Digitale veiligheid staat bij overheidsorganisaties hoog op de agenda. Toch blijkt het in de praktijk vaak een uitdaging om medewerkers en management voortdurend alert te houden. Albert Smallenbroek, Chief Information Security Officer (CISO) bij de gemeente Veldhoven, vertelt hoe hij erin geslaagd is om security awareness structureel te verankeren, wat daarin de rol van management is en waarom menselijk gedrag zorgt voor échte digitale weerbaarheid.
Informatiebeveiliging: moeite om prioriteit te krijgen
Albert Smallenbroek werkt sinds 2001 bij de gemeente Veldhoven, na zijn start bij de politie. Zijn carrière omvatte rollen als P&O-adviseur, teamleider automatisering, en projectleider digitalisering, voordat hij CISO werd. Ondanks zijn enthousiasme voor de functie, merkte hij hoe moeilijk het is om informatiebeveiliging prioriteit te geven binnen organisaties. “Informatiebeveiliging en privacy worden vaak als bijzaak gezien, terwijl mensen onvoldoende beseffen dat informatie onze corebusiness is.
Betrek de hele organisatie door de inzet van ambassadeurs
Samen met zijn collega’s vormt Albert een klein en toegewijd team: “We hebben een Functionaris Gegevensbescherming (FG), een privacy officer en ikzelf als CISO. Daarnaast hebben we een breder ‘securityteam’ waar een systeembeheerder en iemand uit de organisatie (de ‘medewerkersblik’) bij betrokken zijn. Zo zorgen we dat de aanpak breed gedragen wordt.”
Een belangrijke nieuwe stap is het werken met ambassadeurs. Samen met Brooklyn Partners heeft hij een ambassadeursprogramma opgezet. Daarmee worden medewerkers op allerlei afdelingen opgeleid tot een eerste aanspreekpunt voor collega’s:
“We zochten key users per vakgroep en per team, onze ‘ambassadeurs’. Dat zijn de mensen die direct signaleren waar iets niet goed gaat en vragen beantwoorden. Zo bouwen we het van onderaf op.”
Verrassende aanpak Brooklyn Partners met mystery guest
Om die bewustwording onder medewerkers te vergroten, werkt de gemeente Veldhoven nauw samen met Brooklyn Partners. In eerste instantie had de gemeente een bewustwordingsprogramma van een andere aanbieder, maar dat bleek te uitgebreid en weinig praktisch. Brooklyn Partners sloot beter aan bij de behoefte. Albert geeft aan: “Ze werken snel en heel praktisch. Hun filmpjes en trainingsmaterialen zijn compact en gericht. We hadden al gauw een klik. We hebben een meerjarig contract afgesloten; binnen het eerste jaar hebben we al behoorlijke stappen gezet. Dat kunnen we vervolgens ook testen met de Cyberbarometer van Brooklyn, het eerste jaar is een nulmeting. Vervolgens hebben we Q2 van 2025 de tweede meting om te kijken wat we bereikt hebben.”
Als opvallende en zeer effectieve actie noemt Albert de ‘Mystery Guest’. Iemand van buiten komt onopgemerkt binnenlopen en observeert hoe ver hij kan gaan op veiligheidsgebied. Dat levert confronterende, maar zeer leerzame beelden op. Daarnaast organiseerde Brooklyn Partners ook een ‘cyberdilemma-sessie’ met het management en het college, waarbij deelnemers ‘live’ moesten reageren op een steeds verder escalerende hackaanval:
“Die cyberdilemma-sessie was geweldig. Ze zagen hoe criminelen steeds meer druk uitoefenden. Gaan we losgeld betalen? Wat gebeurt er als er gegevens gelekt worden? Er ontstond echt besef over de impact van een hack.”
De kracht van herhaling en maatwerk
Albert benadrukt dat bewustwording van informatiebeveiliging continu aandacht vereist. Het onderwerp moet op verschillende manieren worden gepromoot, zoals via digitale platforms, workshops en video’s, afgestemd op de doelgroep. “We hebben zowel medewerkers in de buitendienst als in burgerzaken, waar privacy cruciaal is.” Daarnaast is een goede structuur essentieel. De gemeente Veldhoven werkt momenteel aan het formaliseren van werkprocessen en risicoanalyses om de basis voor veilige en efficiënte bedrijfsvoering te versterken.
Positieve verandering, ook bij management
Hoe betrokken het management is bepaalt in grote mate het succes van securityprojecten. Albert ziet daar nu een positieve verandering in plaatsvinden: “Dankzij onder meer de mystery guest en de cyberdilemma-sessie van Brooklyn Partners is duidelijk geworden dat informatiebeveiliging een verantwoordelijkheid van iedereen is. “Het beste pressiemiddel is helaas vaak een hack. Pas als het écht fout gaat, krijgen we de volle aandacht. Dat zie je overal in gemeenteland. Onze hoop is dat door continue aandacht, bestuur en management structureel voorop gaan lopen, zodat we niet op incidenten hoeven te wachten.”
“In de toekomst blijft menselijk gedrag de grootste factor in digitale veiligheid, structurele aandacht loont.”
Voor Albert Smallenbroek staat één ding als een paal boven water: menselijk gedrag blijft de grootste factor van betekenis in digitale veiligheid. Je kunt de techniek nog zo goed op orde hebben, als medewerkers onaandachtig of gehaast op onbekende linkjes klikken of vertrouwelijke papieren rondslingeren, ben je als organisatie alsnog kwetsbaar. De aanpak van de gemeente Veldhoven laat zien dat structurele aandacht loont.
Bij de blik op de toekomst ziet Albert genoeg werk aan de winkel. Zo wil hij de bewustwording naar een hoger niveau tillen. Het doel is dat medewerkers bij elke procesaanpassing of nieuwe tool direct nadenken over de security- en privacyaspecten. Daarnaast spelen grote trends en ontwikkelingen: “Met ontwikkelingen als artificial intelligence en deepfake wordt het nog moeilijker om nep van echt te onderscheiden. De druk van cybercriminelen zal alleen maar toenemen. Het is aan ons om het vliegwiel verder in beweging te krijgen, zodat informatiebeveiliging echt onderdeel wordt van de bedrijfsvoering, maar ook landt op iedere werkplek én deel uitmaakt van ieders dagelijkse werk.”
