‘Ook bij overheid is digitaal veel mogelijk, binnen de juiste randvoorwaarden’

Justin Broeders en Tanja van Burgel, Ministerie van Financiën.

Haar collega Justin Broeders, CISO bij het Ministerie van Financiën, onderstreept de visie van Van Burgel. Overheden hebben volgens hem een voorbeeldfunctie als het gaat om het naleven van wetten en regels op gebieden als informatiebeveiliging en gebruik van AI-toepassingen. Een Belastingdienst, die onder Financiën valt, is verantwoordelijk voor gevoelige informatie van heel veel Nederlanders. Tegelijkertijd, merkt Broeders op, is ook veel hetzelfde.

Van nee naar ja

“Wat ik als CISO geleerd heb, is dat de rol vaak gezien wordt als eentje waarin je vooral nee zegt. Ik wil graag mensen bewegen tot ‘ja’ zeggen. Verbinden en samenwerken is veel effectiever om tot een goede security-strategie te komen dan eenzijdig zeggen: dit mag niet, dit kan niet." Deze visie hanteerde hij al in het bedrijfsleven en ook nu bij het ministerie: "Samenwerken en verbinden tussen en met DG’s zoals de Belastingdienst en Toeslagen en de diverse beleidsdepartementen. Hen in hun kracht laten waar dat kan en samen zaken oppakken waar dat beter is.”

Van Buergel is met Broeders eens: "Heel veel kan wel, als je maar aan de juiste voorwaarden voldoet. Maar als departement ben je natuurlijk geen op zichzelf staande entiteit. Je bent onderdeel van de Rijksoverheid, waarbinnen de CIO Rijk van BZK rijksbrede kaders stelt. Wat wij doen, moet binnen die kaders vallen. Bovendien moeten we verantwoording afleggen voor wat we doen aan politiek, bedrijfsleven en burgers. Het belang hiervan wordt steeds groter. Die verantwoording zie je bij een commercieel bedrijf ook, maar een stuk minder.”

Groeiend belang digitalisering

Het belang van digitalisering wordt ook steeds groter. En hoewel ook het Ministerie van Financiën de afgelopen jaren grote stappen gezet heeft richting het worden van een digitale organisatie, blijven er nog genoeg stappen te zetten.

"In mijn vorige functie viel mijn afdeling nog onder bedrijfsvoering", schetst Van Burgel. "Dat geeft wel aan dat men tot een paar jaar geleden IT meer als iets facilitairs zag: als water uit de kraan. IT moest het gewoon doen. Inmiddels is IT weggehaald bij bedrijfsvoering en ondergebracht in de nieuwe concerndirectie. Het wordt steeds meer gezien als onderdeel van de primaire processen. Wij zorgen voor de gezamenlijke kaders voor het gehele ministerie en bewaken synergie en consistentie.”

Die verandering is ingezet omdat IT niet meer als iets facilitairs gezien wordt, vervolgt Van Burgel. "Alles dat ons ministerie doet – beleid maken, financiële stromen zoals belasting innen en toeslagen uitkeren – is inmiddels digitaal geworden of groeit hiernaar toe. Dat betekent dat je de organisatie en digitalisering niet meer los van elkaar kunt zien. Maar er zijn nog veel stappen te zetten. Wel zie je die stappen ook steeds meer gezet worden. Twee kleine voorbeelden: de Generale Thesaurie verdiept zich in de digitale euro, we zijn bezig met e-wallets. Er zijn heel veel ontwikkelingen, maar tegelijkertijd is het heel belangrijk om de digitale basis goed op orde te hebben. Met een goed fundament kun je makkelijker inspringen op nieuwe ontwikkelingen.”

Rekening houden met papier

Zeker bij de overheid is er veel sprake van (staats)geheime informatie die alleen op papier aanwezig is", vult Broeders aan. "Je moet dus zowel analoog als digitaal naar die beveiliging kijken. De security-aanpak is vooral gericht op het digitale domein omdat dit inmiddels het grootste stuk is. Maar wij zijn geen Bol.com, dat alleen digitaal actief is. Wij hebben nog veel meer te maken met fysieke dienstverlening, zowel extern als intern. Het ministerie en al haar beleids- en uitvoerende departementen digitaliseert wel steeds verder, maar we moeten nog altijd rekening houden met een analoog deel.”

Daarnaast - daar is hij weer - heeft de overheid een voorbeeldfunctie. Als je zelf regels maakt en opstelt op gebieden zoals security en privacy, moet je je daar ook extra goed aan houden, meent Broeders. "De wetenschap dat wij ons goed moeten kunnen verantwoorden, zit in de kern van ons handelen. Praktisch gezien betekent dit bijvoorbeeld dat we bewuster nadenken over de IT-opties waar we voor kiezen. We zullen niet zo snel alles in de cloud gaan zetten, maar kijken eerst naar de risico’s voor de data, en of we die risico’s echt kunnen verantwoorden. Dat is echt wel een extra stuk zorgplicht die je voelt.”

De interviews met Tanja van Burgel en Justin Broeders gemist? Lees deel 1 en deel 2 terug op Dutch IT Leaders.