qeep talking

Nu Kees Hintzbergen actief is als zelfstandige wist Renco hem te strikken voor de podcast. In deze afleveringen gaat het wederom over leveranciersmanagement, maar dan specifiek over het opleggen van eisen aan softwareleveranciers (en wat te denken van de software broker). Kees ontwikkelde daarvoor een wizard/tool en licht toe hoe die te gebruiken in relatie tot de bestaande processen en instrumenten. Enne, Kees ga je nog wel eens vaker horen (=teaser ja).

(00:48) - Welkom bij de Podcast
(02:07) - Van IBD naar Zelfstandigheid
(04:37) - Opleggen aan Leveranciers
(07:18) - De Leveranciersmatrix
(17:29) - Risicomanagement versus Compliance
(28:03) - Het Probleem van Softwarebrokers
(36:54) - De Cyber Resilience Act
(37:58) - Afronding en Toekomstplannen

qeep talking is een podcast van Renco Schoemaker. Vanuit zijn bedrijf qeep IT safe adviseert hij in de publieke sector over informatiebeveiliging en privacy in de brede zin. Naast de podcast, schrijft hij al >10 jaar blogs en recent voegde hij daar opinies, video's en links aan toe. Al zijn content en nieuwsbrieven vind je op qeep posted (registratie is gratis). Ook is Renco actief als BIO2 en NIS2/Cbw trainer. Heb je een tip voor de podcast? Neem contact op.

Creators and Guests

Host

Renco Schoemaker

Podcaster en content maker voor qeepposted.nl

Guest

Kees Hintzbergen

Zelfstandig adviseur bij PDCS

What is qeep talking?

Een maandelijkse podcast waarin Renco Schoemaker in gesprek gaat met uiteenlopende gasten over informatiebeveiliging en privacy. Het gaat daarbij vooral om het 'hoe' in de context van de (lokale) overheid.

Renco: 00:05

Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoemaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.

Renco: 00:30

Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen en daar valt veel over te bespreken dus veel plezier en keep talking. Het uitzicht op het mooiste centraalste station van Nederland heb ik eindelijk voor elkaar gekregen wat ik al jaren probeerde voor elkaar

Kees: 00:48

te krijgen. Dat is dat ik

Renco: 00:49

een keer podcast met de man die nu tegenover mij zit. Maar ja, die kan het beste zichzelf introduceren. Wie zit er, je hoort hem al, Wie zit er tegenover mij? Kees Hintzbergen. Niemand minder dan Kees Hintzbergen.

Renco: 01:01

Hij is denk ik bekend onder de luisteraars die ik heb bij deze podcast. Je glimlacht ook Kees, dus dan leid ik uit af dat je het ook leuk vindt om eindelijk in mijn podcast te zijn.

Kees: 01:12

Ik heb echt zolang geprobeerd om het tegen te houden.

Renco: 01:15

Ja, ja, maar goed nu er was geen ontkomen meer aan, hè. Nee. En je hebt natuurlijk jarenlang de kaart gespeeld van hé, Renco. Ik werk bij de informatiebeveiligingsdienst. En op zijn best ben ik nog een aardige vent, maar ik ben een commerciële aanbieder natuurlijk.

Renco: 01:32

En een en een informatiebeveiligingsdienst is natuurlijk een soort en een neutrale organisatie die ten diensten staat van de gemeentes. Dus het was denk ook goed dat er altijd een soort scheiding bewaakt of bewaard bleef. Maar ja, nu ben jij een vrije vogel. Dus ik zag mijn kans schoon.

Kees: 01:47

Ja, inderdaad. Nee dat klopt, dat is helemaal waar. Vanuit de IBD vond ik het gewoon dat ik dat altijd integer moest doen. En heb ik me dus altijd met dit soort activiteiten wat op de vlakte gehouden. Omdat je toch heel erg bekend bent met als tweeling van de IBD.

Kees: 02:01

Zeker. Ja. En en dus heb ik inderdaad de dit soort dingen altijd ver van me houden. Maar dat is nu niet meer zo.

Renco: 02:07

Ja was het ook 1 van de redenen om voor jezelf te beginnen dat je dan eindelijk in mijn podcast kon komen?

Kees: 02:12

Nee, nee, nee, want ik ben natuurlijk gestart met PDCS samen met 3 maten en we komen alle 4 van de IBD en iets met wet dba en dus ja, toen hadden we zoiets van we hebben samen 40 jaar gemeentelijke ervaring. En dat kunnen we, daar kunnen we ook datgene mee doen wat de IBD niet kan. Namelijk gewoon achter de voordeur verder helpen waar de gemeente, waar de IBD stopt. Ja. En dat was de gedachte achter de start van PDCS.

Renco: 02:39

Nou en hoe bevalt het leven als een zelfstandige?

Kees: 02:42

Ja, nou het bevalt goed. Je gaat je de eerste, de laatste maanden van vorig jaar dan zit je eigenlijk in een soort van start stopt het en hoe gaat het straks worden? Hoe gaat het lopen?

Renco: 02:53

Nou best wel spannend toch ook?

Kees: 02:54

Dat is ook zo. Dat heeft een bepaalde gezonde spanning En ik moet zeggen het gaat eigenlijk best goed. Het zou misschien wat meer en sneller kunnen, maar het gaat eigenlijk wel heel erg goed. Ja,

Renco: 03:06

ja en dan helpt het denk ik wel dat je ja, wel een bekende bent in in het wereldje toch? Dat bedoel je kunt iemand willen die je hè, als organisatie kan je zeggen ik heb iemand nodig met onderwerp a b of c. En er zullen ook organisaties zijn die zeggen ik heb Kees nodig. Ja dat klopt. Ja dat klopt.

Renco: 03:24

Dat lijkt me een hele fijne uitgangspositie.

Kees: 03:26

Ja, nou ja, inderdaad. Want 1 van mijn huidige opdrachten is inderdaad zo ontstaan. Dat was gewoon ik wil Kees. Ja. Wij willen Kees.

Renco: 03:33

Ja, nou ja, is een hele mooie complimenten aan jouw adres. En ik ben een concurrent rijker, dus...

Kees: 03:40

Nou, maar we zijn geen...

Renco: 03:41

Dan laten we je niet,

Kees: 03:42

Renco we zijn geen concurrent.

Renco: 03:44

Maar we doen natuurlijk wel iets wat op elkaar lijkt, hè. We helpen overheidsorganisaties met het accent op gemeenten, hè. Ja. Op het gebied van informatiebeveiliging en ja, dat misschien dat is meteen een vraag van mij eigenlijk. PDCS, s staat voor security?

Renco: 03:58

Ja, ja, dat klopt. Plan, do, check security. Klopt. Ja, dus jullie doen geen privacy?

Kees: 04:04

Ja, nee, is een er zijn nog een aantal andere mensen weggegaan bij de Informatiebeveiligingsdienst. Dus een deel van het privacy team en 1 van de de maten zit samen met een aantal privacy mensen in een ander bedrijf, praktijk voor privacy. Ja, dus zij pakken het privacy. Ja, we hebben er wel in het begin over gesproken moeten we alles bij elkaar gooien, maar dat hebben we uiteindelijk niet gedaan.

Renco: 04:27

En 1 maat kon je kiezen.

Kees: 04:28

Wat zeg je?

Renco: 04:29

Een 1 maat kon je kiezen. Dus die ging met allebei.

Kees: 04:32

Nee, nee, nee, dat was zoals het nu gaat is, is het oké. Ja. Dat is gewoon perfect, ja.

Renco: 04:37

Ja, leuk joh. Nou en ik heb jou eigenlijk gevraagd in de podcast om over een specifieke onderwerp te praten. De vorige aflevering heb ik het met Luuk gehad over leveranciers management en het lijkt mij interessant om daar nog eens een volgende aflevering over op te nemen. En dan specifiek over het deel wat je moet opleggen aan je leverancier. En nou, daar heb jij de laatste tijd wat aandacht aan besteed op LinkedIn.

Renco: 05:03

Ja. Met het nodige ja, likes en reacties. En nou dat je had wel een snaar geraakt volgens mij.

Kees: 05:11

Ja, ja dat klopt. Ik moet je zeggen, ik liep al langer met de gedachte rond om op LinkedIn wat actiever te worden en te laten zien wat mijn wereld is en wat ik daarvan begrijp zeg maar. Niet per se voor verkoop, maar gewoon dingen delen die andere mensen goed kunnen gebruiken.

Renco: 05:26

Ja op de inhoud zeg maar.

Kees: 05:27

Precies precies en je ziet ook wel sommige mensen heel activistisch zijn. Dat wil ik ook niet zijn. Ik probeer die grens te bewaken om geen activist te worden maar gewoon leuke dingen te schrijven. En

Renco: 05:38

wat zegt een activist typisch?

Kees: 05:40

Ja dan bijvoorbeeld die is gewoon wat harder in de leer en van dan moet je van alles en er is geen andere weg.

Renco: 05:47

Oké.

Kees: 05:48

En dat dat is niet zo. Er is keuze genoeg. En waar ik vanuit kijk is van ja er zijn een aantal en dat is vooral ik ben echt heel erg blij met de met de wet cyberbeveiliging. Dus de Ja. Cbw en de CBB en alles wat erachter weg komt.

Kees: 06:08

En ook de BIO2 natuurlijk. En we zijn nu al jaren onderweg op onder het mom van verplichtende zelfregulering. Maar nu is het wetgeving. Ja, is toch

Renco: 06:19

wel een andere league gekomen.

Kees: 06:20

Ja, precies en dat betekent ook dat we dus nu over wat anders praten. Nu is het niet meer doen we het een beetje? Nee, er is nu een wettelijke basis. En dat is een stevige basis.

Renco: 06:28

Ja en dus ook als het gaat om het opleggen van of sluiten van contracten met derde partijen. We besteden natuurlijk als overheid heel veel uit aan marktpartijen. Deze verplichtingen die je nu noemt, Cyberbeveiligingswet. Ja, een een software leverancier kan ook heel goed onder de Cyberbeveiligingswet vallen hé. Afhankelijk van hoe groot die is of wat die biedt in welke sector.

Renco: 06:47

Klopt. Nou, dat is op zich nog een studie op zich om er precies achter te komen wat er allemaal wel niet onder de CBW valt. Maar hoe dan ook, ook al valt jouw software leverancier er niet onder, dan heb je natuurlijk als overheidsorganisatie alsnog de verplichting om je zaken goed te regelen, goed goede afspraken te maken met je leverancier. Eerder was dat ook al zo, maar dan zeiden we ja, verpesten de zelfregulering geeft toch nog wat bewegingsruimte. Nu eist de wet het.

Renco: 07:11

Ja. Of ik zeg nu, maar we zijn nog niet, hij is nog niet door de Eerste Kamer op dit moment dat wij dit opnemen, maar dat zit er natuurlijk wel aan te komen. Ja, inderdaad. En dat was voor jou ook de aanleiding, want ik wil graag je het woord geven over de tool die je ontwikkeld hebt, Want je hebt niet alleen maar ergens tegenaan geschopt. Maar je hebt ook iets ontwikkeld om het ja, daadwerkelijk beter te maken toch?

Renco: 07:32

De leveranciers matrix volgens mij. Zo gaat hij door het leven?

Kees: 07:35

Ja, ik noem hem de leverancierswizard of matrix. Ja, klopt. En of het is eigenlijk een inkoop matrix. Inkoopwizard matrix whatever. Maakt niet uit of

Renco: 07:45

die Inkoopwizard dan denk ik niet een ICO-wizard.

Kees: 07:48

Nee nee het is geen ICO-wizard. Nee nee zeker niet en dat en dat is ook niet wat die wat ik ermee wil doen. Ik wil zeker niet ICO vervangen. ICO staat op zichzelf en maar goed. Nee waar het om gaat is, ik heb, ik liep al een tijdje met de gedachte want je krijgt dus nu een een in ieder geval een minimale wettelijke eis.

Kees: 08:10

En nou kun je natuurlijk iedereen kan voor zich die wet gaan zitten uitpluizen en dan gaan zitten bedenken wat is dan mijn minimale wettelijke eis. En ik moet je ook zeggen met het maken van die matrix en die Wizzard heb ik ook bedacht van ik ga nu alleen maar kijken naar het inkoop deel welke maatregelen rusten op mij als inkopen organisatie vanuit inkoop perspectief dus. Mhmm. Het is ook niet zo dat ik de hele bio voor je voeten gooi. Nee ik kijk echt alleen maar naar dat deel wat zich bezighoudt met inkoop van diensten of enof producten.

Renco: 08:47

Dat was ook je volgens mij toch jouw punt in jouw eerste LinkedIn bericht wat je hier aanwijde. Dus dat je zei ja gemakzuchtige overheidsorganisaties leggen gewoon in hun non functional deel van hun programma van eisen bij eis 1, de hele BIO op aan de leverancier.

Kees: 09:03

Ja, dat klopt.

Renco: 09:04

Ik heb me daar in alle eerlijkheid ook altijd hevig tegen verzet. Ik denk altijd het is gewoon onzin. Heb je het niet begrepen. Die o staat voor overheid en je gaat nu iets aanbesteden in een commerciële marktpartij die is helemaal niet gehouden aan de aan de o van overheid, dus in de BIO. Dus hou alsjeblieft op met die BIO opleg, maar goed dan rest natuurlijk wel de vraag wat dan wel, hè?

Renco: 09:22

Wat moet ik dan wel op opleggen aan die leverancier? Ja. Daar heb jij dan nu best een helder antwoord op geformuleerd.

Kees: 09:27

Ja, nou ja dat antwoord was natuurlijk altijd al. Want ook in de oude ISO en de oude BIO hoofdstuk 15 moest je gewoon risicoanalyses uitvoeren. De behoeftesteller, de inkooporganisatie doet, voert een risicoanalyse uit. Is ook de enige die het belang kent van het proces dat ondersteund moet worden met iets van ICT.

Renco: 09:48

Ja, dus daar komen de eisen uit eigenlijk. Exact. Ook die functionele en dan niet functionele.

Kees: 09:51

Je doet een BIA, je doet een risicoanalyse en dat gooi je bij elkaar en dan weet je gewoon dit is de minimale eis. En daar heb je geen BIO voor nodig. Dat is gewoon eigenlijk gezond boerenverstand, maar oké het staat ook in de BIO, stond ook in de ISO. En nu nu met de CBW en de eigenlijk gebaseerd op de NIS 2 zijn er gewoon 10. Ja, meeste mensen praten over maatregelen, maar dat is, ik noem het 10 aandachtsgebieden.

Kees: 10:16

Want zijn eigenlijk heel, maatregelen is voor mij een heel concreet ding. Ja. Wat in de NIS 2 staat, wat in de NIS 2 staat dat is eigenlijk een aandachtsgebied. 10 aandachtsgebieden en daar kunnen veel meer maatregelen uitkomen dan dan die 10.

Renco: 10:29

Ja dat is artikel 21 hè uit de. Ja exact. Precies exact.

Kees: 10:32

Nou ja in ieder geval hebben we gepoogd om met de BIO 2 de invulling te geven aan de zorgplicht eis uit de NIS 2 en CBW. En dat is voor de overheid dus de BIO 2 geworden.

Renco: 10:46

Ja, die is ook voor anker die straks ook verplicht hè.

Kees: 10:48

Dus als je de BIO 2 doet dan kun je stellen dan voldoe je aan de zorgplicht.

Renco: 10:52

Ja en dan hebben we nog de registratieplicht en de meldplicht. En de zorgplicht is natuurlijk de grootste zou ik zeggen van de 3. Ja. En die de BIO doet, klinkt heel makkelijk als ik dat nu zo zeg, maar ja. Ja.

Renco: 11:02

Zit nog een hele wereld achter, maar als je dat doet kun je in ieder geval laten zien dat je voldoet aan je zorgplicht.

Kees: 11:07

Ja. Ja en wat wel echt heel anders is, is dat je bij de vorige BIO hadden we was risicomanagement nog een beetje afgezwakt. Maar nu is in deel 1 van de BIO 2 gewoon keihard verankerd. Gij zult een ISMS inrichten op basis van de ISO 70001 en gij zult de beheersingsmaatregelen uit de 27002 nemen om te komen tot zinvolle invulling van maatregelen. Of het zinvol in control komen op de anexa van de 27001 .

Kees: 11:37

Ja. En dan hebben we nog een extra lijstje en dat is wat waarvan we in gezamenlijkheid vinden dat eigenlijk zou iedereen eraan moeten voldoen. En waarom? We willen graag samenwerken en we willen een bepaald basisniveau.

Renco: 11:49

Dat was dezelfde argumentatie die we ook bij de BIO 1.04 hadden natuurlijk. Exact. Ja exact. En moet wel zeggen het is wel een beetje flauw wat jij doet. Want je zegt nu hebben we ook nog een lijstje.

Renco: 11:56

Dat veronderstelt een beetje dat het op de achterkant van een bierviltje kan. Maar je hebt het eigenlijk over alle overheidsmaatregelen die in de BIO 2 Dat is correct. Dat is een flinke lijst.

Kees: 12:03

Ja, Laten we wel wezen. Het is een flinke lijst en ik moet wel zeggen hij is wat kleiner dan de BIO 1. Want er is wordt nu eigenlijk met een aantal beheersmaatregelen meer ruimte gelaten om zelf in te vullen. Er zijn dus minder overheidsmaatregelen.

Renco: 12:17

Er wordt ook weer terug verwezen naar de 27002.

Kees: 12:19

Ja exact. Exact ja. Dus met andere woorden je moet zelf gaan nadenken welke maatregelen of welke suggesties uit de implementatie aanwijzing van de ISO 27002 ga ik gebruiken om in controle te komen op deze beheersmaatregelen. Precies dat was ook

Renco: 12:33

een van de kritiekpunten op die BIO 1.04 dat er overal zeg maar overheids varianten waren gemaakt. Terwijl je zei, je kon bij heel veel zaken kun je betogen ja, waarom doe je niet gewoon wat implementatie richtlijn voorstel. Dan ben je er toch ook, waarom moet dat zo specifiek gemaakt worden. Nou daar daar is nu een goede middenweg in gevonden denk ik.

Kees: 12:49

Het was het was ook gewoon keihard. We hebben namelijk een evaluatie uitgevoerd op de BIO 1 en 1 van de grootste punten was te veel maatregelen en geen ruimte voor eigen frameworks of eigen maatregelen. Ja. En die ruimte is er nu wel.

Renco: 13:06

Ja, er zijn en 1 van die hoofdstukken is of 1 van onderdelen in die BIO 2 is nog steeds je leveranciers management. Nou en in het kader van de cyber, de Cyberbeveiligingswet eigenlijk die accentueert dat nog eens, hè. Ik bedoel als je zou googelen wat zijn de voornaamste nieuwe verplichtingen in de Cyberbeveiligingswet, dan weet ik zeker dat je in dat lijstje altijd leveranciersmanagement tegen zult komen. Dus dat is, dat was al belangrijk, maar dat is denk ik alleen nog maar belangrijker geworden. Ook omdat we dus heel veel uitbesteden als overheidsorganisaties.

Kees: 13:35

Ja, de keten is ook nadrukkelijk een onderdeel van de Cbw. Ja. Je moet ook de keten in control zijn.

Renco: 13:40

Ja en de keten is zowel achterwaarts als voorwaarts hè? Exact. Dus niet alleen maar nadenken.

Kees: 13:44

Of zijwaarts. Ja. Dat je kunt ook onderdeel zijn van een keten. Nou ja, zijwaarts.

Renco: 13:49

Ja, Daar ik dan meteen weer moeite mee om dat te bevatten. Want ik zou zeggen als je bijvoorbeeld die risicoanalyse moet uitvoeren. Moet je nu ook verplicht nadenken over de impactsgebieden, hè. Wat er wat voor een impact heeft het op de economie. Wat voor impact heeft het op de maatschappij.

Renco: 14:01

Dat zijn dingen waar we eerder niet verplicht over na hoefde te denken. Kijken we vooral naar wat is de impact op mijn organisatie?

Kees: 14:07

Bij I

Renco: 14:07

v, ja. Ja, precies en nu moet je echt ook naar je afnemers kijken zeg maar. De keten inkijken van ja, wat wat is het effect eigenlijk als er impact is. Wat is het effect dan voor de maatschappij? Maar goed, dan moet je van alles opleggen aan die leverancier.

Renco: 14:21

Nou die leverancier die vindt dat soms leuk, soms niet zo leuk. Ja, als je heel veel eisen stelt kan je het risico lopen dat niemand zich inschrijft. Dus je kunt vanuit wet en regelgeving alles keurig doen. Jouw matrix gebruiken, komt een hele zwik aan maatregelen uit en vervolgens schrijf je een aanbesteding uit en kan niemand eigenlijk voldoen. Dat zou kunnen gebeuren.

Renco: 14:39

Dus ik wil maar zeggen soms zul je nog wel water bij de wijn moeten doen, omdat je anders helemaal geen inschrijver krijgt. Eens of niet?

Kees: 14:47

Ja, klopt.

Renco: 14:47

Dat is wel vervelend, maar dan moet je eigenlijk een stuk risicoacceptatie doen.

Kees: 14:50

Ja, weet je het is, maar het is ook niet verboden om dat te doen. Want dat gebeurde onder de BIO en de BIG en de BIR ook al. Op het moment dat je echt gewoon die eis hebt vastgesteld en de leverancier kan er nog niet aan voldoen. Kun je wel afspraken maken wanneer die er wel aan gaat voldoen. En dat dat gebeurt binnen jouw business ook.

Kees: 15:09

Als jij een risico analyse uitvoert en er komen risico's uit. En je gaat daar maatregelen bij bedenken. Dan kan het best zijn dat je besluit, ik neem ze op in mijn risicoregister of in mijn risico behandelplan. Ja. En ik ga ze bewaken.

Kees: 15:22

En ik ga zelf afspreken of intern beloven dat ik die maatregel binnen een jaar heb gemitigeerd. Of dat ik andere maatregelen neem om het risico te verkleinen.

Renco: 15:32

Ja, dus het zal dan kan je ook doen bij dat wat je afneemt bij een derde partij. Ja. Bij een leverancier.

Kees: 15:36

Maar er zullen ook risico's zijn die wil je dus gewoon echt niet accepteren. En en en dat mag best wel eens wat steviger zijn.

Renco: 15:43

Oké, maar nu oké en dan een vraag Kees. Want in die BIO zit een zekere spanning. Zo ervaar ik dat althans. Er wordt aan de ene kant gezegd je doet aan risicomanagement. Je richt een sms in.

Renco: 15:56

Dat is het risicomanagement proces heel belangrijk. Analyses. Dat wekt de indruk dat je kan nadenken over nou welke, ik identificeer mijn risico's, kans en impact scoren. En dan kom ik tot een bepaalde rangorde, rangschikking van die risico's. En dan ga ik met mijn, over het algemeen begin je dan met het mitigeren of het behandelen van je hoogste risico's.

Renco: 16:16

Ja. Dus dat dat klinkt allemaal mooi. Dat is volgens de theorie van het ISMS en het risicomanagement. En dan denk ik ja, daar kom ik toch even terug op dat wat jij net beetje gekscherend het lijstje noemde. Ik denk ja, maar via de achterdeur krijg ik een tussen aanhalingstekens lijstje binnen.

Renco: 16:29

Daar staan behoorlijk wat verplichte overheidsmaatregelen op. En de enige escape die ik nu nog heb in de BIO 2 is de bovenliggende control eigenlijk zetten. Eigenlijk de enige escape waarop ik die onderliggende overheidsmaatregel niet hoef te doen. Ja. Dus met die spanning bedoel ik dan ja, er wordt de indruk gewekt dat ik op basis van risicomanagement behoorlijk wat speelruimte heb om te kijken welke maatregelen ik neem.

Renco: 16:51

Tegelijkertijd wordt de boodschap verkondigd je moet minimaal dit doen. En dit eigenlijk al best wel veel. Dus dat vind ik, als ik, ik gaf onlangs een CBW training aan directeuren en daar kwam dit punt ook weer boven drijven. En ik ben er toch wel wat verlegen mee. Ik denk ja, heb daar ook niet echt een antwoord op.

Renco: 17:08

Wat is het nou? Is het nou compliance? Moet ik gewoon het lijstje doen? En heb ik dan, heb ik dan goed gedaan? Of kan ik risicomanagement doen?

Renco: 17:16

Maar dan moet je ook accepteren dat ik niet dat hele lijstje doe. Ja. Als jij nou moet kiezen Kees. Wat denk jij? Wat vind jij dat het is?

Kees: 17:22

Nee, het is het het is dat laatste. Oké. Want als je iets niet doet dan moet je dat kunnen motiveren en dat is geheel aan jou. En natuurlijk kan daar een toezichthouder wat van vinden in de toekomst als je mocht ooit een controle vooraf of achteraf krijgen. Ja, de RDI die optreedt.

Kees: 17:37

Ja, bijvoorbeeld dat werkt overigens net zo bij de AP met een met een privacy lek. Dan komt ook de AP achteraf kijken en komt gewoon kijken wat had je gedaan om hè in control te zijn of om het te voorkomen. En als het, het kan altijd gebeuren hè. We moeten echt gewoon met de, in de wetenschap leven dat een incident gewoon iedere dag kan gebeuren. Ja.

Kees: 17:58

En en ja, ik ben ik wil eigenlijk niet zeggen steeds vaker want ik geloof dat de meeste mensen geen idee hebben hoe vaak het al gebeurt en alleen dat we heel vaak gewoon goed wegkomen.

Renco: 18:09

Ja komen te stuk vrij eigenlijk.

Kees: 18:11

Ja eigenlijk heel wel heel wel ja. En dat komt gewoon omdat we niet goed kijken of het niet goed zien. Dus er is echt, er zijn zoveel aanvallen iedere dag dat dat is echt schrikbarend. Oké, maar dan heb ik

Renco: 18:23

die risicobeoordeling gedaan hè. Dus je bekend duidelijk kleur hè, het is een basis van risicomanagement implementeer je maatregelen. Als ik dan het even de brug weer sla naar jouw tool, de matrix die jij ontwikkeld hebt, jouw wizard. Dan is dat eigenlijk een manier om de de wettelijke ondergrens is eigenlijk doorvertaald in concrete eisen die zien op je eigen organisatie, die zien op de inschrijvende organisatie en die zien op het product wat de inschrijvende organisatie aanbiedt. Ja.

Renco: 18:53

Maar als ik nou naar uit mijn eigen risicoanalyse blijk dat ik heel gevoelige gegevens ga opslaan in een applicatie die ik ga aanbesteden. Dan kan het best goed zijn dat ik zeg nou ja, die wettelijke ondergrens zeker. Maar ik moet nog wel wat meer doen hè. Dus in jouw matrix zit ook de mogelijkheid om laag midden hoog hè de de risico, het risicoprofiel aan te klikken. Maar dat viel mij daarin op als je daarin hoog aanklikt, dan zit je eigenlijk nog steeds op de wettelijke ondergrens.

Renco: 19:21

Ja. Terwijl je misschien wel zegt, misschien ook niet hè, maar dat je zegt ja, moet ik moet meer doen. Ja. En wie moet dat dan bedenken? Dan zeggen ze Kees moet ik jou inhuren zeker?

Kees: 19:29

Nou ja, liever niet. Maar ik heb werk genoeg. Nee, kijk er is de wettelijke ondergrens en er zal iets differentiatie zien tussen laag, midden en hoog. Maar het is gewoon de wettelijk ondergrens en uiteindelijk moet de organisatie het staat ook bij de maatregelen van de organisatie moet gewoon risicoanalyse uitvoeren. Ja.

Kees: 19:49

En en ja en en dat leidt dan of mondt dan uit in of meer maatregelen of harder eisen aan de toekomstige leverancier.

Renco: 20:00

Ja en en dat voor dat scenario waarop je dan nog meer eisen nodig hebt. Dat pakte ik dan vroeger, vroeger klinkt, pakte ik dan het BBN 2 plus lijstje van de

Kees: 20:11

Ja, ivoren. Ja dan

Renco: 20:12

zei ik hé dat zijn maatregelen bovenop het zeg maar het standaard basisniveau wat de BIO levert en nog een aantal extra maatregelen. En dan shopte ik daar soms dingen uit en die ik naar eisen die ik opnam in mijn PVE. Ja. Kan ik dat lijstje nog gebruiken of moet ik wachten op een nieuw lijstje?

Kees: 20:29

Nou ja, weet je het is natuurlijk ook zo. Het is niet zo dat in de BIO 2 heel veel nieuwe maatregelen staan. Er zijn ook heel veel oude maatregelen. Staan zelfs maatregelen in die bestonden al in de BIR 2011. Ja.

Renco: 20:39

Zo dynamisch is ons vakgebied dan ook weer niet hè?

Kees: 20:41

Nee, maar sommige dingen zijn gewoon goed om te doen. Dus en de ja, de de techniek kan wijzigen, het inzicht gaan wijzigen, dreigend landschap gaan wijzigen. Maar in de basis doen we natuurlijk nog steeds gewoon hetzelfde. Dat is geen verschil. Waarom is die die we hebben bij de IBD die ooit die BBN 2 lijst bedacht.

Kees: 21:00

We dus ja, de de 2 plus omdat die de BBN 3 al vergeven was als term. Ja, eigenlijk niet hè? Nee eigenlijk was het een beetje vreemd want je had BBN 1 dat was laag en BBN 2 was midden midden midden en BBN 3 was actieve weerstand tegen statelijke actoren. Dat was niet per se v is hoog maar actieve weerstand tegen statelijke actoren. Ja.

Kees: 21:21

En dus konden wij BBN 3 niet gebruiken als het volgend niveau. En dan hebben we dus gekozen voor BBN 2 plus. Ja. En ik praat nog over wij, maar vanuit de IBD hebben we ooit nee Met 10 jaar gezeten.

Renco: 21:35

Ja. Dus dat is dat

Kees: 21:36

moet echt

Renco: 21:37

met een ontwenningsperiode.

Kees: 21:38

Nee, maar we werken vanuit de IBD dus altijd vanuit de gedachte wat we in gezamenlijkheid goed kunnen bedenken moeten we niet nalaten. En heel simpel gezegd. En dat betekent ook dat je kunt het beter 1 keer goed bedenken dan 342 keer verschillend. Ja. En dat is ook 342 keer energie verspillen en dan moeten we nog maar uit afwachten wat er uitkomt.

Kees: 21:55

Dus daarom hebben wij ooit centraal die BBN 2 plus bedacht. En dat is ook de reden waarom de IBD zo'n sterke documentatie set heeft om gemeenten te ondersteunen bij het implementeren van informatiebeveiliging.

Renco: 22:07

Ja, dus je zou die BBN 2 plus lijst prima nog kunnen raadplegen voor het formuleren van eventuele aanvullende eisen. Ja. Bovenop wat er de wettelijk, een wettelijk ondergrens is.

Kees: 22:15

Ja, daar gaan we nog wel iets anders mee doen. Want we hebben natuurlijk vorig jaar bedacht dat we gaan een andere risicoanalyse methode gebruiken. We gebruikte altijd de handmatig MAPGOOD methode. Ja. En dat is een en zwaar en lijvig.

Kees: 22:28

Ja. Maar ook slecht om mee te communiceren. Slaapverwekkend ook wel. Ja, nou ja, ja maar Het is wel uitputtend hè? Nee, maar ik zou ook niet willen zeggen dat het leven van een analist heel spannend is hoor.

Kees: 22:37

Maar goed, het is echt een vak apart hè. Je moet niet denken dat je zomaar even een risicoanalyse uitvoert want je moet altijd op zoek naar ga ik nu over scoren of onder scoren hè. Doe ik te weinig dan heb ik een risico. Doe ik teveel geef ik te veel geld uit. Ja.

Kees: 22:52

Dus ja dat dus je moet altijd op zoek als analist naar de gulden middenweg. Maar goed bij de IBD hebben we dus bedacht we gaan het anders doen. We gaan het op 1 A4'tje doen. Dat noemen we BMC, business model canvas.

Kees: 23:07

Nee, nee, nee, niet BMC adviesbureau BMC business model canvas. We hebben we ook een risk model aan toegevoegd met een iets andere naam. En met de gedachte dit kun je communiceren op 1 A4'tje aan je proceseigenaar. Daar kun je over praten. Het is meteen duidelijk wat zo'n proces doet hé, wat zo'n proces inhoudt en welke risico's daar zijn ontstaan.

Renco: 23:28

En wat is er instrumenten.

Kees: 23:29

En er ontstaan ook meer risico dan alleen informatiebeveiligingsrisico's. Dat is ook zo leuk. Ja. En Dat helpt ook wel om

Renco: 23:35

het te verkopen denk

Kees: 23:36

ik, Ja.

Renco: 23:36

Want de eerste lijn zeg maar de managers, de directeuren, de afdelingshoofden worden nog wel eens wat wars van al die I-mensen die op hun respectievelijke deelgebieden aankloppen. Maar in de ogen van een manager zijn dat vragen die natuurlijk allemaal in hetzelfde domein liggen. Een risico, een risico. Ja en terecht dat zij dan zeggen van kunnen jullie dat niet wat slimmer aanpakken beste e-mensen,

Kees: 23:54

Ja, precies.

Renco: 23:54

Vind ik een heel goed punt. Nee, maar ik

Kees: 23:56

ben ook voor voor integraliteit. Alleen het vakgebied is nog relatief jong zeg maar. Dus en dat zie je ook met de met de CISO met de plek aan de C-tafel. Die hebben ze nog lang niet verdiend.

Renco: 24:09

Klopt eigenlijk altijd via de CIO, hè.

Kees: 24:10

Ja, ja of via of via business control zeg maar 1 van die 2 routes. En zoek helemaal niet erg trouwens, maar goed. Er is dus BMC betoogd en maar wat is nou de gedachte achter een baseline? Een baseline wordt normaal gesproken gemaakt je als je begint met de ISO bij een organisatie, willekeurig welke organisatie. Dan kijk je eerst wat zijn mijn kroonjuwelen.

Kees: 24:33

Wat zijn mijn hè, wat is mijn primaire proces? Waar sta ik voor aan mijn lat? En waar ga ik van dood hè, als het morgen niet meer werkt?

Renco: 24:38

Dus dat zijn de business impact assements.

Kees: 24:40

Precies. Nou en dan als je die hebt gedaan dan heb je er 3 of 4 heb je er te pakken zeg maar van die processen.

Renco: 24:46

De belangrijkste.

Kees: 24:47

De belangrijkste en dan ga je dan een risicoanalyse op uitvoeren. Wat je doet is je legt de uitkomsten van die 3 of 4 risicoanalyses leg je over elkaar heen. Mhmm. En dan zie je de grootste gemene deler.

Renco: 24:59

Ja.

Kees: 24:59

En vanuit die gedachte ga je, want kijk op het moment dat je alleen maar risico uitvoert. Dat hebben we namelijk al eens gedaan ongeveer 25 jaar geleden gaven we miljoenen uit binnen de BV Nederland aan het uitvoeren van risicoanalyses. Met de aank methoden en nog op andere. Ja. En dat kostte vreselijk veel geld en heeft het eigenlijk nergens toe geleid.

Kees: 25:17

Ja, dus nu zeg

Renco: 25:18

je oké die analyse die leg je over mekaar. Daar komt een gemeenschappelijke deler uit en dat zou je dan een baseline kunnen noemen. Ja, maar dan ben ik toch weer even terug bij jouw lijstje. Dat ik ja, die gemeenschappelijke deler die we nu in de BIO hebben staan is nog een flinke brede gemeenschappelijke deler. Nou

Kees: 25:36

dat valt wel mee eigenlijk. Oké. Ik denk dat het wel meevalt. Ik ben nog steeds geneigd te zeggen maar vergeef me dat ik mag dat niet meer doen. Dat we BIV op midden midden midden zitten qua niveau zeg maar.

Kees: 25:47

En dat en dat noemen we dan vrij vertaald Dep-V hè. Departementaal vertrouwelijk of dienstgeheim. En dat is ook het niveau van de BIO 2. Dat is ook het niveau van de BIR. Ja, precies.

Kees: 26:00

En ook van de BIO1. Dus het niveau is nog steeds hetzelfde. Er zijn ook minder maatregelen. Sommige maatregelen zijn wel veel strenger geworden. Ik moet zeggen of uitgebreider geworden.

Renco: 26:10

Ja, voor schrijvender eigenlijk.

Kees: 26:11

Ja, ja, correct. En wat je dus doet is je doet die 3 of 4 risico analyses. Je legt die risico's over elkaar heen en daar ga je maatregelen bij verzinnen. En dat en dat wordt dan jouw eigen baseline. Een groot bedrijf, wereldwijde multinational die werkt intern ook gewoon met een baseline.

Kees: 26:30

En en dus en de BIO laat ruimte. In deel 1 van de BIO 2 wordt expliciet ruimte gelaten voor het ontwikkelen van een eigen baseline door of met een koepel waarin je verenigd bent. Dus de IBD kan ook nog steeds gewoon op basis van 12 13 of 15 of 17 uitgewerkte BMC analyses saté prikken doorheen prikken en daar op basis daarvan tot een gemeentelijke base lijn komen. Waarvan de BIO 2 dan wel een onderdeel is. Dus dat is dan de ondergrens en daar overheen komt dat extraatje wat we dan noemen de gemeentelijke base lijn.

Kees: 27:07

Het totaal wordt dan de gemeentelijke.

Renco: 27:09

En dan zou je eigenlijk helemaal geen risicoanalyses meer hoeven doen. Dan hoef

Kees: 27:13

je alleen maar te beoordelen of iets binnen of buiten jouw baseline valt.

Renco: 27:16

Dat is natuurlijk hetzelfde wat met die BBN-toets.

Kees: 27:18

Ja, maar dat is wel een stuk eenvoudiger dan een diepgaande risicoanalyse. Ja. Veel goedkoper en veel sneller uit te voeren.

Renco: 27:24

Ja precies, vooral dat laatste. Minder minder tijdrovend. Ja, maar het is natuurlijk

Kees: 27:28

ook zo. Als ik voor 15 of 20 systemen zeg maar maatregelen bedacht en ik ga die implementeren. Het grootste deel van de maatregelen is die ligt bij de ICT-afdeling. Dan hebben we nog wat bij HR nog hè, bij wat actoren krijgen we wat maatregelen. Er blijven er maar een paar over voor de proceseigenaar.

Renco: 27:43

Ja, die wilde geen dikke maatregelen, die niet meer per plek en die zijn dan...

Kees: 27:45

Precies gelden dan voor

Renco: 27:46

allerlei Dus

Kees: 27:47

dus op het moment dat je dat gedaan hebt voor die voor die voor die paar primaire processen en je komt tot die baseline. Dan kun je ook zeggen als ik dit gedaan heb, de rest lift daar vanzelf op mee. Daar hoef ik helemaal geen tijd meer aan te trekken. Dan krijg

Renco: 28:00

ik eigenlijk in de breedte de lat omhoog zal ik maar Ja, exact. Oké, oké. Hey, nog even terug naar die leveranciers matrix. Want ik heb nog 1 stekelige vraag daarover. Kijk als je als overheidsorganisatie rechtstreeks een contractering doet met een ICT-leverancier.

Renco: 28:17

Dan schrijf je een aanbesteding uit met een programma van eisen. En dan gebruik je al dan jouw tool of de ICO-wizard. Het maakt mij nog even niet uit wat je gebruikt of je denkt er zelf heel goed over na. Als het goed is heb je dan die risicoanalyse uitgevoerd en dan kom je tot een goed onderbouwde set aan eisen die je oplegt aan je leverancier. Spreek je als het goed is ook nog iets af over hoe die leverancier moet aantonen dat hij dan voldoet aan die eisen.

Renco: 28:38

Vind ik ook ook altijd nog wel een lastige hè. Want wat vraag je dan wanneer uit? Sommige dingen kan je al bij inschrijving uitvragen. Sommige vraag je uit tussen voorlopige gunning en definitieve gunning. En sommige dingen vraag je zelfs nog uit na definitieve gunning.

Renco: 28:53

Dan moet je, moet je van tevoren nadenken. Wat vraag ik wanneer uit? Hè, daar is naar mijn idee niet een nog generiek model voor. Dat vinden we tot nu toe allemaal nog een beetje zelf uit. Maar goed dat nog even te daargelaten.

Renco: 29:05

Heel veel overheidsorganisaties besteden helemaal niet al hun ICT-behoeftes individueel uit zullen we maar zeggen. Die zeggen gewoon hé ik heb een, ik heb heel veel behoefte aan informatiesystemen en licenties en alles wat daarmee samenhangt. Ik doe gewoon 1 aanbesteding voor een grote software broker die dit voor mij bij mekaar shopt in de markt. Ja. Nou, dan hoef ik niet elke keer al die individuele aanbestedingen af te lopen.

Renco: 29:31

Een hele hoop, is heel efficiënt eigenlijk. Ja. Dus oké, dan denk ik dan met mijn simpele verstand denk nou oké prima. Dan dan dan doe jij een aanbesteding voor een software broker. Nou, dan moet die software broker, die moet dan aan dat hele eisen pakket voldoen.

Renco: 29:45

Ja. Eens? En daaronder zit dan een de softwareleverancier die die levert eigenlijk wel rechtstreeks aan jou als overheidsorganisatie, maar contractueel zit daar die software broker tussen. En daar wordt die wel moeilijk vind ik.

Kees: 29:57

Ja, maar kijk we hebben natuurlijk ook heel veel van die hotelsites hè? Die toch ook Wat

Renco: 30:01

zijn dat hotelsites?

Kees: 30:02

Ja, waar je gewoon trivago, ik waak geen reclame maken. Maar in ieder geval je hebt heel veel hotel brokers die dan zeg maar jou heel graag een kamer willen verkopen. En op het moment dat er problemen zijn moet je naar het hotel toe om het probleem op te lossen.

Renco: 30:15

Ja. Ja. Ja, daar lijkt het een beetje op.

Kees: 30:17

Ja, ja precies. Nou maar en en dat betekent dus dat je van het kastje naar de muur gestuurd wordt. En de broker vangt wel zijn geld, vaak veel procenten. In het geval van een hotelkamer broker. Ja.

Kees: 30:28

En geef dan vervolgens niet thuis.

Renco: 30:30

Nou ja, is een mooie, mooi, hoe zeg je dat? Ja, een mooi voorbeeld van hetzelfde mechanisme.

Kees: 30:38

Ja, Ja, nee weet je dat dat probleem is denk ik ook vergelijkbaar met wat we nu al kennen. Stel je voor, ik ben bedrijf x en ik leef aan 100 gemeentesoftware. Ben dankbaar? Er zijn leverancier die doen dat. Die hebben dat, die hebben dat geluk.

Kees: 30:54

Wat ze zoveel klanten hebben. Ja. En en dan vervolgens dan geven al die 100 gemeenten of al die 100 overheidspartijen die hebben honderden verschillende lijstjes.

Renco: 31:07

Die leverancier worden daar te gek natuurlijk.

Kees: 31:08

Ja en gemiddeld genomen de leveranciers die ik dan weleens gesproken heb. Die willen eigenlijk wel voldoen aan de vraag. Dat is echt het punt niet. Die willen ook wel inherent veilig zijn.

Renco: 31:17

Maar die willen ook die saté-prikker er doorheen hebben natuurlijk.

Kees: 31:19

Ja, die willen gewoon verkopen. Dus die willen graag voldoen. Dat is het punt niet. Maar alleen het is een beetje vervelend als de ene inkoper lijstje x heeft en de andere inkoper lijstje y.

Renco: 31:30

Ja dat gaan we goed voorstellen.

Kees: 31:31

Ja precies. Dus ja, zo'n broker heeft wel een probleem. Want die komt er dus niet meer mee weg in zeg maar onder de BIO2 komt zo'n broker er niet gewoon niet meer mee weg. Hij kan niet zeggen ik wil graag software leveren voor een paar euro ertussen. En hoe je het gaat regelen met de beveiliging dat ga je maar regelen met de software leverancier.

Kees: 31:53

Ja, maar

Renco: 31:53

dan het enige alternatief wat je dan hebt is dat je zegt ik sluit een contract met die software broker waarin ik al mijn in volle breedte, want onder die mantel of hoe het ook maar noemt vallen natuurlijk heel veel verschillende IT-systemen. Dus dat kan van recht toe recht aan licenties tot complexe informatiesystemen. Ja. Dus daar ga je een enorm breed programma van eisen krijgen voor zover het al mogelijk is dat op te stellen. Want eigenlijk moet je ook uitgaan van je hoge risicoklassificatie.

Renco: 32:19

Want als je meerdere dingen doet ga je uit van de hoogste. Dus die software broker die krijgt een enorme bak aan eisen opgelegd zodat alles wat die software broker in de toekomst zou gaan bieden daaronder valt en dat je veilig zit. En die software broker krijgt dan de verplichting om dat weer door te vertalen naar de aanbiedende partij. Ja. Ik zie het ja, ik snap het vanuit de theorie.

Renco: 32:38

Maar ik zie dit in de praktijk nog niet meteen goed komen.

Kees: 32:41

Ik zie een een business opportunity voor de broker.

Renco: 32:45

Ja, maar die die zal zeggen dan moet ik het wel kunnen doorbelasten. De de verplichting die ik aanga kosten mij geld.

Kees: 32:50

Ja, maar dat is het punt niet. Je kunt namelijk ook je klant ontzorgen.

Renco: 32:53

Ja, oké.

Kees: 32:54

Dus je kunt ook zeggen tegen jouw klanten als je bij mij de software inkoopt dan geeft hij mij jouw lijstje en ik ga ervoor zorgen dat ik de juiste software selecteer op basis van dat lijstje.

Renco: 33:05

Wat er achter komt dat niemand kan voldoen aan dat lijstje.

Kees: 33:08

Ja nou ja, dan moet die misschien een andere software partner kopen zeg Want zo'n broker u heeft natuurlijk meerdere partijen achter zich waar die uit kan

Renco: 33:16

Ja dat is een bestaansrecht zou komen.

Kees: 33:18

Ja, precies. Dus hij zou natuurlijk ook kunnen zeggen tegen tegen zijn klanten ik ga je ook ontzorgen op het gebied van de inkoopeisen. En ik ga ook voor jou controleren of de leveranciers eraan voldoen. Dus met andere woorden ik zie gewoon de winst.

Renco: 33:32

Ja, ik moet

Kees: 33:33

Ontzorgen van je klant.

Renco: 33:35

Ja, vooral als hij dat laatste ook doet hè. Dus het toezien op het nakomen van de verplichtingen van de achterliggende softwareleverancier. Als dat ook uit handen kan worden genomen door die software broker. Ik denk dat je daar als overheidsorganisatie blij van wordt. Bij DigiD gebeurt het al.

Renco: 33:49

Bij DigiD? Maar dat moet je even toelichten.

Kees: 33:51

Nou we hebben zeg maar een weet ik veel tussen de 4 en 8000 DigiD aansluithouders in Nederland. Wauw. En Logius die heeft volgens mij een aantal jaar geleden al bedacht van weet je wat we gaan doen? We gaan de controles voor die ideeën uit laten voeren bij de de brokers.

Renco: 34:07

Ja, oké ja.

Kees: 34:08

En de service organisatie. Exact.

Renco: 34:11

Ja, exact. Dus we hebben elkaar opgeknipt eigenlijk.

Kees: 34:13

Dat is eigenlijk hetzelfde principe.

Renco: 34:15

Ja, ja, dus dan heb je hè dat dat DigiD-normen kader valt uiteen in een aantal brokken zullen we zeggen. Ja. Afhankelijk van het model hoe je het ingericht hebt, hoe je architectuur eruit ziet zeg je nou dan dit stuk is voor mij. Je hebt altijd een aantal aansluit normen. Ik heb alles, ik heb SaaS of ik heb on prem of wat je dan ook maar hebt.

Renco: 34:31

En dan shop je eigenlijk op die manier je delen van je normenkader bij mekaar. En dan weet je oké voor deze normen moet ik daaraan kloppen. En dan wordt dan met TPM's wordt dat aan mekaar geschroefd. En als dan heb je uiteindelijk van de rit heb je de puzzel compleet hè? Dan zou je alle normen afgedekt moeten hebben.

Renco: 34:43

Exact. Ofwel je hebt het zelf aangetoond ofwel jouw leverancier of leveranciers hebben middels een TPM. Nou, nu weten we dat logisch daar natuurlijk als onwrikbare overheidsorganisatie kort op de bal zit. Daar heb ik in mijn.

Kees: 34:57

Ik zeg er niks over. Ik houd me stil.

Renco: 34:59

Heb ik wat ervaring mee opgedaan en ongetwijfeld heb jij dat ook en daar zul je misschien ook wel een mening over hebben. Maar goed dat nog even daargelaten. Wat je nu voorstelt eigenlijk van die software broker zou er wat dat betreft een voorbeeld kunnen nemen aan hoe dat model bij die ge d uitziet. De vraag is wat zal hun daartoe prikkelen? Waarom zouden ze?

Renco: 35:19

Ja, nou ja

Kees: 35:19

weet je de IBD is vorig jaar gestart met een pilot samen controleren. Bij een tweetal software leveranciers hebben ze samen met een groep van gemeenten gekeken hoe zouden we nou samen kunnen controleren of die leverancier voldoet aan onze eisen. Ja. En dat bewerkstelligen nog 2 dingen. Eén we krijgen een geharmoniseerde eis Want al die gemeenten die meedoen hebben dezelfde eisen set.

Kees: 35:42

Dat vindt de leverancier perfect.

Renco: 35:43

Ja dat is altijd weer dat punt van net hè.

Kees: 35:45

Precies. En het tweede is er is een onafhankelijke partij die gaat kijken of de leverancier zich houdt aan die eisen. En geeft dan een soort van stempeltje. Ik zou niet willen zeggen een, wat hebben we dan meer, een certificaat vind ik wat te zwaar. Keurmerk.

Kees: 36:02

Keurmerk vind ik ook nog wat te zwaar. Maar in ieder geval geeft een stempeltje, IBD gecontroleerd. En dat kan die leverancier dan gewoon communiceren met onze klanten. Ja, ja. Ja, nou interessant.

Kees: 36:11

Ik ik help het je hopen dat die

Renco: 36:14

En veel oplossen als die software

Kees: 36:16

op die manier Overigens zou wel heel blij zijn als leverancier door het minimale hoepeltje springt. De zeg maar de wettelijke eis. Als die leverancier door zeg maar al er al voor kiest om inherent veilig te zijn. En de CRA gaat daar voor een deel verzorgen. Eind van het jaar komt de CRA hè voor producten.

Kees: 36:32

Waar staat die afkorting voor?

Renco: 36:34

Ik dacht het zal ook echt

Kees: 36:35

even herhalen. Ja je mag even zo de dat mag je later uitzoeken maar Is goed. We zetten in de shownotes. Ja in ieder geval het is een het is een een Europese wet die eigenlijk bepaalt wat de minimale norm is voor producten met een ICT-component. En het is overigens echt een minimaal, het is een basale norm en hij is ook nog eens een keer, je mag hem zelf verklarend zeg maar toetsen.

Renco: 36:55

Ja, hoeft dus niet een onafhankelijke derde partij op

Kees: 36:57

los Nee, hangt even van belang van het middel zijn in 3 smaken en bij de derde Gebaseerd. Precies. Ja. En bij bij het meest eenvoudige spul kun je gewoon eens een eigen verklaring van de leverancier. Maar het is al heel wat.

Kees: 37:08

Het wat ze daarmee beogen is dat de kwaliteit verhoogd wordt van van van elektronica. En dit kun je natuurlijk 1 op 1 door vertalen naar de BIO 2 en naar de Cbw . Je zou ook voor leveranciers gewoon zeggen de ga eerst maar eens doen aan die wettelijke eis en dan gaan we daarna wel kijken waar schip strandt hè. Ja, ja, ik vind dat

Renco: 37:28

ook altijd belangrijk. Je kunt van allerlei dingen in kaart brengen wat je allemaal nog moet doen. Je kunt heel hoog mikken, maar je kunt toch niet alles tegelijk doen. Doen nou ja.

Kees: 37:37

Cyber resilience act.

Renco: 37:39

Hé ja, dat is hem. Ja. Ja. Ja, ik kan me wel voorstellen dat als je niet in de security zit je krijgt al die afkortingen over je uitgestort dat je denkt wat is dit van, wat zijn we hier aan het doen?

Renco: 37:51

Zijn we niet een beetje uit de bocht gevlogen? Nee,

Kees: 37:54

ik denk gewoon dat we steeds meer in de kramp schieten. Maar dat is wat negatief uitgedrukt. Oké. Dat is misschien nog

Renco: 37:59

een mooi op op maat dan een volgende opname. Waarbij we dan eens even al die afkortingen fileren samen. Maar we gaan nu afronden. Want ja, wij houden dit natuurlijk de hele middag nog wel vol. Daar heb ik geen daar heb ik geen angst over.

Renco: 38:11

Maar het risico is dat die luisteraar op een gegeven moment klaar is met zijn rondje fietsen. Of de afwas is afgerond en dan moet de podcast ook klaar zijn.

Kees: 38:19

Je hebt gelijk.

Renco: 38:20

Ja, ja, hey maar heel interessant. Misschien smaakt het naar meer.

Kees: 38:24

Nou, gaan kijken of we hier

Renco: 38:26

nog meer vragen gaan doen. Kees, bedankt voor nu en nou tot volgende hoop ik. Jij ook bedankt. Daarmee is deze aflevering van alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat bruikbare ideeën opgedaan die je kan toepassen binnen je eigen werk.

Renco: 38:44

Op mijn site qeeposted punt nl vind je naast deze podcast ook blogs, video's, handige links, opinie's en trainingsdata. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe content direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert. Tot dan.

More episodes

Chapters

Creators and Guests

What is qeep talking?