qeep talking

In deze laatste aflevering van seizoen 4 spreek ik Eelke de Jong. Hij is Security Manager bij de gemeente Utrecht - net als Ravin destijds in aflevering #19. Toen ging het vooral over risicomanagement en in deze aflevering is het gesprek breder. Wat zijn de ervaringen met sturing op (2) security processen? Hoe houd je iedereen aan boord in een team van 15 security officers die uiteenlopende IT-teams bedienen? Eelke vertelt over zijn ervaringen en deelt daarnaast ook de hoopvolle opbrengst ("winst") van consistent volhouden.

Dit is de laatste aflevering van seizoen 4. Na de zomer start seizoen 5 van qeep talking en gaat de frequentie omhoog omdat ik samen met Kees Hintzbergen De BIO Bazen start (lees er hier meer over). De reguliere, maandelijkse qeep talking afleveringen hebben vanaf seizoen 5 geen video meer. De BIO Bazen afleveringen juist weer wel. Tot dan!

(00:59) - Intro met Ilke
(02:10) - Werken bij Domstad IT
(06:39) - Team en processen
(09:29) - Aansluiting met DevOps
(12:34) - Invloed en prioriteiten
(18:23) - Risico’s en capaciteit
(21:33) - Risico en compliance
(23:56) - Common controls
(26:36) - Team afstemmen
(29:54) - Plezier in weerstand
(32:25) - Security by design
(34:56) - Afsluitende reflectie

Beluister deze aflevering op Youtube
qeep talking is een podcast van Renco Schoemaker. Vanuit zijn bedrijf qeep IT safe adviseert hij in de publieke sector over informatiebeveiliging en privacy in de brede zin. Naast de podcast, schrijft hij al >10 jaar blogs en recent voegde hij daar opinies, video's en links aan toe. Al zijn content en nieuwsbrieven vind je op qeep posted (registratie is gratis). Ook is Renco actief als BIO2 en NIS2/Cbw trainer. Heb je een tip voor de podcast? Neem contact op.

Makers en gasten

Host

Renco Schoemaker

Podcaster en content maker voor qeepposted.nl

Gast

Eelke de Jong

Security Manager bij gemeente Utrecht

Wat is qeep talking?

Een maandelijkse podcast waarin Renco Schoemaker in gesprek gaat met uiteenlopende gasten over informatiebeveiliging en privacy. Het gaat daarbij vooral om het 'hoe' in de context van de (lokale) overheid.

Renco: 00:05

Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoemaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.

Renco: 00:30

Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen en daar veel over te bespreken dus veel plezier en qeep talking. Ja, ik heb door de jaren heen al aardig wat podcast afleveringen opgenomen, waarvan ook enkele op mijn zolderkamer slash thuiswerkkantoor, maar nog nooit des morgens om half 9. Dus dat is een primeur. Ik, dat komt natuurlijk omdat ik ja, ik heb gasten die hebben natuurlijk drukke agenda's en dan moet je daar een beetje omheen vouwen. En tegenover mij zit die gast met die drukke agenda vandaag.

Renco: 01:08

Niemand minder dan ja, Eelke de Jong. Eelke welkom in de podcast.

Eelke: 01:12

Ja, dankjewel. Leuk om hier te zijn.

Renco: 01:14

Ja, we zijn dus bij mij thuis. Dat is voor jou ook makkelijk, want wij wonen allebei in Zwolle.

Eelke: 01:20

Ja, zelfs in Stadshagen allebei.

Renco: 01:23

Ja, dus je kon lopend eventueel, maar je hebt misschien de fiets gepakt.

Eelke: 01:25

Ja, regen.

Renco: 01:26

Ja, ja, regen ja. Ja, ik heb vanmorgen nog even gefietst ook. En het was eigenlijk geen bal aan, want het was gewoon een uur lang volle bak regen. Maar goed, ik had natuurlijk het vooruitzicht van deze podcast opname, dus dat maakt een hoop goed. Hé, maar Eelke waarom heb ik jou zover gekregen om in de podcast te komen?

Eelke: 01:45

Ja, aanhoudend gevraagd, hè.

Renco: 01:49

Nee, ja, we Wordt heel lang gezeurd.

Eelke: 01:51

Ja, nee dat we hebben het er weleens eerder over gehad. En toen kwam het er niet van. En nu nu kwam er ook een plekje vrij. En ik zat ook wat langer denk ik op een positie waar ik ook wel wat over te vertellen heb nu. Ja.

Eelke: 02:03

Dus ik dacht nou nu is het eigenlijk wel een goed moment ook vanuit mij. Dus los van dat jij een plekje hebt in jouw agenda was het eigenlijk ook voor mij een goed moment.

Renco: 02:10

Oké, nou je vertelt ook van die positie waar je werkzaam bent. Kan je daar iets over vertellen? Wat houdt jou bezig in het werkzame leven?

Eelke: 02:19

Ja, ik ben IT security manager bij de gemeente Utrecht. Van de afdeling die ook over de IT gaat, bij ons heet dat Domstad IT. Oké. We werken ongeveer 300 tussen 300 400 IT'ers. Is hij verantwoordelijk voor de alle leveren van interne IT-diensten aan de organisatie.

Eelke: 02:40

En wij helpen dan alle IT-teams met hun security vragen. Heb ik heel simpel gezegd.

Renco: 02:45

Ja, dus als ik een afdeling ben binnen de gemeente. Ik nou, ik weet veel. Ik ik werk bij de afdeling openbare ruimte of zo. En ik heb daar applicaties voor nodig, dan kan ik die afnemen. Waarschijnlijk als SaaS product rechtstreeks bij een marktpartij.

Renco: 03:00

Maar ik zou ook een bij de interne IT-afdeling, dus Domstad IT gehoste software applicatie kunnen afnemen. Of een omgeving alleen of met... Ik bedoel wat voor diensten bieden jullie dan zoal aan aan die afdelingen?

Eelke: 03:13

Ja, goede vraag. We zijn verantwoordelijk voor gewoon de hele netwerk aan aan de onderkant zeg maar van van van de techniek. We leveren ook alle SaaS oplossingen of sorry niet alle SaaS, maar alle clouddiensten zeg maar. Dus we hebben groot cloud contract waarbinnen van alles gehost kan worden. Ja.

Eelke: 03:29

We leveren alle werkplekken. We leveren de hele office, hé. Dus dat heet bij ons dan noemen we dan digitaal samenwerken. Dus alles wat te maken heeft met met met office, Microsoft, Teams bijvoorbeeld, de Sharepoints. Hoe dat allemaal ingericht is, intranet.

Renco: 03:45

En de bijvoorbeeld dan ook?

Eelke: 03:46

Telefonie zit erbij. Camera's ook zeg maar die we soms ook voor buiten de gemeente geloof ik ook een deel beheren. Heel zo heel team wat zich bezighoudt met data.

Renco: 03:58

Nou zo zo een beetje. Ja, ja. Zo'n flink pakket aan producten en vooral diensten. Tenminste in de ogen van de afnemers zijn er diensten. Maar onder onderaan de streep draait er ook ergens spullen op metaal zeg maar.

Renco: 04:09

Er hangen ergens dingen in rekken.

Eelke: 04:10

Ja, ja en dat was in het verleden voor een voor een groot deel on premise. En er is een grote cloudtransitie geweest of gaande. Ja. En nou dat is nu steeds meer bij een externe partij, ja.

Renco: 04:23

Juist. Oké, nou ik moet natuurlijk toegeven dat de gemeente Utrecht voor mij geen vreemde gemeente is. Ik heb in mijn ja, in de afgelopen 10 jaar 2 keer een periode voor de gemeente Utrecht gewerkt. Daar kennen wij elkaar ook wel eigenlijk ook van. We hebben ook wel samengewerkt bij de gemeente.

Renco: 04:40

Klopt. Ik heb ook ja, ik heb in jouw team eigenlijk een tijd lang gezeten. Ja. Dus was leuk ja, wat was. Ik vond een leuke club om voor te werken.

Renco: 04:49

Ja. Echt een security, maar dan echt volledig op de IT georiënteerd. Daar houd ik wel van. Want ja, ik denk nou eenmaal dat ja, als je in mijn opleiding, klein zij stapje in mijn opleiding of de cursus die ik geef training, biotraining. Dan vraag ik op een gegeven moment aan de cursisten van nou als je nou 100.000 euro mag besteden.

Renco: 05:07

En je hebt als opdracht om zoveel mogelijk feitelijke veiligheid te bereiken met die 100.000 euro. En je moet kiezen zet je het in op mens gerichte maaltijd, maaltijd zo interessant. Ik heb denk ik trek.

Eelke: 05:22

Ik denk dat je het over maatregelen hebt.

Renco: 05:24

Ja, ja. Zet je het in op mens gerichte maatregelen, proces gerichte maatregelen of technische maatregelen. En komt altijd een enorme discussie tot stand. Want mensen vinden dat eigenlijk dat ik dat niet tegen elkaar uit mag spelen. En dat is ook terecht natuurlijk.

Renco: 05:38

Maar ik teken gewoon bij technische maatregelen. Dus voor mij was dat heerlijk om bij een IT-afdeling te werken en vooral met technische maatregelen bezig te zijn.

Eelke: 05:46

Ja, ja, nou voor voor mij ook. En ik weet het nog goed, hè. Die opdracht die je voor ons toen gedaan hebt, die heb ik zelf geformuleerd. Ja. Dat was een hele brede grote opdracht.

Eelke: 05:57

Dus ik weet ook dat we daar aardig wat tijd aan gespendeerd hebben om die wat nog wat hè wat meer toe te snijden. Ja. En maar heeft uiteindelijk wel toe geleid dat het naast een ander proces is dat nu echt een bestaand proces wat helemaal in beheer loopt inmiddels. Eigenlijk de 2 pijlers waar ons team grotendeels op drijft. En dat is dan compliance management zo noemen we dat.

Eelke: 06:18

Dus vooral de maatregelen checken.

Renco: 06:22

Ja, de aantoonbaarheid.

Eelke: 06:23

Ja, de aantoonbaar maatregelen (evidence) ophalen. En het proces wat we al hadden staan als risicomanagement. Nou daar weet je ook alles vanaf, want er is ooit een gast in deze podcast geweest die dat al van voor tot achter heeft uitgelegd. Dus daar hoeven we nu niet

Renco: 06:36

meer heel veel. Een IT security manager eruit.

Eelke: 06:39

Ja, ik kom vooral zeg maar als je het hebt over de locatie. Ik kom vooral naar kantoor voor de wat grotere overleggen. Dus dan op bijvoorbeeld op de woensdag dat is onze centrale teamdag. Dan dan spreken we sowieso ons eigen team met zijn allen. Gaan we de belangrijkste zaken uit onze processen bij langs.

Eelke: 06:57

Zaken die escaleren of die aandacht nodig hebben die kunnen dan maar besproken worden.

Renco: 07:02

En voor een beeldvorming. Hoe groot is dat team?

Eelke: 07:04

Ik denk dat we nu ongeveer op 15 zitten. Dat is

Renco: 07:07

wel serieus ook ja.

Eelke: 07:08

Ja, ja, om en bij. Ik heb ze niet nu niet precies paraat. Maar het is ook constant in ontwikkeling. We hebben verschillende vacatures ook weer uitstaan nu. Oké.

Eelke: 07:16

Maar ik reken ongeveer steeds met 15

Renco: 07:17

Oké, jullie hebben gewoon een flinke club bij mekaar dan op de woensdag. Ja

Eelke: 07:20

en we differentiëren ook al wat meer, hè. We zijn sprak toevallig gisteren een exit gesprek gevoerd met iemand die vertrekt. Die zit er al 3 jaar. En die zei ja, toen ik begon waren er 4 security offices zonder security manager. En iedereen ja adviseerde me eigenlijk maar een beetje gewoon wat hem goed dunkte.

Eelke: 07:37

Ja. En inmiddels is dat dus veel meer gestructureerd. Ieder IT-team heeft zijn eigen vaste aanspreekpunt vanuit ons. Daar bovenop hebben we dan nu een aantal GRC offices die zich echt specifiek bezighouden met bijvoorbeeld dat compliance management.

Renco: 07:50

Ja, want GRC is natuurlijk de c is van compliance. Exact. Risk management. Nou hebben we net al even genoemd En compliance, ja.

Eelke: 07:56

Ja, ja. En we hebben nu zelfs net een 2e GRC officer erbij. We hadden ook al een GRC officer een tijd ingehuurd. Dus dat begint steeds meer ook body te krijgen dat we dat soort processen ook mee beter kunnen stroomlijnen en kunnen blijven verbeteren. En dat dat niet alleen maar een verantwoordelijkheid is bij mij als security manager.

Eelke: 08:13

Maar dat we daar gewoon dedicated...

Renco: 08:15

Maar het voelt ook wel om dan even zo'n hip woord erbij te halen dat het dat de volwassenheid wat toegenomen Ja. Van nou hè, er zijn een aantal mensen met verstand van zaken en als je die belt dan geven ze naar eer en geweten daar een goed advies over. Naar er zijn een aantal processen waar jouw team gewoon verantwoordelijk voor is. Er zijn vaste aanspreekpunten. Er zijn er zijn methodieken ontwikkeld, hè.

Renco: 08:34

Dus ja dat voelt veel ja, voelt professioneler ook wel. Dat je als je in, als ik in jouw team kom. Nou, nu heb ik daar ingewerkt. Maar als ik nu gewoon als IT security of ze aan de slag ga in jouw team. Dan zou mij best wel snel duidelijker moeten worden dan kennelijk wat er precies van mij verwacht wordt.

Eelke: 08:51

Ja, exact. En daar zijn we ook steeds verder mee aan het toewerken. We noemden net Ravin al eventjes. Die had de hele structuur rondom risicomanagement opgezet.

Renco: 08:59

Ja. En ja, daar kunnen we voor een

Eelke: 09:01

groot deel gewoon op verder bouwen. En daar haken we gewoon ook een compliance proces op verder op aan. En daar bouwen we op door. Dus dat gaat goede kant op ja. Kan nog veel beter, maar het gaat zeker de goede kant op.

Renco: 09:13

Oké, en die 15 mensen die je net noemde, die zijn toegewezen aan, straks legt die even kort uit nou wat er allemaal wel niet geleverd wordt binnen die IT-organisatie. En die IT-security ofs die zijn dedicated toegewezen aan subteams binnen die IT-organisatie. Ja. Oké en dan wat wat ik ik ben natuurlijk een beetje ik heb er wat insight information zullen we maar zeggen. Dus ik weet ook van andere organisaties waar ik gewerkt heb dat er in de IT-organisatie wordt er bijvoorbeeld agile gewerkt.

Renco: 09:41

Er zitten allerlei DevOps teams. Wat wordt er dan verwacht van een security of ze zitten hier dan in zo'n DevOps team. Of hoe bedoel... Waar haken we elkaar zeg maar?

Eelke: 09:52

Ja, nou dit misschien moet even een klein klein stapje terug. Oké. En want hebben het nu al meteen over goh hoe functioneert zo'n team? Hoe haak die aan bij een IT-team? Dat is natuurlijk allemaal heel belangrijk, maar dan ben je al best wel operationeel aan het denken.

Eelke: 10:05

Waar bij ons echt bij begint is dat we die processen die we hebben eerst goed uitgedacht hebben en ook goed uitgelegd hebben aan ons management. Hè, dus dat zij ook begrijpen dit is inderdaad wat je zou moeten doen.

Renco: 10:16

En die 2 processen dat is dus risicomanagement en compliance management.

Eelke: 10:19

Exact. Ja en daarnaast hebben ook nog een advies tak, maar dat is een beetje een soort van alles wat maar losse vragen dingen. Dat kan van alles in zitten. Maar dat noemen we dan gewoon het proces advies. Maar dat is een beetje, maar dat zijn eigenlijk de 2 die 2 die ik net noemde zijn het belangrijkst.

Eelke: 10:35

En daar hebben we constant afstemming over gehad met management. Hebben we uitgelegd dit is het proces wat we voor ogen hebben. Dit is de rapportage, de informatie die we verwachten terug te brengen. En we hopen ook dat jullie daar op deze manier op kunnen gaan sturen. En pas wanneer je daar eigenlijk een goede ja akkoord op hebt of in ieder geval een soort management buy in, de Engelse term.

Eelke: 10:54

Maar dat noem ik het dan altijd toch maar dat als je die rugdekking hebt vanuit het management dan gaan die processen ook pas echt werken. Nou en dan is het vervolgens dan ga je even stapje een stap dieper zeg maar naar de naar die operatie waar je het net over had. Dan wordt het ook ineens heel scherp van oké, we hebben het over risicomanagement Dan moeten risico's die bij zo'n voorziening lopen ook altijd in het proces blijven zitten. Dus dat wil zeggen

Renco: 11:20

Een voorziening is zo'n team, hè.

Eelke: 11:21

Ja, sorry dat is zo'n team. Ja. Dat zo'n team weet welke risico's er zijn. Snapt wat ze eraan kunnen doen en ook welke strategie ze kunnen kiezen. Dat is voor een security office zeg maar van hè, die moet heel duidelijk kunnen begeleiden.

Eelke: 11:34

Regie kunnen voeren op zo'n team. Wat dacht? Je kunt zeggen oké, hebt een risico. Maar er zit ook een bepaald behandeling handelingsperspectief achter.

Renco: 11:41

En dat risico dat risico heeft ook gewoon een bepaalde score. Toch op de

Eelke: 11:44

1 er zit een hele methodiek. Ja, maar het gaat wel uiteindelijk.

Renco: 11:47

Luister de aflevering met Ravin.

Eelke: 11:48

Exact. Ja, zie Ravin. Ja, het gaat uiteindelijk om dat er dan dat er het gevoel is dat dat die manager van zo'n team dat die in controle is. Op het gebied van de risico's, maar ook op het gebied van compliance. Dus dat wij aangeven nou dit zijn de maatregelen die we voor jullie belangrijk achten.

Eelke: 12:04

Hiervan moet je aantonen dat je het ook hebt. Mhmm. En als je het niet hebt dan gaat het met jou nadenken of het hoeveel prioriteit het heeft om het snel op te gaan pakken. Ja. En dan zo krijg je eigenlijk een soort overzicht, Moet je eigenlijk alles bij elkaar kunnen harken, een beetje uitzoomend.

Eelke: 12:18

Met een manager aan tafel kunnen zitten en zeggen van nou, dit is hoe je er op security gebied uitziet. Klopt. Zeg maar waar jij nu aandacht aan wilt besteden en waar en en natuurlijk geef je daar een advies bij van ik zou het hier doen of wij zien dit vanuit onze inzichten blijkt dat.

Renco: 12:35

Maar je doet wel als ik het zo beluister best wel veel, je spant je best wel veel in om goed aan te sluiten bij wat die manager van dat betreffende team belangrijk vindt, hè. Ja. Want dat vind ik, ik zie dat soms dat in organisaties dat security gewoon een heel eigen agenda heeft, hè. We hebben jaarplan informatiebeveiliging en dat is dan, dat vraagt natuurlijk ook allemaal resources van andere teams. Bijvoorbeeld van een IT-team.

Renco: 13:01

Ja. Maar dat IT-team heeft zijn eigen jaarplan, weet je wel. En dan heb je jaarplan informatiebeveiliging en dat ja dat gaat dan zo diagonaal eigenlijk doorheen. Het is qua capaciteit dan eigenlijk helemaal niet goed met elkaar afgestemd. Waardoor je ja, als dat dat het nog wel eens voorkomt dat er niet zo heel veel terechtkomt van dat informatie beveiligingsplan.

Renco: 13:18

Omdat die resources niet afgestemd zijn. En dit klinkt als je zit veel korter op die bal zullen we maar zeggen. Ja. Je zit aan tafel met met die mensen. Waardoor je veel mij ja, dat dat veel meer bij elkaar aansluit.

Eelke: 13:30

Maar ik geloof ook dat je als eigen hé, als als team zelf, als security team zeg maar. Ons ons security team heel erg moet kijken naar waar zit, waar ligt je eigen invloedsfeer. Ik wij kunnen wel een plan opstellen dat wij vinden dat er bij IAM een heel project afgetrapt moet worden. En dat er allerlei maatregelen genomen moeten worden. Maar als daar gewoon de capaciteit niet is of als de manager prioriteiten ergens anders heeft

Renco: 13:49

Ja, precies.

Eelke: 13:50

Heeft totaal geen zin. Nee, nee. Dus je prioriteit zou wat mij betreft moeten liggen op je eigen invloedssferen. Daarmee bedoel ik dus dat je het proces draaiende houdt zoals dat je dat hebt afgesproken met uiteindelijk een top manager.

Renco: 14:03

Ja, waar je net mee begonnen eigenlijk.

Eelke: 14:04

Ja, precies. Daar moet je altijd weer naar terug. Je creëert dan inzichten. En op basis van die inzichten leg je adviezen voor. En als daar wel of niet in in meegegaan wordt kun je dat ook weer terug rapporteren naar je top management.

Eelke: 14:15

En als je dat blijft doen zeg maar. Is gewoon een soort spel wat je blijft spelen.

Renco: 14:20

Ja, gewoon heel consequent.

Eelke: 14:22

Ja, consequent. Daar geloof ik ook wel in dat je uiteindelijk je eigen invloedsfeer wel kunt gaan uitbreiden. Want als je namelijk voor de 3e keer bij een team, ik wil niet specifiek 1 team eruit pakken, maar bij een team aankomt zetten. Dan zeggen ze ja, nu vertel je me voor de 3e keer over dit risico. Misschien moet ik daar toch eens wat mee gaan doen.

Eelke: 14:40

Of ik krijg nu van andere kanten, misschien een team naast mij of van een manager boven mij, ook het verzoek. Want die leest die rapporten ook en die ziet ook dat daar iets aan de hand is. Ja. Dus daar ligt dan zeg maar je ja, je kerntaak zeg maar.

Renco: 14:53

Want eerder zei je van er zijn rondom de risico's verschillende strategieën, hè. Dus je kunt op verschillende manieren met risico's omgaan. Ja. Waarbij we denk ik in overheidsland grofweg 2 smaken hebben. Of je gaat maatregelen nemen om het risico naar beneden te brengen.

Renco: 15:06

Of je gaat het tijdelijk accepteren. Hè dat kan ook een prioriteringsvraagstuk zijn. Je kunt nou eenmaal niet alles

Eelke: 15:11

Vermijden, stoppen. Je kunt nog overdragen.

Renco: 15:13

Ja, die die die opties heb je natuurlijk vaak in overheidsland wat minder, Dus misschien in IT-organisatie nog wel. Maar ik bedoel je kunt niet een taak die je als lokale overheid hebt, kun je niet stopzetten omdat je het risico niet wilt.

Eelke: 15:23

Nee, Zo bedoel ik,

Renco: 15:24

waar, is waar. Maar ik bedoel waar ik naartoe wil is niet om nog eens een keer het risicomanagement van stal te halen, maar meer dat die manager van dat team die gaat daarover. Ja. Die kiest gewoon welke behandelregime, welke die wil bij elk individueel risico.

Eelke: 15:39

Ja, zoals ik het zie.

Renco: 15:40

Dus je kan ook niks doen. Kan ik zeggen.

Eelke: 15:42

Ja, ja, kan. Want wat wij, hoe het bij ons georganiseerd is, is dat die IT-security officers, die zitten inderdaad allemaal gekoppeld aan een team. Ja. Die draaien die operationele processen zeg maar. Die halen, die halen inzichten op, die brengen adviezen aan.

Eelke: 15:59

Uiteindelijk rol je dat soort van op naar een overleg waar alle managers aan tafel zitten. Dus het is kut of zit toch vaak met een of met een beheerder of met een soort tussenmanager aan tafel. Soms ook gewoon met de manager zelf, maar die die kan eigenlijk alles wel aanraken. Maar uiteindelijk heb ik elke maand overlegd met alle managers aan tafel. In 1 keer in de zoveel tijd ook nog met het hoofd van de afdeling erbij.

Renco: 16:21

Oké.

Eelke: 16:22

Ja en dan dan kun je zeg maar echt op de grote zaken inzien.

Renco: 16:26

En dan rapporteer je eigenlijk de uitkomsten van die 2 processen waar jouw team voor aan de

Eelke: 16:31

lat staat. Die staan vast die staan gewoon vast op de agenda. 2 vaste agendapunten hebben vaste rapportages onder liggen die gaan Is

Renco: 16:36

gewoon management. Ja. Compliance management. Ja, tot vervelens toe. Ja.

Renco: 16:40

Ja, dus Ja. Ik hoor jou zeggen, dan je moet dat proces gewoon consequent uitdragen. Ja. Je moet daar gewoon eigenlijk in volharden. In net zolang in de hoop dat na verloop van tijd ook voor managers die we natuurlijk veel meer verantwoordelijkheden hebben dan alleen maar informatiebeveiliging.

Renco: 16:56

Dat ze op een gegeven moment wel gaan zien, hey, dit dit proces geeft voor mij een betrouwbare uitkomst, weet je wel. Dus het wordt niet elke keer weer al bijgestuurd of het proces wordt weer opnieuw gedefinieerd. Maar dit is gewoon iets wat over lange tijd voorspelbare betrouwbare uitkomsten geeft. Ik kan me voorstellen dat een manager dan inderdaad na verloop van tijd zegt oké, maar dan ga ik er ook op leunen of zo. En dan ga ik er ook naar handelen, omdat ik dan ja, moet je, dat duurt wel even denk ik.

Eelke: 17:20

Dat is iets van lange adem. Maar je, zie in ieder geval in in ons team hé. Ik heb meegemaakt hoe Ravin voor een deel opgebouwd heeft. Ik heb het nu over gepakt van hem. Je ziet dat er gewoon managers zijn die op een gegeven moment praten over mijn risico.

Eelke: 17:38

Ik ben ben daar nu op deze manier mee bezig. Wij zijn deze maatregelen aan het treffen. Of ik ben nu met die aan het praten om dat op te lossen. Ja. Dus je ziet ineens een soort eigenaarschap.

Eelke: 17:47

Eerder was het weleens van nou, security heeft een heeft een verhaal. Met allemaal zorgen en gevaren en ja, wij luisteren daarnaar. En dan is het vaak ook nog van maar hoe ga jij security dat dan oplossen? Ja. En dat dat begint soms plakken echt wel te kenteren.

Renco: 18:03

Ja, dat wordt dus meer overgepakt wordt eigenlijk. Ja. Dat dat dat de manager erop gaat sturen. Ja. En ja, ook ook ja, manager gaat natuurlijk ook over de prioritering en ook over de portemonnee.

Renco: 18:14

Ja, Hè, dus ook het over de toewijzing van binnen dat team. Ja. Je zei eerder al van ja, je kan een heel mooi plan maken om dit of dat te doen. Maar ja, uiteindelijk ga je daar helemaal niet over.

Eelke: 18:23

Nee en dat is eigen ervaring. Ik ben eerder zelf ook security officer geweest, privacy officer. En dan maak maak soms de grootste plannen, hè. En je denkt ja, ik ik heb alle normen, kaders en de wetgeving alles er goed op nageslagen. Dit is toch gewoon, hier kan niemand meer wat van vinden.

Eelke: 18:36

Ja. Maar het gevaar ligt een beetje op de loer dat je dan ook je die verantwoordelijkheid op je nek gaat halen dat het dan ook gebeurt. Terwijl hij, iets wat jij net zegt, hebt de geld en de middelen daar zelf helemaal niet voor. Pas als dat verandert dan kun je andere kun je anders gaan je gewoon anders gaan organiseren. Ja.

Eelke: 18:53

Er zijn organisaties waarbij security gewoon een eigenstandig budget en verantwoordelijkheid heeft.

Renco: 18:59

Ja, er zijn meerdere vormen mogelijk. Ja, bij ons Maar is dat niet zo. Dus wel kan doen dan is is ja, wat jullie hebben gedaan denken. Een een betrouwbaar proces wat goed afgestemd is, Dus is er benadrukt die al dat je daar veel tijd in hebt gestoken om daar ja, toch een soort rugdekking in te krijgen, hè. Dat je niet straks dat je straks of nu jij bent natuurlijk al zover.

Renco: 19:20

Maar dat je niet in de situatie komt dat dat proces bepaalde output geeft. Hè, 1 keer in de maand geef je net aan zit je met die managers en dan rolt daar iets van de band. Nou dan is dat is groen, oranje of rood. Dat maakt ook niet uit. Maar als zeker als het natuurlijk rood is dan wil je niet dat er discussie komt over de totstandkoming van die rode kleur.

Renco: 19:38

Nee. Hè, dus met andere woorden of het proces wel goed genoeg is hè? Of die rood of dat niet toch oranje had moeten zijn of wat dan ook. Dat wil je eigenlijk weg blijven. Ja.

Renco: 19:46

Het moet over die inhoud gaan oké, dit is nu een risico. Wat gaan we doen? En ja, dat is dan ook aan jou als manager. Jij staat daarvoor aan de lat. Ja.

Renco: 19:54

Vind ik ook. Ja, ik hou daarvan om het op die manier te doen.

Eelke: 19:57

Ja, en het is, ik zit me tegelijk even te bedenken nu we het er zo over hebben. Is natuurlijk niet zo dat je houdt niet op bij zeg maar inzichten krijgen hé. Daar heel veel energie in steken, advies geven en dan zeggen joe, succes. Daar rollen bijvoorbeeld rondom compliance management en proces wat we nu hebben lopen. Dan checken we gewoon eigenlijk gewoon op een heel aantal BIO maatregelen heb je het wel, heb je het niet.

Eelke: 20:21

Ja. En als je het niet hebt, dan volgt er eigenlijk een automatisch beoordelingsslag over hoe belangrijk vinden we dit dan hè? Hoe erg is dat het er nu eigenlijk niet is?

Renco: 20:30

Ja.

Eelke: 20:32

En daar rolt dan vanuit het proces moet daar een verbeterplan uitkomen. Ja. Dit is een fase waar we nu best wel nog inzitten. Van hoe pak je dat dan aan? Ga je bijvoorbeeld als je bij noem maar wat, bij 3 teams ziet dat er een bepaalde applicatie of een bepaalde maatregel ontbreekt.

Eelke: 20:50

En die zouden eigenlijk allemaal individueel een verbeterplan moeten gaan starten. Ja. En dan moet je ook over nadenken is niet handig om dat bijvoorbeeld gezamenlijk te gaan oppakken. Of meer als een proces een proces verbetering door te voeren. Maar dan dan moeten wij ineens ook ga daar bijvoorbeeld een goed advies onder leggen en een goed met een goed plan komen.

Eelke: 21:08

Maar dan moet je ook eigenlijk met misschien wel meer de vraag en aanbodkant van verbeteringen in de organisatie moet je gaan praten. Oké, als als we dit echt willen verbeteren dan betekent dat dat gewoon een project. Ja, wordt het een breder

Renco: 21:20

vraagstuk eigenlijk.

Eelke: 21:20

Ja, dan wordt en en ja, een beetje die connectie dat gebeurt nu wel op heel veel vlakken hoor. Maar dat zouden we nog echt meer kunnen versterken. Dat je dus op basis van je inzichten ook doorpakt op allerlei projecten gewoon echt verbeterplannen, verbeter projecten.

Renco: 21:33

Ja, ja. Ja, oké, dus dus het is inderdaad. Het is niet zo van we hebben nu de informatie bij mekaar gezet en we rapporteren dat. Ik zou er nog wel aan dat als die manager dan besluit om bijvoorbeeld inderdaad te gaan mitigeren. Dus maatregelen te nemen.

Renco: 21:48

Ik kan me voorstellen dat dat hij ook het advies inwint van zo'n IT-security adviseur over hé, ik heb hier een maatregel te pakken, maar hoe we die concretiseren binnen mijn specifieke applicaties waar ik voor aan de lat sta. Want ja, ik heb hier een telefoon liggen. Telefonie is toch net echt weer weer anders dan office licenties of of een kantoor werkplek of wat dan ook. Wat ik nog wel, waar ik net aan moest denken toen je aan het vertellen was. Dus de vorige opname was met Kees en we hadden het ook even over de spanning die er in die bio zit over aan de ene kant via risicomanagement Ja.

Renco: 22:20

Naar maatregelen komen en aan de andere kant eigenlijk vanuit ja, compliance wet en regelgeving al het antwoord hebben welke maatregelen. Jullie hebben eigenlijk 2 processen die je bij elkaar brengt, Dus aan de ene langs de, via de ene route kom je via onacceptabel of hoge risico's kom je hopelijk dan tot uiteindelijk tot het nemen van maatregelen. Ja, die put je denk ik dan uit die BIO. Ja. En aan de andere kant zeg je, we hebben die BIO, daar moeten we ons aan houden.

Renco: 22:46

Dan kijken we nog even naar welke we het belangrijkst vinden en misschien wat minder belangrijk vinden. Maar zijn eigenlijk dan 2 kanten van dezelfde medaille, toch? Zeker, ja. En wordt, is dat ook hoe het beleefd wordt door die managers van die teams? Zien zij dat ook zo?

Renco: 23:01

Van hé, ik kan eigenlijk je zou kunnen zeggen 2 vliegen in 1 klap slaan. Ik kan een risico managen waardoor het afgewaardeerd kan worden naar iets wat wat we acceptabel vinden. En ik kan rapporteren dat ik voldoe aan een set aan BIO maatregelen.

Eelke: 23:15

Ja, nee, dit is misschien wel het dossier waar ik het meest over aan het nadenken ben. Over deze vraag.

Renco: 23:20

Oké. Werd toch blij dat ik hem gesteld heb dan.

Eelke: 23:23

Ja, hadden we niet afgesproken.

Renco: 23:24

Nee, dit is per se.

Eelke: 23:25

Nee, wij hadden

Renco: 23:26

het wel

Eelke: 23:26

niet afgesproken. Nee, ja, maar dit is ook wel voor de hand liggende vraag. Wat

Renco: 23:28

een goede vraag,

Eelke: 23:29

Ja, maar hij is ook voor de hand ligt. Nee, zit zeker overlap in. En we hebben ook allerlei initiatieven al lopen om dit gewoon met elkaar te gaan verkennen. En te gaan meer echt in te gaan duiken van waar waar zit hem dat dan in? Hoe zou je dat dan efficiënter kunnen maken?

Eelke: 23:45

Want volgens mij gaat het daar dan om hé. Ze zegt het is een soort zelfde zelfde medaille dan zit je niet op voor een deel dezelfde dingen te doen.

Renco: 23:51

Ja, langs 2 lijnen op hetzelfde Ja,

Eelke: 23:54

ja. Wat beetje het laatste inzicht wat ik er zelf bij had Is dat het mij opviel dat vanuit compliance management heb ik het gevoel dat je veel meer op procesniveau aan het kijken bent. Iets hoog over, iets meer tactisch.

Renco: 24:10

Oké.

Eelke: 24:11

En daarmee bedoel ik bijvoorbeeld dat een, ik noem maar wat. Als een CLM proces is ingericht bij het team CLM.

Renco: 24:18

Ja, Contract en Leveranciersmanagement.

Eelke: 24:20

Is een goed proces. Dan kunnen dan andere teams zich daarop op gaan leunen en die kunnen daardoor hun maatregelen aftikken zeg maar.

Renco: 24:26

Eigenlijk hetzelfde als dat je zegt, ik heb er geen eigen database met gebruikers meer. Maar ik ontsluit toegang tot mijn applicatie via het centrale IAM koppelvlak. Doe je eigenlijk hetzelfde. Dan neem je eigenlijk een set van maatregelen af bij een ander team.

Eelke: 24:39

Ja en dat zie dat zien we eigenlijk steeds meer. Dus we hebben ook ook zeg maar qua uitvraging van die maatregelen hebben we daar ook over nagedacht. Noem je dan command controls. Dan zeg je oké, heeft IAM zijn zaakjes op orde. Dan kun je vervolgens zeggen iedereen die daarop leunt heeft ook een vinkje.

Eelke: 24:52

Ja. Even heel simpel gezegd. En zo en zo kun je dat voor veel meer dingen zou je kunnen loggen, monitoring Zaken moet

Renco: 24:57

je trekken. Straks zien we natuurlijk

Eelke: 24:58

Er zijn meer van dat soort processen die daar gewoon in maar zeg maar dat je daardoor eigenlijk een soort lappendeken krijgt. Waarbij iedereen de ander zijn rugdekking heeft, zo noem ik het maar even. Dat perspectief hebben wij nu in ons risicomanagement proces niet. Dat is veel meer nog operationeel. Als ik daar kijk wat voor risico's we erin hebben, in het register hebben staan.

Eelke: 25:17

Kan het echt gewoon gaan over veel meer in inzoomen van oké, je hebt hier een applicatie en er staat nu dit staat niet goed. Maar dat zorgt wel echt voor een groot probleem als het fout gaat. Mhmm. Dus dat voorziet wel in een soort eigen behoefte zeg maar. Ook die die manager die zegt ja, maar ik wil dat dan wel weten.

Eelke: 25:34

Los van ja,

Renco: 25:34

je moet aansluiten blijven denk

Eelke: 25:35

ik Ja, dat je mooi processen kunt inrichten en alles op elkaar kunt aansluiten. Dat klinkt allemaal heel goed, maar daar zijn we niet. Dus het misschien is het een beetje het verschil lange termijn, korte termijn zeg maar. Wat wat dus die processen echt goed inrichten als echt belangrijk. Wat wat wat je met die risico's tenminste in ons register, niet alles.

Eelke: 25:53

Maar in het overgroot deel is best wel operationeel. Er zijn ook wat meer urgentere zaken. Zien we nu eigenlijk moet het gewoon snel

Renco: 26:00

Ja, moet je ook aandacht voor blijven Ja,

Eelke: 26:02

moet je ook aan. Dus daar zie ik in ieder geval bij ons in ieder geval dat je je nog wel heel goed kunt volhouden dat beide een bestaansrecht hebben. Maar ik zie wel aankomen dat het wel handiger is om die 2 ergens goed op mekaar te klikken zeg maar. En voor een deel zit de oplossing denk ik ook in de tooling die je daarvoor gebruikt, dat zit bij ons nu nog apart.

Renco: 26:25

Daar gaat denk ik. En met tooling bedoel je dan tools waar je risico's in kan opvoeren?

Eelke: 26:29

Ja, GRC tooling.

Renco: 26:30

Maatregelen op kunt rapporteren, dat soort dingen.

Eelke: 26:34

Ja, GRC tooling ja.

Renco: 26:35

Ja, ja. Hé en je zei eerder van nou, ik heb nu ongeveer 15 mensen in het in het team. Die zijn toegewezen aan verschillende voorzieningen. Je hebt ook een, je noemde ook dat er een GRC IT-security office is die dan niet uniek aan 1 voorziening is toegewezen. Dat vul ik even aan omdat ik dat weet.

Renco: 26:54

Hoe krijg je alle neuzen dezelfde kant op? Want dat is toch ook wel jouw werk als als manager van dat team. Je moet ja, dit wat we nu hier bespreken eigenlijk draag jij dat ook uit. En je denkt het uit samen met je team denk ik. Ja.

Renco: 27:08

15 mensen is best wel best wel een groot team ook.

Eelke: 27:10

Ja, is best wel groot.

Renco: 27:11

En nou ja, en 1 ding waar ik naartoe wil voegen is dat de voorziening we ook nog die teams waar die IT security of ze aan toegewezen zijn. Doen we soms ook hele uiteenlopende dingen. Ja. Toch wil je daar een soort uniformiteit in die werkwijze in krijgen.

Eelke: 27:26

Ja, enerzijds is dat zeg maar een soort van stapje terug doen goed organiseren, goed bedenken van goed goed verdelen, taak goed verdelen. Zo'n centraal week overleg wat we elke woensdag hebben. Dat is natuurlijk heel belangrijk. Dat je even...

Renco: 27:41

En dan is ook echt iedereen op kantoor.

Eelke: 27:43

Dan is iedereen, moet iedereen er zijn. Ja, dus geen digitaal overleg. Dus dat helpt denk ik heel erg. Maar wat ook wel meer een beetje iets van de laatste maanden. Ik ik had een beetje de neiging om soms wat uit te zoomen.

Eelke: 27:57

En ook echt gewoon samen met een aantal mensen te bedenken ja, dit dit is wel heel verstandig. En dan leg je dat een keer uit en dan verwacht je eigenlijk dat iedereen dat doet.

Renco: 28:04

En het ook een goed idee vinden.

Eelke: 28:05

En het een goed idee vinden. Ik bedoel daar stem je natuurlijk over af, hè. Je vraagt ook om input. Maar ik heb wel heel erg gemerkt dat wat echt belangrijk is om ook gewoon, klinkt een beetje gek, een beetje voorop in de strijd te gaan soms. Als je gewoon hoort dat er soms een nieuw proces, dat vraagt heel veel, roept heel veel vragen op.

Eelke: 28:25

Weerstand ook in de organisatie.

Renco: 28:28

Heb je het ook niet niet primair binnen je voor je of je eigen team?

Eelke: 28:31

Nee, nee, buiten ons eigen team. Precies ja. Maar dat dat werkt dan wel door. Want hè, ik noem maar als als een aantal security officers weerstand ervaren bij hun eigen teams. Dan ja, dan is dat wel, dan komen ze een beetje tussen wal en schip te zitten zeg maar.

Eelke: 28:43

Van ja, vraag wat van ze en ze voelen weerstand bij het team wat ze moeten ondersteunen. En daar tussenin is het dan soms een beetje zoeken van hoe, ja, hoe, dat ga ik dan doen. Ja. En ik heb wel gemerkt dat op een gegeven moment ben ik gewoon zelf gewoon eens na een heel aantal overleggen gegaan. En gewoon zelf gaan uitleggen.

Eelke: 29:02

En ook de weerstand die er is gewoon tot me laten komen hè. Zelfs als het zeg maar misschien wel kritiek werd. Dat ik ook de kritiek gewoon ook op mij laat neerkomen, zeg maar. En niet niet achter de it zou blijven schuiven. Sorry de security office.

Renco: 29:17

Ja, maar dan ben jij eigenlijk de bedenker en de ontwerper. En dat dat staat dan soms op gespannen voet met de operatie.

Eelke: 29:23

En dat

Renco: 29:24

daarvan zeg je eigenlijk nou dat moet je ook bereid zijn om daar een deel van te incasseren. Want ja.

Eelke: 29:29

Ja en het is ook best wel, ik merkte ook best makkelijk was dat ik dan heel makkelijk zei van nou, dit idee ga ervoor als het niet lukt escaleren bij mij. Maar daar zit ook een soort trots in of zo denk ik. Niet iedereen vindt het zomaar makkelijk om het dan te escaleren. Dus dan

Renco: 29:45

dan moet je misschien, dan moet je

Eelke: 29:47

het soms ook gewoon zelf opzoeken. Ja. En

Renco: 29:50

wat meer de helpende hand reiken daarin zeg Ja. Ja. Ja. En wat is het leukste onderdeel van jouw werk als security manager? Wat vind het leukste?

Renco: 29:59

Nou, eigenlijk ook dat laatste wel. Oké. Ja, ja, vind ik wel.

Eelke: 30:03

Nee, maar ik vind het serieus leuk.

Renco: 30:05

Als mensen kritisch op jou zijn.

Eelke: 30:07

Ja, nou dat niet. Ik vind het wel echt leuk om te proberen een proces wat nieuw is en misschien ook wel wat weerstand op oplevert om dat wel goed onder de aandacht te krijgen. En ook mee te denken, hè. We zijn heel erg geneigd om met met dat soort processen en zeker vanuit security dat je een boodschap gaat pushen. Ja.

Eelke: 30:29

Drukke, drukken, drukken en volgens mij is dat gewoon menselijk. Welke boodschap je ook pusht. Aan de andere kant gaat er al heel snel een soort weerstand mechanisme zeg maar.

Renco: 30:39

Op omwille van het feit dat die al gepusht wordt. Ja, ja. Dat Heb je niet over de inhoud.

Eelke: 30:42

Nog niet eens waar je het over hebt. Nee, dus...

Renco: 30:45

Maar dat is het het het vergt wel andere skills, dan goed weten hoe je technisch advies kan geven over de implementatie van maatregelen. Ja. Dit is dit is dit is wat meer van ja, kan ik goed aanvoelen waar een manager ja, hoe ik kan aanhaken op wat voor een manager speelt. Kan ik het, kan ik het relevant maken door het te verbinden aan iets waar die manager voor aan de lat staat van van wakker ligt of, of stapel ik alleen maar iets erbij wat wat in de ogen van de manager althans niet klikt, vastklikt op de dingen waar die op wil of moet sturen.

Eelke: 31:18

Want je kunt technisch security technisch zeg maar 100 procent gelijk hebben. Maar als je het niet over de over de bühne krijgt, maar als je het niet uitgelegd krijgt. Ja. Hij houdt op andersom ook hè, als jij een heel mooi verhaal kunt vertellen, maar je adviseert gewoon technisch compleet het verkeerde.

Renco: 31:34

Dat lijkt ook niet hè? Dat is zo

Eelke: 31:35

klaar maar

Renco: 31:36

Zeker in een IT-organisatie denk ik.

Eelke: 31:37

Ja, ja absoluut. Ja. Dus ja, heb het zeg maar als ik kijk naar ons team hebben we echt een mooie mix. Er zitten mensen met heel veel technische kennis jarenlang ook soms al soms ook bij onze organisatie.

Renco: 31:51

Nou, dus je kent het applicatielandschap goed.

Eelke: 31:53

Ja, maar tegelijk is het ook mooi dat we mensen erbij hebben die nou ja, de softskill kant zal ik maar zeggen ook beheersen. Ja. Maar ja, waarbij volgens mij de kern altijd is dat je moet beginnen te proberen, begrijpen wat er aan de andere kant leeft zeg maar. Dus en pas daarna je eigen verhaal.

Renco: 32:15

Ja, dan hoop je dat het eigen verhaal nog een beetje te boetseren valt. En dat het ook dus ook aansluit bij bij wat er dan speelt binnen zo'n team. Ja. Ja. Ja.

Renco: 32:23

Maar ik denk dat dat dan dat is wel een mooie conclusie misschien. Maar het is ook wel wel een lastige. Want je je je gaat jezelf als security officer en het succes wat je kunt boeken ga je wel, je gaat heel afhankelijk opstellen eigenlijk hé. Dus dat ding, ik bedoel dat positief omdat ik ik denk dat dit de manier is om uiteindelijk echt dingen gedaan te krijgen. En echt voor elkaar te krijgen dat managers gaan sturen op security.

Renco: 32:48

Daarvoor moet je eerst heel lang je inspannen om een relatie op te bouwen en je te verdiepen in alles wat er in zo'n team speelt. Zodat je daarbij aan kan sluiten. En dan wordt eigenlijk is security gewoon ja, een een gebruikelijke randvoorwaarde zal maar zeggen. Dan hebben we security bij design zal ik maar zeggen. Ja.

Renco: 33:03

Ja en maar die weg daar naartoe die is wel bumpy. Ja. En vergt ook wel doorzettingsvermogen. En kan als je echt denkt van ja, ik weet gewoon veel van de techniek. Ik kan me voorstellen dat het heel frustrerend kan zijn als je als je risico's ziet.

Renco: 33:19

En en je hebt de oplossing ook geadviseerd, maar om wat voor reden dan ook wordt het niet of nog niet opgepakt.

Eelke: 33:25

Ik ik heb zo vaak in overleg gezeten dat er dan gezegd wordt. Ja, je moet gewoon dit doen. Weet je wel? Ik ik en dan is het ook waar, hè. Je moet gewoon dit doen.

Eelke: 33:34

Ik heb er verstand van

Renco: 33:35

Er staat een passie in toch? Van ik Ja,

Eelke: 33:37

maar dan dan loopt iedereen weg en er gebeurt niks. Dus als je impact wilt hebben ja, dan dan moet je toch echt anders aanvliegen.

Renco: 33:46

Ja, nou dan mogen ze denk ik blij zijn met jou als als manager die er ook af en toe even naast de mensen komt staan. En niet alleen maar zegt nou hé, breng deze boodschap over. Maar als het dan inderdaad wat extra ja, hoe moet dat zeggen? Wat extra masseerwerk of er komt gewoon weerstand. Of of te kritiek terecht of niet.

Renco: 34:06

Dat je dan naast security of ze gaat staan. En ook bereid bent in de frontlinie erbij te zijn. En dat aan te horen en ja en er wat mee te doen dan. Dat voorstel ik dan dat je dat ook doet.

Eelke: 34:18

Nou ja, ik ik denk dat wat jij nu omschrijft dat ik dat wel kan. Dat dat waar wel een een kracht ligt. Ik denk ook dat ik het nog veel meer zou moeten doen. Dat wel hé. Misschien wel misschien meer een fase waar we nu inkomen hé, processen staan, dingen lopen dan kun je echt gaan focussen op inhoud.

Renco: 34:34

Ja, dat kan natuurlijk nog wel zijn dat de IT-security of zo dat er een of enkele uit jouw team dit gesprek luisteren. En bij het eerstvolgende team overleg tegen Jij mag wel even mee. Nou Eelke, ik heb het aanbod ook genoteerd.

Eelke: 34:50

Bij deze.

Renco: 34:51

Nee, ik ga ervan uit dat je niks nieuws verteld hebt, maar nou ja, als je luistert trouwens hartstikke leuk dat je luistert. En ja, Eelke bedankt. Ik vond het interessant onderwerp. Heb jij nog nog een uitsmijter of een afsluiter waarvan je zegt ja, die moet nog even, die wil ik nog wel even meegeven.

Eelke: 35:07

En dan overval je een beetje meer. Ik zit nog helemaal in mijn verhaal en met...

Renco: 35:11

Ja, wij zouden dit nog wel langer volhouden. Dat zeg ik trouwens bij elke opname,

Eelke: 35:14

maar dat is ook wel waar. Een uitsmijter. Nee, ik wat ik ik denk dat wat ik net al kort een beetje schetste. Ik denk dat de technische skills hè, waarvan ik het echt heel leuk vind dat die in mijn team zit. Ben daar zelf ben ik daar niet in getraind in in opgeleid.

Eelke: 35:34

Maar ik vind het wel ontzettend leuk om met met mensen te werken die daar veel verstand van hebben, passie hebben, dat goed kunnen uitleggen en daarmee hun organisatie gewoon veiliger willen maken.

Renco: 35:43

Ja.

Eelke: 35:44

Ja, in combinatie met ja, dat dat je ook het kunt uitleggen en het kunt het verschil kunt maken bij bij de mensen die ook het verschil kunnen maken. Dat klinkt misschien een beetje gek. Dus mensen die met die over middelen en geld gaan. Ja, volgens mij als je als je die bij 2 bij mekaar kunt brengen. Dan wordt het leuk.

Renco: 36:02

Ja, dan ben je ook succesvoller. Ja. Kan meer bereiken.

Eelke: 36:05

Ja, dat is voor mij zeg maar de de reden dat ik mijn werk leuk vind.

Renco: 36:09

Ja. Nou, ik heb daar ook het nodige van gezien en gehoord in dit gesprek. Dus dat straalt het ook uit. Ik vind mijn werk ook leuk. Ik zit wat, ik zit natuurlijk op opdrachten weet je wel.

Renco: 36:21

Dus ik ben niet ja, ik doe met dat inhoudelijk doen we zeg maar vergelijkbaar werk zou je kunnen zeggen. Maar jij zit natuurlijk vast in in een positie waarbij je gewoon ja, ja, meer lange termijn ergens aan kan werken zal maar zeggen. Terwijl ik wat meer een afgebakende opdracht heb die ik moet leveren. Dus ik kijk af en toe wel met een beetje jaloezie naar nou niet alleen specifiek alleen naar jou of zo. Maar naar naar zo'n functie die jij dan hebt.

Renco: 36:44

Dan denk ik ja, ik kan me heel goed voorstellen dat dat wel gaaf is om daaraan te werken. En dan ook na verloop van tijd te zien ja, dit werkte niet. Maar wacht nu heb ik iets te pakken wat wel werkt. Ja, dat is wel gaaf. Dat ja.

Renco: 36:56

Nou, hé volgens mij ging jij naar de tandarts toch?

Eelke: 37:00

Ja, ga ik nog net halen.

Renco: 37:02

Oké, hé bedankt. En nou, ik hoop dat ik je kan blijven rekenen tot de luisteraars.

Eelke: 37:08

Ja, zeker.

Renco: 37:08

En dan gaan we, ga ik nog eens proberen of ik Ravin nog eens terug in de podcast kan krijgen want ja, dan kan ik mijn pet weer op. Dat is natuurlijk wel een buitenkans. Fijne dag.

Eelke: 37:18

Ja, ja, ja, dank je wel.

Renco: 37:22

En daarmee is deze aflevering van qeep talking alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat ideeën opgedaan die je kan toepassen binnen je eigen werk. Op mijn site, qeepposted punt nl vind je naast deze podcast ook blogs, video's, handige links, opinie's en trainingsdata. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert.

Renco: 37:50

Tot dan.

Meer afleveringen

Hoofdstukken

Makers en gasten

Wat is qeep talking?