Marianne Schinkel: “Security moet frustratie wegnemen, niet toevoegen”
“Je kunt hele hoge hekken bouwen, maar mensen vinden altijd een olifantenpaadje.” Die ene zin vat het gesprek met Marianne Schinkel goed samen. Security faalt zelden door gebrek aan beleid of techniek, maar vaak door menselijk gedrag. En precies daar ligt volgens haar de sleutel tot echte innovatie in security.
In dit interview vertelt Marianne waarom innovatie minder gaat over nieuwe tools en meer over hoe je security organiseert, uitlegt en laat landen in de dagelijkse praktijk. Haar perspectief past naadloos binnen het bredere onderzoek naar cyberweerbaarheid, waarin de menselijke factor steeds weer doorslaggevend blijkt.
Over Marianne Schinkel
Huidige rol: Interim CISO & eigenaar van Smartbit Security
Achtergrond: Marianne Schinkel werkt(e) in senior securityrollen bij grote organisaties zoals Essent, ANWB en Jumbo. Ze werkt aan strategie en roadmap ontwikkeling en uitvoer, en coacht security collega’s. Ze is gespecialiseerd in het opzetten van securityorganisaties op schaal, met oog voor menselijk gedrag, governance en draagvlak.
Innovatie is minder toevoegen, meer weglaten
Voor Marianne zit innovatie niet in méér regels of strengere controles. Integendeel. Ze pleit voor security die zo doelgericht en eenvoudig mogelijk is. “Ik ben een groot voorstander van pragmatische security,” zegt ze. Niet omdat security minder belangrijk zou zijn, maar omdat overmaat het effect ondermijnt.
Wanneer securitymaatregelen te veel stappen, uitzonderingen of vertraging opleveren, ontstaat frictie. En frictie leidt bijna altijd tot ontwijkgedrag. Mensen gaan zoeken naar snellere manieren om hun werk gedaan te krijgen. Dat kan betekenen dat ze regels negeren, alternatieve tools gebruiken of informatie buiten de organisatie om delen.
Gedrag laat zich niet afdwingen
Een belangrijk terugkerend thema in het gesprek is gedrag. Marianne benadrukt dat gedragsverandering niet ontstaat door instructies alleen. “Als je een bepaalde gedragsverandering wilt creëren, moet je eerst een bepaalde intentie creëren,” legt ze uit. Die intentie wordt beïnvloed door verschillende factoren.
Hoe druk iemand is. Hoe technisch iemand is. Of iemand begrijpt waarom een maatregel bestaat. Maar ook hoe er binnen de organisatie over security wordt gesproken. Welke normen gelden er? Spreken collega’s elkaar aan op gedrag, of juist niet? En vooral: wat laten leiders zien in hun eigen handelen? In omgevingen waar snelheid en autonomie centraal staan, vraagt dat om een andere aanpak dan in sterk gereguleerde contexten. Leiderschap speelt daarin een bepalende rol, omdat voorbeeldgedrag en expliciete keuzes bepalen welk gedrag uiteindelijk normaal wordt.
“Je kunt hele hoge hekken bouwen, maar mensen vinden altijd een olifantenpaadje.”
Marianne Schinkel
Security die geen rekening houdt met die verschillen, loopt vast. Innovatie betekent hier niet uniformiteit, maar differentiatie. Niet iedereen dezelfde boodschap, maar dezelfde bedoeling, vertaald naar verschillende doelgroepen.
Als de boodschap versnipperd raakt, gebeurt er niets
Een van de grootste valkuilen die Marianne ziet, is inconsistentie. Beleid wordt opgesteld, maar vervolgens op verschillende manieren uitgelegd. Security zegt het ene, IT het andere en management zwijgt of spreekt zich niet duidelijk uit.
Marianne trekt in dit verband een parallel met marketing. Gedragsverandering vraagt immers om dezelfde principes: een herkenbaar verhaal, herhaling en duidelijke doelgroepkeuzes. Volgens haar proberen securityteams dit vaak zelf uit te vinden, terwijl marketing al jaren weet hoe je mensen in beweging krijgt. Zolang security vanuit meerdere hoeken losse boodschappen zendt, zonder gezamenlijke storyline, ontstaat ruis. En ruis leidt tot stilstand. Juist door communicatie centraal te organiseren en bewust te werken met één consistent verhaal, vergroot je de kans dat beleid ook daadwerkelijk gedrag wordt.
Je kan het mooiste beleid hebben, maar als de boodschap niet niet consistent is, dan zeggen mensen: deze persoon zegt dit en die persoon zegt dat, dus dan hoef ik het allebei niet te doen. In zo’n situatie verdwijnt eigenaarschap. Medewerkers weten niet meer wat echt belangrijk is en kiezen hun eigen interpretatie. Innovatie stokt, niet door gebrek aan plannen, maar door gebrek aan samenhang.
Security is een organisatievraagstuk
Volgens Marianne werkt security alleen als het wordt gezien als een gedeelde verantwoordelijkheid. Niet als iets van de CISO, en ook niet uitsluitend van IT. “Security is een cultuurding,” stelt ze. “Het moet net zo vanzelfsprekend worden als veiligheid in het dagelijks leven.”
Ze gebruikt graag het voorbeeld van de skihelm in Italië. Ooit was die onwennig en voelde hij als overdreven, maar inmiddels wordt het dragen ervan als normaal ervaren. Lange tijd was er alleen regelgeving voor kinderen, en mondjesmaat gingen steeds meer volwassenen er ook één dragen. Veel van hen zijn er natuurlijk mee opgegroeid en zo is het gedrag ingebed. De verplichting die sinds 1 november 2025 geldt, bevestigt vooral wat al praktijk was. Volgens Marianne laat dit zien dat gedragsverandering niet begint bij regels, maar bij herhaling, voorbeeldgedrag en sociale normen die zich over tijd vormen.
Volgens Marianne laat dat zien dat gedragsverandering vaak pas echt op gang komt wanneer incidenten, voorbeeldgedrag en formele afspraken samenkomen. Regels alleen zijn niet genoeg, maar zonder duidelijke norm gebeurt er ook weinig. Dat geldt volgens haar net zo goed voor security: pas wanneer leiders expliciet laten zien dat veilig werken vanzelfsprekend is, ontstaat gedrag dat blijft.“Security moet net zo normaal worden als een skihelm.”
Volwassenheid bepaalt de vorm
Een ander belangrijk inzicht is dat er geen universeel model bestaat voor een securityorganisatie. Wat werkt, hangt af van de volwassenheid van de organisatie. In een vroege fase is centrale regie noodzakelijk om één verhaal te vertellen en versnippering te voorkomen.
Pas wanneer basisprocessen, verantwoordelijkheden en begrip zijn ingesleten, ontstaat ruimte om security dichter bij de business te organiseren. Met specialisten die de context kennen en een dialoog kunnen voeren over risico’s en keuzes. Te snel decentraliseren leidt volgens Marianne juist tot verwarring en inconsistentie.
Innovatie botst met structurele werkdruk
Hoewel nieuwe technologieën veel aandacht krijgen, is Marianne kritisch over de haalbaarheid daarvan in de praktijk. “We zijn nog zo veel bezig met basishygiëne,” zegt ze. “Als de discussie nog gaat over MFA aanzetten, dan is innovatie lastig.”
Daar komt bij dat securityteams structureel overvraagd zijn. De hoeveelheid werk overstijgt structureel de beschikbare capaciteit. Dat maakt scherpe keuzes noodzakelijk, maar zet ook druk op vernieuwing. Volgens Marianne helpt transparantie. Door prioriteiten expliciet te maken en de business te betrekken bij afwegingen, ontstaat begrip. Innovatie wordt dan geen extra belasting, maar een gezamenlijke keuze.
Conclusie: cyberweerbaarheid vraagt om eenvoud, consistentie en begrip
De visie van Marianne Schinkel laat zien dat cyberweerbaarheid minder gaat over nieuwe regels en meer over hoe security is ontworpen en ingebed. Organisaties die frictie verminderen, consistent communiceren en rekening houden met menselijk gedrag, bouwen aan duurzame weerbaarheid. Innovatie begint daarbij niet met technologie, maar met eenvoud en duidelijke keuzes.
“Security werkt pas echt als mensen het logisch en haalbaar vinden.”
Marianne schinkel
Het interview met Marianne maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
