HomeZakelijkThe Digital DutchBlogTheo Quist: “Je kan alle vinkjes zetten, en toch buikpijn hebben”
Labels:

Theo Quist: “Je kan alle vinkjes zetten, en toch buikpijn hebben”

16-04-2026
5 min
Theo Quist begon ooit in de milieukunde, werkte met een labjas in een laboratorium en rolde via beleid en juridische functies uiteindelijk het vakgebied van cybersecurity in. Sinds 2017 werkt hij bij Hoogheemraadschap Hollands Noorderkwartier (HHNK), en sinds november 2024 als CISO. Die achtergrond zie je terug in hoe hij naar cyberweerbaarheid kijkt: niet alleen als technisch vraagstuk, maar juist ook als organisatievraagstuk. Bij zijn stap naar de rol van CISO maakte hij dat expliciet. “Ik heb toen gevraagd: zoeken jullie iemand die zelf de techniek induikt, of iemand die specialismen verbindt en de organisatie meeneemt?”
HomeZakelijkThe Digital DutchBlogTheo Quist: “Je kan alle vinkjes zetten, en toch buikpijn hebben”

​“Je kan alle vinkjes zetten, en toch een bestuurder hebben die buikpijn krijgt van de veiligheidssituatie.”

We vroegen Theo wat er misgaat als organisaties cyberweerbaarheid benaderen als een checklist. Zijn antwoord draait om één centrale spanning: het verschil tussen voldoen aan regels en daadwerkelijk grip hebben op risico’s. Want hoe geruststellend compliance ook lijkt, het kan een onterecht gevoel van comfort geven.

Alles op orde, en toch geen gerust gevoel

Veel organisaties sturen op compliance: voldoen aan normen, audits doorstaan, certificeringen behalen. Maar volgens Theo hoeft dit weinig te zeggen over hoe weerbaar je daadwerkelijk bent. “Je kan alle vinkjes zetten, en toch een bestuurder hebben die buikpijn krijgt van de risico’s.”

De reden is simpel: wet- en regelgeving legt een minimum neer. Het geeft richting, maar geen garantie. Een organisatie kan formeel alles op orde hebben en toch kwetsbaar zijn voor incidenten. Echte weerbaarheid vraagt dus om meer dan het afvinken van eisen. Het vraagt om inzicht in de risico's en hiernaar handelen.

Onderzoek Cyberweerbaar Nederland 2026

De digitale dreiging groeit. Hoe goed zijn organisaties voorbereid? Dat onderzocht Security Innovation Stories in opdracht van KPN. 250 securityprofessionals delen hun kijk op digitale weerbaarheid.
Download het onderzoek
Download Executive Summary

“Het gaat erom dat je risico’s in beeld hebt, niet dat je alle regels volgt”

Theo ziet risicogestuurd werken als de kern van cyberweerbaarheid. Dat begint bij het begrijpen van de organisatie zelf: welke processen zijn er, waar zitten de afhankelijkheden en welke risico’s horen daarbij? Pas daarna kan je bepalen welke maatregelen nodig zijn.

Daarin zit ook een belangrijk verschil met hoe veel organisaties werken. In plaats van structureel naar risico’s te kijken, reageren ze op incidenten of signalen. “Het is verleidelijk om op alle alerts te reageren en ad hoc maatregelen te nemen.” Volgens Theo leidt dat tot versnippering en gemiste prioriteiten. Door keuzes te maken en risico’s centraal te stellen, ontstaat juist richting.

“Een tool die draait, betekent niet dat je veilig bent”

Diezelfde schijnzekerheid zie je terug bij technologie. Organisaties investeren in tools, maar vergeten vaak de vraag waarom ze die inzetten. “Voordat je een SIEM of SOC koopt, moet je weten waarom je hem inzet.”

Een tool kan draaien, alerts kunnen binnenkomen, dashboards kunnen gevuld zijn, maar dat betekent nog niet dat je zicht hebt op de juiste risico’s. Zonder duidelijke use cases en doelen ontstaat ruis in plaats van inzicht. Monitoring wordt dan een vinkje, terwijl het juist een middel zou moeten zijn om risico’s beter te begrijpen en sneller te reageren.

Security is niet van de CISO, maar van de hele organisatie

Een andere bron van schijnzekerheid is het idee dat security ‘geregeld’ is zodra er een CISO of IT-team op zit. Theo is daar duidelijk over: verantwoordelijkheid ligt niet op één plek.

In een volwassen organisatie ligt eigenaarschap in de lijn. Afdelingshoofden en management zijn net zo verantwoordelijk voor security als IT. Pas als die verantwoordelijkheid breed wordt gedragen, ontstaat er echt grip op risico’s. Anders blijft security iets dat naast de organisatie bestaat, in plaats van onderdeel ervan te zijn.

Een aanvaller hoeft het maar één keer goed te doen

Zelfs als processen, governance en tooling op orde zijn, blijft er een ongemakkelijke realiteit. “Een aanvaller hoeft het maar één keer goed te doen. Wij moeten het altijd goed doen.”

Dat zie je terug in de toenemende snelheid waarmee kwetsbaarheden worden misbruikt. Als een organisatie niet in staat is om snel te patchen of te reageren op nieuwe dreigingen, ontstaat er direct risico. Weerbaarheid zit dus niet alleen in wat je hebt ingericht, maar ook in hoe snel je kan handelen. Perfecte controle bestaat niet.

“Ik wil bestuurders een eerlijk beeld geven, niet een geruststellend verhaal”

Die realiteit maakt het meten van cyberweerbaarheid lastig. Theo zoekt naar manieren om bestuurders een objectief beeld te geven, maar merkt dat bestaande metrics tekortschieten. “Certificeringen zeggen iets over processen, maar niet of je echt digitaal weerbaar bent.”

Het gaat hem niet om aantallen uitgevoerde controles of gemelde incidenten, maar om de vraag of risico’s daadwerkelijk onder controle zijn. Dat maakt meetbaarheid complex. Binnen de CISO-community is het een terugkerend thema, maar een eenduidige aanpak ontbreekt nog. Tot die tijd blijft het zoeken naar manieren om inzicht te combineren met gezond verstand.

Het interview met Theo maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.

Download het rapport

Artikel delen
Tags
Labels: