Skip to main content

Cybersecurity en kwaliteitsmanagement: een kwestie van gedeelde verantwoordelijkheid

Hoe maak je kwaliteitsmanagement niet alleen auditproof, maar ook cyberweerbaar? Dat was de centrale vraag die we tijdens onze masterclass Cybersecurity samen met OpenNovations organiseerden. Veertig kwaliteitsprofessionals uit uiteenlopende sectoren namen deel en gingen in gesprek met Hans Christiaan de Raad, oprichter van OpenNovations. Het werd een intensieve sessie vol inzichten, praktijkvoorbeelden en interactie.

OpenNovations is een Nederlandse organisatie die zich al ruim twintig jaar bezighoudt met data-integratie, datakwaliteit en compliance. Het bedrijf ondersteunt klanten bij vraagstukken rondom data, wet- en regelgeving en technische oplossingen. Hans Christiaan is daarnaast actief in internationale werkgroepen, onder meer bij het Europees Telecomnormalisatie Instituut.

Van regelgeving naar praktijk

Hij nam de deelnemers mee in de complexe wereld van Europese wet- en regelgeving rond cybersecurity. Daarbij stonden vooral de NIS2-richtlijn en de Cyber Resilience Act centraal.

De NIS2-richtlijn is Europese wetgeving die door lidstaten vertaald moet worden naar nationale wetten, zoals in Nederland de toekomstige Cyberveiligheidswet. Deze richtlijn verplicht organisaties in vitale sectoren, zoals energie, zorg en transport, om hun digitale weerbaarheid op orde te hebben.

De Cyber Resilience Act is een andere Europese wet die zich richt op producten met digitale onderdelen, zoals software of slimme apparaten. Fabrikanten moeten zorgen voor ingebouwde beveiliging en duidelijke afspraken over onderhoud en updates.

Elke organisatie kent zijn eigen risico’s

Zijn boodschap aan de deelnemers was duidelijk: organisaties moeten stoppen met het simpelweg afvinken van lijstjes. In plaats daarvan gaat het erom dat elke organisatie kijkt naar de eigen risico’s en omstandigheden. Want een ziekenhuis heeft nu eenmaal andere kwetsbaarheden dan een transportbedrijf en vraagt dus ook om andere maatregelen en prioriteiten.

Cybersecurity: de realiteit van alledag

Hans Christiaan illustreerde dat met actuele voorbeelden. Zo wees hij op de ontelbare dagelijkse aanvallen die OpenNovations sinds de oorlog in Oekraïne registreert op hun infrastructuur. Ook haalde hij incidenten aan waarbij supply chains worden misbruikt, zoals de sabotage van portofoons of de beroemde Stuxnet-aanval op Iraanse nucleaire installaties. Deze voorbeelden maken duidelijk dat cybersecurity geen abstracte werkelijkheid is, maar de realiteit van alledag.

Praktische handvatten voor kwaliteitsprocessen

OpenNovations ondersteunt organisaties al meer dan twintig jaar bij data-integratie, datakwaliteit en compliance-vraagstukken. Tijdens de masterclass vertaalde Hans Christiaan complexe wetgeving naar concrete maatregelen. Denk aan:

  • Identity & Access Management: weet wie toegang heeft tot systemen en waarom.

  • Incident reporting en logging: registreer niet alleen incidenten, maar analyseer trends.

  • Supply chain management: kijk kritisch naar leveranciers en open source-componenten.

  • Backup & restore: test herstelprocedures net zo serieus als het maken van back-ups.

  • Ownership: maak duidelijk wie eigenaar is van data, systemen en processen.

Deze maatregelen sluiten naadloos aan op kwaliteitsmanagement: aantoonbaarheid, eigenaarschap en continu verbeteren.

Een belangrijk advies van Hans Christiaan: koppel controles altijd aan risico’s. “Implementeer maatregelen niet omdat ze populair of ‘hip’ zijn, maar omdat ze aantoonbaar waarde toevoegen,” aldus Hans Christiaan.

Van theorie naar toepassing

Na een stevig inhoudelijk blok werden de deelnemers in breakoutrooms verdeeld. In kleine groepen gingen zij aan de slag met casussen uit de Cloud Security Alliance Control Matrix en de ETSI Technical Reports.

De Cloud Security Alliance Control Matrix is een internationaal erkend raamwerk met concrete beheersmaatregelen voor cloudbeveiliging. Het laat zien welke verantwoordelijkheden bij de leverancier liggen en welke bij de gebruiker, en helpt organisaties om audits gestructureerd voor te bereiden.

De ETSI Technical Reports zijn richtlijnen van het Europees Telecommunicatie-instituut met praktische maatregelen die organisaties direct in hun eigen processen kunnen toepassen. Waar de Control Matrix vooral de relatie tussen leverancier en afnemer belicht, richten de ETSI-rapporten zich juist op de interne organisatie.

Hun opdracht: bepalen welk bewijs aantoont dat je voldoet aan de regels én dat maatregelen effectief zijn.

Van audit readiness tot supplier management

Hoewel sommigen aangaven dat dat even zoeken was, kwam er al snel dynamiek in de gesprekken. “Juist het delen van ervaringen maakt dit waardevol,” zei een deelnemer. “We zien allemaal dezelfde uitdagingen, maar de oplossingen verschillen per sector.”

Een groep legde de nadruk op voorbereid zijn op audits: hoe toon je inspecties aan dat je niet alleen beleid hebt, maar ook operationeel bewijs? Een andere groep richtte zich op supplier management en de vraag hoe je kunt vertrouwen op toeleveranciers zonder zelf de grip te verliezen. Weer anderen benadrukten bewustwording en training: medewerkers zijn vaak de zwakste schakel, en regelmatige oefening maakt phishing-tests en crisisoefeningen cruciaal.

Waardevolle vertaalslag naar de praktijk

De reacties van de deelnemers na afloop waren positief en relativerend. Veel deelnemers gaven aan dat de hoeveelheid informatie indrukwekkend was, maar benadrukten dat ze juist de vertaalslag naar de praktijk ‘waardevol’ vonden.

“Ik heb nu veel beter zicht op de rol die wij als kwaliteitsafdeling kunnen spelen in cybersecurity,” vertelde een deelnemer.

Een ander merkte op: “De combinatie van regelgeving, praktijkvoorbeelden en interactieve opdrachten maakt deze masterclass concreet.” Ook klonk waardering voor de herkenbaarheid van de uitdagingen: “Het is geruststellend te horen dat zelfs grote organisaties worstelen met dezelfde vragen.”

De verbinding met kwaliteit

Sterk benadrukt werd hoe belangrijk samenwerking tussen verschillende afdelingen is. Waar IT traditioneel als eindverantwoordelijk voor security wordt gezien, ligt volgens de deelnemers de kracht juist in de verbinding met kwaliteit. Of, zoals een van hen het kernachtig samenvatte: “Het gaat niet alleen om firewalls en wachtwoorden, maar om processen en cultuur.”

Hans Christiaan onderschrijft die conclusie. Volgens hem ligt de sleutel tot verbetering in de gezamenlijke verantwoordelijkheid van verschillende disciplines. “Cybersecurity is geen puur technisch vraagstuk,” zei hij. “Het vraagt om eigenaarschap, transparantie en de bereidheid om processen continu tegen het licht te houden. Juist kwaliteitsprofessionals kunnen daarin het verschil maken, omdat zij gewend zijn te denken in aantoonbaarheid en verbetercycli.”

Samen leren en verbeteren

De rode draad in de masterclass vormde het creëren van een ‘just culture’, een veilige cultuur, waarin openheid centraal staat. Niet het met de vinger wijzen, maar samen leren en verbeteren. Fouten moeten daarbij gezien worden als leermomenten, niet als aanleiding voor sancties.

Hans Christiaan wees daarnaast op de verantwoordelijkheid van bestuurders en directies. Cybersecurity is geen exclusieve taak van de IT-afdeling, maar een strategisch thema dat op het hoogste niveau geborgd moet zijn. Managers en bestuurders zijn uiteindelijk aansprakelijk bij nalatigheid of het ontbreken van passende maatregelen. Voor kwaliteitsprofessionals ligt hier een kans: hun expertise in procesbeheersing en controleerbaarheid maakt hen de ideale gesprekspartner voor de directie.

Auditproof én cyberweerbaar

Een ander thema in de masterclass was het samenspel tussen kwaliteitsmanagement en cybersecurity. Waar kwaliteitsmanagers gewend zijn te denken in processen, bewijs en audits, blijkt dit precies de taal te zijn die ook toezichthouders in cybersecurity spreken.

  • Herleidbaarheid (traceability): kunnen aantonen wat er is gebeurd en waarom.

  • Doeltreffendheid (effectiveness): niet alleen beleid op papier hebben, maar aantoonbaar testen of maatregelen werken.

  • Bestuurlijke verantwoordelijkheid (board responsibility): de eindverantwoordelijkheid ligt altijd bij het bestuur.

Deelnemers kregen praktische hulpmiddelen mee, zoals volwassenheidsmodellen die inzicht geven in de mate van ontwikkeling van processen en maatregelen. Daarmee kunnen organisaties hun eigen niveau beoordelen en verbeterpunten vaststellen. Daarnaast ontvingen ze formats om bewijsmateriaal systematisch vast te leggen, zodat auditgereedheid en aantoonbare cyberweerbaarheid hand in hand gaan.

Cybersecurity als integraal onderdeel van kwaliteit

Onze masterclass laat zien dat cybersecurity niet alleen een IT-aangelegenheid is, maar integraal onderdeel moet worden van kwaliteitsmanagement. Door risico’s te koppelen aan processen en evidence ontstaat een aanpak die zowel auditproof als cyberweerbaar is.

Voor de veertig deelnemers was dit niet alleen een kennissessie, maar vooral een wake-upcall: kwaliteitsprofessionals spelen een sleutelrol in het waarborgen van digitale veiligheid.

“Het belangrijkste inzicht voor mij is dat kwaliteitsmanagement en cybersecurity dezelfde taal spreken,” zei een deelnemer. “We hoeven het wiel niet opnieuw uit te vinden, we moeten alleen elkaars expertise benutten.”

Bent u benieuwd naar toekomstige Masterclasses? Houd onze agenda in de gaten!

red wire mobile red wire small red wire big