Securitytransformaties draaien net zo veel om mensen en processen als om technologie. MFA, zero trust, nieuwe SOC-platformen of verplichte logging betekenen voor medewerkers andere werkpatronen, voor bestuurders extra rapportages en voor leveranciers strengere eisen. Zonder gericht changemanagement blijven gebruikers workarounds zoeken, vallen projecten stil na een reorganisatie en halen organisaties de NIS2-verwachting van aantoonbare opleidingsprogramma’s niet. Deze whitepaper koppelt de organisatorische component aan technische veranderingen, specifiek voor de Nederlandse publieke sector met zijn politieke dynamiek, cao-afspraken en ketenverantwoordelijkheden.
✔ Breng belanghebbenden en weerstandspatronen vroeg in kaart ✔ Richt sponsorship, change agents en lokale governance in ✔ Communiceer in business-impact in plaats van securityjargon ✔ Combineer training, coaching en coaching op de werkvloer ✔ Meet adoptie met KPI’s en stuur hard bij op gedrag
Selecteer ambassadeurs in elke directie en geef hen daadwerkelijk tijd, mandaat en toegang tot rapportages. Champions die naast hun reguliere werk nog “even” security promoten, branden uit en verliezen geloofwaardigheid.
Stap 1 – Begrijp weerstand en belangen
Stakeholderanalyse als vertrekpunt Een succesvolle securitytransformatie begint met een scherp beeld van de mensen en organisaties die geraakt worden. In een Nederlandse overheidscontext gaat het zelden alleen om een CISO en een IT-afdeling; ook bestuurders, proceseigenaren, ondernemingsraad, privacy officers, leveranciers en ketenpartners spelen een rol. Een praktische aanpak is om per stakeholdergroep systematisch vast te leggen welke doelen zij nastreven, welke risico’s zij zien, welke formele beslissingsmacht zij hebben en welke informele invloed zij uitoefenen. Bestuurders kijken vaak naar politieke en reputatierisico’s, terwijl uitvoerende teams vooral bezig zijn met werkdruk en praktische uitvoerbaarheid. Door deze belangen expliciet te maken, wordt zichtbaar waar de transformatie op steun kan rekenen en waar frictie zal ontstaan.
Weerstand doorgronden in plaats van wegduwen Weerstand tegen maatregelen zoals MFA, strengere toegangscontroles of extra logging is in de meeste organisaties geen onwil, maar een signaal dat er iets schuurt tussen de voorgestelde verandering en de dagelijkse realiteit van medewerkers. Medewerkers vrezen dat extra stappen de dienstverlening aan burgers vertragen, of hebben slechte ervaringen met eerdere IT-projecten die veel beloofden maar weinig opleverden. Proceseigenaren maken zich zorgen dat rapportageverplichtingen toenemen zonder dat capaciteit wordt uitgebreid. In ketens waar meerdere organisaties samenwerken, kan de angst spelen dat strengere eisen leiden tot spanningen in de samenwerking of vertraging in gezamenlijke projecten. Door in gesprekken expliciet te vragen naar concrete voorbeelden en situaties waarin securitymaatregelen hinderlijk zijn geweest, ontstaat een rijk beeld van de onderliggende patronen.
Typische patronen in de publieke sector In overheidsorganisaties komen een aantal terugkerende patronen voor. Een eerste patroon is productiviteitsangst: medewerkers zijn bang dat extra controles het loketwerk, vergunningverlening of incidentafhandeling vertragen. Een tweede patroon is reputatieangst: bestuurders vrezen dat een zichtbaar mislukt securityprogramma de organisatie in media en politiek beschadigt. Een derde patroon is rolonzekerheid: leidinggevenden weten niet precies welke verantwoordelijkheid zij dragen voor security in hun team en schuiven besluiten daardoor door. Een vierde patroon is concurrentie tussen veranderinitiatieven, waarbij securityprojecten het moeten opnemen tegen andere prioriteiten zoals sociaal domein, woningbouw of energietransitie. Door deze patronen niet alleen te benoemen maar ook te kwantificeren, bijvoorbeeld via enquêtes of interviews, wordt zichtbaar waar de grootste risico’s voor vertraging of afstel zitten.
Van weerstand naar gerichte interventies Zodra duidelijk is welke groepen welke zorgen hebben, kan de organisatie per patroon doelgerichte interventies ontwerpen. Bij productiviteitsangst kan een pilot aantonen dat moderne MFA-oplossingen nauwelijks tijd kosten en juist de kans op accounts die misbruikt worden sterk verlagen. Bij reputatieangst helpt het om een helder governancekader in te richten met duidelijke escalatielijnen, zodat bestuurders ervaren dat zij grip kunnen houden op het programma. Rolonzekerheid kan worden aangepakt door expliciete taakomschrijvingen, leiderschapstraining en voorbeeldgedrag vanuit directies. Concurrentie tussen veranderinitiatieven vraagt om een integrale portfoliobenadering waarin security niet als los project wordt gepositioneerd, maar als randvoorwaarde voor het slagen van digitale dienstverlening in brede zin.
Incidenten als katalysator voor draagvlak Concrete incidenten en bijna-incidenten spelen een belangrijke rol in het vergroten van urgentiebesef. Voorbeelden van gemeenten die wekenlang systemen moesten herstellen na ransomware, of een ministeriële keten die tijdelijk geen gegevens kon uitwisselen door een mislukte patch, maken risico’s tastbaar. Het is belangrijk om deze voorbeelden zorgvuldig te kiezen en te contextualiseren, zodat ze niet worden ervaren als angstcampagne maar als leerervaring. Door cijfers over dreigingen en wettelijke vereisten te combineren met verhalen van eigen medewerkers of collega-organisaties, ontstaat een narratief dat zowel bestuurders als uitvoerenden aanspreekt. Zo verandert weerstand stap voor stap in bereidheid om mee te denken over oplossingen die zowel de continuïteit van de dienstverlening als de weerbaarheid tegen cyberdreigingen versterken.
Stap 2 – Sponsorship, governance en planning
Sponsorship stevig verankeren Na het in kaart brengen van belangen en weerstand is de volgende stap om eigenaarschap en sturing helder te organiseren. Een securitytransformatie raakt vrijwel altijd meerdere directies, maar heeft één bestuurlijke eigenaar nodig die het programma zichtbaar draagt. In de praktijk is dit vaak een portefeuillehouder digitalisering, bedrijfsvoering of informatievoorziening. Het is cruciaal om niet alleen een naam op papier te zetten, maar ook vast te leggen welke besluiten deze bestuurder neemt, welke rapportages hij of zij periodiek ontvangt en welke criteria worden gebruikt om te bepalen of de transformatie op koers ligt. Door security-indicatoren, zoals het percentage accounts met MFA of de dekking van logging, te koppelen aan de reguliere planning-en-controlcyclus, wordt security onderdeel van de normale sturingsdialoog in plaats van een los initiatief van de CISO.
Een netwerk van change agents bouwen Sponsorship op directieniveau is pas echt effectief als het wordt ondersteund door een netwerk van mensen in de organisatie die de verandering in het dagelijkse werk helpen vormgeven. In veel organisaties worden deze mensen aangeduid als security champions, key-users of change agents. In plaats van hen vrijblijvend te vragen om naast hun reguliere werk ook nog security te promoten, verdient het aanbeveling om hun rol expliciet in jaarplannen op te nemen, tijd vrij te maken in roosters en toegang te geven tot relevante stuurinformatie. Een champion in een vergunningenteam kan bijvoorbeeld zien hoeveel collega’s MFA hebben geactiveerd of hoeveel meldingen er binnenkomen over nieuwe beveiligingsmaatregelen. Met die informatie kan hij of zij gericht uitleg geven, frustraties wegnemen en successen delen.
Een realistische roadmap opstellen Veel securityprogramma’s stranden omdat zij te veel tegelijk willen veranderen en te weinig rekening houden met de veranderopnamecapaciteit van de organisatie. Een betere aanpak is om grote trajecten op te knippen in duidelijk afgebakende fasen van ongeveer negentig dagen. In elke fase worden zowel technische als gedragsdoelen vastgelegd. Bij de uitrol van Conditional Access kan bijvoorbeeld eerst een beperkte groep medewerkers overstappen, terwijl tegelijk wordt gezorgd voor gerichte communicatie, instructies voor leidinggevenden en ondersteuning aan de servicedesk. Elke fase wordt afgesloten met een evaluatie waarin wordt gekeken naar ervaringen van gebruikers, effecten op de dienstverlening en eventuele bijsturing. Zo ontstaat een ritme van kleine, beheersbare stappen in plaats van één groot alles-of-niets moment.
Governance die beslissingen echt ondersteunt Omdat securitymaatregelen vaak ingrijpen in processen, architectuur en samenwerkingen, is een goed functionerende governance-structuur onmisbaar. Een change board waarin CISO, CIO, HR, communicatie, bedrijfsvoering en soms ook vertegenwoordigers van uitvoerende diensten zijn vertegenwoordigd, biedt een plek waar knelpunten snel kunnen worden besproken en besluiten kunnen worden genomen over uitzonderingen of aanvullende maatregelen. Belangrijk is dat dit geen vergadercircus wordt dat projecten vertraagt, maar een forum dat helpt om spanning tussen veiligheid en dienstverlening expliciet te maken en afgewogen beslissingen vast te leggen. Door besluiten en onderliggende argumentatie te documenteren, ontstaat bovendien een waardevolle audittrail die gebruikt kan worden richting toezichthouders en de interne auditdienst.
Samenhang met andere veranderprogramma’s bewaken Tot slot vraagt een goede blueprint aandacht voor de samenhang met andere lopende programma’s, zoals brede digitaliseringsagenda’s, reorganisaties of ketenprojecten. Een strengere identity- en accessstrategie heeft bijvoorbeeld direct impact op HR-processen, onboarding van externen en afspraken met leveranciers. Door securitytransformaties bewust te positioneren als versterking van die programma’s in plaats van extra ballast, groeit de kans dat directies bereid zijn capaciteit en budget vrij te maken. Zo wordt de blueprint een integraal veranderplan waarin techniek, mens, organisatie en governance elkaar versterken.
Stap 3 – Communicatie, training en adoptie meten
Gerichte communicatie voor verschillende doelgroepen Wanneer sponsorship en governance zijn ingericht, verschuift het zwaartepunt naar dagelijkse communicatie en begeleiding van medewerkers. Een veelgemaakte fout is om één generieke boodschap over security te sturen in de hoop dat iedereen zich aangesproken voelt. In de praktijk hebben bestuurders, leidinggevenden, IT-teams en frontoffice-medewerkers elk een andere informatiebehoefte. Bestuurders willen vooral weten welke risico’s worden verminderd, hoe de organisatie voldoet aan wet- en regelgeving zoals NIS2 en de BIO, en welke gevolgen dat heeft voor reputatie en continuïteit. Medewerkers willen begrijpen wat er concreet verandert in hun werkwijze en hoe zij problemen kunnen oplossen als iets niet werkt. Een effectieve communicatiestrategie vertaalt dezelfde kernboodschap naar taal en voorbeelden die aansluiten bij deze verschillende perspectieven.
Van securitytaal naar businessimpact Communicatie over security blijft vaak hangen in technische termen en policies die voor niet-specialisten abstract klinken. Door consequent te communiceren in termen van gevolgen voor dienstverlening aan burgers en bedrijven, wordt de noodzaak veel beter begrijpbaar. In plaats van te melden dat een bepaalde policy wordt geactiveerd, kan worden uitgelegd dat de organisatie zonder extra beveiliging het risico loopt dat toegang tot essentiële voorzieningen zoals DigiD tijdelijk wordt geblokkeerd. Door aan te sluiten bij de maatschappelijke opdracht van de organisatie, ontstaat meer begrip voor het feit dat sommige maatregelen even wennen zijn maar op de lange termijn juist bijdragen aan betrouwbare en veilige dienstverlening.
Leren als doorlopend proces in plaats van eenmalige training Ook bij training is het verleidelijk om alles op te hangen aan een eenmalige e-learningcampagne of plenaire sessie. Voor duurzame gedragsverandering is een mix nodig van basiskennis, praktische oefening en begeleiding op de werkvloer. E-learning kan medewerkers de fundamenten bijbrengen van onderwerpen als phishing, wachtwoordbeleid en veilig omgaan met vertrouwelijke informatie. Workshops of praktijksessies geven key-users en leidinggevenden de ruimte om vragen te stellen over specifieke processen, zoals het goedkeuren van toegang of het werken met gevoelige dossiers. Coaching on the job helpt teams vervolgens om nieuwe werkwijzen in te bouwen in hun dagelijkse routines, bijvoorbeeld door samen een aantal casussen door te lopen waarin nieuwe toegangsregels of logging een rol spelen.
Adoptie zichtbaar maken met betekenisvolle indicatoren Omdat bestuurders en toezichthouders steeds nadrukkelijker vragen om aantoonbaarheid, is het meten van adoptie een essentieel onderdeel van het veranderprogramma. Indicatoren zoals het percentage gebruikers dat MFA heeft geactiveerd, het aantal actieve uitzonderingen, de doorlooptijd van autorisatieaanvragen of het volume aan meldingen via het meldpunt informatiebeveiliging geven inzicht in hoeverre de nieuwe werkwijze echt wordt gevolgd. Deze cijfers krijgen pas betekenis als ze worden gekoppeld aan de verhalen uit de organisatie: waarom doen bepaalde afdelingen het beter dan andere, welke belemmeringen worden genoemd en waar werken champions juist als versneller? Dashboards in Power BI of een GRC-omgeving kunnen deze gegevens bundelen en periodiek worden besproken in het change board en in lijn-overleggen.
Een gesloten feedbacklus creëren Tot slot is een volwassen feedbackmechanisme nodig om te voorkomen dat irritaties onder de radar blijven sudderen. Medewerkers moeten laagdrempelig kunnen aangeven waar zij tegenaan lopen, bijvoorbeeld via korte surveys, een digitaal meldpunt of vaste inloopmomenten. Champions spelen hierin een sleutelrol doordat zij signalen oppikken in teams en deze terugkoppelen aan het projectteam. Het is belangrijk om zichtbaar te maken welke verbeteringen naar aanleiding van deze feedback zijn doorgevoerd, bijvoorbeeld door een nieuwsbericht te wijden aan een versimpeld MFA-aanmeldproces of een aangepaste handleiding voor thuiswerken. Zo ervaren medewerkers dat hun inbreng ertoe doet en groeit het vertrouwen dat security niet iets is dat hen wordt opgelegd, maar een gezamenlijke verantwoordelijkheid waarvoor de organisatie hen serieus neemt.
Succesvolle securitytransformaties ontstaan wanneer techniek, governance en menskant gelijk optrekken. Door weerstand vroeg te adresseren, sponsorship te verankeren, champions ruimte te geven en adoptie meetbaar te maken, groeit security van een verplicht nummer naar een gedragen werkwijze. Koppel de change-roadmap aan technische releases, rapporteer voortgang transparant en blijf leren van feedback. Zo blijven maatregelen overeind, ook als de politieke wind of organisatie verandert.