Soevereiniteit vraagt geheugen

In het debat in de Tweede Kamer over de overname van Solvinity door Kyndryl en de gevolgen voor DigiD vielen zinnen van het kabinet op. Ze klinken op het eerste gezicht redelijk. ‘We willen de markt niet verstoren.’, ‘Er is nog geen volwaardig alternatief.’, ‘We kunnen geen Europese Google bouwen.’ of ‘De overheid mag bedrijven niet uitsluiten.’Het klinkt voorzichtig, juridisch zuiver en bestuurlijk beheerst. Maar historisch klopt het niet.

De dominante positie van Amerikaanse technologiebedrijven is namelijk niet het resultaat van spontane marktwerking alleen. Silicon Valley is gevormd in een periode waarin de Amerikaanse overheid technologie expliciet als strategisch instrument inzette. Na de Tweede Wereldoorlog werd technologische superioriteit gezien als voorwaarde voor nationale veiligheid. Het Department of Defense groeide uit tot de grootste technologie-inkoper ter wereld. Universiteiten kregen federale onderzoeksbudgetten. Startups ontvingen opdrachten. Risico’s werden door de staat gedragen. De overheid trad bewust op als eerste klant.Zij wachtte niet tot er een volwassen alternatief was. Zij creëerde het.

Podcast: Ik zal je leren: toxische werkomgevingen

Ik zal je leren! Is uw organisatie ziek?

In deze aflevering van Ik zal je leren schuift Brenno de Winter aan in het seizoensthema “wegkomen bij Big Tech”. Maar al snel gaat het gesprek verder dan tech alleen: Brenno legt uit waarom informatiebeveiliging nooit puur een technisch ding is, maar altijd het samenspel is van Regulering, Organisatie en Techniek (ROT). En precies daar wringt het vaak in organisaties: onduidelijke structuren, rollen en bevoegdheden maken securitywerk onuitvoerbaar, waarna de CISO alsnog de schuld krijgt, terwijl volgens wet- en regelgeving juist bestuurders eindverantwoordelijk zijn.

Podcast: CTRL-ALT-DEBATE over Soevereiniteit en DigiD

Ctrl Alt Debate: “DigiD in Nederlandse handen? Het kan gewoon, het is een politieke keuze

Wat als digitale veiligheid vooral een goed verteld verhaal is? En wat als het echte probleem niet ligt bij techniek, maar bij het níét maken van keuzes?

In deze aflevering schuift Brenno de Winter aan bij Harm Teunis en Astrid Oosenbrug. Brenno staat bekend om zijn scherpe blik op digitale veiligheid en zijn vaste uitgangspunt: wat is aantoonbaar waar en wat stelt ons vooral gerust?

Positionpaper rondetafelgesprek Tweede Kamer 27 januari 2026

De overname van Solvinity voor dienstverlening van Logius (position)

Dit document beschrijft de overname van Solvinity door Kyndryl en de betekenis voor dienstverlening van Logius. De focus is gericht op DigiD, maar ook wordt stilgestaan bij de berichtenbox, omdat hier veel communicatie tussen burger en overheid in wordt gefaciliteerd. U kunt dit document hier als pdf-bestand ophalen.

Managementsamenvatting

Deze position paper beschrijft hoe de voorgenomen overname van Solvinity door Kyndryl de strategische positie van vitale Nederlandse digitale overheidsvoorzieningen wezenlijk verandert, ondanks het feit dat de operationele dienstverlening op korte termijn intact blijft. Sinds 2020 levert Solvinity het infrastructuur- en hardwareplatform onder regie van Logius voor kernvoorzieningen zoals DigiD, MijnOverheid (inclusief de Berichtenbox) en Digipoort. De verantwoordelijkheid voor beleid, architectuur en dienstverlening ligt volledig bij de overheid, maar de technische continuïteit is afhankelijk van een private infrastructuurleverancier.

Fundamenten van informatiebeveiliging

Eindelijk is het zover. Mijn nieuwe boek is beschikbaar: Fundamenten van informatiebeveiliging.

Digitale veiligheid faalt zelden door een gebrek aan maatregelen, maar vaak door onduidelijke verantwoordelijkheden, een zwakke organisatiecultuur of het vergeten van de menselijke maat.

In Fundamenten van informatiebeveiliging breng ik die werelden samen: de harde kant van techniek en wetgeving, én de zachte kant van organisatie, leiderschap en gedrag.

Het boek laat zien hoe informatiebeveiliging echt kan slagen wanneer regulering, organisatie en techniek met elkaar in balans worden gebracht. Met praktische voorbeelden, lessen uit andere (meer volwassen) sectoren (zoals de luchtvaart) en direct toepasbare handvatten voor bestuurders, CISO’s en professionals.

Vergeet IT als verkiezingsthema: dat regelen ze in Brussel wel

De verkiezingen komen eraan en op sociale media buitelen de meningen over IT, AI en cybersecurity over elkaar heen. Maar wie de verkiezingsprogramma’s leest of kijkt naar de kandidatenlijsten, ziet het meteen: IT of digitale veiligheid is in Den Haag geen echt thema. Er staan amper mensen op verkiesbare plekken met verstand van IT, cybersecurity of data. Dus stem vooral op andere thema’s dan IT, de digitale hygiëne wordt voorlopig toch vooral in Brussel geregeld.

Dank aan de Digitale Dolle Mina's

Dank aan de Digitale Dolle Mina’s

De (Digitale Dolle Mina’s)[https://digitaledollemina.nl/] grijpen terug op een naam die in Nederland geschiedenis schreef. De Dolle Mina’s uit de jaren ’70 waren een feministische actiegroep die met zichtbaar en vasthoudend protest misstanden aankaartte en maatschappelijke verandering afdwong. Hun boodschap: neem vrouwen serieus, geef ze een stem, en leg pijnlijk bloot waar systemen falen. Die erfenis klinkt door in deze digitale variant: ook nu gaat het om zichtbaarheid, vasthoudendheid en het doorbreken van stilte.

Het belang van kritische evaluatie van technologieën om cybersecurity te versterken (podcast) - Eddy Willems

Eddy Willems in gesprek met Brenno de Winter, expert informatiebeveiliging en privacy.

In de nieuwste aflevering van de podcastserie ‘My Precious Data’ gaat Eddy Willems, Security Evangelist bij WAVCi, in gesprek met Brenno de Winter, een vooraanstaand expert op het gebied van informatiebeveiliging en privacy. Brenno is bekend om zijn diepgaande kennis en ervaring, onder andere door zijn betrokkenheid bij het kraken van de OV-chipkaart en zijn werk als Chief Security & Privacy Operations bij het Ministerie van Volksgezondheid, Welzijn en Sport in Nederland.

Iedere dag beter: maar nu echt

In een tijd van snel evoluerende digitale dreigingen is een cultuur van continu verbeteren cruciaal voor effectieve informatiebeveiliging. Bedrijven kunnen niet volstaan met een eenmalige risico-inventarisatie of een stapel beveiligingsbeleid; ze moeten hun processen voortdurend aanscherpen. De Plan-Do-Check-Act (PDCA)-cyclus – in het Nederlands vaak Plan, Do, Check, Act genoemd, ofwel Plannen, Uitvoeren, Controleren, Bijstellen – biedt een gestructureerde aanpak om dit te doen. Deze PDCA-cyclus vormt de kern van veel kwaliteits- en veiligheidsprogramma’s, en wordt expliciet aangeraden in normen als ISO 27001 voor informatiebeveiliging.

Holistisch veiligheidsdenken: meer dan alleen techniek

Cybersecurity staat in vrijwel elke organisatie hoog op de agenda. Toch blijven veel bedrijven­ kwetsbaar, omdat informatiebeveiliging niet altijd diep in de bedrijfsvoering verankerd is. Vaak worden maatregelen pas achteraf getroffen, bijvoorbeeld bij incidenten of onder druk van nieuwe wet- en ­ regelgeving. Tegelijker­ tijd zien we dat organisaties die wél een proactieve, holistische aanpak­ hanteren, minder vaak ernstige ­ problemen ervaren. In dit artikel laten we zien waarom een ­ integrale visie op ­ cybersecurity zo belangrijk is, waar het in de praktijk vaak misgaat en hoe bedrijven hun­ veiligheidsniveau duurzaam kunnen verhogen.