Solliteren naar een baan als CISO of ISO? Dan is een goede voorbereiding belangrijk! Dit zijn de meestgestelde vragen, met antwoorden, om je voor te bereiden op een sollicitatiegesprek voor een baan als (C)ISO. Werkgevers verwachten inzicht in strategisch risicobeheer, wet- en regelgeving zoals de AVG, NEN 7510 en BIO, en de vaardigheid om informatiebeveiliging te vertalen naar beleid en praktijk.
Onderstaande 50 interviewvragen en antwoorden helpen je om zelfverzekerd en professioneel het gesprek in te gaan.
1. Wat zijn de kerntaken van een CISO binnen een Nederlandse organisatie?
De Chief Information Security Officer (CISO) is verantwoordelijk voor het opzetten, onderhouden en verbeteren van het informatiebeveiligingsbeleid. In Nederland betekent dit voldoen aan kaders zoals de AVG, BIO, NEN 7510 en ISO 27001. De CISO zorgt voor een integraal ISMS, voert risicoanalyses uit, adviseert het bestuur en fungeert als schakel tussen IT, privacy en management. In de zorg of overheid heeft de CISO ook een signalerende rol richting externe partijen zoals Z-CERT of de Autoriteit Persoonsgegevens. Naast strategische taken begeleidt de CISO ook audits en incidentrespons. De kerntaak is het aantoonbaar borgen van continuïteit en vertrouwelijkheid van informatie in lijn met wetgeving en organisatiedoelen.
2. Wat is het verschil tussen een CISO en een ISO?
De CISO is eindverantwoordelijk voor het strategische informatiebeveiligingsbeleid van de organisatie. De ISO (Information Security Officer) voert dit beleid op tactisch en operationeel niveau uit. Waar de CISO rapporteert aan bestuur en externe toezichthouders, is de ISO belast met de dagelijkse implementatie van maatregelen zoals toegangsbeheer, monitoring, bewustwording en documentatie. De ISO werkt vaak nauw samen met de privacy officer en systeembeheerders. In kleinere organisaties worden deze rollen soms gecombineerd, maar in volwassen ISMS-omgevingen zijn ze gescheiden. De CISO bewaakt de lange termijn en compliance; de ISO vertaalt dit naar acties op de werkvloer en zorgt voor borging in processen.
3. Wat is een ISMS en waarom is het belangrijk?
Een Informatiebeveiligingsmanagementsysteem (ISMS) is de systematische aanpak om informatiebeveiliging binnen een organisatie te plannen, uit te voeren, te monitoren en bij te stellen. Het vormt het fundament voor normen zoals ISO 27001 en NEN 7510. Een ISMS zorgt dat risico’s structureel worden beheerd, maatregelen worden genomen en compliance aantoonbaar is. Denk aan beleid, processen, risicobeoordelingen, incidentprocedures en audits. Zonder ISMS is informatiebeveiliging vaak ad hoc en ongestructureerd. In sectoren als zorg en overheid is een ISMS vereist voor certificering en toezicht. Een effectief ISMS ondersteunt ook bewustwording, continue verbetering en besluitvorming over informatiebeveiligingsprioriteiten.
4. Hoe verhoudt de AVG zich tot informatiebeveiliging?
De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende maatregelen treffen om persoonsgegevens te beschermen. Informatiebeveiliging is daarmee een verplicht onderdeel van privacybescherming. Artikel 32 van de AVG benoemt expliciet maatregelen zoals pseudonimisering, encryptie, beschikbaarheid en herstelbaarheid van gegevens. De AVG schrijft ook voor dat datalekken moeten worden gemeld en risico’s vooraf beoordeeld (DPIA). De CISO of ISO moet zorgen dat het ISMS privacyrisico’s adresseert en dat beleid en praktijk voldoen aan de AVG. In de zorg en overheid geldt bovendien dat privacy en informatiebeveiliging aantoonbaar geïntegreerd moeten zijn in processen en systemen.
5. Wat is de rol van risicoanalyse binnen informatiebeveiliging?
Risicoanalyse vormt de kern van informatiebeveiliging. Zonder inzicht in risico’s is het onmogelijk om gerichte en proportionele maatregelen te treffen. De risicoanalyse start bij het in kaart brengen van processen, systemen en informatiestromen. Vervolgens worden dreigingen, kwetsbaarheden en gevolgen beoordeeld, vaak aan de hand van BIV-classificatie (Beschikbaarheid, Integriteit, Vertrouwelijkheid). Dit resulteert in een geprioriteerde risicomatrix. Organisaties die werken volgens ISO 27001 of NEN 7510 zijn verplicht deze analyse periodiek uit te voeren. De uitkomsten bepalen het beleid, de controls en de prioriteiten binnen het ISMS. De CISO waarborgt de kwaliteit en actualiteit van deze analyse.
6. Wat houdt de NEN 7510-norm in?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op ISO 27001 en 27002, maar bevat specifieke eisen voor de zorgcontext. Denk aan logging van toegang tot patiëntgegevens, veilige overdracht van medische informatie en afspraken over beveiliging bij ketenpartners. De norm is verplicht voor veel zorginstellingen via contracten met zorgverzekeraars, NEN-toetsing of certificatie. De CISO of ISO moet zorgen dat het ISMS aansluit bij NEN 7510, inclusief maatregelen, audits en documentatie. De norm helpt om risico’s voor patiëntgegevens te minimaliseren en is een belangrijk toetsingskader voor IGJ, Z-CERT en externe auditors.
7. Wat is het verschil tussen ISO 27001 en ISO 27002?
ISO 27001 is de certificeerbare norm die eisen stelt aan het opzetten, implementeren en onderhouden van een ISMS. ISO 27002 is een ondersteunende richtlijn met concrete beheersmaatregelen. Terwijl ISO 27001 zegt wat je moet regelen, beschrijft ISO 27002 hoe je dat praktisch kunt invullen. Denk aan toegangsbeheer, logging, encryptie en fysieke beveiliging. Bij certificering op ISO 27001 moet je kunnen aantonen dat je passende maatregelen hebt gekozen, onderbouwd in de Verklaring van Toepasselijkheid (SoA). ISO 27002 dient hierbij als handvat. De CISO bepaalt op basis van risicoanalyse welke controls relevant en passend zijn.
8. Hoe ga je om met een datalek?
Een datalek moet snel worden herkend, beoordeeld en – indien nodig – gemeld. Volgens de AVG is er binnen 72 uur een meldplicht aan de Autoriteit Persoonsgegevens als er risico is voor betrokkenen. In de zorg geldt daarnaast vaak meldplicht aan de IGJ. De CISO of ISO moet een proces inrichten voor signalering, beoordeling en registratie van datalekken. Medewerkers moeten weten hoe ze een incident melden. Het datalekregister moet compleet en actueel zijn. Ook is nazorg belangrijk: informeren van betrokkenen, structurele analyse en verbetermaatregelen. Gebruik van bestaande hulpmiddelen zoals de “Toolkit Melden Datalek” is aan te raden.
9. Wat is een DPIA en wanneer is het verplicht?
Een Data Protection Impact Assessment (DPIA) is een verplichte risicobeoordeling bij gegevensverwerkingen met een hoog privacyrisico. Denk aan verwerking van gezondheidsgegevens, cameratoezicht of profilering. De AVG schrijft een DPIA voor als de verwerking waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van betrokkenen. In de praktijk moet een DPIA worden uitgevoerd vóór de start van een nieuwe verwerking. De CISO werkt hierbij samen met de Functionaris Gegevensbescherming. De DPIA bevat een analyse van noodzaak, proportionaliteit, risico’s en maatregelen. Bij ernstige risico’s kan voorafgaand overleg met de Autoriteit Persoonsgegevens nodig zijn (artikel 36 AVG).
10. Wat is de BIO en wie moet eraan voldoen?
De Baseline Informatiebeveiliging Overheid (BIO) is het Nederlandse normenkader voor informatiebeveiliging binnen overheidsorganisaties zoals gemeenten, waterschappen, provincies en Rijksoverheid. De BIO is gebaseerd op ISO 27001 en 27002, maar aangevuld met overheidsbrede eisen. Het doel is uniforme beveiliging, gebaseerd op risicomanagement. De BIO verplicht onder meer tot het opzetten van een ISMS, uitvoeren van risicoanalyses, toepassen van beveiligingsmaatregelen en periodieke zelfevaluatie. Gemeenten gebruiken ENSIA als verantwoordingsinstrument richting de rijksoverheid. De CISO speelt een centrale rol in het vertalen van de BIO naar uitvoerbaar beleid, toezicht en rapportage binnen de organisatie.
11. Hoe beoordeel je de effectiviteit van een ISMS?
De effectiviteit van een ISMS beoordeel ik op drie niveaus: beleidsmatig, procesmatig en operationeel. Beleidsmatig kijk ik naar de aansluiting op organisatiedoelen en de betrokkenheid van het management. Procesmatig beoordeel ik of risicoanalyses, audits en managementreviews cyclisch worden uitgevoerd. Operationeel kijk ik of medewerkers het beleid kennen, incidenten worden geregistreerd en verbeteracties aantoonbaar zijn. Een ISMS is effectief als het leidt tot aantoonbare beheersing van risico’s en structurele verbetering. Ik gebruik daarbij volwassenheidsmodellen, zoals het ‘volwassenheidsmodel informatiebeveiliging’ uit de zorg. Een ISMS dat op papier perfect is, maar niet gedragen wordt in de praktijk, is in mijn ogen ineffectief.
12. Hoe breng je risico’s in kaart binnen een zorg- of onderwijsinstelling?
Ik begin met een inventarisatie van kritieke processen, informatiestromen en systemen, idealiter samen met proceseigenaren. Daarna koppel ik gegevens aan BIV-classificaties: welke gegevens zijn vertrouwelijk, beschikbaarheidskritisch of integriteitsgevoelig? Ik breng dreigingen in kaart, zoals menselijke fouten, ransomware of uitval van cloudservices, en koppel die aan kwetsbaarheden binnen de organisatie. De kans- en impactinschatting gebeurt met een risicomatrix, afgestemd op het risicoprofiel van de instelling. In de zorg houd ik rekening met Z-CERT-informatie, in het onderwijs met SURF-beveiligingsstandaarden. De uitkomst is een actueel risicoregister dat de basis vormt voor maatregelen en prioriteiten binnen het ISMS.
13. Hoe ga je om met weerstanden bij implementatie van beveiligingsmaatregelen?
Weerstand ontstaat vaak uit onduidelijkheid of angst voor extra werk. Daarom start ik bij de waarom-vraag: ik leg uit welk risico de maatregel adresseert, met voorbeelden uit de eigen praktijk of sector. Daarna kijk ik naar de impact op het werkproces. Samen met gebruikers pas ik maatregelen aan zodat ze werkbaar én effectief zijn. Ik zorg voor duidelijke communicatie, betrokkenheid van sleutelpersonen en een terugkoppeling van resultaten. Ook maak ik beveiliging zichtbaar in verbeteringen, zoals sneller herstel bij incidenten. Weerstand verdwijnt meestal als medewerkers snappen dat informatiebeveiliging helpt om hun werk beter, veiliger en betrouwbaarder te doen.
14. Wat zijn de wettelijke verplichtingen bij datalekken?
Volgens de AVG is er een meldplicht bij de Autoriteit Persoonsgegevens (AP) binnen 72 uur na ontdekking van een datalek, mits het lek een risico vormt voor de rechten en vrijheden van betrokkenen. In de zorg moet ook de Inspectie Gezondheidszorg en Jeugd (IGJ) worden geïnformeerd. Elke organisatie moet een intern datalekregister bijhouden en kunnen aantonen hoe incidenten worden beoordeeld, gemeld en opgevolgd. De CISO of ISO moet zorgen voor een proces waarin medewerkers lekken herkennen, melden en registreren. Ook is er een documentatieplicht, zelfs bij niet-meldingsplichtige lekken. Goede registratie en opvolging zijn cruciaal bij audits of inspecties.
15. Hoe zorg je dat het bestuur informatiebeveiliging serieus neemt?
Bestuurders denken in risico’s, reputatie en continuïteit. Daarom vertaal ik technische risico’s naar bestuurlijke impact. Wat gebeurt er als systemen uitvallen? Wat zijn de kosten van dataverlies? Welke reputatieschade leidt een datalek op? Ik maak informatiebeveiliging tastbaar met sectorvoorbeelden, dashboards en risicoanalyses in begrijpelijke taal. Ik koppel beveiliging aan strategische thema’s zoals digitale transformatie of patiëntveiligheid. Belangrijk is dat informatiebeveiliging als bestuursverantwoordelijkheid wordt gezien en niet als ICT-zorg. Daarom zorg ik dat het onderwerp terugkomt in jaarplannen, audits en managementoverleggen. Actieve rapportage en bestuurlijk eigenaarschap zijn essentieel voor een werkend ISMS.
16. Wat is je aanpak bij een interne audit op informatiebeveiliging?
Ik zie audits als leerinstrument. Vooraf bepaal ik samen met de auditor de scope, criteria en doelstellingen. Ik betrek relevante sleutelfiguren zoals functioneel beheerders, beleidsadviseurs en teamleiders. Tijdens de audit geef ik openheid van zaken, toon documentatie en laat processen zien zoals risicoanalyse, incidentregistratie en bewustwordingstrainingen. Ik bespreek afwijkingen constructief en zet direct verbeteracties uit. De uitkomsten worden vastgelegd in een auditrapport en opgevolgd binnen de PDCA-cyclus van het ISMS. Door audits cyclisch uit te voeren ontstaat inzicht in de voortgang én bewustzijn in de organisatie. Een goede audit bevordert groei en versterkt vertrouwen.
17. Wat zijn indicatoren dat je informatiebeveiliging op orde is?
Indicatoren zijn onder andere: actuele risicoanalyse, ingevuld en onderhouden ISMS, geactualiseerd beleid, periodieke audits, afhandeling van incidenten en registratie van datalekken. Daarnaast let ik op awarenessmetingen, trainingsteilnames en het percentage medewerkers met MFA en sterke wachtwoorden. In de zorg kijk ik of logging en toegangsbeheer op EPD’s voldoen aan NEN 7510. In overheidsinstellingen toets ik op BIO-controls en ENSIA-verantwoording. Belangrijkste signaal: medewerkers weten wat ze moeten doen bij een incident. Kortom: techniek én gedrag moeten aantoonbaar bijdragen aan risicobeheersing. Deze indicatoren gebruik ik ook richting bestuur of externe toezichthouders om volwassenheid aan te tonen.
18. Hoe borg je continuïteit van informatiebeveiliging bij personeelswisselingen?
Ik leg rollen en verantwoordelijkheden vast in beleid en in het ISMS. Daarnaast documenteer ik processen zoals risicoanalyse, auditplanning, datalekken en incidentmanagement zodat overdracht eenvoudig is. Nieuwe medewerkers krijgen direct awareness-training en toegang tot de benodigde systemen en documentatie. Voor functies als ISO of CISO zorg ik voor een ingewerkte back-up of waarnemer. Bij vertrek vindt overdracht plaats via een checklijst. In sectoren als zorg en onderwijs is personeelsverloop hoog, dus continuïteit vraagt om standaardisatie en borging in systemen in plaats van in mensen. Zo blijft informatiebeveiliging ook bij wisselingen stabiel en effectief ingericht.
19. Hoe vertaal je informatiebeveiligingsbeleid naar dagelijks gedrag?
Ik maak het beleid begrijpelijk en concreet, bijvoorbeeld via korte richtlijnen of beslisbomen in plaats van lange documenten. In trainingen gebruik ik herkenbare scenario’s uit de eigen praktijk, zoals verkeerd verstuurde e-mails of gebruik van privé-apps voor werk. Daarnaast zorg ik dat leidinggevenden het beleid actief ondersteunen en herhalen in teamoverleggen. Via e-learnings, awarenesscampagnes en incidentbesprekingen houd ik het onderwerp actueel. Monitoring en feedback zijn cruciaal: zie ik afwijkend gedrag, dan bespreek ik dit laagdrempelig. Informatiebeveiliging wordt pas effectief als het is ingebed in routines, taalgebruik en cultuur van de organisatie.
20. Hoe ga je om met leveranciers in relatie tot informatiebeveiliging?
Leveranciers krijgen alleen toegang tot systemen of gegevens als er een verwerkersovereenkomst of beveiligingsafspraak is. Ik stel minimale eisen op basis van ISO 27001 of NEN 7510, afhankelijk van het type leverancier. Bij cloudleveranciers kijk ik naar locatie van opslag, auditrapporten (SOC2, ISO-certificaat) en incidentafhandeling. In het ISMS houd ik bij welke leveranciers er zijn, welke risico’s ze meebrengen en of de afspraken jaarlijks worden geëvalueerd. Bij gevoelige processen voer ik ook leveranciersaudits uit. Goede samenwerking begint bij duidelijke kaders, beveiligingseisen in contracten én controle op naleving. Leveranciers zijn onderdeel van je keten en dus van je risico’s.
21. Hoe sluit je informatiebeveiliging aan op organisatiedoelen?
Ik begin bij de strategie van de organisatie: waar liggen de prioriteiten, waar zitten afhankelijkheden van informatie en waar zijn de risico’s het grootst? Informatiebeveiliging moet ondersteunend zijn aan deze doelen, niet een doel op zich. Door risico’s te koppelen aan thema’s zoals continuïteit, reputatie, innovatie of compliance, wordt beveiliging relevant voor management en directie. Bijvoorbeeld: als een organisatie inzet op digitale zorgverlening, dan focus ik op veilige authenticatie en datatransport. Ik vertaal organisatiedoelen naar informatiebeveiligingsdoelen binnen het ISMS, met meetbare indicatoren en sturing vanuit beleid, bewustwording en procesinrichting. Zo ontstaat verbinding tussen strategie en beveiliging.
22. Wat is de rol van bewustwording in informatiebeveiliging?
Bewustwording is essentieel, want de meeste incidenten ontstaan niet door techniek, maar door menselijk gedrag. Klikgedrag, slordig omgaan met gegevens of onwetendheid over risico’s leiden tot datalekken of uitval. Als CISO investeer ik continu in bewustwording via trainingen, nieuwsbrieven, phishingtests en praktijkgerichte sessies. Daarbij pas ik de boodschap aan op de doelgroep: bestuur, zorgprofessionals, IT of administratie. Belangrijk is dat mensen begrijpen waarom informatiebeveiliging belangrijk is voor hún werk. Ik meet effectiviteit via incidentcijfers en gedragsonderzoeken. Bewustwording is geen eenmalige actie, maar een doorlopend proces dat past binnen de PDCA-cyclus van het ISMS.
23. Hoe beoordeel je of een maatregel proportioneel is?
Ik kijk naar het risico dat wordt afgedekt, de impact op het werkproces en de kosten of inspanning die de maatregel vraagt. De maatregel moet passen bij de dreiging én bij de organisatiecontext. Ik gebruik risicoscores uit de risicoanalyse en de BIV-classificatie van gegevens als basis. Ook betrek ik gebruikers om werkbaarheid te toetsen. Bijvoorbeeld: volledige versleuteling van alle documenten is overdreven als de impact van gegevensverlies laag is. Proportionaliteit betekent ook dat je maatregelen opschaalt als risico’s toenemen. In de zorg en overheid geldt bovendien dat proportionaliteit moet worden vastgelegd en aantoonbaar zijn in audits.
24. Wat doe je bij een incident met gevoelige gegevens?
Allereerst: stoppen van verdere schade. Ik zorg dat systemen of toegang worden geblokkeerd, loggegevens veiliggesteld en betrokkenen geïnformeerd. Vervolgens laat ik het incident analyseren: wat is er gebeurd, waarom, wie of wat was betrokken? Ik beoordeel of het gaat om een datalek volgens de AVG en of melding nodig is. Daarna volgt registratie in het ISMS en bespreek ik het incident in het eerstvolgende evaluatieoverleg. Ook betrek ik de FG indien relevant. Essentieel is de leerstap: het incident moet leiden tot verbeteracties. Incidentmanagement is niet alleen een technische reactie, maar ook een kans om processen en gedrag te verbeteren.
25. Hoe ga je om met BYOD (Bring Your Own Device)?
BYOD brengt flexibiliteit, maar ook risico’s. Ik hanteer het principe: toestaan met kaders. Dat betekent duidelijke richtlijnen over welk type apparaat, hoe toegang wordt verleend (bijv. via VPN of MFA), en welke gegevens mogen worden geraadpleegd. Apparaten moeten minimaal voldoen aan beveiligingseisen zoals encryptie, virusscanner en automatische vergrendeling. Ik gebruik MDM (Mobile Device Management) of sandboxing waar nodig. Ook zorg ik voor logging, monitoring en bewustwording. In zorginstellingen is BYOD soms gevoeliger vanwege patiëntgegevens, dus daar stel ik strengere voorwaarden. Belangrijk is dat afspraken contractueel vastliggen én technisch afdwingbaar zijn binnen het ISMS.
26. Hoe gebruik je volwassenheidsmodellen binnen informatiebeveiliging?
Volwassenheidsmodellen helpen om inzicht te krijgen in de huidige staat van informatiebeveiliging en prioriteiten voor verbetering. Ik gebruik bijvoorbeeld het “Volwassenheidsmodel Informatiebeveiliging” van Z-CERT of het ENSIA-maturiteitsmodel voor gemeenten. Deze modellen geven per domein (beleid, beheer, techniek, gedrag) een score van 1 (beginner) tot 5 (geoptimaliseerd). Door zelfevaluaties of audits breng ik de score in kaart, bespreek ik de uitkomst met management en stel ik verbetermaatregelen op. Het voordeel van een model is dat het subjectieve discussies voorkomt en groei zichtbaar maakt. Ik gebruik het model ook als communicatiemiddel richting bestuur of toezichthouders.
27. Wat is je aanpak voor een audit op ISO 27001?
Ik start ruim op tijd met een interne toetsing op de eisen uit ISO 27001, inclusief Annex A-controles. Ik zorg dat alle documentatie actueel is: ISMS, risicoanalyse, SoA, procedures, incidentregistraties en verbetermaatregelen. Vervolgens organiseer ik interviews met sleutelfunctionarissen en plan ik auditsimulaties. Bij externe audits leid ik het auditteam door het systeem en toon ik evidence van uitvoering, opvolging en verbetering. Transparantie is belangrijk: geen verstopte fouten, maar laten zien dat je leert. Bij afwijkingen bespreek ik meteen de oorzaken en verbeteracties. Mijn doel is niet alleen certificering behouden, maar continue verbetering aantonen.
28. Hoe bewaak je dat beleid ook werkelijk wordt nageleefd?
Beleid is pas waardevol als het zichtbaar leeft in de organisatie. Ik zorg dat elk beleidsdocument wordt vertaald naar concrete processen, taken en instructies. Periodiek monitor ik of dit gebeurt via controles, audits, gesprekken met proceseigenaren en awarenessmetingen. Bijvoorbeeld: als het beleid voorschrijft dat laptops worden versleuteld, toets ik steekproefsgewijs of dat klopt. Ook maak ik compliance onderdeel van onboarding, beoordeling en teamoverleggen. Signalen van non-compliance neem ik serieus en bespreek ik constructief. Belangrijk is ook dat beleid actueel blijft, aansluit bij de praktijk en niet wordt ervaren als bureaucratisch. Alleen dan is naleving haalbaar.
29. Hoe maak je informatiebeveiliging zichtbaar voor de hele organisatie?
Zichtbaarheid is cruciaal om draagvlak te creëren. Ik publiceer periodiek dashboards met incidentencijfers, auditbevindingen en verbeteracties. Via intranet, nieuwsbrieven of korte video’s deel ik successen, risico’s en tips. Bij meldingen of incidenten geef ik gerichte feedback aan teams. Ik organiseer awarenessweken of themadagen, bijvoorbeeld rond phishing of wachtwoorden. Ook laat ik ambassadeurs uit verschillende afdelingen hun ervaringen delen. Zichtbaarheid betekent ook aanspreekbaarheid: ik zorg dat collega’s weten wie ik ben en waar ze terecht kunnen. Informatiebeveiliging moet herkenbaar en benaderbaar zijn – niet iets dat zich alleen afspeelt in een beleidsdocument of serverruimte.
30. Hoe bepaal je prioriteiten binnen informatiebeveiliging?
Ik gebruik de risicomatrix als belangrijkste leidraad: wat is de kans en impact van een bepaald risico, en hoeveel beheersing is er al? Risico’s met hoge impact en hoge kans krijgen prioriteit. Daarnaast kijk ik naar compliance-eisen: zijn er wettelijke verplichtingen die op korte termijn moeten worden ingevuld, zoals NIS2 of AVG-maatregelen? Ik bespreek prioriteiten met stakeholders, toets ze aan organisatiedoelen en werk ze uit in het actieplan van het ISMS. Budget, capaciteit en organisatorische gevoeligheid wegen ook mee. Transparante onderbouwing van keuzes is essentieel – zeker richting bestuur en audit.
31. Hoe ga je om met shadow IT in een organisatie?
Shadow IT ontstaat wanneer medewerkers zelf digitale tools of apps gebruiken buiten het formele IT-beleid om. Ik ga er niet meteen repressief mee om, maar analyseer eerst waarom het gebeurt. Vaak is het een signaal dat bestaande oplossingen niet aansluiten bij de werkpraktijk. Ik breng in kaart welke tools worden gebruikt en beoordeel de risico’s, vooral op het gebied van gegevensopslag, toegang en compliance. Vervolgens zoek ik samen met gebruikers naar alternatieven binnen kaders. Ik zorg voor bewustwording én een proces waarmee nieuwe tools op gecontroleerde wijze kunnen worden geïntroduceerd. Shadow IT vraagt om dialoog, kaders en flexibiliteit.
32. Hoe maak je informatiebeveiliging onderdeel van projectmanagement?
In elk project laat ik informatiebeveiliging vanaf het begin meenemen. Ik zorg dat het projectteam bij de start toetst op risico’s, BIV-classificatie en privacyaspecten. Bij grotere projecten is een DPIA verplicht. Daarnaast worden passende maatregelen vastgelegd in het projectplan. Denk aan beveiligingseisen bij softwareontwikkeling, toegangsbeheer of logging. Voor projecten die systemen vervangen of migreren, toets ik op integriteit en continuïteit. Ook plan ik evaluatiemomenten voor beveiliging tijdens de projectvoortgang. In de afsluitfase check ik of documentatie en overdracht naar beheer compleet zijn. Beveiliging wordt zo geen vertragende factor, maar een vanzelfsprekend onderdeel van projectsucces.
33. Hoe werk je samen met de Functionaris Gegevensbescherming (FG)?
De FG en CISO hebben een andere rol maar een gemeenschappelijk doel: bescherming van persoonsgegevens. Ik werk nauw samen met de FG, vooral bij DPIA’s, meldingen van datalekken, inrichting van registers en beleidsontwikkeling. De FG houdt toezicht, ik richt in. Ik zie erop toe dat privacy-by-design wordt meegenomen in systemen en processen. Bij audits of inspecties stemmen we gezamenlijk af welke bewijslast wordt aangeleverd. Goede samenwerking vraagt heldere afbakening: de FG blijft onafhankelijk, maar moet wel goed geïnformeerd zijn. Samenwerking versterkt de effectiviteit van zowel privacy- als informatiebeveiligingsbeleid.
34. Wat zijn de gevolgen als een organisatie niet voldoet aan NEN 7510 of ISO 27001?
Niet voldoen aan NEN 7510 of ISO 27001 kan leiden tot verlies van vertrouwen, externe sancties of zelfs het verliezen van samenwerkingscontracten. In de zorg kan het gevolgen hebben voor de beoordeling door de Inspectie Gezondheidszorg en Jeugd of voor de aansluiting bij Z-CERT. Voor ISO 27001-gecertificeerde organisaties betekent non-compliance dat een certificaat kan worden ingetrokken. Ook reputatieschade is een reëel risico, vooral na een incident. Daarnaast kan het leiden tot hogere kosten bij datalekken of juridische claims. Voldoen aan deze normen is niet alleen een kwestie van compliance, maar ook van risicobeheersing, continuïteit en vertrouwen.
35. Hoe vertaal je wetgeving zoals NIS2 naar concrete actiepunten?
Ik begin met het analyseren van de verplichtingen uit de wetgeving en het vaststellen of de organisatie onder de reikwijdte valt. Bij NIS2 kijk ik naar sector, omvang en aard van dienstverlening. Vervolgens maak ik een gap-analyse ten opzichte van bestaande maatregelen. De uitkomst vertaal ik naar acties binnen het ISMS: zoals incidentmeldprocedures, governance-updates, technische maatregelen of awarenessverhoging. Ik stem af met juridische en compliancecollega’s en informeer het bestuur over de impact. NIS2 vereist ook supply chain management, dus ik toets leveranciersbeleid. Ik werk altijd volgens het principe: wetgeving is input, beheersmaatregelen zijn output.
36. Hoe ondersteun je het bestuur bij verantwoording naar externe toezichthouders?
Ik zorg dat het bestuur altijd beschikt over actuele, begrijpelijke en feitelijke informatie over de status van informatiebeveiliging. Bijvoorbeeld via kwartaalrapportages, risico-overzichten of dashboards. Voor audits en inspecties stel ik samen met het bestuur een factsheet op waarin beleid, maatregelen en incidenten bondig worden samengevat. Bij zorginstellingen betrek ik ook de verantwoording richting Z-CERT of IGJ. In de overheid koppel ik aan ENSIA en de BIO. Belangrijk is dat het bestuur begrijpt waar het over gaat en goed voorbereid is op vragen. Verantwoording is geen IT-verhaal, maar een verhaal over risicobeheersing en vertrouwen.
37. Hoe richt je logging en monitoring in op een manier die voldoet aan wetgeving?
Ik begin met het bepalen van wat gelogd moet worden, op basis van risico’s, wetgeving (zoals NEN 7510, AVG en BIO) en operationele behoefte. Voor patiëntgegevens is het verplicht om logging van toegang en bewerkingen bij te houden. In de AVG geldt dat logging proportioneel moet zijn en niet mag leiden tot onnodige persoonsregistratie. Ik zorg dat logs veilig worden opgeslagen, beperkt toegankelijk zijn en regelmatig worden gecontroleerd. Ik gebruik SIEM-oplossingen voor centrale monitoring en correlatie van gebeurtenissen. Logging is niet alleen een controlemiddel, maar ook essentieel voor incidentonderzoek en herstelcapaciteit.
38. Hoe werk je samen met ICT bij implementatie van maatregelen?
De samenwerking met ICT is cruciaal. Beleid zonder uitvoering is zinloos. Ik zorg voor heldere afstemming: beleid beschrijft het wat, ICT voert het hoe uit. We maken afspraken over configuraties, logging, updates, back-ups en toegangsbeheer. ICT wordt betrokken bij risicoanalyses en audits, zodat ze weten waarom iets nodig is. Tegelijk bewaak ik als CISO dat implementaties passen binnen het beleid en niet alleen technisch worden benaderd. Ik bouw een relatie op met ICT waarin we elkaars taal begrijpen. Succesvolle implementatie vereist wederzijds respect, gedeelde doelen en een werkbare balans tussen beveiliging en gebruiksgemak.
39. Wat zijn je eerste stappen in de eerste 100 dagen als nieuwe CISO?
In de eerste 100 dagen luister ik vooral. Ik begin met een analyse van bestaande risico’s, beleid, incidenthistorie en auditrapporten. Ik voer gesprekken met bestuur, ICT, proceseigenaren en gebruikers. Ik bekijk het volwassenheidsniveau van het ISMS, de rolverdeling en de awareness in de organisatie. Vervolgens maak ik een plan van aanpak met quick wins en strategische doelen. Ik identificeer urgenties, zoals compliance-gaten of cultuurproblemen. In deze periode probeer ik draagvlak te bouwen, verbinding te maken met sleutelpersonen en het vertrouwen te winnen van het bestuur. Een vliegende start is belangrijk, maar zonder overhaaste maatregelen.
40. Wat betekent ‘aantoonbaar op orde’ in informatiebeveiliging?
Aantoonbaar op orde betekent dat je niet alleen maatregelen hebt getroffen, maar ook kunt laten zien dat deze werken. Dat doe je door documentatie, logging, incidentregistraties, audits, reviews en verbeteracties. In de zorg betekent dit: NEN 7510-audits doorstaan en IGJ-inspecties kunnen onderbouwen. In de overheid: verantwoording via ENSIA en toetsing aan de BIO. Ik zorg dat er per maatregel bewijs is van invoering, werking en bijsturing. ‘Aantoonbaar’ betekent ook dat anderen – zoals toezichthouders of auditors – kunnen vaststellen dat je beveiliging structureel en effectief is ingericht. Het is de brug tussen beleid en praktijk.
41. Hoe integreer je informatiebeveiliging met kwaliteitsmanagement?
Ik breng beide domeinen onder in één samenhangend managementsysteem, waarbij ik de PDCA-cyclus centraal stel. Risicoanalyse, interne audits, verbetermaatregelen en beleidsreviews gelden zowel voor kwaliteit als voor beveiliging. Ik stem processen op elkaar af: bijvoorbeeld datalekregistratie naast klachtenregistratie, of toegangsbeheer als onderdeel van personeelsbeleid. In zorginstellingen koppel ik de eisen van NEN 7510 aan HKZ of JCI. In het onderwijs of bij gemeenten werk ik met integrale beheermodellen. Door gemeenschappelijke structuren en formats te gebruiken, verminder ik administratieve druk en versterk ik de samenhang. Kwaliteit en beveiliging zijn beide gericht op betrouwbaarheid en vertrouwen.
42. Hoe bepaal je of een externe partij voldoende beveiligd is?
Ik begin met een risico-inschatting: wat voor gegevens of systemen krijgt de partij toegang tot? Bij hoge risico’s vraag ik om certificaten (bijv. ISO 27001), rapportages (zoals SOC 2) of vul ik een leveranciersaudit of vragenlijst in. Ik toets of de partij voldoet aan minimale technische en organisatorische maatregelen, en of er een verwerkersovereenkomst of SLA is. Voor structurele samenwerking leg ik afspraken vast in contracten, inclusief meldplicht bij incidenten. In zorgsectoren kijk ik ook naar toetsing op NEN 7510. Toezicht op externe partijen hoort standaard in het ISMS en moet periodiek worden geëvalueerd.
43. Hoe vertaal je een BIV-classificatie naar maatregelen?
De BIV-classificatie geeft aan welke mate van Beschikbaarheid, Integriteit en Vertrouwelijkheid nodig is voor een informatiesysteem of gegevensverwerking. Bij hoge vertrouwelijkheid hanteer ik versleuteling, logging en beperkte toegang. Bij hoge beschikbaarheid implementeer ik failover, back-ups en monitoring. Bij hoge integriteit zorg ik voor versiebeheer, controletabellen en validaties. Ik gebruik de BIV-score als uitgangspunt bij risicoanalyses, DPIA’s en keuze van controls. De maatregelen leg ik vast in het ISMS en controleer ik op werking via audits of tests. De BIV-analyse helpt ook bij het prioriteren van maatregelen bij beperkte middelen.
44. Wat zijn volgens jou de grootste actuele dreigingen?
De grootste dreigingen zijn ransomware, phishing, menselijke fouten, supply chain-aanvallen en insider threats. Ransomware richt zich vaak op zorginstellingen en gemeenten, met uitval van systemen tot gevolg. Phishing is nog steeds de meest succesvolle aanvalsvector, vaak versterkt door social engineering. Supply chain-aanvallen nemen toe, waarbij leveranciers worden misbruikt om toegang te krijgen. Interne fouten, zoals verkeerd verzonden bestanden of onvoldoende logging, veroorzaken datalekken. Ook het ontbreken van basismaatregelen, zoals updates of MFA, blijft een risico. Ik volg bronnen als Z-CERT, NCSC en sectorrapportages om deze dreigingen vroegtijdig te signaleren en erop te anticiperen.
45. Hoe zorg je dat informatiebeveiliging toekomstbestendig is?
Toekomstbestendigheid zit in adaptief vermogen: processen en systemen moeten zich kunnen aanpassen aan nieuwe dreigingen, technologieën en wetgeving. Ik richt het ISMS zodanig in dat het mee kan groeien, met flexibele beleidsdocumenten, cyclische evaluaties en ruimte voor innovatie. Ik investeer in bewustwording en vaardigheden van medewerkers, zodat zij nieuwe risico’s herkennen. Ik volg ontwikkelingen als AI, cloud, IoT en quantumcomputing actief. Ook onderhoud ik contacten met netwerken als Z-CERT of het CIP. Toekomstbestendige beveiliging vraagt een strategische blik, periodieke herijking en openheid voor verandering, zonder het fundament uit het oog te verliezen.
46. Hoe positioneer je informatiebeveiliging binnen de organisatie?
Informatiebeveiliging is geen ICT-onderdeel, maar een strategisch thema. Daarom positioneer ik het direct onder bestuur of directie, met eigen mandaat, budget en rapportagelijn. Als CISO of ISO werk ik dwars door de organisatie heen: met ICT, juridische zaken, HR, privacy, kwaliteit en facilitair. In het ISMS leg ik rollen en verantwoordelijkheden vast en maak ik beveiliging zichtbaar in processen. Door aan te sluiten bij bestaande overlegstructuren en beleidslijnen, voorkom ik eilandvorming. Mijn doel is dat beveiliging wordt gezien als onderdeel van integraal risicomanagement en organisatieontwikkeling – niet als randvoorwaarde of last.
47. Hoe ga je om met audits die tegenstrijdige bevindingen opleveren?
Ik bekijk altijd de grondslag van een bevinding: komt die voort uit een norm, een interpretatie of een contextspecifieke eis? Soms verschillen auditors in de uitleg van maatregelen, zeker bij normen zoals ISO 27001 of de BIO. Ik ga in gesprek, geef aanvullende context of bewijs, en stel vragen terug. Waar nodig maak ik een actieplan met verbeterpunten, ook als ik het inhoudelijk niet volledig eens ben. Belangrijk is om consistent te blijven in eigen redenering, transparant te zijn over afwegingen en afwijkingen goed te documenteren. Tegenstrijdigheid los je op met dialoog en onderbouwing.
48. Wat zijn best practices voor wachtwoordbeleid?
Best practices zijn onder meer het gebruik van wachtzinnen, het vermijden van verplichte periodieke wijzigingen (tenzij er een incident is) en het stimuleren van multi-factor authenticatie (MFA). Ik zorg dat het beleid aansluit bij de NIST-richtlijnen en gebruikersgemak. Technisch afdwingen van minimale complexiteit, lengte en hergebruik voorkomt fouten. Ik begeleid implementaties met instructies, tools voor wachtwoordbeheer (zoals een password manager) en training. In sectoren met gevoelige gegevens – zoals patiëntdossiers of leerlinginformatie – hanteer ik strengere eisen. Evaluatie en logging van wachtwoordpogingen horen standaard bij het beleid. Een goed wachtwoordbeleid is begrijpelijk én uitvoerbaar.
49. Hoe pak je bewustwordingstrajecten aan voor verschillende doelgroepen?
Ik segmenteer de organisatie: bestuur, teamleiders, medewerkers, ICT en externen. Elke doelgroep krijgt een op maat gemaakt programma. Voor bestuur focus ik op risico’s en strategische impact, voor medewerkers op herkenbare situaties en handelingsperspectief. Ik gebruik een mix van formats: e-learnings, phishing-simulaties, praktijkcases, posters en lunchsessies. Feedback en herhaling zijn essentieel. Ik meet effectiviteit met tests, incidentcijfers en feedback. Ik pas taal, toon en voorbeelden aan per doelgroep. Bijvoorbeeld: een wijkverpleegkundige heeft andere risico’s dan een HR-medewerker. Effectieve bewustwording is relevant, praktisch, herhaalbaar en gekoppeld aan de werkrealiteit van de doelgroep.
50. Wat maakt jou een goede CISO of ISO?
Ik verbind beleid met praktijk, strategie met uitvoering en techniek met menselijk gedrag. Ik werk gestructureerd, communiceer helder en benader beveiliging altijd als een gezamenlijke verantwoordelijkheid. Ik ben in staat om complexe normen en wetgeving te vertalen naar haalbare maatregelen en weet hoe ik mensen daarin mee krijg. Mijn kracht ligt in het combineren van compliance met pragmatiek. Ik geloof in aantoonbaarheid, maar ook in werkbaarheid. Ik bouw relaties, ben zichtbaar, en bewaak dat beveiliging blijft aansluiten bij de organisatiecontext. Als CISO of ISO creëer ik rust, overzicht en continuïteit – zonder de realiteit uit het oog te verliezen.
