• Utrechtseweg 92, 3702 AD Zeist
Laten we beginnen
  • Utrechtseweg 92, 3702 AD Zeist
Laten we kennismaken
Laten we kennismaken

Zo creëer je eigenaarschap in informatiebeveiliging 

Informatiebeveiliging blijft in veel organisaties hangen bij IT, terwijl de impact juist in de operatie wordt gevoeld. Zolang managers security zien als een technisch onderwerp, ontstaat er geen eigenaarschap. Lees hier meer over bewustwording, eigenaarschap en het vertalen van risico's naar de dagelijkse praktijk.

TL;DR

Informatiebeveiliging blijft in veel organisaties hangen bij IT, terwijl de impact juist in de operatie wordt gevoeld. Zolang managers security zien als een technisch onderwerp, ontstaat er geen eigenaarschap. De sleutel ligt in bewustwording, bestuurlijke aandacht en het vertalen van risico’s naar de dagelijkse praktijk. Dit zijn de vijf belangrijkste inzichten.

  • Informatiebeveiliging is geen IT-probleem
    Veel managers zien security nog als de verantwoordelijkheid van IT. Maar net als kwaliteit, financiën en veiligheid hoort informatiebeveiliging thuis bij de mensen die verantwoordelijk zijn voor processen en resultaten.
  • Managers sturen op impact, niet op kwetsbaarheden
    Auditpunten, compliance-eisen en technische risico’s zeggen vaak weinig. Pas wanneer duidelijk wordt wat een incident betekent voor cliënten, dienstverlening of continuïteit, ontstaat betrokkenheid.
  • Bewustwording leidt tot eigenaarschap
    Mensen nemen pas verantwoordelijkheid als ze begrijpen waarom iets belangrijk is. Praktische voorbeelden, herkenbare scenario’s en concrete risico’s maken informatiebeveiliging tastbaar.
  • Bestuurlijke aandacht bepaalt prioriteit
    Waar bestuurders actief op sturen, ontstaat eigenaarschap. Als informatiebeveiliging geen vast onderdeel is van managementgesprekken en besluitvorming, blijft het een bijzaak.
  • De lijn is eigenaar, security ondersteunt
    Een CISO, security officer of privacy professional kan adviseren, signaleren en ondersteunen. Maar de verantwoordelijkheid voor veilig werken en veilige processen ligt uiteindelijk bij de lijnorganisatie zelf.

Van IT-probleem naar organisatieverantwoordelijkheid: zo creëer je eigenaarschap in informatiebeveiliging 

In veel organisaties speelt hetzelfde vraagstuk: hoe zorg je ervoor dat informatiebeveiliging niet blijven hangen bij IT of de CISO, maar écht onderdeel worden van de lijn? Dat managers verantwoordelijkheid nemen. Dat er gestuurd wordt. Dat het leeft. Want laten we eerlijk zijn: zolang informatiebeveiliging voelt als iets van “de IT-afdeling”, verandert er weinig. 

De paradox van verantwoordelijkheid 

Als we kijken naar hoe organisaties omgaan met financiën, dan is dat het glashelder. Planning & Control zorgt voor systemen, rapportages en inzichten. Maar de verantwoordelijkheid? Die ligt bij de lijnmanager. Die stuurt actief op budgetten, targets en resultaten. Want daar wordt op gestuurd van bovenaf. En daar wordt op afgerekend. 

Bij informatiebeveiliging ontbreekt dat mechanisme vaak. 

Een CISO kan rapporteren dat er datalekken zijn geweest of dat auditpunten openstaan. Maar zonder context, zonder urgentie en zonder bestuurlijke druk gebeurt er weinig. Het blijft informatie. Geen actie. 

De kern van het probleem zit vaak niet in het ontbreken van data. Het zit eerder in het ontbreken van eigenaarschap. 

Waarom het niet landt 

Er zijn grofweg drie redenen waarom informatiebeveiliging niet tussen de oren komt: 

  1. Het is te abstract 
    Termen als “kwetsbaarheden”, “risico’s” en “compliance” zeggen veel managers weinig. Het blijft technisch en ver van hun dagelijkse praktijk.  
  1. Er wordt niet op gestuurd 
    Wat niet terugkomt in bestuursgesprekken, krijgt geen prioriteit. Simpel.  
  1. Het verleden werkt tegen ons 
    Veel processen waren ooit niet digitaal of niet verbonden. De risico’s waren kleiner of anders. Die realiteit is fundamenteel veranderd, maar het denken vaak nog niet.  

De kanteling: van techniek naar impact 

De oplossing zit niet in nóg meer rapportages of nóg meer technische uitleg. De oplossing zit in vertaling. 

Niet zeggen: 
“Je hebt nog twee openstaande auditpunten.” 

Maar zeggen: 
“De kans is reëel dat je straks niet bij je cliëntdossiers kunt. En dan kun je geen zorg leveren.” 

Dat is een ander gesprek. Wanneer je risico’s koppelt aan processen en gevolgen, gebeurt er iets. Dan wordt het concreet. Dan raakt het de verantwoordelijkheid van de manager. 

Maak het tastbaar 

Wat werkt, is het gesprek voeren op procesniveau. Niet starten vanuit systemen, maar vanuit vragen als: 

  • Welke informatie is cruciaal om je werk goed te doen? 
  • En welke informatiesystemen heb je daar dan voor nodig? 
  • Hoe lang kan je zonder die systemen? 

In een ouderenzorginstelling leidde zo’n gesprek onlangs tot een scherpe realisatie. Waar eerst intern werd gedacht dat ze “best een paar dagen zonder het elektronische cliëntendossier konden”, bleek bij doorvragen dat cruciale informatie – zoals contactgegevens van familieleden  of niet-reanimerenverklaringen – alleen digitaal beschikbaar was. Er zijn situaties denkbaar waarbij deze informatie per direct nodig is. 

De conclusie veranderde snel: dit systeem mag maximaal een paar uur uitvallen. 

Dat is het moment waarop eigenaarschap ontstaat. 

Bewustwording als motor 

Gedrag speelt hierin een grotere rol dan technologie. Security incidenten en datalekken ontstaan zelden door complexe hacks, maar vaak door menselijk handelen: 

  • Vertrouwelijke documenten op de printer laten liggen  
  • Een wachtwoord op een briefje  
  • Klikken op een phishing link op een druk moment  

Pas als mensen zich hiervan bewustworden, zijn ze bereid hun gedrag aan te passen.Daarom geldt: Bewustwording leidt tot eigenaarschap. Maar bewustwording ontstaat niet door beleid of documenten. Het ontstaat door ervaring, herkenning en context. 

Bijvoorbeeld door: 

  • Praktische sessies waarin medewerkers zelf risico’s moeten herkennen
  • Herkenbare voorbeelden uit de eigen organisatie 
  • Het delen van actuele dreigingen die dichtbij komen  

Niet om angst te creëren, maar om realiteit zichtbaar te maken en handelingsperspectief te bieden. 

De rol van leiderschap 

Zonder betrokken bestuur blijft dit een kansloos verhaal. Als informatiebeveiliging wordt weggezet als “iets van IT”  dan is het signaal helder: dit is geen prioriteit. Maar zodra bestuurders het onderwerp serieus nemen, het gesprek aangaan en actief sturen, verandert het speelveld direct. 

Dan ontstaat ruimte voor: 

  • Structurele aandacht in overleggen  
  • Heldere verantwoordelijkheden  
  • Concrete opvolging  

En dat is precies wat nodig is. 

Wie trekt dan wél aan de bel? 

Dat betekent overigens niet dat informatiebeveiliging stuurloos moet worden georganiseerd. Juist niet. In veel organisaties is er iemand die risico’s signaleert, inzichten geeft en helpt om het gesprek op gang te brengen. Soms is dat een CISO, soms een security officer, privacy officer of informatiemanager. 

Maar die rol wordt nog te vaak gezien als “de eigenaar van informatiebeveiliging”. 

En daar ontstaat de mismatch. 

Want net zoals Planning & Control niet verantwoordelijk is voor het financiële resultaat van een afdeling, is informatiebeveiliging uiteindelijk ook geen verantwoordelijkheid van één specialistische rol. Die kan ondersteunen, adviseren en richting geven – maar het eigenaarschap hoort in de lijn. 

Zodra managers begrijpen dat informatiebeveiliging direct raakt aan hun proces, hun continuïteit en hun dienstverlening, verandert het gesprek vanzelf. 

Dan gaat het niet meer over audits, compliance of vinklijstjes.  

Maar over continuïteit, risico’s, kwaliteit van dienstverlening en/of verantwoordelijkheid. 

En dát is het moment waarop informatiebeveiliging volwassen wordt georganiseerd. 

Van moeten naar willen 

In organisaties waar het goed werkt, zie je een duidelijke verschuiving. 

Van: “We moeten iets met security vanwege audits.” Naar: “We willen dit goed regelen omdat het ons proces raakt.” 

Dat verschil is allesbepalend. 

Zolang security van IT blijft, verandert er niets 

Informatiebeveiliging wordt pas volwassen als het geen IT-thema meer is, maar een organisatieverantwoordelijkheid. 

Dat vraagt om: 

  • Heldere vertaling naar impact  
  • Structurele sturing vanuit bestuur  
  • Concrete betrokkenheid van de lijn  
  • En vooral: bewustwording op alle niveaus  

Want pas als mensen zien wat het voor hén betekent, gaan ze handelen. 

En dan wordt informatiebeveiliging geen verplichting meer, maar een vanzelfsprekend onderdeel van goed organiseren. 

 

Wil je weten hoe Beyond Ideas jouw organisatie verder kan helpen?

Neem contact op
Foto van Lotte Kempers

Lotte Kempers

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Gerelateerde artikelen

Maak kennis met Maarten Willemse

Eind jaren ’80 leerde hij zichzelf programmeren op een kleine Olivetti-computer. Tegenwoordig helpt Maarten Willemse organisaties bij complexe vraagstukken op

Lees verder
Maarten Willemse 22 april 2026