English version: scroll down

Elke dag lezen we over nieuwe hacks, datalekken en digitale gijzelingen. Alsof het normaal is geworden dat systemen falen en informatie op straat belandt. Maar veiligheid is geen technisch trucje dat je achteraf toevoegt. Het is een vak. Een manier van denken. En het is óók een persoonlijke verantwoordelijkheid van bestuurders en politici. Want wie de veiligheid van burgers in handen krijgt, draagt meer dan een taak — hij draagt een belofte.

Security is een vak

De afgelopen weken lijkt er geen dag voorbij te gaan zonder nieuws over gehackte databases, gegijzelde systemen of grootschalige digitale inbraken. Overheden, bedrijven, ziekenhuizen, universiteiten – niemand lijkt veilig. Maar bij al die incidenten valt me steeds hetzelfde op: security wordt nog te vaak gezien als een technische aanvulling op informatiemanagement of digitalisering. Een handige extra laag, een softwarepakket, een protocol. Terwijl het dat níet is. Security is een vak. Een discipline met een eigen manier van denken, die helemaal aan de basis moet liggen van elk ontwerp – of het nu gaat om een fysiek of een digitaal systeem.

En er is nog iets wat we vaak vergeten: veiligheid is óók een bestuurlijke verantwoordelijkheid. Als een systeem faalt en burgers schade oplopen, mag die verantwoordelijkheid niet zomaar verdampen in de anonimiteit van een ‘organisatie’. Veiligheid moet altijd terug te voeren zijn op mensen met naam en toenaam die bereid – en zelfs verplicht – zijn daar verantwoording over af te leggen.

Veiligheid is een manier van denken

Veiligheidsdenken staat los van het medium waarin je werkt. Het maakt niet uit of het gaat om sloten en camera’s. Of om firewalls en encryptie. Het is, net als systems engineering en kwaliteitsmanagement, vooral een denkwijze: in het ene geval denk je in technische of kwaliteitssystemen, in het andere in risico’s en gevaren. In beide vakgebieden speelt ‘compartimentering’ een hoofdrol. Hoe zijn onderdelen met elkaar verbonden of juist losgekoppeld? Kunnen ze elkaar beïnvloeden? En wat gebeurt er als een onderdeel faalt? Kunnen er oncontroleerbare kettingreacties optreden? Is het te testen?

In veiligheidsdenken is het scheiden van subsystemen geen luxe, maar een kernparameter van het ontwerp. Zonder die manier van denken, bouw je altijd kwetsbare systemen. En hier ligt een belangrijke bestuurlijke dimensie: wie een systeem laat bouwen of beheren, draagt ook de eindverantwoordelijkheid voor de veiligheid ervan. Dat geldt voor de ontwerper maar net zo goed voor een CEO als voor een minister.

De zwarte doos en het leren van fouten

Een van de mooiste voorbeelden van die denkwijze komt uit de luchtvaart. Na elk vliegtuigongeluk wordt de zwarte doos uitgelezen om te reconstrueren wat er precies gebeurde. Vaak blijkt dat het ongeluk het resultaat was van een reeks toevallige omstandigheden waar de ontwerper nooit rekening mee had gehouden. Door deze reconstructies en conclusies verplicht met alle ontwerpers en fabrikanten te delen, leert de hele sector van elk incident.

Dat is waarom vliegen tegenwoordig een van de veiligste vormen van transport is: niet omdat er nooit fouten worden gemaakt, maar omdat er openheid is over fouten en kettingreacties. En als een toestel neerstort, is naast de cockpit ook het bestuur van de vliegtuigbouwer en luchtvaartmaatschappij verantwoordelijk. Dat persoonlijke verantwoordelijkheidsgevoel is in veel sectoren verdwenen – en in de digitale wereld bijna afwezig.

Waarom digitaal zoveel lastiger is

Fysieke systemen kun je zien, aanraken en je er een voorstelling van maken. Digitale systemen bestaan voor het oog niet; ze zijn abstract, complex en grotendeels onzichtbaar. Dat maakt ze lastiger te begrijpen en dus ook lastiger te beveiligen. Juist daarom is het digitale veiligheidsvak exponentieel moeilijker. Het vraagt dat de kern van elk ontwerp veilig is – vanaf de eerste schets. Elk nieuw onderdeel moet voldoen aan die veiligheidsbasis, of het nu een module, een koppeling of een interface is.

En het vraagt bestuurders die begrijpen wat deze complexiteit – en dus deze verantwoordelijkheid – betekent. Niet wegkijken omdat “de ICT-afdeling” het wel regelt, maar actief en inhoudelijk betrokken zijn bij ontwerpkeuzen, risicoanalyses en maatregelen. Veiligheid is niet te delegeren zonder toezicht – net zoals een kapitein nooit kan zeggen dat hij niet wist wat er in zijn machinekamer gebeurde. 

Security is onhandig – en dat is maar goed ook

Een veilig systeem is zelden het makkelijkste systeem. Het is belast met maatregelen die gebruikers soms lastig of omslachtig vinden. Strikte compartimentering, het vier-ogen-principe, alles achter slot en grendel achterlaten, bestanden die alleen herkenbaar zijn via betekenisloze nummers – allemaal voorbeelden van maatregelen die in de dagelijkse praktijk als hinderlijk worden ervaren. Maar veiligheid vraagt discipline. En discipline is nu eenmaal niet altijd comfortabel.

Bestuurders moeten dat ongemak niet zien als een belemmering, maar als een toevertrouwde verantwoordelijkheid en dus een investering in vertrouwen. Dat vraagt integere en vakbekwame  bestuurders en politici. Zonder dat wint te vaak gemak het van veiligheid – met rampzalige gevolgen en snel verdampende verantwoordelijkheden.

Oude lessen, nieuwe context

In de fysieke beveiliging werkten we decennia geleden al met methoden en technieken als datamasking, pseudonimisering en anonimisering van persoons-, gebouw- en toegangsgegevens. We koppelden bestanden via betekenisloze nummers en bewaarden data gescheiden. Het werkte uitstekend, lang voor de digitale revolutie.

Diezelfde principes kunnen ook in digitale systemen worden toegepast – en vaak veel efficiënter zelfs – maar ze vragen een organisatie die de discipline heeft om dat consequent te doen. Hier faalt het vaak niet op techniek, maar op leiderschap: wie aan het roer staat, moet deze discipline en vakkennis eisen, handhaven én zelf naleven. 

Veiligheidsdenken als vak én verantwoordelijkheid

Juist daarom moet veiligheidsdenken als zelfstandig vak veel breder worden onderwezen. Niet alleen aan informatici of engineers, maar in iedere discipline waar systemen worden ontworpen, gebouwd of bestuurd. Zelf werk ik met DigiCorp Labs vanuit de campus van The Hague Security Delta in Den Haag – een broedplaats van bedrijven, van gevestigde spelers tot starters, die allemaal de ‘geest van veiligheid’ delen. De Security Delta is twaalf jaar geleden opgericht en past perfect in de stad van vrede en veiligheid. Hier zien we dagelijks hoe digitale veiligheid steeds belangrijker wordt in onze digitaal steeds onvriendelijker wereld.

We leven in een digitaal vijandige, soms zelfs oorlogszuchtige wereld. Dat vraagt een manier van denken die soms bijna militair is. De vriendelijke belofte van digitalisering heeft plaatsgemaakt voor een harde realiteit van digitale spionage, afpersing en sabotage. Daarbij kunnen we de verantwoordelijkheid voor veiligheid niet langer alleen bij de CISO neerleggen. Veiligheid is een boardroom-zaak.

Als een vliegtuig verongelukt, is de directie verantwoordelijk, niet alleen de ontwerpers. Zo zou het ook in de digitale wereld moeten zijn. Bestuurders en politici moeten weten wat de risico’s zijn, begrijpen welke maatregelen nodig zijn en persoonlijk bereid zijn daar verantwoording over af te leggen. Niet als abstracte ‘organisatie’, maar als mensen met naam en toenaam.

De kern blijft hetzelfde

De recente gijzelingen van medische data laten zien wat er op het spel staat. Slachtoffers dragen het verlies van hun privacy en veiligheid hun hele leven met zich mee. Dat vraagt om meer dan technische oplossingen: het vraagt om leiders die zich persoonlijk verantwoordelijk voelen voor het beschermen van de gegevens die burgers hun in goed vertrouwen hebben toevertrouwd. 

Of het nu gaat om een toegangsdeur van een kantoorpand of een database vol persoonsgegevens, de principes zijn identiek. Compartimenteren, discipline, en bovenal: ontwerpen vanuit het idee dat veiligheid geen optie is, maar een uitgangspunt. Veiligheid is geen plug-in. Het is geen afdeling die achteraf mag ‘meedenken’. Het is een vak – en een belofte. Een belofte waarvoor iemand altijd persoonlijk verantwoordelijk moet zijn.

Photo by Nathan Dumlao on Unsplash

————————-  Translated by ChatGPT  ————————

Security is not a side issue – it’s a profession and a duty

In recent weeks, hardly a day has passed without news of hacked databases, ransomware attacks or large-scale digital breaches. Governments, companies, hospitals, universities – no one seems safe. Yet in all these incidents, one thing stands out to me: security is still too often treated as a technical add-on to information management or digitalisation. A handy extra layer, a software package, a protocol. But it isn’t that.

Security is a profession. A discipline with its own mindset, one that must be embedded at the very core of any design – whether for a physical or a digital system.

And there’s something else we tend to forget: safety is also a matter of leadership responsibility. If a system fails and citizens are harmed, that responsibility should not dissolve into the anonymity of an “organisation.” Accountability must always come down to real people, with real names, who are prepared to answer for the consequences.

Safety is a way of thinking

Security thinking is independent of the medium you work in. Whether it’s locks and cameras, or firewalls and encryption – the principle is the same. Like systems engineering, it is primarily a mindset: in one case you think in systems, in the other, in threats.

In both fields, “compartmentalisation” is key. How are components connected? Can they influence each other? What happens if one component fails? In security design, separating subsystems is not a luxury – it’s a core design parameter. Without that mindset, you always end up with vulnerable systems. And here lies an important governance dimension: those who commission or operate a system also carry ultimate responsibility for its safety. This applies equally to a CEO as to a government minister.

The black box and learning from mistakes

One of the best examples of this mindset comes from aviation. After every plane crash, the black box is analysed to reconstruct what exactly happened. Often, it turns out the accident was the result of a series of unforeseen events the designer had never anticipated.

By law, these reconstructions must be shared with all designers and manufacturers, so that the entire sector learns from each incident. This is why flying has become one of the safest forms of transport: not because mistakes never happen, but because there is openness about them and lessons are drawn from them.

And when an aircraft crashes, it is the airline’s leadership that is held accountable, not just the engineers. That sense of personal responsibility has vanished in many sectors – and is almost entirely absent in the digital world.

Why digital is harder

Physical systems can be seen, touched and imagined. Digital systems are abstract, complex and largely invisible. This makes them harder to understand – and harder to secure. That’s why the digital security profession is exponentially more challenging.

It requires that the core of any design is safe from the outset. Every new component must meet that security baseline, whether it’s a module, an integration or an interface. Compartmentalisation must be constantly verified.

It also requires leaders who truly understand what this complexity means – not those who “leave it to the IT department,” but leaders actively engaged in design decisions, risk analysis and preventive measures. Security cannot be delegated without oversight – just as a ship’s captain cannot claim ignorance of what happens in the engine room.

Security is inconvenient – and that’s a good thing

A secure system is rarely the most convenient one. It’s burdened with measures users may find cumbersome: strict compartmentalisation, the four-eyes principle, files identified only by meaningless numbers. These safeguards are often labelled as obstacles – but they are essential. Security demands discipline. And discipline is rarely comfortable.

Old lessons, new context

In the world of physical security, decades ago, we already applied techniques such as data masking, pseudonymisation and anonymisation of personal, building and access records. We linked files via meaningless numbers and stored data separately. This worked extremely well – long before the digital revolution.

The same principles can be applied to digital systems – often even more effectively – but they require organisations with the discipline to do so consistently. Here, failure often has less to do with technology and more to do with leadership: those at the helm must demand this discipline, enforce it, and embody it.

Security thinking as a profession – and a responsibility

That’s why security thinking should be taught as a stand-alone discipline far more widely. Not only to IT specialists or engineers, but to anyone involved in designing, building or governing systems.

I work with DigiCorp Labs from the campus of The Hague Security Delta in The Hague – a hub of established players and start-ups alike, united in a shared “spirit of security.” Founded twelve years ago, the Security Delta is perfectly at home in the city of peace and justice. Here, we witness daily how digital security is becoming ever more vital.

We live in a digitally hostile, sometimes even warlike world. This calls for a mindset that is, at times, almost military. The friendly promise of digitalisation has been replaced by a hard reality of cyber espionage, extortion and sabotage. In this reality, we cannot leave security responsibility solely to the CISO. Security is a boardroom matter.

When an aircraft crashes, it’s the leadership that is accountable – not just the designers. The same should apply in the digital realm. Business leaders and politicians must understand the risks, know what measures are needed, and be willing to take personal responsibility for them. Not as an abstract “organisation,” but as individuals with names and faces.

The core remains the same

Recent ransomware attacks on medical data show what’s at stake. Victims may carry the loss of their privacy and security for the rest of their lives. This demands more than technical fixes – it demands leaders who feel personally responsible for protecting the information entrusted to them by citizens in good faith.

Whether it’s a corporate front door or a database of personal records, the principles are identical: compartmentalisation, discipline, and above all, designing with the idea that safety is not an option, but a foundation. Security is not a plug-in. It is not a department to be consulted later. It is a profession – and a promise.

And a promise always comes with a name.

Suggested hashtags (LinkedIn / social media)

#CyberSecurity; #BoardroomResponsibility; #SecurityByDesign; #DigitalSafety; #DataProtection; #LeadershipAccountability; #CISO; #PrivacyProtection; #CyberRisk; #InfoSec;