{"id":85949,"date":"2025-08-13T02:12:29","date_gmt":"2025-08-13T02:12:29","guid":{"rendered":"https:\/\/hanstimmerman.me\/?p=85949"},"modified":"2025-08-13T07:42:18","modified_gmt":"2025-08-13T07:42:18","slug":"security-is-geen-bijzaak-het-is-een-vak-en-een-plicht","status":"publish","type":"post","link":"https:\/\/hanstimmerman.me\/nl_nl\/security-is-geen-bijzaak-het-is-een-vak-en-een-plicht\/","title":{"rendered":"Security is geen bijzaak: het is een vak \u00e9n een plicht"},"content":{"rendered":"

English version: scroll down<\/i><\/i><\/span><\/p>\n

Elke dag lezen we over nieuwe hacks, datalekken en digitale gijzelingen. Alsof het normaal is geworden dat systemen falen en informatie op straat belandt. Maar veiligheid is geen technisch trucje dat je achteraf toevoegt. Het is een vak. Een manier van denken. En het is \u00f3\u00f3k een persoonlijke verantwoordelijkheid van bestuurders en politici. Want wie de veiligheid van burgers in handen krijgt, draagt meer dan een taak \u2014 hij draagt een belofte.<\/span><\/h5>\n

Security is een vak<\/b><\/span><\/p>\n

De afgelopen weken lijkt er geen dag voorbij te gaan zonder nieuws over gehackte databases, gegijzelde systemen of grootschalige digitale inbraken. Overheden, bedrijven, ziekenhuizen, universiteiten \u2013 niemand lijkt veilig. Maar bij al die incidenten valt me steeds hetzelfde op: security wordt nog te vaak gezien als een technische aanvulling op informatiemanagement of digitalisering. Een handige extra laag, een softwarepakket, een protocol. Terwijl het dat n\u00edet is. Security is een vak. Een discipline met een eigen manier van denken, die helemaal aan de basis moet liggen van elk ontwerp \u2013 of het nu gaat om een fysiek of een digitaal systeem.<\/span><\/p>\n

En er is nog iets wat we vaak vergeten: veiligheid is \u00f3\u00f3k een bestuurlijke verantwoordelijkheid. Als een systeem faalt en burgers schade oplopen, mag die verantwoordelijkheid niet zomaar verdampen in de anonimiteit van een \u2018organisatie\u2019. Veiligheid moet altijd terug te voeren zijn op mensen met naam en toenaam die bereid – en zelfs verplicht – zijn daar verantwoording over af te leggen.<\/span><\/p>\n

Veiligheid is een manier van denken<\/b><\/span><\/p>\n

Veiligheidsdenken staat los van het medium waarin je werkt. Het maakt niet uit of het gaat om sloten en camera\u2019s. Of om firewalls en encryptie. Het is, net als systems engineering en kwaliteitsmanagement, vooral een denkwijze: in het ene geval denk je in technische of kwaliteitssystemen, in het andere in risico’s en gevaren. In beide vakgebieden speelt \u2018compartimentering\u2019 een hoofdrol. Hoe zijn onderdelen met elkaar verbonden of juist losgekoppeld? Kunnen ze elkaar be\u00efnvloeden? En wat gebeurt er als een onderdeel faalt? Kunnen er oncontroleerbare kettingreacties optreden? Is het te testen?<\/span><\/p>\n

In veiligheidsdenken is het scheiden van subsystemen geen luxe, maar een kernparameter van het ontwerp. Zonder die manier van denken, bouw je altijd kwetsbare systemen. En hier ligt een belangrijke bestuurlijke dimensie: wie een systeem laat bouwen of beheren, draagt ook de eindverantwoordelijkheid voor de veiligheid ervan. Dat geldt voor de ontwerper maar net zo goed voor een CEO als voor een minister.<\/span><\/p>\n

De zwarte doos en het leren van fouten<\/b><\/span><\/p>\n

Een van de mooiste voorbeelden van die denkwijze komt uit de luchtvaart. Na elk vliegtuigongeluk wordt de zwarte doos uitgelezen om te reconstrueren wat er precies gebeurde. Vaak blijkt dat het ongeluk het resultaat was van een reeks toevallige omstandigheden waar de ontwerper nooit rekening mee had gehouden. Door deze reconstructies en conclusies verplicht met alle ontwerpers en fabrikanten te delen, leert de hele sector van elk incident.<\/span><\/p>\n

Dat is waarom vliegen tegenwoordig een van de veiligste vormen van transport is: niet omdat er nooit fouten worden gemaakt, maar omdat er openheid is over fouten en kettingreacties. En als een toestel neerstort, is naast de cockpit ook het bestuur van de vliegtuigbouwer en luchtvaartmaatschappij verantwoordelijk. Dat persoonlijke verantwoordelijkheidsgevoel is in veel sectoren verdwenen \u2013 en in de digitale wereld bijna afwezig.<\/span><\/p>\n

Waarom digitaal zoveel lastiger is<\/b><\/span><\/p>\n

Fysieke systemen kun je zien, aanraken en je er een voorstelling van maken. Digitale systemen bestaan voor het oog niet; ze zijn abstract, complex en grotendeels onzichtbaar. Dat maakt ze lastiger te begrijpen en dus ook lastiger te beveiligen. Juist daarom is het digitale veiligheidsvak exponentieel moeilijker. Het vraagt dat de kern van elk ontwerp veilig is \u2013 vanaf de eerste schets. Elk nieuw onderdeel moet voldoen aan die veiligheidsbasis, of het nu een module, een koppeling of een interface is.<\/span><\/p>\n

En het vraagt bestuurders die begrijpen wat deze complexiteit – en dus deze verantwoordelijkheid – betekent. Niet wegkijken omdat \u201cde ICT-afdeling\u201d het wel regelt, maar actief en inhoudelijk betrokken zijn bij ontwerpkeuzen, risicoanalyses en maatregelen. Veiligheid is niet te delegeren zonder toezicht \u2013 net zoals een kapitein nooit kan zeggen dat hij niet wist wat er in zijn machinekamer gebeurde.\u00a0<\/span><\/p>\n

Security is onhandig \u2013 en dat is maar goed ook<\/b><\/span><\/p>\n

Een veilig systeem is zelden het makkelijkste systeem. Het is belast met maatregelen die gebruikers soms lastig of omslachtig vinden. Strikte compartimentering, het vier-ogen-principe, alles achter slot en grendel achterlaten, bestanden die alleen herkenbaar zijn via betekenisloze nummers \u2013 allemaal voorbeelden van maatregelen die in de dagelijkse praktijk als hinderlijk worden ervaren. Maar veiligheid vraagt discipline. En discipline is nu eenmaal niet altijd comfortabel.<\/span><\/p>\n

Bestuurders moeten dat ongemak niet zien als een belemmering, maar als een toevertrouwde verantwoordelijkheid en dus een investering in vertrouwen. Dat vraagt integere en vakbekwame \u00a0bestuurders en politici. Zonder dat wint te vaak gemak het van veiligheid \u2013 met rampzalige gevolgen en snel verdampende verantwoordelijkheden.<\/span><\/p>\n

Oude lessen, nieuwe context<\/b><\/span><\/p>\n

In de fysieke beveiliging werkten we decennia geleden al met methoden en technieken als datamasking, pseudonimisering en anonimisering van persoons-, gebouw- en toegangsgegevens. We koppelden bestanden via betekenisloze nummers en bewaarden data gescheiden. Het werkte uitstekend, lang voor de digitale revolutie.<\/span><\/p>\n

Diezelfde principes kunnen ook in digitale systemen worden toegepast \u2013 en vaak veel effici\u00ebnter zelfs \u2013 maar ze vragen een organisatie die de discipline heeft om dat consequent te doen. Hier faalt het vaak niet op techniek, maar op leiderschap: wie aan het roer staat, moet deze discipline en vakkennis eisen, handhaven \u00e9n zelf naleven.\u00a0<\/span><\/p>\n

Veiligheidsdenken als vak \u00e9n verantwoordelijkheid<\/b><\/span><\/p>\n

Juist daarom moet veiligheidsdenken als zelfstandig vak veel breder worden onderwezen. Niet alleen aan informatici of engineers, maar in iedere discipline waar systemen worden ontworpen, gebouwd of bestuurd. Zelf werk ik met DigiCorp Labs vanuit de campus van The Hague Security Delta in Den Haag \u2013 een broedplaats van bedrijven, van gevestigde spelers tot starters, die allemaal de \u2018geest van veiligheid\u2019 delen. De Security Delta is twaalf jaar geleden opgericht en past perfect in de stad van vrede en veiligheid. Hier zien we dagelijks hoe digitale veiligheid steeds belangrijker wordt in onze digitaal steeds onvriendelijker wereld.<\/span><\/p>\n

We leven in een digitaal vijandige, soms zelfs oorlogszuchtige wereld. Dat vraagt een manier van denken die soms bijna militair is. De vriendelijke belofte van digitalisering heeft plaatsgemaakt voor een harde realiteit van digitale spionage, afpersing en sabotage. Daarbij kunnen we de verantwoordelijkheid voor veiligheid niet langer alleen bij de CISO neerleggen. Veiligheid is een boardroom-zaak.<\/span><\/p>\n

Als een vliegtuig verongelukt, is de directie verantwoordelijk, niet alleen de ontwerpers. Zo zou het ook in de digitale wereld moeten zijn. Bestuurders en politici moeten weten wat de risico\u2019s zijn, begrijpen welke maatregelen nodig zijn en persoonlijk bereid zijn daar verantwoording over af te leggen. Niet als abstracte \u2018organisatie\u2019, maar als mensen met naam en toenaam.<\/span><\/p>\n

De kern blijft hetzelfde<\/b><\/span><\/p>\n

De recente gijzelingen van medische data laten zien wat er op het spel staat. Slachtoffers dragen het verlies van hun privacy en veiligheid hun hele leven met zich mee. Dat vraagt om meer dan technische oplossingen: het vraagt om leiders die zich persoonlijk verantwoordelijk voelen voor het beschermen van de gegevens die burgers hun in goed vertrouwen hebben toevertrouwd.\u00a0<\/span><\/p>\n

Of het nu gaat om een toegangsdeur van een kantoorpand of een database vol persoonsgegevens, de principes zijn identiek. Compartimenteren, discipline, en bovenal: ontwerpen vanuit het idee dat veiligheid geen optie is, maar een uitgangspunt. Veiligheid is geen plug-in. Het is geen afdeling die achteraf mag \u2018meedenken\u2019. Het is een vak \u2013 en een belofte. Een belofte waarvoor iemand altijd persoonlijk verantwoordelijk moet zijn.<\/span><\/p>\n

Photo by Nathan Dumlao<\/a> on Unsplash<\/a><\/p>\n

\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014-\u00a0 <\/span>Translated by ChatGPT\u00a0 <\/span>\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014<\/span><\/p>\n

Security is not a side issue \u2013 it\u2019s a profession and a duty<\/b><\/span><\/p>\n

In recent weeks, hardly a day has passed without news of hacked databases, ransomware attacks or large-scale digital breaches. Governments, companies, hospitals, universities \u2013 no one seems safe. Yet in all these incidents, one thing stands out to me: security is still too often treated as a technical add-on to information management or digitalisation. A handy extra layer, a software package, a protocol. But it isn\u2019t that.<\/span><\/h5>\n

Security is a profession. A discipline with its own mindset, one that must be embedded at the very core of any design \u2013 whether for a physical or a digital system.<\/span><\/p>\n

And there\u2019s something else we tend to forget: safety is also a matter of leadership responsibility. If a system fails and citizens are harmed, that responsibility should not dissolve into the anonymity of an \u201corganisation.\u201d Accountability must always come down to real people, with real names, who are prepared to answer for the consequences.<\/span><\/p>\n

Safety is a way of thinking<\/b><\/span><\/p>\n

Security thinking is independent of the medium you work in. Whether it\u2019s locks and cameras, or firewalls and encryption \u2013 the principle is the same. Like systems engineering, it is primarily a mindset: in one case you think in systems, in the other, in threats.<\/span><\/p>\n

In both fields, \u201ccompartmentalisation\u201d is key. How are components connected? Can they influence each other? What happens if one component fails? In security design, separating subsystems is not a luxury \u2013 it\u2019s a core design parameter. Without that mindset, you always end up with vulnerable systems. And here lies an important governance dimension: those who commission or operate a system also carry ultimate responsibility for its safety. This applies equally to a CEO as to a government minister.<\/span><\/p>\n

The black box and learning from mistakes<\/b><\/span><\/p>\n

One of the best examples of this mindset comes from aviation. After every plane crash, the black box is analysed to reconstruct what exactly happened. Often, it turns out the accident was the result of a series of unforeseen events the designer had never anticipated.<\/span><\/p>\n

By law, these reconstructions must be shared with all designers and manufacturers, so that the entire sector learns from each incident. This is why flying has become one of the safest forms of transport: not because mistakes never happen, but because there is openness about them and lessons are drawn from them.<\/span><\/p>\n

And when an aircraft crashes, it is the airline\u2019s leadership that is held accountable, not just the engineers. That sense of personal responsibility has vanished in many sectors \u2013 and is almost entirely absent in the digital world.<\/span><\/p>\n

Why digital is harder<\/b><\/span><\/p>\n

Physical systems can be seen, touched and imagined. Digital systems are abstract, complex and largely invisible. This makes them harder to understand \u2013 and harder to secure. That\u2019s why the digital security profession is exponentially more challenging.<\/span><\/p>\n

It requires that the core of any design is safe from the outset. Every new component must meet that security baseline, whether it\u2019s a module, an integration or an interface. Compartmentalisation must be constantly verified.<\/span><\/p>\n

It also requires leaders who truly understand what this complexity means \u2013 not those who \u201cleave it to the IT department,\u201d but leaders actively engaged in design decisions, risk analysis and preventive measures. Security cannot be delegated without oversight \u2013 just as a ship\u2019s captain cannot claim ignorance of what happens in the engine room.<\/span><\/p>\n

Security is inconvenient \u2013 and that\u2019s a good thing<\/b><\/span><\/p>\n

A secure system is rarely the most convenient one. It\u2019s burdened with measures users may find cumbersome: strict compartmentalisation, the four-eyes principle, files identified only by meaningless numbers. These safeguards are often labelled as obstacles \u2013 but they are essential. Security demands discipline. And discipline is rarely comfortable.<\/span><\/p>\n

Old lessons, new context<\/b><\/span><\/p>\n

In the world of physical security, decades ago, we already applied techniques such as data masking, pseudonymisation and anonymisation of personal, building and access records. We linked files via meaningless numbers and stored data separately. This worked extremely well \u2013 long before the digital revolution.<\/span><\/p>\n

The same principles can be applied to digital systems \u2013 often even more effectively \u2013 but they require organisations with the discipline to do so consistently. Here, failure often has less to do with technology and more to do with leadership: those at the helm must demand this discipline, enforce it, and embody it.<\/span><\/p>\n

Security thinking as a profession \u2013 and a responsibility<\/b><\/span><\/p>\n

That\u2019s why security thinking should be taught as a stand-alone discipline far more widely. Not only to IT specialists or engineers, but to anyone involved in designing, building or governing systems.<\/span><\/p>\n

I work with DigiCorp Labs from the campus of The Hague Security Delta in The Hague \u2013 a hub of established players and start-ups alike, united in a shared \u201cspirit of security.\u201d Founded twelve years ago, the Security Delta is perfectly at home in the city of peace and justice. Here, we witness daily how digital security is becoming ever more vital.<\/span><\/p>\n

We live in a digitally hostile, sometimes even warlike world. This calls for a mindset that is, at times, almost military. The friendly promise of digitalisation has been replaced by a hard reality of cyber espionage, extortion and sabotage. In this reality, we cannot leave security responsibility solely to the CISO. Security is a boardroom matter.<\/span><\/p>\n

When an aircraft crashes, it\u2019s the leadership that is accountable \u2013 not just the designers. The same should apply in the digital realm. Business leaders and politicians must understand the risks, know what measures are needed, and be willing to take personal responsibility for them. Not as an abstract \u201corganisation,\u201d but as individuals with names and faces.<\/span><\/p>\n

The core remains the same<\/b><\/span><\/p>\n

Recent ransomware attacks on medical data show what\u2019s at stake. Victims may carry the loss of their privacy and security for the rest of their lives. This demands more than technical fixes \u2013 it demands leaders who feel personally responsible for protecting the information entrusted to them by citizens in good faith.<\/span><\/p>\n

Whether it\u2019s a corporate front door or a database of personal records, the principles are identical: compartmentalisation, discipline, and above all, designing with the idea that safety is not an option, but a foundation. Security is not a plug-in. It is not a department to be consulted later. It is a profession \u2013 and a promise.<\/span><\/p>\n

And a promise always comes with a name.<\/span><\/p>\n

Suggested hashtags (LinkedIn \/ social media)<\/b><\/span><\/p>\n

#CyberSecurity; #BoardroomResponsibility; #SecurityByDesign; #DigitalSafety; #DataProtection; #LeadershipAccountability; #CISO; #PrivacyProtection; #CyberRisk; #InfoSec;<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

In recent weeks, hardly a day has passed without news of hacked databases, ransomware attacks or large-scale digital breaches. Governments, companies, hospitals, universities \u2013 no one seems safe. Yet in all these incidents, one thing stands out to me: security is still too often treated as a technical add-on to information management or digitalisation. A handy extra layer, a software package, a protocol. But it isn\u2019t that.<\/p>\n","protected":false},"author":3,"featured_media":85953,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[338,232,70,75,80],"tags":[656],"class_list":["post-85949","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity","category-digicorp-labs","category-data-ownership","category-innovation","category-trusted-it","tag-cybersecurity-boardroomresponsibility-securitybydesign-digitalsafety-dataprotection-leadershipaccountability-ciso-privacyprotection-cyberrisk-infosec"],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/hanstimmerman.me\/wp-content\/uploads\/2025\/08\/nathan-dumlao-pdmKdSALS94-unsplash-scaled-e1755050573874.jpg?fit=1707%2C1160&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/posts\/85949","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/comments?post=85949"}],"version-history":[{"count":8,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/posts\/85949\/revisions"}],"predecessor-version":[{"id":85961,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/posts\/85949\/revisions\/85961"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/media\/85953"}],"wp:attachment":[{"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/media?parent=85949"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/categories?post=85949"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/tags?post=85949"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}