Samenvatting
Aanleiding
Toen Serena de Boer in 2022 begon als CISO bij de gemeente Koggenland, trof ze twee gescheiden systemen aan: TrustBound voor privacy en een vrijwel lege andere oplossing voor informatiebeveiliging. De versnippering werkte niet. De ambitie was helder: één geïntegreerd platform waarin risico’s, normen, beleid en bewustwording samenkomen, en waarmee de gemeente aantoonbaar voldoet aan kaders als BIO 2 en ISO 27001.
Oplossing
Na overleg met TrustBound besloot de gemeente alle informatiebeveiliging te migreren naar het platform. De samenwerking groeide uit tot co-creatie: Serena leverde input voor nieuwe functionaliteiten en normenkaders, waaronder het vroege opnemen van de BIO 2 en het controlframework voor NIS2. De implementatie verliep pragmatisch, met heldere dashboards, werkpakketten en automatische koppelingen tussen audits, risico’s en incidenten.
Impact
- Eén geïntegreerd platform voor informatieveiligheid, privacy en compliance.
- Volwassenheidsniveau 3.4 voor ISMS (BIO 2 & ISO 27001) en proactieve voorbereiding op NIS 2 en nieuwe borgingsproducten (AVG, WPG, VIC).
- Kortere lijnen tussen CISO, MT en college door rapportages en dashboards.
- Groter draagvlak en gezamenlijk eigenaarschap binnen de organisatie.
- Continuïteit van dienstverlening en veiligheid van gegevens van inwoners.
“De werkpakketten en auditkoppelingen helpen ons om alles stap voor stap in te richten. Je weet precies wat je moet doen en waarom.”
Serena de Boer, CISO gemeente Koggenland
Van losse tooling naar één gezamenlijke verantwoordelijkheid
.png?width=271&height=271&name=afbeelding%20blog%20-%20Serena%20de%20Boer%20-%20gemeente%20Koggenland%20(1).png)
Toen Serena de Boer als CISO startte bij de gemeente Koggenland, wist ze direct dat de versnippering tussen systemen de groei van informatieveiligheid in de weg stond. “We hadden regionaal TrustBound al draaien voor privacy, maar op het gebied van informatiebeveiliging was er geen passende oplossing. Dat werkte gewoon niet langer. Als je echt grip wilt op risico’s en beleid, moet je alles in één omgeving hebben,” vertelt ze.
Samen doorontwikkelen
In overleg met TrustBound, vooral met Arjaan Kunst, die de doorontwikkeling van het platform leidt, besloot de gemeente alles te migreren naar TrustBound. “We wilden niet nog een jaar wachten tot andere systemen zich zouden aanpassen. TrustBound was flexibel, dacht mee en stond open voor verbetering. Al pratende ontstond de samenwerking zoals we die nu kennen: we ontwikkelen samen door.”
De migratie bleek minder complex dan verwacht. “Informatieveiligheid is geen hogere wiskunde,” zegt Serena met een glimlach. “Als je logisch nadenkt over je risico’s, wordt al snel duidelijk waar je moet beginnen. Het dashboard, de werkpakketten en auditkoppelingen helpen vervolgens om alles stap voor stap in te richten. Je weet precies wat je moet doen en waarom.”
Risicogestuurd werken centraal
Vanaf het begin stond risicogestuurd werken centraal. “Ik ben begonnen met een risicoanalyse: waar zitten de grootste risico’s binnen de organisatie? Op basis daarvan bepaal je de eerste maatregelen. We zijn gestart met domeinen als, als strategisch beleid, rollen en functies, werken op afstand en awareness. Alles hebben we vanuit nul opgebouwd.”
Drie jaar later beschikt gemeente Koggenland over een volwassen ISMS dat voldoet aan de nieuwste normen van BIO 2 en ISO 27001 en fungeert daarmee als een van de voorlopers onder Nederlandse gemeenten. “In 2022 begonnen we met een lege omgeving, nu zijn we geaudit op volwassenheidsniveau 3.4. Dat zie je niet vaak bij gemeenten, ook niet bij grotere,” vertelt ze trots. “We zijn van een ad-hoc aanpak naar een gestructureerd proces gegaan waarin alles meetbaar is.”
“We doen dit samen: CISO, FG, privacy officer en proceseigenaren. Iedereen ziet in TrustBound wat er loopt en waar risico’s zitten. Dat creëert begrip en eigenaarschap. Informatieveiligheid is bij ons geen ‘CISO-onderwerp’ meer. Het is een gezamenlijke verantwoordelijkheid.”
Serena de Boer, CISO gemeente Koggenland
Goed ingericht rapportageproces
Het rapportageproces is strak ingericht. “We voeren jaarlijks een volledige risicoanalyse uit. Halverwege het jaar rapporteren we de belangrijkste ontwikkelingen en resterende risico’s in een voortgangsmemo. Daarnaast vindt jaarlijks een volwassenheidsmeting plaats met een managementsamenvatting. Die bespreek ik met het directie managementteam en, afhankelijk van het onderwerp, met het college. Zo blijft informatieveiligheid bestuurlijk op de agenda.”
Volgens Serena is het succes te danken aan samenwerking op drie niveaus: intern binnen de gemeente, regionaal met Opmeer, en extern met TrustBound. “De lijntjes zijn kort. Als ik een idee heb of iets nieuws signaleer, zoals de conceptversie van BIO 2, dan pak ik direct de telefoon. TrustBound reageert snel en vertaalt dat naar nieuwe functionaliteit. Dat is co-creatie in de praktijk.”
Een concreet voorbeeld daarvan is de NIS2 controlframework. “Ik heb gevraagd of we dat alvast konden opnemen, zodat we kunnen voorsorteren op wat eraan komt. Binnen korte tijd stond het erin. Daardoor kunnen we nu proactief aan de slag en besparen we straks veel tijd als de wetgeving definitief is.”
Het effect is voelbaar in de organisatie. “We doen dit samen: CISO, FG, privacy officer en proceseigenaren. Iedereen ziet in TrustBound wat er loopt en waar risico’s zitten. Dat creëert begrip en eigenaarschap. Informatieveiligheid is bij ons geen ‘CISO-onderwerp’ meer. Het is een gezamenlijke verantwoordelijkheid.”>
Overzicht en rust
De dashboards en rapportages zorgen daarbij voor overzicht en rust. “Het product is makkelijk leesbaar. Als ik uitval, kan iemand anders het direct overnemen. Incidenten zijn geregistreerd, taken toegewezen en beleid up-to-date. Dat is de kracht van een goed ingericht systeem.”
Toch blijft Serena nuchter. “We zijn op niveau 3.4, maar dat betekent niet dat we achterover kunnen leunen. Volwassenheid is geen einddoel, het is een continu proces. Je wilt dienstverlening beschikbaar houden en gegevens van inwoners beschermen; dat is de kern van ons werk.”
Ze vat het treffend samen: “Informatieveiligheid is geen stoffige bende. Als je het goed inricht, is het logisch, tastbaar en zelfs leuk om te doen. TrustBound helpt ons daarbij. Het maakt de norm concreet, de resultaten zichtbaar en de verantwoordelijkheid gedeeld.”
“Informatieveiligheid is geen stoffige bende. Als je het goed inricht, is het logisch, tastbaar en zelfs leuk om te doen. TrustBound helpt ons daarbij. Het maakt de norm concreet, de resultaten zichtbaar en de verantwoordelijkheid gedeeld.”
Serena de Boer, CISO gemeente Koggenland
