David de Boer is informatiebeveiliger bij de Rijksdienst voor Identiteitsgegevens. In deze functie is het zijn taak om op strategisch en tactisch niveau de bedrijfsvoering bij RvIG kritisch te volgen en te beschermen tegen bedreigingen. Hij vertelt in dit artikel meer over het informatiebeveiligingsbeleid van RvIG.

David, zeg eens eerlijk: Moet je een beetje een nerd zijn om informatiebeveiliging leuk te vinden?

Ha! Als ik voor mezelf spreek: ja, dat ben ik wel een beetje. Maar het ligt eraan vanuit welk perspectief je informatiebeveiliging bekijkt. Kijk je vanuit de beleidshoek, de juridische of juist de technische kant? Vanuit de technische kant helpt het inderdaad als je een beetje een nerd bent. Ik zit ook zeker wel in het nerd-spectrum met sommige dingen. Ik heb bijvoorbeeld mijn eerste leidinggevende ontmoet op een LAN-party.

'Zonder gegevens uit de Basisregistratie Personen stopt de dienstverlening in Nederland.'

Hoe ben je informatiebeveiliger geworden?

Het kwam toevallig op mijn pad. Ik was vroeger altijd een planner. Maar gaandeweg kwam ik erachter dat, voor mij persoonlijk, plannen maken over school en carrière geen enkele zin had. Ik was bij RvIG al een tijd Functioneel beheerder en dat deed ik met plezier. Maar na een tijdje wilde ik weer wat anders. Ik had bepaalde interesses en uiteindelijk doen zich altijd kansen voor om die interesses te matchen. Een van die kansen was informatiebeveiliger van RvIG worden. En die kans heb ik gepakt. Gelukkig kreeg ik van RvIG ook alle ruimte om de benodigde opleidingen te volgen.

Waarom is informatiebeveiliging belangrijk?

De missie van RvIG is onder andere een veilige levering van persoonsgegevens. Dit betekent voor mij dat afnemers de gegevens ontvangen waar ze recht op hebben, zonder dat er afbreuk wordt gedaan aan de integriteit en vertrouwelijkheid van de persoonsgegevens. Naast imago- en financiële schade voor bedrijven, kan een beveiligingsincident grote impact op het leven van mensen hebben. Iedereen heeft wel iets te verbergen. Dat hoeft helemaal niet schimmig te zijn: waar je woont en je BSN wil je graag privé houden.

Als burger heb je recht op bescherming van je persoonlijke gegevens. RvIG beheert 20 miljoen persoonslijsten van ingezetenen en niet-ingezetenen. En die beheren we op een manier waardoor ieders privacy gerespecteerd wordt. Maar tegelijk moeten gemeenten en afnemers hun publieke taak uit kunnen voeren. Want zonder gegevens uit de Basisregistratie Personen (BRP) stopt de dienstverlening in Nederland. Dat is onze uitdaging en onze grote verantwoordelijkheid. Informatiebeveiliging vervult hierbij een belangrijke rol.

David de Boer: 'Ik probeer met open vizier en integer te werken. Met daarbij een pragmatische houding naar de collega’s en klanten.'

Wat is je rol als informatiebeveiliger bij RvIG?

Informatiebeveiliging is als team binnen de processen van RvIG genesteld, zodat we een verplicht station zijn. Daarnaast proberen we altijd vanaf het begin betrokken te zijn bij projecten en nieuwe producten. We werken als informatiebeveiligers binnen vastgestelde kaders. Deze kaders worden onder andere vormgeven door normen en wetgeving. Denk bijvoorbeeld aan de Paspoortwet, Baseline Informatiebeveiliging Rijksdienst (BIR) en de Algemene verordening gegevensbescherming (AVG). Binnen deze kaders handhaaf en adviseer ik.

Een belangrijk onderdeel van mijn werk is het inzichtelijk maken van risico’s. Iedere projectleider wil vooral de voordelen van zijn project zien. Maar het is mijn taak naar de (onbedoelde) risico’s te kijken en deze inzichtelijk te maken. Soms moet ik dan op de rem trappen. Maar ik zal nooit de functionele wens die er altijd is uit het oog verliezen. Dan stel ik mezelf de vraag: hoe kan ik voor een oplossing zorgen die recht doet aan de oorspronkelijke wens én voldoet aan de kaders die we hebben afgesproken voor informatiebeveiliging? Meedenken over oplossingen is dan wat mij betreft ook logisch.

'Ik ben zeker niet van het vingertje.’

Vinden mensen je niet gewoon lastig?

Je krijgt ook wel een dikke huid hoor. Ik ben zeker niet van het ‘vingertje’. Ik probeer met open vizier en integer te werken. Met daarbij een pragmatische houding naar de collega’s en klanten. Vergis je niet in het morele kompas van mensen. Dat zit bij de meeste mensen wel goed. Het creëren van bewustzijn bij mensen is daarom een belangrijk onderdeel van mijn werk.

Samen met de collega’s van de informatiebeveiliging maken we ons zichtbaar in de organisatie zodat we ook in de informele sfeer invloed hebben bij RvIG. Ik zie bijvoorbeeld graag dat collega’s hun werkstation vergrendelen als ze even weg zijn van hun werkplek. Ik spreek de mensen hier soms op aan bij de koffieautomaat. Waarschijnlijk word ik dan soms als ‘lastig’ ervaren. Ik zie het gewoon als onderdeel van mijn werk dat ik niet altijd iedereens vriend ben.

Ik krijg daarnaast voldoende energie als ik collega’s iets meegeef waar ze ook echt iets aan hebben. Dan ben ik op m’n best. Ik vind het zelf namelijk heel vervelend als iemand alleen zegt dat iets niet kan, zonder met alternatieven te komen. En dat wordt gelukkig gewaardeerd.

Privacy, informatiebeveiliging, hacken. Het zijn onderwerpen die veel in het nieuws zijn. Wat voor invloed heeft dit op je dagelijkse werk bij RvIG?

Informatiebeveiliging en vooral privacy liggen door allerlei actuele ontwikkelingen momenteel onder een vergrootglas. Er is zeker meer aandacht voor. Ook bij RvIG. En dat is alleen maar goed. Kwetsbaarheden in software of diensten worden veel sneller bekend waardoor er ook snel gehandeld kan en moet worden.

De ontwikkelingen gaan snel. Mijn werk is altijd een bewegend doel. Niet alleen de maatschappij verandert. Ook doelstellingen van klanten, ketenpartners en natuurlijk die van RvIG zelf. Vergelijk de wereld van 2008 eens met nu. Daar zit een groot verschil in. Hoe de wereld er over 10 jaar uitziet? Geen idee. Nieuwe ontwikkelingen als 'Regie op Gegevens' en de 'Self Sovereign Identity' hebben veel potentie en kunnen impact hebben op het werkgebied van RvIG. In welke mate? Dat gaan we zien. We zullen vooral alert moeten blijven en aansluiten op de behoeften van dat moment. Alleen door constant relevante risico’s in kaart te blijven brengen, blijf je actueel als organisatie.

Neem je je werk ook mee naar huis?

Ja, ik ben eigenlijk niet alleen informatiebeveiliger op het werk, maar ook thuis. Laat ik het erop houden dat mijn thuisnetwerk er anders uitziet in vergelijking met de meeste mensen. Ik heb daarnaast 2 jonge dochters voor wie de telefoon en social media heel belangrijk zijn. Dat probeer ik, net als elke andere ouder, een beetje te managen. Ik ben niet van het verbieden, maar meer van het voorlichten. Er gelden in de privésfeer natuurlijk andere regels. Ik heb niet de illusie dat ik iets kan verbieden. Ik probeer de hoeveelheid uren dat ze naar zo’n scherm turen in de hand te houden en ze te wijzen op de eventuele gevaren. En dan hoop ik dat ze naar me geluisterd hebben.