Martijn Kregting - 08 juli 2024

Tanja van Burgel, Justin Broeders, Ministerie van Financiën: ‘Overheid heeft voorbeeldfunctie, ook in digitalisering’

IT-beslisser zijn op een ministerie zoals dat van Financiën vergt soms een andere focus dan in het bedrijfsleven, weet Tanja van Burgel. Tenslotte heeft de overheid unieke plichten en taken. Samen met CISO Justin Broeders is Van Burgel verantwoordelijk voor het veilige reilen en zeilen van alle vormen van IT en digitalisering op het departement zelf, maar ook bij uitvoerende diensten zoals de Belastingdienst. En die digitalisering is in een tijd van disruptieve technologische vernieuwing en geopolitieke onzekerheden op zijn minst uitdagend. In dit eerste van twee artikelen gaan we onder meer in op de voorbeeldfunctie van de overheid in IT en digitalisering. “Organisatie en digitalisering zijn niet meer los van elkaar te zien. Maar er zijn nog veel stappen te zetten.”

Tanja van Burgel, Justin Broeders, Ministerie van Financiën: ‘Overheid heeft voorbeeldfunctie, ook in digitalisering’ image

Justin Broeders (CISO) en Tanja van Burgel (directeur Concerndirectie Informatievoorziening en Openbaarmaking), Ministerie van Financiën.

Tanja van Burgel is tegenwoordig directeur Concerndirectie Informatievoorziening en Openbaarmaking bij hetzelfde ministerie van Financiën waar zij tot 1 mei directeur digitalisering en informatisering was. Een lange titel die de diversiteit van haar portfolio aangeeft. Zij is inmiddels zeven jaar actief bij het ministerie in diverse IT-gerelateerde functies. Daarvoor werkte zij ruim 12 jaar in vergelijkbare functies (IT en bedrijfsvoering) bij het ministerie van Defensie. Voor die tijd was ze actief in het bedrijfsleven, onder meer voor IBM en AT&T.

IT-beslisser zijn op een ministerie zoals dat van Financiën is niet helemaal vergelijkbaar met het bedrijfsleven, stelt Van Burgel. “Het CIO-schap van het ministerie is belegd bij de plaatsvervangend secretaris-generaal. Ik ben plaatsvervangend CIO. Binnen mijn directie valt ook de CIO van het beleidsdepartement – alle beleids-DG’s van het ministerie in Den Haag. Verder ben ik hoofd IT, verantwoordelijk voor zaken zoals het leveren van werkplekken en dienstverlening hieromheen. En alle informatievoorziening in het kader van de Wet Open Overheid valt onder mij. Daarmee is mijn rol breder dan alleen die van een CIO.”

Track record

Haar collega Justin Broeders houdt het eenvoudiger als het gaat om functienaam. Hij is ‘gewoon’ CISO. Broeders is ooit begonnen als IT-consultant, en daarna gespecialiseerd in security en risicomanagement. Ook hij heeft een track record in het bedrijfsleven, onder meer in de financiële en energiesector.

“Wat ik als CISO geleerd heb, is dat de rol vaak gezien wordt als eentje waarin je vooral nee zegt”, merkt Broeders op. “Ik wil graag mensen bewegen tot ‘ja’ zeggen. Verbinden en samenwerken is veel effectiever om tot een goede security-strategie te komen dan eenzijdig zeggen: dit mag niet, dit kan niet. Deze visie hanteer ik ook bij het ministerie: samenwerken en verbinden tussen en met DG’s zoals de Belastingdienst en Toeslagen en de diverse beleidsdepartementen. Hen in hun kracht laten waar dat kan en samen zaken oppakken waar dat beter is.”

Hetzelfde uitgangspunt

Van Burgel benadrukt dat de rollen van (plaatsvervangend) CIO of CISO in de basis hetzelfde uitgangspunt hebben: je bent van het IT-beleid, van de kaderstelling, van het handhaven hierop. Je bent verantwoordelijk voor goede checks & balances, de juiste risico-acceptatie.

“Ik ben het met Justin eens: heel veel kan wel, als je maar aan de juiste voorwaarden voldoet. Maar als departement ben je natuurlijk geen op zichzelf staande entiteit. Je bent onderdeel van de Rijksoverheid, waarbinnen de CIO Rijk van BZK rijksbrede kaders stelt. Wat wij doen, moet binnen die kaders vallen. Bovendien moeten we verantwoording afleggen voor wat we doen aan politiek, bedrijfsleven en burgers. Het belang hiervan wordt steeds groter. Die verantwoording zie je bij een commercieel bedrijf ook, maar een stuk minder.”

In hoeverre zijn jullie op het gebied van IT en security al een digitale organisatie?

Tanja van Burgel: “Wij zijn er zeker nog niet. In mijn vorige functie viel mijn afdeling nog onder bedrijfsvoering. Dat geeft wel aan dat men tot een paar jaar geleden IT meer als iets facilitairs zag: als water uit de kraan. IT moest het gewoon doen. Inmiddels is IT weggehaald bij bedrijfsvoering en ondergebracht in de nieuwe concerndirectie. Het wordt steeds meer gezien als onderdeel van de primaire processen. Wij zorgen voor de gezamenlijke kaders voor het gehele ministerie en bewaken synergie en consistentie.”

“Die verandering is ingezet omdat IT niet meer als iets facilitairs gezien wordt. Alles dat ons ministerie doet – beleid maken, financiële stromen zoals belasting innen en toeslagen uitkeren – is inmiddels digitaal geworden of groeit hiernaar toe. Dat betekent dat je de organisatie en digitalisering niet meer los van elkaar kunt zien. Maar er zijn nog veel stappen te zetten. Wel zie je die stappen ook steeds meer gezet worden. Twee kleine voorbeelden: de Generale Thesaurie verdiept zich in de digitale euro, we zijn bezig met e-wallets. Er zijn heel veel ontwikkelingen, maar tegelijkertijd is het heel belangrijk om de digitale basis goed op orde te hebben. Met een goed fundament kun je makkelijker inspringen op nieuwe ontwikkelingen.”

Justin Broeders: “Zeker bij de overheid is er veel sprake van (staats)geheime informatie die alleen op papier aanwezig is. Je moet dus zowel analoog als digitaal naar die beveiliging kijken. De security-aanpak is vooral gericht op het digitale domein omdat dit inmiddels het grootste stuk is. Maar wij zijn geen Bol.com, dat alleen digitaal actief is. Wij hebben nog veel meer te maken met fysieke dienstverlening, zowel extern als intern. Het ministerie en al haar beleids- en uitvoerende departementen digitaliseert wel steeds verder, maar we moeten nog altijd rekening houden met een analoog deel.”

“Daarnaast is heb je als overheid ook een voorbeeldfunctie. Als je zelf regels maakt en opstelt op gebieden zoals security en privacy, moet je je daar ook extra goed aan houden. De wetenschap dat wij ons goed moeten kunnen verantwoorden, zit in de kern van ons handelen. Praktisch gezien betekent dit bijvoorbeeld dat we bewuster nadenken over de IT-opties waar we voor kiezen. We zullen niet zo snel alles in de cloud gaan zetten, maar kijken eerst naar de risico’s voor de data, en of we die risico’s echt kunnen verantwoorden. Dat is echt wel een extra stuk zorgplicht die je voelt.”

Digitalisering is ook cultuurverandering. Mensen moeten digitalisering en digitale toepassingen adopteren, er de voordelen van zien. Waar staan jullie op dat gebied?

Van Burgel: “Het is tweeledig. Op een aantal gebieden zie je die omslag, elders moeten er nog stappen gezet worden. We hebben de afgelopen jaren een aantal cultuurprogramma’s opgestart om mensen mee te krijgen in digitalisering. Informatie staat steeds meer in de cloud, medewerkers zijn eenvoudiger bereikbaar. Maar de impact van ransomware en andere cyberaanvallen groeit ook. Je moet mensen van beide kanten van de medaille doorgronden. En wat dacht je van AI, met name toepassingen zoals ChatGPT? Iedereen is daar mee bezig. Dan moet je snel schakelen, kijken wat wel en niet kan of mag. Op diverse onderwerpen loopt het volwassenheidsniveau dus uiteen. En ook de ene directie is verder dan de ander.”

Broeders: “Soms moet je werken met een ’coalition of the willing’, mensen, afdelingen die al wel een bepaald volwassenheidsniveau bereikt hebben. Zo kun je dan ook de rest mee krijgen in een olievlek. Ook als je zegt: dit mag niet, dan moet je een goede mindset bereiken om daarmee om te gaan, goed uitleggen waarom. Gen AI als voorbeeld: we moeten duidelijk maken wat hier – ook vanwege overheidsregels, niet mag. Maar daarnaast moeten we zeker kijken naar wat er wel mee kan, zodat je innovatie niet gelijk de kop indrukt.”

Tanja van Burgel

Tanja van Burgel: "Wij zijn voorstander van gedoseerd, voorzichtig innoveren."

Van Burgel: “De andere kant van de groeiende digitalisering is dat dit deels gebeurd met systemen zoals van de Belastingdienst die tot wel 30 jaar oud zijn. Het zijn oude maar solide systemen. Het belang van proven technology is hier net zo belangrijk als innoveren. Natuurlijk moeten die systemen ook vernieuwd worden, maar laten we een proeftuin hiervoor niet beginnen bij een organisatie waar miljarden euro’s in omgaan, want het risico is te groot. Mede hierom zijn wij voorstander van gedoseerd, voorzichtig innoveren, en hechten we de nodige waarde aan het op orde hebben en houden van de basis.”

Doe je als ministerie zoveel mogelijk zelf, of zoek je juist de samenwerking?

Van Burgel: “Van Rijkswege hebben we veel samenwerkingsverbanden. Bij het CIO Beraad van alle Rijks-CIO’s kijken we bij dit soort onderwerpen hoe we elkaar kunnen helpen, elkaars kennis en kunde kunnen gebruiken. Elk departement heeft zijn eigen processen. Maar veelal kun je kijken hoe je samen daar waar het nodig is snelheid maken. Verder proberen we expertise van buien naar binnen te halen. Zo hebben we een adviescommissie Analytics, waaraan een aantal hoogleraren deelneemt, experts op gebieden zoals analytics, privacy, ethiek. Relevante vraagstukken bespreken we ook hier, juist om gebruik te maken van die externe expertise in plaats van te gaan navelstaren.”

“Op het gebied van AI bijvoorbeeld werken we samen met een aantal departementen, die ook allemaal gebruik maken van het Shared Service Center ICT (SSC-ICT) van BZK voor kantoorautomatisering. Ook Doc-Direkt van BZK is zo’n gezamenlijk instrument van zeven beleidsdepartementen, in dit geval inzake informatiemanagement en -huishouding. Een uitvoeringsinstantie zoals de Belastingdienst valt hier niet onder, die heeft een hele eigen dynamiek en processen.”

Zijn er ook samenwerkingsverbanden op specialistische gebieden zoals security?

Broeders: “Ik ben gewend vanuit het verleden om buiten de eigen bubbel te kijken. Wij hebben gelukkig wel DNB (De Nederlandsche Bank) als zelfstandig bestuursorgaan binnen onze organisatie. Zij hebben veel contact met de financiële sector, die voorop loopt op het gebied van security. Wij klankborden regelmatig met security-experts binnen DNB over nieuwe trends en ontwikkelingen. Daarnaast is een breed netwerk belangrijk, ook buiten de overheid, en ook met leveranciers. Grote ketenpartners zijn belangrijke contactpunten waarmee we proactief schakelen zodat we incidenten ook kunnen voorkomen.”

Lees volgende het tweede deel van het interview met Justin Broeders en Tanja van Burgel.

Dutch IT Security Day BW tm 15-10-2024 Vertiv BW 01-07-2024 tm 05-08-2024
Dutch IT Security Day BN tm 15-10-2024