Robert Pennings: “We moeten stoppen met beleid schrijven dat niemand naleeft”
Voor Robert Pennings, Information Security Manager (ISO) bij Sana Commerce, is security geen papieren tijger. Hij ziet het te vaak: beleidsdocumenten die niemand leest, regels die frustreren en awarenesscampagnes die meer angst dan begrip zaaien. “We moeten stoppen met beleid schrijven dat niemand naleeft,” zegt hij.
In dit interview vertelt Robert hoe hij bij Sana een cultuur bouwt waarin medewerkers niet uit angst, maar uit inzicht veilig werken. En hoe automatisering en menselijkheid elkaar juist versterken – als je maar durft los te laten wat niet werkt.
Over Robert Pennings
Huidige rol: ISO bij Sana Commerce, waar hij verantwoordelijk is voor het wereldwijde informatiebeveiligingsbeleid. Hij coördineert een multidisciplinair team met security-ambassadeurs in verschillende landen en afdelingen, en stuurt op een pragmatische balans tussen techniek, beleid en werkbaarheid.
Achtergrond: Robert werkt al ruim achttien jaar bij Sana en heeft vrijwel elke rol in het bedrijf bekleed – van sales en accountmanagement tot legal en compliance. Die brede ervaring helpt hem security te vertalen naar de taal van de organisatie. Hij gelooft dat echte weerbaarheid ontstaat wanneer beveiliging niet wordt opgelegd, maar begrepen.
Van regels naar realiteit
Omdat Robert al achttien jaar bij Sana werkt kent hij het bedrijf van binnen en buiten. “Ik heb sales gedaan, accountmanagement, consultancy, legal, compliance… en nu security,” vertelt hij. “Dat helpt, want ik snap hoe onze mensen werken – en wat klanten belangrijk vinden.”
Die kennis vertaalt zich in een pragmatische aanpak. “Je kunt alles dichttimmeren met beleid, maar als mensen het niet snappen of niet kunnen uitvoeren, schiet je er niks mee op. Dan gaan ze wachtwoorden in notitieboekjes schrijven. En dan sla je de plank mis.”
“Bangmakerij werkt niet. Betrek mensen erbij, laat ze het zien, voelen, proeven. Alleen dan krijg je echte betrokkenheid bij security.”
Robert Pennings
Voor hem begint innovatie bij eerlijkheid: durven erkennen dat perfecte naleving niet bestaat. “Je kunt beter tien regels hebben die iedereen begrijpt, dan honderd regels waar niemand zich aan houdt.”
Automatiseren wat mensen vergeten
Om gedrag niet afhankelijk te maken van discipline, gebruikt Sana technologie om beveiliging af te dwingen. “Onze visie is er op gericht om zaken technisch af te dwingen,” zegt Robert. “Als iemand op een verdachte link klikt, grijpt het systeem in.”
Dat scheelt niet alleen fouten, maar ook frustratie. “Ik ben liever lui dan moe,” zegt hij lachend. “Als ik iets kan automatiseren, doe ik het. Dan kunnen collega’s zich focussen op hun werk, en is het tóch veilig geregeld.”
Security met humor
Robert weet dat bewustwording belangrijk blijft, maar hij kiest voor een luchtige aanpak. “We hebben securitytrainingen gemaakt die gewoon leuk zijn,” vertelt hij. “Grappig, herkenbaar, kort. Het moet niet saai worden.”
Speelsheid helpt om weerstand te verlagen. “Als mensen lachen, luisteren ze beter. En bij sales werkt het altijd als ik laat zien dat security en compliance juist helpen om deals te sluiten. Dan is iedereen ineens wél geïnteresseerd.”
Conclusie: weerbaarheid vraagt om werkbare security
Voor Robert begint cyberweerbaarheid niet bij nieuwe tools of certificeringen, maar bij realistische regels die mensen kunnen volgen. Beleid heeft pas waarde als het in de praktijk werkt – en als het gedrag ondersteunt in plaats van belemmert. Weerbaarheid betekent volgens hem voortdurend bijsturen: automatiseren waar het kan, en schrappen wat niet meer nodig is. Een risico van 5 jaar geleden vroeg misschien om bepaalde controls, maar de situatie is veranderd. Durf dan ook die controls los te laten of terug te schroeven.
“Je moet risico’s in kaart brengen op een manier die de organisatie begrijpt en bijstellen als de situatie of context verandert,” zegt hij. “Pas dan kun je beveiligen wat er echt toe doet.”
Het interview met Robert maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
