Naar nieuws overzicht
Wendy & Niek over SaaS, NIS2 en samenwerken aan échte verandering
Overheden en vitale organisaties staan voor een nieuwe digitale uitdaging: voldoen aan de Europese NIS2-richtlijn. Waar het vroeger voldoende was om ‘iets met IT-beveiliging’ te doen, vraagt deze wet om structurele grip op je hele digitale keten. En dat betekent: verandering. In systemen, processen én gedrag. Een wens die we bij BrightSourcing steeds vaker tegenkomen.
Bij Vitens, het grootste drinkwaterbedrijf van Nederland met zes miljoen klanten, zijn Wendy Polderdijk (senior-adviseur informatievoorziening) en Niek Huijsmans (zelfstandig informatieanalist) samen verantwoordelijk voor een cruciale stap in deze transitie: het in kaart brengen, opschonen en beheersbaar maken van het SaaS-landschap binnen de organisatie, oftewel alle Cloud-software die her en der door medewerkers worden gebruikt. Maar vooral ook: het creëren van bewustwording, want zoals Niek zegt: “De mens is en blijft de zwakste schakel in een goede beveiliging en daarom is bewustwording nodig. Dit niet zomaar een IT-project, het begint bij inzicht en cultuurverandering.”
De aanleiding: wildgroei aan software en nieuwe wetgeving
Wendy: “Onze medewerkers zijn innovatief en ondernemend. Als er SaaS-middelen beschikbaar zijn die mensen goed kunnen gebruiken en ze hebben een budget om die aan te schaffen, gebeurt dat vaak. Zeker de afgelopen jaren. Dat klinkt prima, maar met zo’n gefragmenteerd landschap verlies je het overzicht en wordt security veel moeilijker te managen. Daarnaast willen we als organisatie waar mogelijk gebruik maken van standaardapplicaties, om betrouwbaarheid te vergroten en de interne beheerlast te beperken. Goed inspelen op deze ontwikkelingen vraagt heel wat extra effort en kennis. We hebben sinds een half jaar Niek aan het team toegevoegd om ons hiermee te helpen,” vertelt Wendy.
Niek’s opdracht bleek geen bijzaak, want tegelijkertijd kwam de NIS2-wetgeving in beeld. Deze Europese richtlijn verplicht vitale organisaties om volledige controle te hebben over hun digitale keten. Waar staan je data? Wat doen je leveranciers ermee? Wat als een tool kwetsbaar blijkt? Alles moet aantoonbaar veilig zijn en daar hoort ook grip op je SaaS-gebruik bij.
“Er is wildgroei ontstaan,” zegt Wendy eerlijk. “Er was al iets ingericht, maar het moest strakker, inzichtelijker en efficiënter, zeker met de nieuwe wet. Anders zou onze compliance in gevaar komen.”
Niek: “Ik trof een veelheid aan tools en werkwijzen, weinig overzicht en een IT-organisatie die vaak haar verantwoordelijkheid niet nam over SaaS. Vitens dacht er eerst met een SaaS inventarisatie en een nieuwe aanpak te zijn. Dat snap ik, want zo denkt iedereen, maar in de praktijk, moet je de medewerkers meenemen in dat proces en laten inzien dat het beter kan – voor hen én voor het bedrijf. Dat is een veel bredere opdracht dan ze hadden gedacht. Gelukkig begreep Vitens snel dat dit nodig was, ze zijn hier flexibel. En omdat Bright ook altijd goed uitvraagt wat er nu precies nodig is, bleek al snel dat de opdracht verruimd kon worden. Wat ik ontzettend fijn vind en niet de standaard is, is dat ik hier weinig heilige huisjes vind en een grote bereidheid om mee te veranderen. Dat is al de helft van het werk.”
De aanpak: partnership, geen pleister
Wat deze opdracht volgens beiden bijzonder maakt, is de manier van samenwerken. “Ik werd niet als buitenstaander neergezet,” zegt Niek. “Ik draaide vanaf dag één mee in het team, zat bij overleggen, kreeg context. En dat is essentieel als je aan cultuur wil sleutelen, dan moet je weten wat er speelt.”
Wendy beaamt dat: “We hebben bewust gekozen om het niet als ‘klusje’ aan te vliegen. Twee keer per week schakelen we met elkaar. Soms inhoudelijk, soms over de samenwerking. Dat maakt dat je met elkaar leert, afstemt en bijstuurt. Uit eerdere opdrachten hebben we gemerkt dat dit cruciaal is voor het succes. Het werkt fijn voor ons, maar het is ook veel effectiever, om Niek volledig op te nemen in het team. Als ik andere bedrijven een tip mag geven, is het dit.”
Een belangrijk onderdeel van het project is: bewustwording. “We zijn niet alleen aan het inventariseren welke tools er zijn, maar ook met teams in gesprek: wat gebruik je, waarom, waar gaat de data naartoe?” zegt Niek. “Als je geen pleister wil plakken, maar het probleem echt aanpakt, hoort dat erbij. Gelukkig zag Vitens dit direct en kreeg ik die ruimte.”
Van inzicht naar eigenaarschap
De veranderingen bij Vitens beginnen effect te sorteren. Niet alleen in dashboards of processen, maar vooral in gedrag.
“Ik merk het aan de vragen die nu komen,” zegt Wendy. “Dan zegt iemand: ‘Is dit ook zo’n SaaS-ding?’ Dan weet je: het leeft.”
Ook Niek ziet het gebeuren. “Steeds vaker kloppen mensen proactief bij ons aan. Dat was een halfjaar geleden echt nog niet zo, de bewustwording over ieders verantwoordelijkheid om dit tot een succes te maken, groeit.”
Tegelijkertijd zijn ze realistisch: dit is geen project met een einddatum. “Het gaat langzaam. Twee stappen vooruit, één terug,” zegt Wendy. “Maar dat hoort bij cultuurverandering, dat doe je niet even. Het is ook niet in één beleidsdocument of intranet-bericht te vangen, het gaat om aanpassen, bijsturen en af en toe versnellen. Het moet gaan leven, dan zie je vooruitgang.”
IT als partner, niet als politieagent
Een grote uitdaging is het kantelen van het beeld van IT. Niek: “Veel mensen denken nog: IT is traag. IT zegt nee. IT doet moeilijk. Zo is het lang geweest, dus regelen ze het liever zelf, maar dat leidt tot risico’s. Het is aan ons om mensen op die risico’s te wijzen, maar ook om niet traag te zijn, moeilijk te doen of ‘nee’ te verkopen. Als je een goed alternatief kan bieden voor ‘zelf knutselen’, blijven mensen je hulp vragen.”
“We willen als IT-afdeling echt partner zijn,” vult Wendy aan. “Sneller kunnen leveren, meedenken en duidelijk maken dat onze vragen niet bedoeld zijn om dingen moeilijk te maken, maar om ze veilig en duurzaam te regelen.”
NIS2: compliance én kans
De Europese NIS2-wetgeving vormt een belangrijk extern momentum voor dit traject. “Het dwingt ons om dingen structureel beter te regelen,” zegt Wendy. “Waar staat je data? Bij welke leverancier? Wat gebeurt er bij een incident?”
Volgens Niek is dat niet alleen een verplichting, maar ook een kans. “NIS2 geeft je een stok achter de deur om dingen aan te kaarten die al langer schuurden. Het helpt om prioriteit te krijgen op onderwerpen die anders blijven liggen.”
En het heeft ook strategisch nut. “Door dit goed te organiseren, kunnen we straks sneller, slimmer en veiliger digitaliseren. Daar plukken we lang de vruchten van.”
Het geheim van de samenwerking met externen
Een ander opvallend aspect is de samenwerking tussen intern en extern. Wendy:
“We hebben geleerd van eerdere pogingen. Je moet als opdrachtgever investeren in de samenwerking. Niet alleen inhoudelijk, maar ook relationeel.”
Ze ziet dat als tweerichtingsverkeer. “Als je wilt dat iemand meedraait, geef die persoon dan ook toegang, informatie, vertrouwen. Niek heeft toegang tot ieder overleg, hoort waar mensen tegenaan lopen. Daardoor kan hij het ook echt goed doen.”
Niek beaamt dat die aanpak werkt: “De opdracht is inhoudelijk interessant, maar het zijn vooral de mensen die het verschil maken en de manier waarop ze met mij en elkaar omgaan. Ik heb vanaf dag één het gevoel gehad: hier kan ik echt iets betekenen.”
Wendy: “Ik ben daar wel trots op, als ik dat hoor. Het is niet vanzelfsprekend om een teamgevoel te creëren tussen internen en externen, zeker niet als je midden in een cultuurverandering zit.”
Wat andere organisaties kunnen leren
Wendy: “Een belangrijke les, vind ik: begin op tijd met communicatie. Niet alleen binnen je IT-afdeling, maar breed in je organisatie. Leg uit wat SaaS is, waarom het belangrijk is, wat de risico’s zijn. En herhaal het. Ik dacht soms te makkelijk: met een keer vertellen, ben je er wel, maar zo werkt het niet. Iedere medewerker is anders: de een onthoudt een hele presentatie, de ander speurt liever het intranet af. En weer een ander krijgt de informatie mee die verteld wordt bij de koffieautomaat. Door iedereen te bedienen en boodschappen te herhalen, zorg je ervoor dat ze iedereen bereiken. Een keer vertellen, is geen keer.”
Niek vult aan: “En richt je niet alleen op tools en processen. Die zijn belangrijk, maar de echte winst zit in eigenaarschap. Laat mensen zelf snappen waarom het ertoe doet, dan hoef je ze minder te controleren.”
Beiden zien het als een governance-vraagstuk — niet als een puur technisch probleem. “Het gaat over keuzes maken, verantwoordelijkheid nemen en samenwerken over afdelingen heen,” zegt Wendy. “Daar moet je ruimte voor maken.”
Kleine stappen, grote beweging
Beiden benadrukken: de verandering is niet spectaculair zichtbaar — maar des te belangrijker. “Het is niet één grote mijlpaal,” zegt Wendy. “Maar het feit dat mensen ons opzoeken met vragen, dat we steeds meer grip krijgen, en dat we straks aantoonbaar compliant zijn — dat is enorm waardevol.”
Niek: “SaaS, compliance en governance klinken abstract. Maar uiteindelijk gaat het over risico’s zien, samenwerken en over verantwoordelijkheid door oude patronen los te laten. Dat gaat ons hier bij Vitens absoluut lukken.”
Wendy: “We zijn dankzij Niek ontzettend op de goede weg. Het is niet makkelijk om de juiste persoon op de juiste positie te krijgen, dankzij BrightSourcing is dat goed gelukt.”
Niek: “Dat is voor mij ook fijn: bij Bright weten ze wat ik kan en wat ik interessant vind, een goede match is het halve werk en nu is het aan Wendy en mij om het af te maken!”
