Een interview met een ervaren CISO over zijn best practice met Trustbound binnen een provincie.
Aanleiding
.png?width=243&height=243&name=Chris%20Hazewinkel%20(1).png)
Binnen veel overheidsorganisaties is informatiebeveiliging versnipperd geregeld. Processen, risico’s en maatregelen worden bijgehouden in verouderde tools en soms ook nog Excel, terwijl de druk van nieuwe normen, ISO 27001:2022, BIO 2.0 en NIS2, toeneemt.
Toen externe CISO Chris Hazewinkel aantrad bij de betreffende provincie, zag hij dat de bestaande tooling niet langer voldeed: er was behoefte aan één geïntegreerd systeem voor governance, risk & compliance (GRC).
Oplossing
Deze provincie werkte al met TrustBound voor privacy (AVG). Op initiatief van Chris Hazewinkel werd dat uitgebreid naar een volledige GRC-omgeving, ingericht op ISO 27001:2022 en BIO 2.0.
Impact
Waar de organisatie eerder werkte met losse documenten en procesgericht, ontstaat nu een continue verbetercyclus (Plan Do Check Act). Bewijs wordt door het jaar heen verzameld, management heeft inzicht in actuele risico’s en medewerkers zijn beter betrokken bij de uitvoering. Divisies kunnen eigen normen activeren onder één centrale governance-laag. De mapping naar NIS2 ligt klaar, inclusief verplichtingen voor bestuurders.
“Informatiebeveiliging gaat bij de overheid niet om vinkjes zetten, maar om vertrouwen waarborgen; naar burgers, bestuur en samenleving.”
Chris Hazewinkel, externe CISO
Klantcase: De omslag van compliance naar continu verbeteren
Informatiebeveiliging binnen de overheid is vaak een complexe mix tussen beleid, processen en verantwoordelijkheden. De druk om te voldoen aan nieuwe normen als ISO 27001:2022, BIO 2.0 en NIS2 maakt het speelveld er niet eenvoudiger op. Veel organisaties worstelen met versnipperde tooling, verouderde documenten en beperkte tijd. Toen externe CISO Chris Hazewinkel begon bij een grote Nederlandse overheidsorganisatie, een provincie, herkende hij dat patroon direct. “De ambitie was groot, maar de middelen schoten tekort,” vertelt hij. “De bestaande tool was vooral een archiefkast: je kon er documenten in opslaan, maar niet werken volgens de Plan-Do-Check-Act-cyclus. En zonder die cyclus heb je geen continu verbeteren.”
Informatiebeveiliging als onderdeel van goed bestuur
Chris, met een achtergrond in risicomanagement en IT-governance, besloot het fundament te vernieuwen. “Als overheid heb je een zorgplicht richting burgers en partners. Informatiebeveiliging is niet alleen een compliance-eis, het is onderdeel van goed bestuur. Daar hoort een volwassen werkwijze bij, niet een verzameling Excel-sheets.”
De organisatie werkte al met TrustBound voor privacy (AVG). Dat bood een kans om governance, risk & compliance op hetzelfde platform te brengen. “Dat was cruciaal,” zegt Chris. “We konden uitbreiden binnen bestaande contracten, zonder een nieuw inkooptraject. Dat scheelde tijd en maakte dat we direct konden starten.”
Samen met het team van TrustBound werd een nieuwe GRC-omgeving ingericht, volledig in lijn met ISO 27001:2022 en BIO 2.0. Een testfase sloeg hij over. “De tool is intuïtief. Je kunt gewoon beginnen. Binnen een paar dagen hadden we de eerste risico’s, maatregelen en taken ingevoerd. Dat gaf meteen richting.” Hij vervolgt: “Ik gebruik AI als sparringpartner voor praktische vragen. Van ‘hoe vul ik deze maatregel in’ tot ‘hoe werkt risicomanagement hier’. Negen van de tien keer klopt het antwoord. In combinatie met de kennisbank van TrustBound kon ik meteen door.”
Een groot pluspunt was dat TrustBound al klaarstond voor ISO 27001:2022 en BIO 2.0. “Het pakket met alle nieuwe maatregelen stond er gewoon in. We zijn vanaf nul begonnen: maatregel 5.1 tot en met 8.34, inclusief opzet, bestaan en werking. “De interne en externe audit is inmiddels afgerond met nul bevindingen.
"Medewerkers zien zelf welke maatregelen lopen en waar ze bij betrokken zijn. Daardoor groeit het eigenaarschap.”
Centraal waar het moet, decentraal waar het kan
Een belangrijk thema binnen de publieke sector is de balans tussen centrale sturing en lokale uitvoering.
Chris: “Binnen een overheidsorganisatie heb je vaak meerdere afdelingen of divisies, elk met hun eigen mandaat. Dan wil je beleid en kaders centraal borgen, maar mensen lokaal ruimte geven om te handelen.
TrustBound maakt dat mogelijk. IT is een belangrijke basis, dat moet ook, want informatiebeveiliging raakt alles wat digitaal is, maar divisies kunnen binnen de centrale governance hun eigen normen activeren en (beheren), zoals (BIO2.0, DigiD, normen rondom Wet Financiële Toezicht), en (uiteraard) ISO 9001 of ISO 27001.”
Hij geeft een voorbeeld: “Wij hebben bijvoorbeeld een centraal wachtwoordbeleid gebaseerd op (onder andere) MFA en (Biometrische toegang). Toch zijn er altijd afdelingen die graag afwijken van beleid waarbij we automatisch wachtwoord aanpassingen afdwingen. Dan is het prettig dat we het beleid kunnen uitleggen, documenteren en naleven vanuit één omgeving zowel op centraal als decentraal vlak (proces). Zo houd je consistentie zonder de autonomie te verliezen.”
Het resultaat is een hybride model waarin centrale governance en decentrale verantwoordelijkheid hand in hand gaan. “Dat is precies wat de overheid nodig heeft: duidelijke kaders, maar ruimte voor maatwerk.”
Meer overzicht, minder druk
De nieuwe werkwijze heeft al merkbare impact. “Voorheen werkten mensen met losse documenten en mappen. Nu hebben we één omgeving waarin risico’s, incidenten en processen samenkomen. Iedereen weet waar iets staat, wie verantwoordelijk is en wat de status is.” “Incidenten, zoals een phishingmelding, krijgen direct een prioriteit en komen in één overzicht terecht. Daardoor kan de organisatie sneller beslissen welke acties nodig zijn, zonder dat informatie verspreid raakt over verschillende afdelingen.”
Die integratie zorgt ook voor rust rond audits en rapportages, al is dat niet het primaire doel. “Het gaat niet om de audit, maar om grip. We verzamelen bewijs continu door het jaar heen ten behoeve van meedere audits vanuit verschillende afdelingen. Welke audit er dan ook komt, alles is er al. Dat scheelt stress én tijd.”
Daarnaast ondersteunt de tool bij bewustwording. “TrustBound maakt zichtbaar waar verbeteringen nodig zijn. Medewerkers zien zelf welke maatregelen lopen en waar ze bij betrokken zijn. Daardoor groeit het eigenaarschap.”
Volgens Chris ligt de echte waarde in de manier waarop technologie en samenwerking samenkomen. “Een tool is een middel. Je kunt de beste software hebben, maar als de samenwerking stokt, dan werkt het niet. Wat TrustBound onderscheidt, is dat ze meedenken. Niet alleen over techniek, maar over governance, rollen en processen. Dat maakt ze tot een partner in plaats van een leverancier.”
"Welke audit er dan ook komt, alles is er al. Dat scheelt stress én tijd."
Een goede basis leggen voor de toekomst
De organisatie werkt inmiddels volledig volgens ISO 27001:2022 en BIO 2.0, met een duidelijke mapping richting NIS2 (CyberveiligheidsWet – CBW). “We hebben die vertaalslag al gemaakt,” zegt Chris. “Zodra NIS2 officieel van kracht wordt, kunnen we direct de extra verplichtingen activeren; van bestuurstraining tot meldplichtprocessen.”
Toch ziet hij informatiebeveiliging niet als doel op zich. “Het is een doorlopend proces van verbeteren. We zitten nu in de fase waarin we alles consolideren: beleid, risico’s, maatregelen en communicatie. Volgend jaar willen we dit verder automatiseren, bijvoorbeeld met taakcycli en dashboards voor managementrapportages.” De grootste winst, volgens hem, is dat informatiebeveiliging niet langer een geïsoleerd thema is. “Het leeft in de organisatie. Mensen zien de waarde, niet alleen de verplichting. Dat is misschien wel de grootste cultuurverandering.”
Hij vergelijkt de stap met de introductie van ERP-systemen in de jaren negentig. “TrustBound is eigenlijk het ERP van informatiebeveiliging. Alles komt samen: risico’s, incidenten, rapportages. Je kunt sturen op actuele informatie, niet op terugblikken. Dat maakt een wereld van verschil.”
“Informatiebeveiliging is geen doel, het is een middel om vertrouwen te behouden. TrustBound helpt ons om dat vertrouwen tastbaar te maken.”
Vertrouwen als kern van informatiebeveiliging
Waar veel organisaties worstelen met complexiteit, laat deze casus zien dat eenvoud de sleutel is. “Informatiebeveiliging is geen doel, het is een middel om vertrouwen te behouden; bij burgers, bestuurders en medewerkers,” zegt Chris. “TrustBound helpt ons om dat vertrouwen tastbaar te maken.”
Hij besluit: “We zijn nog niet klaar, maar het fundament staat. De governance is helder, de processen lopen en iedereen weet wat zijn rol is. Dat is waar het om draait in de publieke sector: verantwoordelijkheid nemen, transparant werken en elke dag een beetje beter worden.”
