt en het is gewoon lastig om mensen die het hartstikke druk hebben, want dat is natuurlijk wel het geval, ervan te overtuigen dat ze als eerste aandacht moeten gaan geven aan informatie.
Speaker 1:Dat gaan ze ook niet doen natuurlijk.
Speaker 2:Nee, doe ik niet, want ze hebben andere belangrijke dingen, de going on zaken die ze moeten uitvoeren. En ja, dat is wel eens lastig om mensen daarvan te overtuigen. Meestal zien ze het belang al in en als je het dan erover hebt met de 10 mensen, dan is het wel duidelijk. Maar de uitvoer daar ontbreekt dan aan.
Speaker 1:Dan stopt het eigenlijk.
Speaker 2:Ja, dat is jammer.
Speaker 1:Is dan jouw strategie, Remco? Probeer jij de kans zo groot mogelijk te maken dat het niet alleen blijft bij het is belangrijk, dit moeten we doen, maar dat het ook daadwerkelijk komt tot aan het stadion. We gaan het doen of we hebben het gedaan. Hoe doe je dat?
Speaker 2:Dat is het moeilijkste van mijn en dat kan ik zelf helaas niet doen. Dat zou ik wel willen, maar die macht of die positie heb ik niet, dus dat moet ik via de gemeentesecretaris toch wel voor elkaar zien te krijgen. En daarvoor hebben wij sinds kort dan gesprekken met de gemeentesecretarissen en daar bespreken we de KPI's en dit soort dingen en waar we tegenaan lopen, de risico's. Daarmee kan de gemeentesecretaris dan een besluit maken.
Speaker 1:Precies, die gemeentesecretaris wordt vermoedelijk bijgestaan door nog 1 of 2 andere directie of managementleden. Dat is eigenlijk het topmanagement van de gemeente Beverwijk.
Speaker 2:Ja, bedoeling is dat wat daaruit komt van nu de gesprekken met de KPI's, met de gemeentesecretaris zit trouwens ook de burgemeester bij.
Speaker 1:Oké, en die is ook de portefeuillehouder? Precies
Speaker 2:en mijn team managers zit er dan ook bij. De uitkomsten daarvan worden dan in het S&P besproken, dat is het strategisch management team. Daar zitten de strategisch managers in en de gemeentesecretaris en daarin worden dat soort uitkomsten ook besproken.
Speaker 1:En dan hebben we zoiets als NIS 2 in Nederland straks vertaald naar de cyber beveiligingswet. Die teksten kun je allemaal online vinden inclusief memois van toelichting. Daar wordt ook iets gezegd over verantwoordelijkheden van het bestuur en het management en als ik dat zou zitten lezen, dan denk ik: nou, dat is niet niks.
Speaker 2:Nee, precies.
Speaker 1:Je begint spontaan te lachen, is dat een glimlach van hé, ik heb straks wat meer wind in de rug om het management aan te spreken op die verantwoordelijkheid of begin je te glimlachen omdat je denkt ja, dat wordt nog een hele dobber om dat voor mekaar te krijgen.
Speaker 2:Nou beide eigenlijk. Ja, ik bedoel het is duidelijk. Het is een taak als CISO dat op dat niveau mensen te informeren dat die veranderingen op ons afkomen. Dus dat doe ik ook.
Speaker 1:Dus jij vertelt, er komt een nieuw bed aan, zit een 13 in.
Speaker 2:Je moet opleiding, je moet nog blij gaan, weet ik veel allemaal, ik allemaal vertellen.
Speaker 1:Moet allemaal naar
Speaker 2:Woerden. Ja, of een ander soort van. Maar er zijn wel dingen die ik dan zeg, maar dan vinden ze het op dat moment heel belangrijk en dat is dan ervaring en dan blijft het daar ook bij. En dan voel ik me toch al geroepen om dus bij leveranciers te kijken van nou wat voor opleidingen kunnen dan onze raadsleden zelfs of BW-leden geven om dus op een bepaald niveau toch al te kunnen aantonen dat ze daar moeite voor doen.
Speaker 1:Dus je blijft eigenlijk wel een beetje in de stimulerende faciliterende rol als CISO om te zorgen dat het niet alleen bij het beamen van het belang blijft, maar dat het ook daadwerkelijk van de grond komt.
Speaker 2:Ja, precies. Als je dat niet doet, dan blijft het inderdaad op een bepaald niveau hangen en je wilt daar dat er wat mee gebeurt natuurlijk.
Speaker 1:Voor de duidelijkheid, dat is natuurlijk geen onwil. Het zal misschien soms ook onwil zijn. Dat weet ik niet. Daar gaat het ook even niet over nu, maar het feit is natuurlijk dat een teamleider heel veel op zijn bord heeft en informatiebeveiliging, ja, voor ons allerbelangrijkste in het leven. Ja, voor ons.
Speaker 1:Het werkleven, maar voor die teamleider natuurlijk niet.
Speaker 2:Nee, maar dat zijn keuzes die dan vind ik de teamleider niet zelf kan maken. Ik vind dat dan de gemeentesecretaris daarin een besluit moet maken van dit gaat wel eerst of dit gaat niet eerst en dat hij degene is die uiteindelijk verantwoordelijk is voor wat er wel niet gebeurt. En dan kun je denk ik niet aan een teammanagers zelf overlaten omdat die een visie heeft wat veel breder is dan alleen informatiebeveiliging en misschien de gevolgen of de risico's niet overziet.
Speaker 1:Maar geldt dat niet hetzelfde dan ook voor die gemeentesecretaris? Daarvan zou je kunnen zeggen, die heeft nog een bredere visie die consequenties overziet.
Speaker 2:Maar dan heb ik wel zoiets hoger, kan ik niet in de boom komen?
Speaker 1:Ja, Dus de gemeentesecretaris is de algemeen directeur van de gemeente.
Speaker 2:Als mijn eigen teammanager zegt van nou die maatregel gaan we niet uitvoeren of dat is flauwekul, daar doen we niet aan, dan kan ik daar geen genoeg mee nemen. Pas als dus inderdaad dat bevestigd wordt of door de gemeentesecretaris ook wordt gezegd, dan nemen we daar genoeg mee. Dus eigenlijk
Speaker 1:het risico wordt geaccepteerd dan? Ja,
Speaker 2:Dat is ook zoiets waar iedereen ook toch weer een eigen definitie aan geeft.
Speaker 1:Wat dat betekent voor Ja,
Speaker 2:dat is heel bijzonder allemaal. Dus dat zijn dingen die we van tevoren echt goed vastleggen. Wat voortvloeit uit IS 2 en de cyberbeveiligingswetten is natuurlijk risicomanagement. We deden het daar al enigszins samen op een andere manier en dus dat moeten we helemaal gaan omgooien en dan er toch wel een proces van maken wat overeenkomt met wat van de organisatie wordt verwacht. Dat is nog wel een ding.
Speaker 1:Dan vind het even interessant om een uitstapje te maken, want jij hebt veel ervaring bij gemeentes, maar je hebt ook in de afgelopen jaren een aantal jaren voor een zorginstelling gewerkt waar je te maken had met NEN 7510 of was het ISO?
Speaker 2:Alle 2 ISO 27 0 1 en NEN 7510.
Speaker 1:Dan heb je het ook over risicomanagement, in control, misschien wel risico acceptatie, over de belangrijke sturende rol die het management moet hebben op dit onderwerp. Hoe heb je dat daar ervaren in de
Speaker 2:zorg? In die hoedanigheid had die zorginstelling ook een commerciële poot, laten we zeggen, waar ze dus heel veel inkomsten ook aan hebben. Dus er was hun belang om die certificering goed op te houden, wel heel erg groot.
Speaker 1:Er zat financiële prikkel om dat op orde te hebben en te houden.
Speaker 2:Als je dat hebt en dat houden, dan kom op een gegeven moment wel in werkzaamheden die je elk jaar doet, laat maar zeggen. Routine? Routine, daar was ik op zoek, dankjewel. Soms heb ik wat moeite met de boeren vinden, maar dat weten we allemaal waar het aan ligt. Dus de routine was er zo hoog en ook aanwezig dat het een beetje saai werd.
Speaker 1:Je hebt eigenlijk zo'n geoliede machine. Ja,
Speaker 2:dat het helemaal niks aan was op een gegeven moment.
Speaker 1:Toen dacht ik: ik moet terug naar het gemeentehuis.
Speaker 2:Ja, daar is al wat te beleven. Daar kunnen we wel wat mee gaan doen. Daar kan ik me nog erger, want dat was daar allemaal weg.
Speaker 1:Dat is een interessante ervaring.
Speaker 2:Ja, dat wel. Een heel goede ervaring. Je weet dan hoe het wel eens kan zijn en wat dat het beste is voor de informatiebeveiliging en ook privacy, want daar was ik er alletwee. PO en CISO.
Speaker 1:PO is dus privacy officer. Dus
Speaker 2:je weet hoe het kan zijn en dat is wel goed om die ervaring ook te hebben.
Speaker 1:Is dat ook hoe je dan bijvoorbeeld kijkt naar volwassenheid? Dat is zo'n term die best wel vaak voorbij komt. Ik heb er zelf niet zo heel veel mee op moet ik zeggen, want als iemand zegt dat als doelstelling volgend jaar naar volwassenheidsniveau gaan, dan kan ik nog niet echt een actieplan schrijven. Dan denk je wat ga je dan doen? Als je eens even kijkt naar hoe jouw ervaring in de zorg was rondom dat managementsysteem wat je had 70001 en 7510.
Speaker 1:Heb je dan het gevoel dat dat het volwassenheidsniveau is waar we eigenlijk als gemeente en ook als overheidsorganisaties in de brede zin des woord naar moeten of zouden moeten streven?
Speaker 2:Ik denk wel dat je het streven voor ogen moet hebben en dat je daar naartoe moet. Hoe het concreet gaat gebeuren, dat is overal weer anders natuurlijk. En dan loop je tegen de culturen aan van organisaties die echt doorslaggevend zijn in een goede uitvoer.
Speaker 1:Waar jij als CISO eigenlijk nauwelijks invloed op kan uitoefenen.
Speaker 2:Of juist wel. Is het grote. Dat
Speaker 1:lijkt me ook wel iets wat zeer weerbarstig is. In ieder geval ik dat voor me als een soort olietanker die een heel klein beetje naar rechts kan, omdat Remco Recourt aan de rechterkant aan de zijkant hangt van die boot.
Speaker 2:Ik krijg er een beeld bij.
Speaker 1:Maar je gaat die boot natuurlijk niet wezenlijk kunnen bijsturen in je eentje.
Speaker 2:Nee, precies. Er zijn wel basis werkzaamheden die je als CISO moet doen. Die heb je zelf echt in de hand, maar als je op dat niveau voorbij bent, dan blijf je afhankelijk een verantwoordelijke, van eigenaren, van systemen, processen en dat soort Dus dan ben je daarvan afhankelijk en om dat goed te organiseren, ja, dan ben je weer ook afhankelijk hoe dat door het S&P in ons geval wordt verkondigd naar beneden toe.
Speaker 1:Zij zijn natuurlijk ambtelijk verantwoordelijk. Ja,
Speaker 2:En daar ben ik naar op naar een goede weg om dat te realiseren in Beverwijk. En ik denk dat we aardig op weg zijn. En het blijft uiteraard uiteindelijk beslissingen voor de gemeentesecretaris wat er wel en niet gaat doen. Kijk, als we bepaalde maatregelen niet gaan doen, dan is dat omdat de gemeentesecretaris zo over besluit. Ja, dan is dat altijd laai en gaan we volgend jaar misschien meer in afvragen.
Speaker 1:Het hoeft natuurlijk ook niet een besluit of een acceptatie te zijn tot een eeuwigheid. Je kunt gewoon zeggen: Voor nu zien we het risico en snappen dat deze maatregel misschien de beste oplossing zou zijn, maar om reden a, b en c doen we dat nu niet of gaat het niet?
Speaker 2:Dan gaan we volgend jaar eens kijken.
Speaker 1:Hoe bezi jij dan de komst van de beveiligingswet? Gaat die jou vooral helpen of je er vooral last van hebben? Hoe zie je dat?
Speaker 2:Ik krijg daar meer hulp van, heb ik het idee, want het is toch wel fijn om te zeggen van: Ja, het staat in de wet.
Speaker 1:Eindelijk, Na al die jaren kunnen we dat eindelijk zeggen straks.
Speaker 2:Ja, want ik heb ooit meegewerkt met de pilot van Encia in Den Haag. Ik ging 1 dag in week naar Den Haag om dat op te zetten. Moest ik zogenaamd kleinere gemeentes promoten. En ik kom van de burgerzaken tak af, laat ik maar zeggen.
Speaker 1:Bij Edam-Volendam?
Speaker 2:Ook bij Edam-Volendam en daarvoor bij andere gemeentes. En ik heb gewoon ervaren dat het burgerzaken niveau erg hoog is en dat dat in de toch wel goed wordt uitgevoerd. En mijn inziens kwam dat gewoon door de GBA wet en later BRP natuurlijk.
Speaker 1:Ja, GBA gemeentelijke basisadministratie en BRP basisregistratie personen.
Speaker 2:Dus dat was landelijk goed op orde.
Speaker 1:Er zit ook soort, ik aarzel even. Het is niet echt een toezichthouder, maar er zit natuurlijk de Rijksdienst voor Identiteitsgegevens. De RIVG. RIVG. Toets steekproefsgewijs of gemeentes die een vullen in.
Speaker 1:Dan wordt er een random steekproef getrokken. Ben je wel eens in jouw rol toen je voor burgerzaken werkte, zo'n steekproef gevallen?
Speaker 2:Nee, zelf persoonlijk niet gelukkig. Toen ik hier kwam werken, hiervoor bij Beverwijk zat er wel in, heb ik begrepen.
Speaker 1:Dus
Speaker 2:dan krijg je wel meer aandacht moet
Speaker 1:ik zeggen. Ja, en dat zal misschien een reden zijn dat het beter geregeld is, omdat we het op die afdeling helemaal gewend zijn. Het is gewoon normaal om informatie veilig te doen.
Speaker 2:Die vergelijking trok ik al bij die pilot waarin in meewerkte. En toen zei ik van: jongens, dit moeten we echt wettelijk gaan regelen, want anders blijft het een pas toe en leg uit principe. En daar kunnen we niks mee beginnen. Ik was al blij met de bio natuurlijk en die gemeentelijke maatregelen die erin kwamen, maar daarmee was er nog mijn inziens te vrijblijvend en ook hoe ik er tegenaan kijk met betrekking tot heel de organisatie en het doel daarvan, dan zie je gewoon in de jaren heen dat de ontwikkeling op het gebied van informatiebeveiliging steeds meer op financiën gaat lijken. Hoe dat is geregeld bij financiën, met de audits, met controles en dat soort dingen.
Speaker 1:Dus dan bedoel je eigenlijk het planning en controlproces, zoals we dat kennen in de financiële kolom?
Speaker 2:Sowieso als de afdeling Financiën heeft, als je ziet wat zij doen, alles vastleggen, keurig netjes documenteren en de oude er bovenop en de wetgever die daar weer van toepassing is. Dat zie ook groeien bij informatiebeveiliging, maar dan heb je het over gegevens. En dan heb je het over mensen en dat vind ik een ander verhaal en ik heb altijd geroepen, en ik weet niet of dat gaat gebeuren, dat dat boven financiën gaat eruit groeien omdat het over mensen gaat. Dat vind ik toch wel een belangrijk punt. En ik denk als met name ook bestuurders inzien dat het daarover gaat, dat ze misschien ook wat makkelijker met de situatie om kunnen gaan.
Speaker 1:Hé en over die bestuurders gesproken. In die cyberbeveiligingswet, want de Nederlandse doorvertaling van die NIS 2 is er nog altijd commotie ontstaan rondom het woord bestuur in die eerste concept teksten.
Speaker 2:Hebben ze in België goed gedaan.
Speaker 1:Nou, vertel eens.
Speaker 2:Nou, ik heb begrepen dat was ook tijdens die bijeenkomst, het congres waar we waren, dat ze in België dat zodanig benoemd hebben, even kijken hoe was dat ook alweer, dat het bestuur, even nadenken hoor, is een erg diep weer, in België dat het bestuur, ik weet niet hoe het zit eigenlijk, maar in België hadden ze zodanig gedaan dat het bezuurt daar echt buiten furel, min of meer.
Speaker 1:Ja, die truc hebben we natuurlijk volgens mij in Nederland inmiddels ook uitgehard. Je hebt in de NIS 2 hebben ze het over management bodies. Dat is dan in Nederland vertaald naar bestuur. Dat duiden wij in gemeenteland als bestuur, dat is het college van B en W. Die verplichtingen voor het bestuur die gelden voor het college van B en W.
Speaker 1:Toen is natuurlijk die internetconsultatie geweest en kun allemaal kun je zienswijze indienen. Zijn verreweg de meeste zienswijzen. Ik weet niet of ik het goede woord gebruik, maar commentaar, laten we het zo noemen, is gekomen op het feit dat die verplichtingen allemaal voor het bestuur, het college van B&W zouden gelden als we het over lokale overheid hebben. Nu zie ik dat dat weer terug wordt gelegd bij de ambtelijke top. Het is een beetje heen en weer gekaatst.
Speaker 1:Ik heb zelf het idee dat het gaat landen bij de ambtelijke top, dus eigenlijk in lijn met wat jij net vertelde. Die gemeentesecretarissen, wat binnen de gemeente Beverwijk dan het SMT heet. Die verplichting uit de NIS 2 landen daar. Is dat ook hoe jij denkt dat het gaat gebeuren?
Speaker 2:Nou, hoop ik eigenlijk aan 1 kant. Want het is moeilijk om mensen die 4 jaar zijn gekozen als reisleidaarsleden zodanig mee te nemen in opleidingen en in kennis op gebied van informatiebeveiliging. Dat is niet te doen, denk Nee. Het is niet
Speaker 1:van heel veel logischer wijze.
Speaker 2:Ja, ook dat. Maar ik denk dat het op het gebied van dat het gaat vallen op gebied van op hoogte van gemeentesecretarissen en BMW, want dat vind ik wel een belangrijk orgaan dan om daar wel de mensen daarin
Speaker 1:mee te Dus je maakt eigenlijk een splitsing tussen de Raad niet BMW wel? Is het ook portefeuillehouder natuurlijk?
Speaker 2:Ja, maar dan heb je ook verschillen van niveaus denk ik. Ik denk dat je raad wel mee moet nemen op ander niveau dan bijvoorbeeld de wethouders en de burgemeester. Dat denk ik wel.
Speaker 1:Daar kan me alles bij voorstellen.
Speaker 2:Dat is mijn streven, want zover zijn we nog lang niet hoor. Dat is wel mijn streven.
Speaker 1:Als jij het hebt met het management van de gemeente, dan wel met het bestuur van de gemeente over je vakgebied en je haalt die beveiligingskaart uit de broekzak. Langs welke as doe je dat dan? Want er zit natuurlijk ook het argument beetje dat angst argument zou je ook kunnen spelen. Er staat iets in over aansprakelijkheid. Wij weten allebei dat die soep niet zo heet wordt gegeten als die wordt opgediend.
Speaker 1:Maar ten tijde van de AVG zagen we natuurlijk dat enorm die boetekaart gespeeld werd. Als je dat wil, zou je dat bij de cyberbeveiligingswet ook kunnen doen, want er staat van alles in over aansprakelijkheid. Ben je al wel eens in die verleiding gekomen om langs dat argument aandacht te vragen?
Speaker 2:Ja, maar ik denk dat de RDI daar een behoorlijke klus aan krijgt om dat landelijk goed voor elkaar te krijgen en die toezicht goed te handhaven.
Speaker 1:De RDI is de Rijksdienst voor Digitalisering in? In de
Speaker 2:fase structuur. Wat dat dus voor AVG daar de autotypezones is. Als je ziet hoe de AP met dat soort situaties omgaat, schiet hij een tekort.
Speaker 1:Als in dat ze het bestuur onvoldoende aanspreken en dat er van die boetebevoegdheid eigenlijk onvoldoende gebruik gemaakt wordt.
Speaker 2:Ja, mijn inziens schieten ze daarin tekort. En dat zien de mensen ook wel links en rechts om hun heen. Dus dan krijgen snel dat als het zo gaat als bij de AP, zal wel loslopen.
Speaker 1:Dus eigenlijk zou je kunnen zeggen dat dat argument wat aan kracht ingeboet heeft, omdat men toen ook bang gemaakt is. Eigenlijk is die angst ongegrond gebleken, want die AB gebruikt die bevoegdheid eigenlijk niet.
Speaker 2:Ze doen goed werk hoor, maar als het gaat op gemeentelijk niveau Wij hebben heel dichtbij een hek B gemaakt. Wij hebben een eiland Werk, dat is een organisatie die voor een deel de participatiewet uitvoert, onder andere voor gemeenten. En daar is ooit een hack geweest in 2022 en toen zijn er heel veel gegevens op straat gekomen en dan zou je denken met die ervaring zullen ze wel inderdaad anders handelen. Ook managers of burgemeesters.
Speaker 1:Omdat het dicht bij huis is, ja.
Speaker 2:Maar dat is dan misschien een week, 2 weken dat het inderdaad dat gevoel heerst en daarna is het over. En wij als gemeente zijn nog bezig om dat de organisatie Eilandwerk goed door de organisatie ziet op gebied van informatie vragen.
Speaker 1:Maar niet omdat men van hoge hand daarop stuurt, maar omdat jij vindt dat het gewoon niet goed genoeg is vanuit jouw verantwoordelijkheid.
Speaker 2:Doen we met 2 andere gemeentes, met Vels en met de Heemkerk natuurlijk, en niet Beverwijk alleen. Maar daarmee wil ik zeggen, is vrij menselijk denk ik dat mensen weer snel in een bepaalde flow terugvallen.
Speaker 1:Aandacht van slap weer.
Speaker 2:Ja, dus dat is wel belangrijk. Dat je dus als je wat leest of als je wat ziet of als je dus onderwerpen hebt die je moet bespreken, dat je dat ook doet op dat niveau ook vooral.
Speaker 1:Bedoel je daarmee op dat niveau?
Speaker 2:Een tijdje terug was er een soort hack geweest bij gemeente Velsen. Dan ga je dat gelijk ook bespreken hier intern natuurlijk. Dit is het geval, dit kan bij ons ook gebeuren. Sta daarbij stil.
Speaker 1:Het is beetje onheil van een ander natuurlijk, maar het brengt het dicht bij huis, want dan kan je zeggen: dit is niet vergezocht voor ons.
Speaker 2:Maar ook andere publicaties op berichten of wat dan ook. Zelfs wat Rutte heeft gezegd over oorlog. En ook over de statelijke actoren die van belang zijn de laatste tijd, daar lopen wij ook tegenaan. Mensen denken misschien dat het vet van huis, dat zal voor ons niet gelden, maar ik denk dat het dicht bij huis is dan we zelf denken. En daarvoor moet ik je op laten acteren van jongens, dit kan ons ook gebeuren.
Speaker 1:Als ik jou zo beluister, Remco, een groot deel wat jij belangrijk vindt van jouw werk constant het belang van informatiebeveiliging, constant in veranderende vormen aansluiten bij de actualiteit, onder aandacht brengen bij het management.
Speaker 2:Dat is een continu proces en de kracht van herhaling. Ik denk dat dat belangrijk is om op die manier mensen mee te nemen van jongens, dit kan ons ook gebeuren.
Speaker 1:Is men niet in het bijzonder de gemeente Beverwijk, maar gewoon je bent al langer bezig in dit vak, is men ontvankelijk voor die boodschap?
Speaker 2:Ja, sommige wel.
Speaker 1:Het valt mij op dat als met voorbeelden komt die heel dicht bij huis zijn. Bijvoorbeeld je gebruikt eigenlijk hetzelfde product. Het is ook een hack geweest bij een leverancier en je gebruikt net een andere leverancier, maar als die hack daar was geweest, dan was je als gemeente daar ook getroffen. Hoe dicht je het ook bij huis brengt, het lijkt toch altijd nog zo te zijn van ja, maar dat was niet hier. Dan denk ik, maar dat is puur kans.
Speaker 1:Gewoon random dat het hier niet was. Het had net zo goed hier kunnen zijn. Valt mij op, ik heb altijd moeite mee om dat argument goed uit te nutten. Ik heb toch het gevoel dat er ergens
Speaker 2:Ik vraag dan altijd van Hoe ga je het liefst naar bed? We hebben weer geluk gehad vandaag of we hebben het goed geregeld?
Speaker 1:Oké, we hebben geluk gehad of hebben het goed geregeld? Dus ben je in control of ben je het niet eigenlijk?
Speaker 2:Kijk, je hoeft niet alles te regelen om in control te zijn. Dat ben ik ervan bewust en dat weet ik ook, maar waarvan je dan niet in control bent, dat moet je dan wel weten. Dus ja, die heb ik wel eens gehoord, die uitspraken van: hebben we geluk gehad of hebben we alles goed geregeld? Ja, dat is dan de situatie.
Speaker 1:Dat is misschien ook de manier of het abstractieniveau waar je over ons werk moet praten met hoger management die een hele brede verantwoordelijkheid heeft. Als ik me zo voorstel als ik zo'n manager zou zijn, zou ik al die details van informatiebeveiliging waarschijnlijk helemaal niet willen weten, want dan denk ik ja, Remco regelt dat. Dus je moet ook altijd het goede niveau zoeken van op welk abstract niveau praat ik over vraag ik aandacht voor informatiebeveiliging. Je gaf het voorbeeld van incidenten of dat datalekken in de regio of verder weg. Je hebt natuurlijk elk jaar de NCA kwam al even voorbij, de jaarlijkse verantwoordingscyclus voor gemeente.
Speaker 1:Heb je nog meer in jouw gereedschapskist zitten waarlangs je de aandacht van management vraagt?
Speaker 2:Dat doen we met die KPI's die normaal 2 keer per maand of om de 2 maanden ga ik die bespreken met gemeentesecretaris, burgemeester en met mijn team mensen dan. En daarin geef ik aan de hand van grafieken, moeilijk woord, getallen, voorbeelden, weer hoe we ervoor staan en wat daar eigenlijk zou moeten doen. En dan is het aan hun om te beslissen of we dat wel of niet gaan doen.
Speaker 1:Ja, zij kunnen dan sturing geven.
Speaker 2:Ja, en dat op die manier weer doorgeven of vertellen in het strategisch managementteam.
Speaker 1:Tot slot nog 1 vraag. Bio2 zit eraan te komen.
Speaker 2:Leuk, ik ben bezig met een gap analyse.
Speaker 1:Ik wou net zeggen, was mijn vraag ook. Wat doe je om je daarop voor te bereiden? Een gap analyse. Kun je daar iets meer over vertellen?
Speaker 2:Dat is weer beginnen bij het begin, Dat gevoel heb ik er Dat heb ik 13 jaar terug ook gedaan met de BIG natuurlijk later met de bio. Maar nu ook weer en ook met Encia doen we het regelmatig. Ik denk dat het goed is dat je zo'n nulmeting hebt en dat je aan de hand daarvan kan zien van we groeien of we groeien niet en ook de maatregelen daaruit voortvloeien. Waar ook echt mee bezig ben en kijken van de impact kans analyses zoals we die geven hoe kunnen we dat het beste dan vormgeven in Beverwijk.
Speaker 1:En dan heb het eigenlijk over risico's dan denk
Speaker 2:Ja, dat vloeit ook voort uit die Bio 20 allemaal. Daarmee willen we dat beginnen. In ieder geval de kroonjuwelen daarmee te analyseren op die manier.
Speaker 1:Te kijken wat er nog moet gebeuren.
Speaker 2:Precies, en dat gaan we verwerken in het XMS in de hoop dat de mensen wat gaan doen. Dan ben je wel afhankelijk van
Speaker 1:het team.
Speaker 2:Als ze dat wel of niet doen.
Speaker 1:Ja, dat is de cirkel weer rond eigenlijk.
Speaker 2:Dat is het eigenlijk. Uit ons Isms krijgen we altijd verbeterpunten, die zitten we onmiddellijk op verbeter rapporten. Die gaan naar alle 10 ministers toe met de bedoeling: bespreek dat met de minister.
Speaker 1:Nou is de eigenaar van die kroonjuwelen?
Speaker 2:Ja. En dat gebeurt gewoon niet. En dat zijn jammer en geleken. Dus nu hebben we 2 jaar achter elkaar verbeter rapporten gemaakt van jongens, dit moeten we nog Want ik vind het van belang dat ze hier minimaal naar kijken en zeggen van het is wel of niet gebeurd.
Speaker 1:Ik zou zeggen, je bent als CISO verantwoordelijk voor het gaande houden van het proces, maar of men prioriteit geeft aan de opvolging van die verbeteringen, Ja, uiteindelijk kan je maar zoveel doen en ik hoop in ieder geval voor jou, Remco, dat de CBW, de cyberbeveiligingswet, je wat wind in de rug geeft om die op het belang blijvend voor het voetlicht te brengen En ik hoorde net dat we even lekker gaan lunchen, dus dat zie ik alvast naar uit.
Speaker 2:Ja, gaan we lekker doen.
Speaker 1:Leuk dat je in de opname was sluit het allemaal af met een gezamenlijke oproep aan Jurid.
Speaker 2:Jurid, kom op Mel, ben je Mel.
Speaker 1:Goed. Ga toch. Oké. Nou, die lunch die kwam er en die was dik in orde. Alleen ik moest alweer vrij vlot een bus halen omdat de volgende aflevering van E-talking alweer in mijn agenda verscheen.
Speaker 1:Ja, ik weet natuurlijk waarover ik dat ga en met wie die was. En jij mag nog een maand wachten, want dan rolt die vanzelf binnen in je podcast app. En vind je het leuk om ook beelden te zien bij de podcast opname? Check dan even Keep it safe op Vimeo. Voor nu dank dat je er weer bij was en graag tot volgende maand.
