Jeroen Prinse: “We moeten stoppen met het Excel-circus rond leveranciers”
“We moeten stoppen met het Excel-circus,” zegt Jeroen Prinse. “We sturen lijstjes rond, vullen vinkjes in, maar dat zegt niets over de échte veiligheid van een leverancier of een systeem.”
Jeroen ziet hoe regelgeving zoals NIS2 organisaties terecht aanzet om beter naar hun leveranciers te kijken, maar in de praktijk blijft het vaak bij papierwerk. Vragenlijsten worden ingevuld, audits afgevinkt, en daarmee lijkt de kous af.
Volgens hem schuilt dáár een van de grootste risico’s van dit moment: een schijnzekerheid die niets zegt over de echte weerbaarheid van de keten. “Security moet terug naar de inhoud,” zegt hij. “Niet meer meten op vinkjes, maar op vertrouwen en begrip.”
Over Jeroen Prinse
Huidige rol: Interim CISO
Achtergrond: Combineert bijna twintig jaar ervaring in overheid, finance en tech. Host van de podcast Reinvent Security, waarin hij met andere securityleiders praat over leiderschap, gedrag en innovatie in cybersecurity.
Van afvinken naar begrijpen
Leveranciersmanagement is al jaren een uitdaging, maar de druk neemt toe nu wetgeving zoals NIS2 en de aankomende Cyberbeveiligingswet strengere eisen stelt aan ketenbeveiliging. Veel organisaties worstelen ermee, merkt Jeroen.
“Heel veel bedrijven vervallen in een Excel-sheet-exercitie,” zegt hij. “Ze stellen vragen over interne beheersing, maar dat zegt niets over de producten en diensten die geleverd worden.”
Hij ziet het dagelijks: leveranciers vullen of een self assessment uit die de klant ze opstuurt (in een Excel) of ze leveren een ISO Certificaat op. Sommige klanten vragen om een verklaring van toepasselijkheid. Zowel de ISO als de self assessment in Excel zegt weinig over de veiligheid van een product of dienst. “Je kunt een assurance rapport hebben, maar als jouw SaaS-dienst vol kwetsbaarheden zit, heb je daar weinig aan.”
Voor Jeroen ligt de oplossing in de inhoud. Niet nog meer regels, maar gesprekken over technologie, processen en wederzijds begrip. “We moeten weten met wie we samenwerken, wat ze precies leveren en hoe dat in de praktijk veilig blijft.”
Security hoort bij de business
De rol van de CISO verandert snel. Waar de functie ooit op afstand stond van de organisatie, ziet Jeroen juist het belang van nabijheid. “Ik geloof niet in het ivoren-torenmodel,” zegt hij. “Security werkt het beste als het in de anderhalve lijn gepositioneerd is: dicht bij de business, maar met eigen expertise.”
Die aanpak vraagt om praktische ondersteuning in plaats van alleen beleid. Jeroen noemt voorbeelden als threat modeling-diensten of het integreren van securitychecks in CI/CD-pipelines. “Dat is enablement,” zegt hij. “Je stelt mensen in staat om veilig te ontwikkelen, in plaats van dat je ze vertelt wat ze niet mogen doen.”
Volgens hem vergroot dat ook het draagvlak. “Mensen willen best veilig werken, zolang je het maar mogelijk maakt. Je moet beleid vertalen naar iets wat ze kunnen gebruiken, niet alleen naar regels op papier.”
De risico’s van bewustzijn
Jeroen ziet dat sommige organisaties al een hoog veiligheidsbewustzijn hebben, maar dat dat niet altijd tot snelheid leidt. “In bedrijven met veel kennis ligt de risicotolerantie vaak lager. Men is zich bewust van de risico’s, maar daardoor wordt er ook minder snel een stap gezet.”
Hij vindt dat jammer, omdat weerbaarheid juist vraagt om beweging. “Je kunt veiligheid niet garanderen door stil te blijven staan. Bewustzijn is waardevol, maar het moet gepaard gaan met durf.”
Daarbij helpt een cultuur van nieuwsgierigheid. “Security begint met interesse,” zegt hij. “Vraag wat iemand wil doen met nieuwe technologie, waarom dat belangrijk is, en kijk dan samen hoe het veilig kan.”
Nieuwe technologie vraagt om voorbereiding
Over opkomende technologieën is Jeroen duidelijk: AI en quantum gaan security fundamenteel veranderen. “Quantum gaat een enorme impact hebben en we zijn er nog lang niet klaar voor,” zegt hij. “Je moet precies weten welke encryptie je gebruikt en waar, want oudere systemen zijn niet gebouwd met crypto agility in gedachten.”
Volgens hem is dat niet iets wat je volgend jaar even oplost. “Dit zijn meerjarige trajecten. Je moet nu al inzicht hebben in waar je staat, anders loop je straks achter de feiten aan.”
Ook bij AI ziet hij dezelfde tweeslachtigheid: het is zowel een risico als een hulpmiddel. “Aanvallers gebruiken AI om beter te worden, maar wij kunnen het net zo goed inzetten om nieuwe phishingcampagnes te detecteren.”
Conclusie: weerbaarheid vraagt om inhoud boven papier
Voor Jeroen draait cyberweerbaarheid om echte samenwerking, binnen organisaties én in de keten. De toekomst vraagt om minder papier en meer partnerschap. “We moeten stoppen met het Excel-circus,” zegt hij. “Weerbaarheid bereik je niet met vragenlijsten, maar met gesprekken over hoe het écht werkt.”
“Echte veiligheid begint bij nieuwsgierigheid – niet bij vinkjes.”
Jeroen Prinse
Het interview met Jeroen maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
