Thys te Poele: “Beleid is mooi, maar niemand leest het”
Bij gemeente Oost Gelre pakt CISO Thys te Poele cybersecurity anders aan dan de meeste organisaties. Niet vanuit beleid, maar vanuit gedrag. Zijn aanpak laat zien dat volwassenheid in security niet zit in papier, maar in de dagelijkse praktijk. “Iedereen schrijft beleid, maar bijna niemand leeft het,” zegt hij. “Het echte werk gebeurt in gesprekken, niet in documenten.”
Zijn visie is herkenbaar voor veel organisaties die worstelen met de vertaalslag van compliance naar cultuur. Wat hij laat zien, is dat innovatie in security niet altijd om nieuwe technologie gaat, maar om het continu blijven uitleggen van het ‘waarom’.
Elke week is “security week”
Bewustwording is volgens Thys geen campagne, maar een gewoonte. “We hebben hier wekelijkse awareness-trainingen met een spelelement,” vertelt hij. “Iedereen krijgt een paar korte vragen en kan punten verdienen. Het belangrijkste is niet of je het goed hebt, maar dat je erover nadenkt.” Die lichte competitie zorgt ervoor dat cybersecurity blijft leven in de organisatie. “Het wordt een onderwerp waar mensen over praten bij de koffieautomaat. En dat is precies wat je wilt.”
Ook in zijn communicatie blijft Thys dichtbij de werkvloer. Hij is zichtbaar, aanspreekbaar en legt steeds opnieuw uit waarom iets belangrijk is. “Continu uitleggen is de kern,” zegt hij. “Niet 1 keer per jaar bij een training, maar elke week, op elke afdeling. Dat kost tijd, maar het werkt.”
“Of je het goed hebt, maakt me niet uit. Zolang je erover nadenkt.”
Streng op techniek, soepel op mensen
Hoewel Thys veel nadruk legt op de menselijke kant, is hij technisch gezien allesbehalve laks. Zijn organisatie monitort voortdurend: binnen, buiten en tussen systemen. “We werken volledig volgens het zero-trust-principe. Alles wordt in de gaten gehouden. Als we iets raars zien, bellen we direct: lever je laptop in, je krijgt een nieuwe.” Daarmee voorkomt hij dat incidenten groter worden.
“We zijn streng op systemen, maar soepel op mensen. Niemand hoeft zich te schamen als er iets fout gaat; zolang je het maar meldt.” Die open houding zorgt ervoor dat medewerkers niet bang zijn om fouten te bespreken. “We willen dat mensen weten: als je iets ziet, zeg het gewoon. We lossen het samen op. Alleen dan leer je ervan.”
Van compliance naar verbetering
Audits zijn voor Thys een “noodzakelijk kwaad”, maar wél een nuttig kwaad. “Ze houden ons scherp,” zegt hij. “En doordat auditors overal komen, verspreiden ze kennis. Ze stellen vragen die ze bij andere organisaties hebben gezien, en daar leren wij weer van.”
In plaats van audits te zien als last, gebruikt Thys ze als spiegel. “Wie denkt dat alles goed geregeld is, stopt met verbeteren. Terwijl cybersecurity juist gaat over continu bijstellen. Je bent nooit klaar.” Hij stimuleert zijn team om elke audit te zien als kans om iets te leren, niet als verplicht nummer. “Een vinkje halen is leuk, maar begrijpen waarom iets beter kan, dat is de echte winst. Dat maakt je volwassen.”
“Zodra je denkt dat je veilig bent, ben je dat niet meer.”
Meer gesprek, minder beleid
Voor Thys is de grootste blinde vlek binnen veel organisaties het gebrek aan gesprek tussen IT en de rest van het bedrijf. “De werkvloer en de IT-afdeling praten te weinig met elkaar,” zegt hij. “De een wil productiviteit, de ander veiligheid maar ze begrijpen elkaar niet. En dan krijg je spanningen.” Hij ziet het als zijn rol om die werelden te verbinden. “Je hoeft elkaars werk niet volledig te begrijpen, maar je moet wél weten wat de ander belangrijk vindt. Alleen dan kan je samen risico’s slim aanpakken.”
Dat geldt volgens hem ook voor beleid. “Beleid is mooi, maar niemand leest het,” zegt hij droog. “Mensen onthouden verhalen, niet documenten. Daarom ga ik liever een halfuur in gesprek met een afdeling dan dat ik nog een beleidsversie schrijf. Zo blijft security iets wat leeft.”
Conclusie: cyberweerbaarheid vraagt om mensenwerk
Thys te Poele laat zien dat cyberweerbaarheid niet ontstaat door meer regels of dure tools, maar door gesprekken, discipline en zichtbaarheid. Zijn organisatie combineert wekelijkse bewustwording, strakke monitoring en een cultuur waarin fouten bespreekbaar zijn. Dat hij daar trots op is, steekt hij niet onder stoelen of banken. “Als mensen zélf over veiligheid beginnen, weet je dat je iets goed doet.”
Volgens Thys ligt de toekomst van cybersecurity niet in complexere technologie, maar in eenvoudiger menselijk gedrag. “Je hoeft niet alles perfect te hebben, als je maar begrijpt wat je doet en waarom. Dáár zit de echte weerbaarheid.”