Per 1 februari 2024 is Marcel de Haan bij Beyond Ideas in dienst getreden. Marcel is een zeer ervaren programma manager en consultant die al sinds het begin van de jaren ’90 actief is in internationale rollen op het gebied van IT, risk en security. De hoogste tijd voor een nadere kennismaking!
Waarom heb je ervoor gekozen om je carrière bij Beyond Ideas te vervolgen?
De Haan: “De mensen die bij Beyond Ideas werken zijn allemaal echte cracks in het vak. De grote jongens in onze wereld. Ik vind het erg prettig om samen te kunnen werken met mensen die ik vertrouw, waarmee ik kan sparren en waar ik vaak ook nog iets van kan leren. Daarnaast biedt Beyond Ideas mij de mogelijkheid om te doen wat ik leuk en uitdagend vind. Bovendien ken ik de mensen achter Beyond Ideas al erg lang. Het is een soort vriendenclub, waarbij veel respect is voor elkaars kennis en kunde. En we doen vooral leuke klussen! Een dergelijke cultuur vind je niet bij een corporate.”
Waardoor onderscheidt Beyond Ideas zich in jouw ogen van andere partijen?
De Haan: “Toby Boerlage (directeur van Beyond Ideas) zei laatst in een interview: we willen organisaties leren op eigen benen te staan. Daar sluit ik me volledig bij aan. Het is geweldig om een organisatie op weg te helpen en een structuur neer te zetten, maar het uiteindelijke doel moet zijn dat de organisatie zelf ergens mee verder kan. Security is te belangrijk om (volledig) te outsourcen. Dan onttrek je je als onderneming aan je verantwoordelijkheid. Ik ben allergisch voor het ontzorg-model dat sommige consultancybedrijven aanbieden. Dat doen wij dus niet. Wij helpen bedrijven om hun security goed in te richten en leren ze dit blijvend goed te managen. Daarna kan Beyond Ideas wel een hulplijn bieden voor de lastige vraagstukken.”
Wat voor soort klussen passen het beste bij jou?
De Haan: “Ik heb veel ervaring met het helpen van organisaties om hun informatiebeveiliging zodanig in te richten dat ze voldoen aan de NIS2- en ISO-regelgeving. Dat zijn topics die nu heel relevant zijn; klanten vragen hier steeds vaker om en uiteraard zijn dit ook zaken waar vanuit wet- en regelgeving aan voldaan moet worden. Ik help hier graag bij, waarbij mijn doel altijd is dit zodanig in te richten dat de organisatie er zelf mee verder kan.
Ik woon in het oosten van het land. Daar zijn veel zorginstellingen gevestigd. Ik heb gemerkt dat een groot deel van die organisaties hulp nodig hebben, bijvoorbeeld op het gebied van NIS2. Dat vind ik mooie klussen, ook omdat ik heb gemerkt dat de cultuur binnen zorgorganisaties me erg goed ligt.”
Wat is je achtergrond? Hoe ben je je carrière ooit begonnen?
De Haan: “Ik loop alweer een tijdje mee! Ik ben ooit afgestudeerd aan de opleiding Bedrijfskundige Informatica. Veel mensen die die studie hadden gevolgd werden ontwikkelaar, maar dat trok me niet. Ik besloot de auditing in te gaan. Dat leek me erg interessant. Ik studeerde af als EDP Auditor aan de VU en begon mijn loopbaan bij het datacenter van Defensie in Maasland. Als EDP auditor beoordeelde ik de betrouwbaarheid van de data systemen, en na 3 jaar ervaring werd ik vervolgens Register EDP auditor”
Welke stappen heb je daarna gezet?
De Haan: “Mijn volgende rol was een internationale functie bij General Motors Acceptance Corporation (GMAC) International Operations. Ik begon als auditor, heb de CISA certificering gedaan, maar stapte na anderhalf jaar over naar de IT afdeling. Ik was verantwoordelijk voor de ICT van de kantoren in Oost- en Zuid-Europa en dus zat ik iedere week in het vliegtuig. Vervolgens heb ik grote projecten en programma’s gedaan, zoals de ERP-implementatie bij de Full Service Leasing tak van GMAC. Na acht jaar GMAC ben ik aan de slag gegaan bij ING in Amsterdam. Ook hier kwam ik weer in een Europese rol terecht en heb ik grote systeemmigraties gerealiseerd. Een van de meest in het oog springende projecten die ik destijds heb gemanaged was de realisatie van het datacenter in Polen en de migratie van systemen daar naartoe. Toen ING en Nationale Nederlanden gesplitst werden besloot ik om eens een kijkje bij NN te nemen. Ik werd verantwoordelijk voor informatiebeveiliging. Dat onderwerp stond hoog op de agenda, aangezien NN naar de beurs moest na de splitsing met ING. Nadat ik het programma om NN op een hoger security niveau te brengen succesvol had gerealiseerd heb ik samen met de nieuw aangestelde CISO de CISO office opgezet en heb ik me een kleine vijf jaar met hardcore security vraagstukken beziggehouden. Daarna ben ik als Security projectmanager bij TVM en als IT Risk Manager bij Monuta werkzaam geweest. Vervolgens kwam ik in contact met Tesorion en kreeg ik de kans om verschillende projecten buiten de financiële sector op te pakken. Erg leuk, want ik was vooral bij banken en verzekeraars actief geweest. Dankzij Tesorion kon ik ook bij gemeenten, zorginstellingen en productiebedrijven ervaring opdoen. Ik heb diverse, zeer uiteenlopende projecten gedraaid, variërend van certificeringsvraagstukken en het optimaliseren van risk management processen tot CISO-as-a-Service dienstverlening en het opstellen van security verbeterplannen.”
Je studeerde ooit af als Register EDP Auditor. Komt de kennis die je tijdens je studie hebt opgedaan nog van pas in je huidige werkzaamheden?
De Haan: “Zeker! Het allerbelangrijkste vak dat ik heb gehad was AO/IC Administratieve Organisatie & Interne Controle (later werd dat BIV, Bestuurlijke Informatie Voorziening). Dat is een verplicht nummer aan de VU om RE of RA te kunnen worden. Daar moet je voor slagen. Bij dat vak leer je hoe je met de juiste maatregelen processen in een organisatie onder controle kan krijgen en dat is essentieel in de wereld van Informatiebeveiliging. Dat vereist een bepaalde manier van denken die je leert tijdens zo’n studie. Dat is nog steeds de essentie van wat ik doe en van wat we bij Beyond Ideas doen. Het vertalen van een framework zoals ISO27001 naar een pragmatische en effectieve oplossing in een organisatie. Hoe richt je een proces zodanig in dat je kunt zeggen dat je deze onder controle hebt? Zodat je erop kan vertrouwen en ook kunt vaststellen dat indien er security incidenten worden gemeld, deze opgevangen kunnen en zullen worden? Die basis ligt bij die studie.”
