BIO2 in de praktijk - De rol van de bestuurder bij de implementatie van de BIO2 - aflevering 5

Show Notes

Geert-Jan van de Ven (Directeur Centrum Informatiebeveiliging en Privacybescherming – CIP) bespreekt de bestuurlijke verantwoordelijkheid bij de implementatie van de BIO2. Het gaat volgens Geert-Jan sinds de invoering van de vernieuwde BIO2 vooral over eigenaarschap en bewust risicomanagement. Dit zijn zaken die de bestuurder samen met de organisatie op orde moet hebben.  

Transcript

00:00:02
 Geert-Jan van de Ven: Vroeger werd de ICT gezien als een stukje ondersteuning in bedrijfsvoering. Dat gaat over kantoorautomatisering. Dat is niet meer zo. Het gaat over een primair proces. Het gaat over cruciale dienstverlening aan burgers en bedrijven.

00:00:16
 Interviewer: Dit is BIO2 in de praktijk. In deze miniserie duiken we in de gevolgen van de vernieuwde Baseline Informatiebeveiliging Overheid twee. Wat zijn de gevolgen voor betrokkenen en professionals?

00:00:26
 Geert-Jan van de Ven: Iedere bestuurder zit in het eind van het eerste kwartaal met samengeknepen billen te wachten op de goedkeurende accountantsverklaring over het afgelopen jaar. Hoe mooi zou het zijn als daarin ook de verantwoordelijkheid wordt genomen over de wijze waarop ze invulling geven aan hun informatiebeveiliging?

00:00:43
 Interviewer: Vandaag hebben we het over de bestuurlijke verantwoordelijkheid en ik bespreek dat met Geert-Jan van de Ven. Hij is directeur van het Centrum Informatiebeveiliging Privacybescherming, het CIP. Ik heb al een paar podcasts over die BIO2 mogen opnemen. Dat is niet zomaar iets administratiefs wat draait om compliance. Die bestuurders moeten aan de slag.

00:01:04
 Geert-Jan van de Ven: Zeker, en het gaat niet alleen om compliance. Het gaat ook over compliance. Het gaat vooral over eigenaarschap en bewust risicomanagement. Dat was met de oude versie ook al zo. Daar ging het ook al over risicomanagement, maar daar werd het verstopt achter het moeten halen van de tik in de box op BIO-onderwerpen. Hier is het benadrukt, ook omdat het wettelijk kader waar de BIO2 onderdeel van uitmaakt risicomanagement op de eerste plaats stelt. Dat is een bestuurlijke vraag en aangelegenheid.

00:01:40
 Interviewer: Iedereen heeft hiermee te maken. Of je nou op de vloer werkt, een project aan het runnen bent of een manager bent. Ik heb de twee geestelijk vaders van de BIO2, de twee Keezen gesproken. Die zeiden dat de nadruk de bestuurlijke verantwoordelijkheid is. Jij zegt dat nu ook weer. Wat is dat dan? Help me eventjes.

00:02:00
 Geert-Jan van de Ven: Vroeger werd de ICT gezien als een stukje ondersteuning in bedrijfsvoering. Dat gaat over kantoorautomatisering. Dat is niet meer zo. Het gaat over een primair proces. Het gaat over cruciale dienstverlening aan burgers en bedrijven. Het gaat over het ondersteunen van de samenleving. Dat is waar de Digitale Overheid voor staat. Daar hoort continuïteit en betrouwbaarheid bij. Dat zijn zaken die in de hand van een bestuurder liggen, niet van een CIO of CISO. De bestuurder moet keuzes maken. Waar ga ik voor?

00:02:30
 Interviewer: Als je dan kijkt naar de dagdagelijkse bezigheden van die bestuurders of die colleges die hier wat mee moeten, wat gaat er dan nu op hen afkomen?

00:02:41
 Geert-Jan van de Ven: Niet veel anders dan in het verleden. Een bestuurder had en heeft ook zonder een BIO2 en een Cyberbeveiligingswet die verantwoordelijkheid. Nu wordt hij expliciet nog een keer benadrukt, doordat het in de tekst staat van de aanstaande wet, die dadelijk in het tweede kwartaal van kracht wordt. Het was al zo. Wij gaan om met vertrouwelijke en gevoelige gegevens van burgers en bedrijven. Die mogen ervan uitgaan dat wij daar op een volwassen en veilige manier mee omgaan. Of het nou wettelijk of niet verplicht is, als ik bestuurder ben van een organisatie, die wordt gehackt en er komt gevoelige informatie op straat te liggen van burgers. Dan voel ik me bezwaard en voel ik die knoop in mijn buik. Daar ben ik voor verantwoordelijk en niet iemand anders.

00:03:34
 Interviewer: Je kan ook niet meer kijken naar de andere IT-professionals binnen je organisatie. Het was toch het idee dat jíj dat in de gaten gaat houden? Nee, je moet het zelf doen.

00:03:42
 Geert-Jan van de Ven: Zelf doen, maar ook samen doen. Het is een bestuurlijke verantwoordelijkheid, maar het is ook een verantwoordelijkheid die de hele organisatie aangaat. Als bestuurder ben en blijf je verantwoordelijk. Je moet de randvoorwaarden scheppen, maar je mag ook bewustzijn en bewustwording bij je mensen creëren. Als je het bestuurlijk zo goed voor elkaar hebt, maar je hebt nog steeds een medewerker die zich niet bewust is. Die niet denkt dat die een risico introduceert voor diens organisatie als die nu een bepaald iets doet. Het moet uiteindelijk iets worden wat verankert in de hele organisatie. Als bestuurder moet je daar richting en invulling aan geven.

00:04:19
 Interviewer: Ja. Informatiebeveiliging is al langer niet iets wat je er eventjes bij doet. Dat is topprioriteit. Hebben die bestuurders in het college er wel genoeg verstand van?

00:04:29
 Geert-Jan van de Ven: Niet van de technische inhoud van informatiebeveiliging. Dat hoeft ook niet, want daarin kunnen ze zich laten ondersteunen door vakbekwame mensen. De CISO en een beveiligingsfunctionaris die ze in huis hebben. Ze hoeven het niet zelf te doen. Ze moeten wel hun verantwoordelijkheid nemen en weten waar het over gaat. Ze moeten ook weten hoe risicomanagement een invulling kan krijgen, ook wat hun kroonjuwelen zijn. Waar moeten ze zich zorgen over maken? Dan ook de middelen beschikbaar stellen. Vooral ook, wat ik net al zei, laten ondersteunen door die professional en andersom. Die professionals steunen dat die diens werk goed kan doen.

00:05:10
 Interviewer: Waarom worstelen zoveel overheidsclubs met die implementatie van de BIO2? Waarom is het nou zo lastig?

00:05:17
 Geert-Jan van de Ven: Lang is het een bijzaak, een stukje kwaliteitsinvulling en geen substantieel onderdeel geweest. Nog steeds hebben we nieuwbouwtrajecten, vernieuwingen en inkooptrajecten gedaan waar we niet voldoende aandacht aan hebben gegeven. Dat betekent dat je met alles wat nieuw geïntroduceerd werd ook nieuwe risico's introduceert die niet afdoende afgedekt waren. Naast het feit dat je constant in je vernieuwing daarmee bezig moet zijn, ben je ook steeds nog bezig met het oplossen van hiaten uit het verleden. Dat maakt het ingewikkeld. Het is een soort hete aardappel. Is het nou een verantwoordelijkheid van zo'n lijnmanager die opdrachtgever is voor de IT-afdeling? Of is de IT-afdeling verantwoordelijk? Of is het de leverancier waar een stukje uitbesteding aan is gedaan? Dat vraagt een stukje regievoering, waar we niet altijd goed in zijn.

00:06:15
 Interviewer: Jij noemt nu een paar betrokkenen die hiermee te maken krijgen. Je hebt ook mensen die tijdens een vergadering bij een project denken om iets met AI en die data te doen. Deze mensen hebben er allemaal mee te maken. Als je met de BIO2 kijkt, hoe verhouden al die krachten zich dan? Je zegt dat die bestuurder nu nadrukkelijker verantwoordelijk is, maar iedereen moet zijn steentje bijdragen. Hoe wordt dat spelletje dan straks gespeeld?

00:06:40
 Geert-Jan van de Ven: Ja, maar van die bestuurder kun je niet verwachten dat die alles weet wat er in zo een organisatie gebeurt en wat iedereen daar doet. Wat je wel mag verwachten, is dat die het klimaat creëert waarbij iedereen zich bewust is van waarom we omgaan op de manier waarop we moeten omgaan met die gegevens. Met de beveiliging van die gegevens en de zorgvuldigheid daarvan. Dat is wat je wel van de bestuurder mag vragen. Vervolgens mag je wel verwachten van de mensen dat ze daar op een volwassen wijze mee omgaan.

00:07:11
 Interviewer: Als je als bestuurder dit zit te luisteren en je hoort hier Geert-Jan van de Ven, wat zou jij zelf doen? Wat is nou het stappenplan waarvan jij zou zeggen dat je hem zo zou aanvliegen?

00:07:21
 Geert-Jan van de Ven: Ik zou - dat is preken voor eigen parochie - eens kijken wat er al aan kennisproducten zijn, als ik al niet zelf mijn kennisniveau op orde heb. Wat zijn de kennisproducten waar ik iets mee kan? Daarvoor hebben wij een handreiking: de Bestuurder aan Zet. Dat is een handreiking om een bestuurder en de CIO samen op te laten storen met lijnmanagement over wat de eerste stappen zijn. Als ik van scratch af aan begin, wat zijn de eerste stappen waar ik het verschil kan maken? Het tweede is om in gesprek te gaan met die professionals in je eigen organisatie en samen eens te gaan kijken wat de belangrijkste elementen en risico's zijn waar je je zorgen over moeten maken. Om te gaan kijken wat je daartegen kunt doen en hoe je je ertegen kunt wapenen.

00:08:07
 Geert-Jan van de Ven: Dat gaat niet van de ene op de andere dag. Dat is ook al risicomanagement. Wat zijn nou de eerste stappen? Waar kan ik het meeste verschil mee maken? Of welk grootste risico moet ik wegnemen? Ga zo om met die professionals en de lijnmanagers. Kijk vooral ook aan wat er al aan risicomanagementervaring in de organisatie is. Bijvoorbeeld op het gebied van financiën is iedere bestuurder allang bekend met risicomanagement. Met die financial, met de CFO, de controller of de accountant worden al die gesprekken gevoerd. Vertaal dat naar informatieverwerking en -beveiliging.

00:08:50
 Interviewer: Die vanzelfsprekendheid moet je ook op dat niveau gaan introduceren.

00:08:54
 Geert-Jan van de Ven: Ja.

00:08:54
 Interviewer: In de Bestuurder aan Zet hebben jullie dingen op papier gezet. Jullie hebben daar wat handreikingen. Je zegt dat daar wat stappen in beschreven staan. Wat zijn dat voor stappen?

00:09:02
 Geert-Jan van de Ven: Er worden zeven drivers aangegeven om het pad te maken van waar je mee zou moeten starten. Nogmaals, dit is een handreiking en geldt niet voor organisaties die al op een volwassenheidsniveau zitten waarbij de laatste puntjes op de i moeten worden gezet. Dit is voor organisaties die zich afvragen hoe ze invulling gaan geven aan die verantwoordelijkheid. Daar is de handreiking voor bedoeld. Zeven drivers geven we daarin aan en per driver ook een aantal kernvragen. Waar zou je als eerste mee kunnen starten? Wat zouden dan KPI's, Key Performance Indicators kunnen zijn? Om dat rotwoord te gebruiken.

00:09:39
 Interviewer: Je kijkt er moeilijk bij, maar iedereen snapt wat je bedoelt. Het is wel zinvol.

00:09:44
 Geert-Jan van de Ven: Gebruik die vooral ook om samen met je CISO en lijnmanagement die eruit te halen die voor jullie het meest relevant zijn op dit moment. Het is bedoeld als een soort kookboek met een basisrecept, maar maak er vooral je eigen gerecht van. Het is niet een one size fits all, maar kijk wat jou eruit inspireert om jouw situatie samen met jouw professionals als eerste bij de kop te pakken.

00:10:11
 Interviewer: Hoe helpt die BIO2 bij dat in kaart brengen van al die risico's?

00:10:15
 Geert-Jan van de Ven: De BIO ontzorgt daarin. Naast het feit dat risicomanagement als instrument en aanpak verplicht is, geeft de BIO ook een normenkader aan. Daaraan voldoen alle overheidsorganisaties. Als ik als overheidsorganisatie X een samenwerkingsverband aanga met overheidsorganisatie Y en wij gegevens delen en onze processen elkaar raken. Dan hoef ik me geen zorgen meer te maken over of dat wel een partij is die zijn zaakjes op orde heeft. Nee, want ook die organisatie verhoudt zich tot die basisset aan normen die we met elkaar gesteld hebben. In de periode voordat we de BIO hadden en dat het gedragen normenkader was in de samenwerking, moest iedere samenwerking een eigen risicoprofiel maken. Dan moest je met elkaar tot overeenstemming komen.

00:11:19
 Geert-Jan van de Ven: Dat hoeft nu niet meer. Het is een lastenverlichting. Het betekent alleen wel dat je de verplichting hebt om dat level playing field te bereiken om eraan te voldoen. Anders gaat de waarde van een basisset voor de hele overheid verloren.

00:11:37
 Interviewer: Komt er straks ook nog toezicht?

00:11:40
 Geert-Jan van de Ven: Die komt er zeker. Dat is niet op de BIO, maar op de implementatie van de Cyberbeveiligingswet. Dat geldt voor alle overheidsorganisaties en private organisaties. Ook hier komt een toezichthouder. De toezichthouder RDI zal straks ook gaan toetsen of voldaan wordt aan de cyberbeveiligingswet. Als die als ministeriële regeling gaat gelden bij de inwerkingtreding van de Cbw, zullen ze voor de overheid kijken of die daadwerkelijk in place is.

00:12:11
 Interviewer: Nu heeft een bestuurder of college politieke ambities of projecten die gehaald moeten worden. Ik kan me ook voorstellen dat jij deze druk op je krijgt en je nadrukkelijk wordt aangekeken dat het jouw ding is. Hoe zorg je ervoor dat dat niet ten koste gaat van al die doelen die je ook nog wil behalen, zoals dienstbaarheid en transparantie? Hoe zorg je ervoor dat dat netjes naast elkaar kan blijven bestaan?

00:12:41
 Geert-Jan van de Ven: Voor mij is dat een non-issue, want informatiebeveiliging hoort een integraal onderdeel te zijn van je bedrijfsvoering en je ontwerp.

00:12:49
 Interviewer: Dat is voor jou een non-issue, maar dat is nog niet automatisch overal zo.

00:12:54
 Geert-Jan van de Ven: Nee, maar als je in 2026 nog niet doordrongen bent van het feit dat het risico en de verantwoordelijkheid die wij hebben in de manier waarop we omgaan met gevoelige informatie van onze burgers en de bedrijven in Nederland. Daar van begin af aan in je bedrijfsvoering, ontwikkeling en je vernieuwing rekening mee te houden hebt. Dan heb je voor mij al geen recht op het invullen van die ambitie.

00:13:26
 Interviewer: Die risico-afweging of onderzoeken hoe we ervoor staan, is niet iets wat je één keer doet. Dat is iets permanents wat je constant in de gaten moet houden.

00:13:37
 Geert-Jan van de Ven: Zeker. Dat geldt ook door de hele organisatie. Dat is niet alleen die bestuurder. Voor mij geldt dat weerbaarheid het te bereiken doel is. Zijn wij in staat om om te gaan met gevoeligheden, kwetsbaarheden en dreigingen die op ons afkomen? Kunnen we die weerbaar weerstaan? Dat is ook die enkelvoudige medewerker, die misschien op het moment dat die in zijn werk zit en denkt: wacht even. Ik heb bijvoorbeeld weleens te maken gehad met een medewerker op een ambassade in een land. Die moest iets versturen wat vitaal was voor een operationeel proces in de opsporing. Op dat moment lag de cryptoverbinding eruit. Die man zat op dat moment in een afweging dat hij het niet via een beveiligde lijn kon versturen. Als hij het niet verstuurde, zou de operatie tot stilstand komen. Zo iemand moet een risico-afweging maken.

00:14:39
 Interviewer: Die moet een keuze gaan maken.

00:14:40
 Geert-Jan van de Ven: Die neemt een besluit. Ik heb geen oordeel over welke keuze hij maakt, als het maar een keuze is waar iemand bewust over nadenkt, de risico-afweging maakt, de knoop doorhakt en dat achteraf ook kan uitleggen.

00:14:55
 Interviewer: Zou je kunnen zeggen dat niet alleen de verantwoordelijkheid van de bestuurder nu helderder wordt, maar dat daardoor ook hopelijk de CEO beter weet waar die aan toe is? Dat de lijnmanager beter in zijn of haar kracht wordt gezet? Is dat ook een uitkomst die wenselijk is?

00:15:13
 Geert-Jan van de Ven: Zeker, dat was de gedachte van de NIS2 die in Nederland als de cyberbeveiligingswetgeving wordt geïmplementeerd. Het was al een verantwoordelijkheid. Die werd niet voldoende ingevuld. Dan krijg je compenserend gedrag. CISO's nemen namens een bestuurder een besluit. Aan de ene kant heel lovenswaardig, want anders gebeurt er niks. Aan de andere kant heel risicovol, want het kan vergaande consequenties hebben, waarvan het de vraag is of de CISO die kan dragen. Ik vind het een hele waardevolle interventie. Ik hoop ook dat we met elkaar dat bereiken. Het samenspel tussen die bestuurder die verantwoordelijk is, maar die ook steun krijgt en steun geeft.

00:15:56
 Geert-Jan van de Ven: Lijnmanagement, dat aan de ene kant op zijn verantwoordelijkheid wordt gewezen en aan de andere kant daarin geholpen wordt. Een CISO die daadwerkelijk als strategische adviseur kan optreden, in plaats van als een duizenddingendoekje dat probeert om alle gaten dicht te lopen.

00:16:13
 Interviewer: Het is iets wat je niet één keer doet, maar wat je blijft doen. Als je zo een bestuurder bent en je wilt daar consistent mee aan de slag, welke vragen en antenne zou je dan om de zoveel tijd uit moeten zetten om het warm te houden?

00:16:28
 Geert-Jan van de Ven: Vooral kijken naar wat er in de werkelijkheid gebeurt. Rapportages zijn mooi, maar we weten allemaal dat die, afhankelijk van hoeveel lagen ze doorlopen, een bepaalde kleuring krijgen. Poetin vertrouwde ook destijds op zijn rapportages en dat de gevechtsgereedheid van zijn eenheden hoog was. Dat bleek uiteindelijk wat lager te zijn. Dat fenomeen kennen we allemaal. Er zijn ook een aantal indicatoren waar je zelf kunt kijken. Ga eens actief aan de slag, bijvoorbeeld met een crisisoefening. Ga eens een oefening door met een crisisstaff. Zit hem zelf eens voor en ga die vragen stellen die je ook tijdens een echte crisis zou stellen. Op het moment dat je dan de hiaten proeft en ziet, weet je ook of het werkt zoals het had moeten werken.

00:17:22
 Geert-Jan van de Ven: Ga eens naar basisbeveiliging.nl en ga eens kijken hoe de waardering is van jouw eigen website van jouw organisatie ten opzichte van de norm die we ons als overheid gesteld hebben. Als die daar rood is en in je rapportage staat die groen, dan heb je een gesprek te voeren.

00:17:37
 Interviewer: Tot slot, Geert-Jan, ik had het net over de toezicht. Betekent dat dat die bestuurder straks ook hoofdelijk aansprakelijk wordt?

00:17:43
 Geert-Jan van de Ven: De NIS2, de Europese regelgeving, spreekt over hoofdelijke aansprakelijkheid. De cyberbeveiligingsmet geeft daar invulling aan, ook hoofdelijke aansprakelijkheid, behalve voor de publieke sector. Binnen de overheid kennen we die hoofdelijke aansprakelijkheid niet. Door de Algemene wet bestuursrecht wordt dat niet getolereerd, maar er is nog steeds wel een aansprakelijkheid. Los daarvan - wat ik al eerder aangaf - als bestuurder van een overheidsorganisatie, waarbij je omgaat met gevoelige gegevens van burgers en bedrijven. Dan kan het toch niet zo zijn dat je niet die verantwoordelijkheid tot in je tenen en haarvaten voelt, om daar invulling aan te geven en verantwoordelijkheid in te nemen?

00:18:32
 Geert-Jan van de Ven: Nogmaals, als ik als bestuurder een flater heb geslagen, waardoor gevoelige informatie van burgers op straat ligt, onze organisatie gehijackt is en wij niet meer de diensten kunnen leveren waar de burger recht op heeft. Dan zou ik mijn ogen uit mijn kop schamen op het moment dat ik er niet alles aan gedaan heb om dat te voorkomen.

00:18:55
 Interviewer: Weet je wat ik wel een mooi beeld vind van wat je net zei? Stel dat je twijfelt en niet zo goed weet of je het wel goed doet en genoeg doet. Volgens mij wel. Is het niet zo dat je het nog niet goed genoeg hebt gedaan, als je de informatiebeveiliging niet net zo serieus neemt en er niet net zoveel aandacht aan geeft als de geldstromen en budgetten? Zoiets? Is dat niet de conclusie dan?

00:19:17
 Geert-Jan van de Ven: Dat is de spijker op zijn kop. Nogmaals, dan zou ik ook zeggen om nog eens terug te kijken. Alle bestuurders weten dat ze met de financial controller en de accountant aan tafel zitten. Iedere bestuurder zit aan het eind van het eerste kwartaal met samengeknepen billen te wachten op de goedkeurende accountantsverklaring over het afgelopen jaar. Hoe mooi zou het zijn als daarin ook verantwoordelijkheid wordt genomen over de wijze waarop ze invulling geven aan hun informatiebeveiliging?

00:19:47
 Interviewer: Kijk eens aan. Ik kan me voorstellen dat het één en ander nog allemaal vragen oproept. Of dat mensen misschien benieuwd zijn waar ze al die handreikingen kunnen vinden. Waar moeten ze dan zijn?

00:19:55
 Geert-Jan van de Ven: Cip-overheid.nl of bio-overheid.nl. Op het moment dat de vraag niet beantwoord wordt met een product, vul het contactformulier in en wij komen op de lijn.

00:20:08
 Interviewer: Dank je wel, Geert-Jan.

00:20:09
 Geert-Jan van de Ven: Graag gedaan.