Toen Serena de Boer in 2022 begon als CISO bij de gemeente Koggenland, trof ze twee gescheiden systemen aan: TrustBound voor privacy en een vrijwel lege andere oplossing voor informatiebeveiliging. De versnippering werkte niet. De ambitie was helder: één geïntegreerd platform waarin risico’s, normen, beleid en bewustwording samenkomen, en waarmee de gemeente aantoonbaar voldoet aan kaders als BIO 2 en ISO 27001.
Na overleg met TrustBound besloot de gemeente alle informatiebeveiliging te migreren naar het platform. De samenwerking groeide uit tot co-creatie: Serena leverde input voor nieuwe functionaliteiten en normenkaders, waaronder het vroege opnemen van de BIO 2 en het controlframework voor NIS2. De implementatie verliep pragmatisch, met heldere dashboards, werkpakketten en automatische koppelingen tussen audits, risico’s en incidenten.
“De werkpakketten en auditkoppelingen helpen ons om alles stap voor stap in te richten. Je weet precies wat je moet doen en waarom.”
Serena de Boer, CISO gemeente Koggenland
In overleg met TrustBound, vooral met Arjaan Kunst, die de contentontwikkeling van het platform leidt, besloot de gemeente alles te migreren naar TrustBound. “We wilden niet nog een jaar wachten tot andere systemen zich zouden aanpassen. TrustBound was flexibel, dacht mee en stond open voor verbetering. Al pratende ontstond de samenwerking zoals we die nu kennen: we ontwikkelen samen door.”
De migratie bleek minder complex dan verwacht. “Informatieveiligheid is geen hogere wiskunde,” zegt Serena met een glimlach. “Als je logisch nadenkt over je risico’s, wordt al snel duidelijk waar je moet beginnen. Het dashboard, de werkpakketten en auditkoppelingen helpen vervolgens om alles stap voor stap in te richten. Je weet precies wat je moet doen en waarom.”
Vanaf het begin stond risicogestuurd werken centraal. “Ik ben begonnen met een risicoanalyse: waar zitten de grootste risico’s binnen de organisatie? Op basis daarvan bepaal je de eerste maatregelen. We zijn gestart met domeinen als strategisch beleid, rollen en functies, werken op afstand en awareness. Alles hebben we vanuit nul opgebouwd.”
Drie jaar later beschikt gemeente Koggenland over een volwassen ISMS dat voldoet aan de nieuwste normen van BIO 2 en ISO 27001 en fungeert daarmee als een van de voorlopers onder Nederlandse gemeenten. “In 2022 begonnen we met een lege omgeving, nu zijn we geaudit op volwassenheidsniveau 3.4. Dat zie je niet vaak bij gemeenten, ook niet bij grotere,” vertelt ze trots. “We zijn van een ad-hoc aanpak naar een gestructureerd proces gegaan waarin alles meetbaar is.”
“We doen dit samen: CISO, FG, privacy officer en proceseigenaren. Iedereen ziet in TrustBound wat er loopt en waar risico’s zitten. Dat creëert begrip en eigenaarschap. Informatieveiligheid is bij ons geen ‘CISO-onderwerp’ meer. Het is een gezamenlijke verantwoordelijkheid.”
Serena de Boer, CISO gemeente Koggenland
Het rapportageproces is strak ingericht. “We voeren jaarlijks een volledige risicoanalyse uit. Halverwege het jaar rapporteren we de belangrijkste ontwikkelingen en resterende risico’s in een voortgangsmemo. Daarnaast vindt jaarlijks een volwassenheidsmeting plaats met een managementsamenvatting. Die bespreek ik met het directie managementteam en, afhankelijk van het onderwerp, met het college. Zo blijft informatieveiligheid bestuurlijk op de agenda.”
Volgens Serena is het succes te danken aan samenwerking op drie niveaus: intern binnen de gemeente, regionaal met Opmeer, en extern met TrustBound. “De lijntjes zijn kort. Als ik een idee heb of iets nieuws signaleer, zoals de conceptversie van BIO 2, dan pak ik direct de telefoon. TrustBound reageert snel en vertaalt dat naar nieuwe functionaliteit. Dat is co-creatie in de praktijk.”
Een concreet voorbeeld daarvan is de NIS2 controlframework. “Ik heb gevraagd of we dat alvast konden opnemen, zodat we kunnen voorsorteren op wat eraan komt. Binnen korte tijd stond het erin. Daardoor kunnen we nu proactief aan de slag en besparen we straks veel tijd als de wetgeving definitief is.”
Het effect is voelbaar in de organisatie. “We doen dit samen: CISO, FG, privacy officer en proceseigenaren. Iedereen ziet in TrustBound wat er loopt en waar risico’s zitten. Dat creëert begrip en eigenaarschap. Informatieveiligheid is bij ons geen ‘CISO-onderwerp’ meer. Het is een gezamenlijke verantwoordelijkheid.”>
De dashboards en rapportages zorgen daarbij voor overzicht en rust. “Het product is makkelijk leesbaar. Als ik uitval, kan iemand anders het direct overnemen. Incidenten zijn geregistreerd, taken toegewezen en beleid up-to-date. Dat is de kracht van een goed ingericht systeem.”
Toch blijft Serena nuchter. “We zijn op niveau 3.4, maar dat betekent niet dat we achterover kunnen leunen. Volwassenheid is geen einddoel, het is een continu proces. Je wilt dienstverlening beschikbaar houden en gegevens van inwoners beschermen; dat is de kern van ons werk.”
Ze vat het treffend samen: “Informatieveiligheid is geen stoffige bende. Als je het goed inricht, is het logisch, tastbaar en zelfs leuk om te doen. TrustBound helpt ons daarbij. Het maakt de norm concreet, de resultaten zichtbaar en de verantwoordelijkheid gedeeld.”
“Informatieveiligheid is geen stoffige bende. Als je het goed inricht, is het logisch, tastbaar en zelfs leuk om te doen. TrustBound helpt ons daarbij. Het maakt de norm concreet, de resultaten zichtbaar en de verantwoordelijkheid gedeeld.”
Serena de Boer, CISO gemeente Koggenland