HomeZakelijkThe Digital DutchBlogRobert Pennings: “Je moet cyberrisico’s in kaart brengen op een manier die de organisatie begrijpt”
Labels:

Robert Pennings: “Je moet cyberrisico’s in kaart brengen op een manier die de organisatie begrijpt”

19-03-2026
4 min
Voor Robert Pennings, Information Security Manager (ISO) bij Sana Commerce, is security geen kwestie van afvinken. Het draait om begrijpen wat er écht op het spel staat. In zijn aanpak worden risico’s niet beoordeeld vanuit techniek of compliance, maar vanuit de context van de organisatie. Want alleen als de business begrijpt waar de risico’s liggen, ontstaat er draagvlak om ze aan te pakken.
HomeZakelijkThe Digital DutchBlogRobert Pennings: “Je moet cyberrisico’s in kaart brengen op een manier die de organisatie begrijpt”

Binnen het onderzoek naar innovatie in cybersecurity spreekt Robert over een organisatiebrede benadering van weerbaarheid - 1 waarin beleid, techniek en gedrag elkaar versterken, in plaats van tegenwerken.

Van certificering naar kwaliteit

“Compliance is geen security,” zegt Robert. “De stempel ISO is zo gehaald, maar dat zegt niks over de kwaliteit van je beveiliging.” Die uitspraak vat goed samen hoe hij naar cyberrisico’s kijkt. Certificeringen als ISO 27001, PCI of SOC 2 zijn belangrijk, maar niet het einddoel. Ze dienen als basis om de effectiviteit van maatregelen te toetsen.

Robert: “We zien te vaak dat beleid geschreven wordt voor de auditor in plaats van voor de organisatie. Dan heb je het op papier goed geregeld, maar verandert er niets in de praktijk. De vraag moet zijn: werken onze maatregelen, en weten mensen waarom we ze nemen?”

Bij Sana is die vertaalslag structureel gemaakt. Security is niet weggestopt in een aparte afdeling, maar onderdeel van drie pijlers: productontwikkeling, dienstverlening en interne IT. In elk domein werken security-ambassadeurs die kennis en verantwoordelijkheid delen. “Zo blijft het levend in de organisatie,” zegt hij.

Onderzoek Cyberweerbaar Nederland 2026

De digitale dreiging groeit. Hoe goed zijn organisaties voorbereid? Dat onderzocht Security Innovation Stories in opdracht van KPN. 250 securityprofessionals delen hun kijk op digitale weerbaarheid.
Download het onderzoek
Download Executive Summary

Risicogestuurd en contextbewust

Robert beschrijft risicomanagement als een continu proces van bijsturen. “De prioriteit ligt bij risico’s met de grootste impact, maar context bepaalt de nuance,” legt hij uit. “Een kantoor in Colombia vraagt andere maatregelen dan een kantoor in Nederland of Dubai. Je moet rekening houden met kans, impact én situatie.”

​“De prioriteit is op basis van risico: kans, impact en situatie. Het probleem dat je vorig jaar hebt opgelost, is misschien nu geen probleem meer.”

Door risico’s concreet te maken, groeit het begrip in de organisatie. “Je kan wel zeggen: er moet een slot op de deur, maar wat ligt er eigenlijk achter die deur? Misschien niets. Dan kan je beter investeren in iets dat wel een concreet risico verhelpt. Dat gesprek moet je voeren.”

Deze aanpak vertaalt zich ook naar de boardroom. Security wordt besproken en meegewogen in strategische besluitvorming. Niet als verplicht nummer, maar als randvoorwaarde voor groei en vertrouwen.

Automatiseren om gedrag te ontlasten

Innovatie speelt voor Robert vooral een rol in het werkbaar maken van security. “De medewerker blijft de zwakste schakel. Dus dwing af waar het kan, zonder de operatie te frustreren.” Hij doet dat met slimme tooling; bijvoorbeeld door phishinglinks de blokkeren, en met darkweb-monitoring uitgelekte accounts te signaleren.

“Als je iets kan automatiseren, moet je dat doen,” zegt hij. “We trainen mensen nog steeds, maar liever maak ik het technisch onmogelijk om fouten te maken. Dat scheelt tijd, geld en frustratie.”

​“De stempel ISO is zo gehaald, maar dat zegt niks over de kwaliteit van je beveiliging.”

Ook AI speelt een groeiende rol. Zowel in monitoring als in awarenesscampagnes helpt het om sneller te reageren en realistischer te trainen. “Als jouw aanvaller met AI werkt, moet je in de verdediging ook met AI werken,” zegt Robert.

Van angst naar inzicht

Een van de grootste misverstanden over security is volgens Robert dat het iets is om bang van te worden. “Bangmakerij werkt niet. Je bereikt meer door mensen te betrekken en uit te leggen waarom iets belangrijk is.”

Die benadering maakt security toegankelijker en zorgt voor blijvend gedrag. “Als medewerkers begrijpen wat er achter een maatregel zit, houden ze zich er ook aan. Dan wordt het een gezamenlijke verantwoordelijkheid in plaats van een opgelegde regel.”

Conclusie: weerbaarheid vraagt om inzicht, niet angst

Voor Robert draait cyberweerbaarheid om beheersen door begrip. Een organisatie is pas weerbaar als ze haar eigen risico’s kent én begrijpt wat die betekenen voor de praktijk. “We kunnen alles afdwingen, maar het moet wel werkbaar blijven,” zegt hij.

Zijn aanpak laat zien dat innovatie in security niet alleen gaat over nieuwe technologie, maar over het vermogen om complexiteit te vertalen naar logica, gedrag en samenwerking.

Het interview met Robert Pennings maakt deel uit van het gezamenlijke onderzoek van KPN en Security Innovation Stories naar de staat van cyberweerbaarheid in Nederland. In dit rapport delen tientallen securityleiders hun inzichten over innovatie, menselijk gedrag, governance en de toekomst van digitale weerbaarheid. Download het rapport

Artikel delen
Tags
Labels: