Added some NIS 2 info, small changes in folder structure

2026-05-26 09:52:24 +02:00 · 2026-05-26 09:52:24 +02:00 · f9ed01cdea
commit f9ed01cdea
parent 0cabbc383f
25 changed files with 576 additions and 116 deletions
--- a/Leadership/s01p01en
+++ b/Leadership/s01p01en
@ -0,0 +1,24 @@
+`Posted on 13 May 2026 19:30 CEST to LinkedIn personal stream`
+# IT is not going to fix your security problem
+
+IT is not going to fix your security.
+
+Not because they don't want to. Not because they lack technical skills. But because essential parts of information security are out of scope for the IT department.
+
+Here’s what I see in practice:.
+- A website developer temporarily shares admin rights with an external consultant to troubleshoot an integration.
+- The account of the maintenance engineer that left the company last year is still being used. 
+- A sales agent in Brazil gets full access to the company’s CRM, despite operating under a different legal framework.
+
+Examples of non-trivial information security risks arising in day-to-day operations. They cannot be fixed by technical solutions. Why? Because they're management issues, not IT problems.
+
+Still, for most business initiatives the responsibility for information security is dumped on IT after the fact – like asking a constructor to oversee a renovation, while you're tearing down a load-bearing wall.
+
+Information won't be secure until senior senior leadership starts managing risks, by asking the right questions before decisions are made.
+
+Which questions are not being asked in your organization?
+
+
+— Security as an organizational challenge — post 1/3
+
+**#managingsecurity**
--- a/Leadership/s01p01nl
+++ b/Leadership/s01p01nl
@ -0,0 +1,18 @@
+`posted on 13 May 2026 10:30 CEST to LinkedIn personal stream`
+# De IT afdeling gaat jouw beveiliging niet op orde krijgen
+
+Niet omdat ze dat niet willen. Niet omdat ze technisch niet vaardig zijn. Maar omdat een belangrijk deel van informatiebeveiliging 'out of scope' is voor IT.
+
+Enkele voorbeelden uit de praktijk. De website beheerder deelt tijdelijk zijn beheersrechten met de externe consultant van het CRM systeem om problemen met de koppeling op te lossen. Er wordt nog steeds ingelogd op het account van de vorig jaar vertrokken onderhoudsmedewerker. De sales partner in Brazilië krijgt toegang tot het CRM systeem, maar is niet gehouden aan de GDPR.
+
+Voorbeelden van serieuze security risico's, die 'on the fly' gecreëerd worden, en die niet met technische middelen zijn op te lossen. Want het zijn geen IT problemen, maar managementvraagstukken.
+
+Toch wordt bij de meeste initiatieven de verantwoordelijkheid met terugwerkende kracht neergelegd bij de IT afdeling: zij moeten er voor zorgen dat het veilig blijft. Alsof je een aannemer opdracht geeft de verbouwing 'veilig' te doen, maar alvast zelf de muur tussen keuken en woonkamer verwijdert.
+
+Informatiebeveiliging gaat pas werken wanneer het management verantwoordelijkheid neemt en stuurt op risico's. Door vooraf de juiste vragen te stellen.
+
+Welke vragen worden in jouw organisatie niet gesteld?
+
+— Security als managementvraagstuk — post 1/3
+
+**#managingsecurity**
--- a/Leadership/s01p02en
+++ b/Leadership/s01p02en
@ -0,0 +1,25 @@
+`Posted on 14 May 2026 19:15 CEST to LinkedIn personal stream`
+# All security risks start with a decision
+
+Most information security risks don't start with a technical problem. They start with someone making a choice.
+
+The HR department gets the green light for implementing new software, without getting confirmation of the state of information security at the vendor's side. The employee deciding to use his private mail account with an online file conversion tool. The employee given access rights while they haven't been formally defined yet for her new function. The project that started without identifying the owner of the new data source.
+
+This is the blind spot of information security: daily decisions in organizations that are in constant flux, taken by employees that are not aware of the risks they are introducing.
+
+The most secure organizations are those, where leadership realizes that every decision touches on security, and you can't make information security the exclusive responsibility of IT.
+
+Strong security is achieved by integrating risk assessments in decision making, and integrating business processes and IT processes. Expensive tools and complex implementations are not required.
+
+Do you want some examples? Here are four simple initiatives:
+
+1) Create a standard information security questionnaire for Purchasing, to hand out to any proposed vendor. 
+2) Have HR check with IT on access rights when they're writing the new job profile – not when the new employee enters the door.
+3) Make risk analysis a mandatory part of each project plan.
+4) Debrief leaving employees on the tools they actually used and take proper care of transferring accounts and information.
+
+Don't just ask the question: "How will we make this a success?", but also ask: "How do we prevent things going wrong, and who owns that?"
+
+— Security as an organizational challenge — post 2/3
+
+**#managingsecurity**
--- a/Leadership/s01p02nl
+++ b/Leadership/s01p02nl
@ -0,0 +1,25 @@
+`posted on 18 May 2026 10:15 CEST to LinkedIn personal stream`
+# Een beveiligingsrisico begint met een beslissing
+
+De meeste beveiligingsrisico's beginnen niet met een technisch probleem. Ze beginnen met een beslissing.
+
+De afdeling HR die groen licht krijgt om een nieuwe tool aan te schaffen, zonder dat eerst is uitgezocht of de leverancier de beveiliging op orde heeft. De medewerker die met zijn privé account een online tool gebruikt om een bestand te converteren. De  medewerker die alvast toegangsrechten krijgt, terwijl die voor zijn nieuwe functie nog bepaald moeten worden. Het project dat opgestart wordt, zonder te bedenken wie eigenaar wordt van de nieuwe informatiestroom. 
+
+Dit is de blinde vlek van informatiebeveiliging: dagelijkse beslissingen in organisaties die continu in beweging zijn, genomen door mensen die zich niet bewust zijn van de risico's die ze creëren. 
+
+De veiligste organisaties zijn organisaties waarvan het management beseft, dat elke beslissing raakt aan veiligheid, en dat je informatiebeveiliging dus niet een exclusieve verantwoordelijkheid kunt maken van de IT afdeling.
+
+De beste beveiliging bereik je door risicoafweging te integreren in je besluitvorming, en je business processen te integreren met je IT processen. Kostbare tools en complexe implementaties zijn daarvoor geen vereiste. 
+
+Wil je voorbeelden? Hier zijn 4 eenvoudige ingrepen die geen grote investering vereisen:
+
+1) Maak voor Inkoop een standaard vragenlijst over beveiliging, voor iedere beoogde leverancier. 
+2) Laat HR al bij het opstellen van een nieuw functieprofiel overleggen met IT over de toegangsrechten die daarbij horen.
+3) Maak risicoanalyse een standaard onderdeel van ieder projectplan.
+4) Doe een debriefing met vertrekkende medewerkers over de tools die ze gebruikt hebben en zorg voor goede overdracht.
+
+Stel niet alleen de vraag: "hoe maken we dit tot een succes?", maar vraag ook: "Hoe voorkomen we dat het mis gaat, en wie is daarvoor verantwoordelijk?"
+
+— Security als managementvraagstuk — 2/3
+
+\#managingsecurity
--- a/Leadership/s01p03en
+++ b/Leadership/s01p03en
@ -0,0 +1,18 @@
+`Posted on 15 May 2026 19:30 CEST to LinkedIn personal stream`
+# Security isn't an IT problem, it's a management issue.
+
+That was the core of the previous two posts. The question remains: how to embed security in your organization?
+
+Individual measures help, but in an organization that keeps moving, they quickly fall short. People leave, ways of working change, new tools are introduced, laws and regulations evolve.
+
+You need to establish a management process that makes risks visible, assigns ownership, and allows for corrections. ISO 27001 provides a framework for exactly that.
+
+ISO 27001 doesn't have the best reputation: unnecessary bureaucracy, paperwork overload, 14 sign-offs for every change. That's unfair. It's a framework you can tailor to your organization. At its core: managing risks, assigning ownership, and continuous improvement. Robust enough for corporates, flexible enough for smaller organizations. And you can reap the benefits without pursuing certification.
+
+Ask yourself: how has my organization made sure that information security doesn't depend on one person, one moment, or one department?
+
+I'd be curious to hear how that's arranged in your organization. Feel free to send me a message if you'd like to compare notes.
+
+— Security as an organizational challenge — 3/3
+
+\#managingsecurity \#iso27001 \#resilience
--- a/managementvraagstuk.md
+++ b/managementvraagstuk.md
@ -0,0 +1,18 @@
+`posted on 19 May 2026 10:00 CEST to LinkedIn personal stream`
+# Security is geen IT-probleem, maar een managementvraagstuk.
+
+Dat was de kern van de vorige twee posts. De vraag blijft: hoe borg je security in je organisatie?
+
+Losse maatregelen helpen, maar in een organisatie die blijft bewegen, schieten ze al snel tekort. Mensen vertrekken, werkwijzen veranderen, nieuwe tools worden geïntroduceerd, wet- en regelgeving verandert.
+
+Je moet dus een managementproces inrichten dat risico's zichtbaar maakt, eigenaarschap belegt, en bijsturing mogelijk maakt. ISO 27001 biedt daarvoor een leidraad.
+
+ISO 27001 heeft niet bij iedereen een goede reputatie: overbodige bureaucratie, formulierencircus, 14 stempeltjes voor iedere verandering. Dat is onterecht. Het is een raamwerk dat je passend kunt maken op jouw organisatie. Met als kern het managen van risico's, eigenaarschap, en continue verbetering. Groot genoeg voor corporates, flexibel genoeg voor kleinere bedrijven. En de voordelen die het biedt kun je ook genieten zonder certificering.
+
+Stel jezelf de vraag: hoe is er in mijn organisatie voor gezorgd, dat informatiebeveiliging niet afhankelijk is van één persoon, één moment, of één afdeling?
+
+Ik ben benieuwd hoe dat in jouw organisatie geregeld is. Stuur me gerust een bericht als je van gedachten wilt wisselen.
+
+— Security als managementvraagstuk — 3/3
+
+\#managingsecurity \#iso27001 \#cyberweerbaarheid
--- a/Leadership/s01p04en
+++ b/Leadership/s01p04en
@ -0,0 +1,16 @@
+`posted on XX May 2026 XX:XX CEST to LinkedIn personal stream`
+# Good intentions don't scale
+
+Good intentions don't scale. 
+
+Information security often hinges on that one IT administrator who always asks a control question before committing a change. The power user that (MORE EXAMPLES WILL BE ADDED LATER) . And that's great — until they leave, change roles, or get overloaded. 
+
+You don't need more 'awareness' in your organization. You need a process that keeps working, even when people change, tools change, and regulations change. A process that makes risks visible, assigns ownership, and allows for correction before things go wrong. 
+
+This is where a security management framework like ISO 27001 can help. If you want, first strip it of all the extra baggage you don't need — but preserve its core: risk management, ownership, continuous improvement. Keep documentation at a bare minimum. Let people experience the security of a repeatable process and clear responsibilities. You can always build it up to a certifiable ISMS. Or not. 
+
+The real question isn't whether your current team is taking security seriously. It's whether your organization is still taking it seriously six months from now, when today's decisions are forgotten and the people who made them have moved on. That's resilience. 
+
+How does your organization make sure security holds up when people and circumstances change? I'm curious — feel free to send me a message.
+
+\#managingsecurity \#iso27001 
--- a/Leadership/s02p01nl
+++ b/Leadership/s02p01nl
@ -0,0 +1,17 @@
+`posted on 21 May 2026 10:03 CEST to LinkedIn personal stream`
+
+Als bestuurder wordt jij op 1 juli 2026 persoonlijk verantwoordelijk voor informatiebeveiliging.
+
+Als op 1 juli 2026 de Cyberbeveiligingswet (Cbw) in werking treedt, wordt jij persoonlijk verantwoordelijk voor informatiebeveiliging. In een paar posts leg ik uit wat dat voor jou en je organisatie betekent.
+
+De Nederlandse omzettingswet van de NIS 2 regulering eist dat bestuurders persoonlijk kunnen aantonen dat de informatiebeveiliging van hun organisatie op orde is.
+
+Elk bestuurslid moet kennis hebben van cybersecurityrisico's, moet de maatregelen die de organisatie neemt kunnen beoordelen, en moet dat binnen twee jaar aantoonbaar kunnen maken. Artikel 24 is daar helder over.
+
+De uitvoering mag je delegeren, net als de noodzakelijke technische kennis. Maar niet de bestuurlijke betrokkenheid en verantwoordelijkheid.
+
+Dat betekent dat je betrokken moet zijn bij de keuzes die op hoofdlijnen gemaakt worden, en dat je moet begrijpen waar het over gaat.
+
+In de komende vier posts geef ik de acht stappen die je als directie moet zetten om aan de Cbw te voldoen. Aan het eind heb je een concreet en direct uitvoerbaar stappenplan, en weet je wat er van jou als bestuurder verwacht wordt.
+
+— Cbw-compliance in 8 stappen — 1/5 \#managingsecurity \#Cbw \#NIS2
--- a/risicomanagement.md
+++ b/risicomanagement.md
@ -0,0 +1,15 @@
+# De Cbw vraagt om risicomanagement, niet om perfecte beveiliging
+
+De Cyberbeveiligingswet vraagt om risicomanagement, niet om perfecte beveiliging. 
+
+Als directeur hoef je geen verstand te hebben van firewalls, software-updates en encryptie. Wel moet je weten waar de risico's voor jouw organisatie liggen, en moet je aan kunnen tonen dat je stuurt op de beheersing van die risico's.
+
+Je handtekening zetten onder een lijst maatregelen van je IT-leverancier is niet voldoende: maatregelen zijn willekeurig, als ze niet gebaseerd zijn op een risicoanalyse. Mocht er iets mis gaan, dan moet je je keuzes kunnen verantwoorden. Je kunt je niet vrijpleiten door te wijzen naar een andere partij.
+
+De wet benoemt tien minimummaatregelen – van risicoanalyse en reactie op incidenten tot leveranciersmanagement en opleiding van medewerkers. Hoe die precies ingevuld worden zal per organisatie verschillen, maar de invulling moet gebaseerd zijn op een goede en complete risicoanalyse. De maatregelen moeten ook passen bij de organisatie, dus draagbaar en uitvoerbaar zijn. Dat is geen IT-kwestie, maar een managementbeslissing.
+
+De uitkomst van de Cbw is dat informatiebeveiliging niet langer 'een IT-feestje' is, maar een integraal onderdeel van de organisatiebesturing.
+
+In de volgende post de eerste vier stappen om dit in te richten.
+
+— Cbw-compliance in 8 stappen — 2/5 \#managingsecurity \#Cbw \#NIS2
--- a/Leadership/s02p03nl
+++ b/Leadership/s02p03nl
@ -0,0 +1,17 @@
+# Informatiebeveiliging als onderdeel van je organisatiebesturing — waar begin je?
+
+Informatiebeveiliging als onderdeel van je organisatiebesturing — waar begin je?
+
+Om als bestuurder te kunnen sturen op informatiebeveiliging, zorg je eerst voor inzicht in de huidige veiligheidssituatie, en zorg je dat de organisatie is voorbereid op het moment dat er toch iets misgaat. Daar gaan de eerste vier stappen over.
+
+Stap 1: Risicoanalyse — Identificeer de processen en systemen die kritiek voor je bedrijfsvoering. Wat kan er misgaan, hoe groot is de kans, en wat is de impact? Dit is geen vraag voor de IT-afdeling. Dit zijn vragen waarop de managers en senior medewerkers van de afdelingen een antwoord moeten hebben — van verkoop en productie tot inkoop en HR. Dit kun je in een paar gezamenlijke werksessies helder krijgen. 
+
+Stap 2: Gap-analyse — Bekijk de tien minimummaatregelen van art. 21 uit de Cyberbeveiligingswet (Cbw): risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie. Wat is er al, wat ontbreekt er, zijn de stukken nog actueel, wat moet je eerst aanpakken, gezien de risicoanalyse uit stap 1?
+
+Stap 3: Bedrijfscontinuïteit — Veel organisaties hebben een bedrijfscontinuïteitsplan. Maar bevat het ook scenario's voor de beschikbaarheid, vertrouwelijkheid en integriteit van IT- middelen en -diensten? Wat doe je als je systemen uitvallen door ransomware, of als een kritische leverancier wegvalt? Beschrijf scenario's voor de belangrijkste risico's en stel doelen voor de maximale hersteltijd.
+
+Stap 4: Incident response — Als er iets misgaat, moet er een plan liggen. Dan hoeft niemand in paniek te raken. Wie doet wat, wie communiceert naar klanten en belanghebbenden, wat is de meldingsplicht? Dat hoeft geen dik document te zijn — een paar pagina's volstaan. Maar het moet er wel zijn, en iedereen moet het kennen.
+
+Deze vier stappen zorgen voor inzicht en vertrouwen. In de volgende post de vier stappen die informatiebeveiliging compliant en aantoonbaar maken.
+
+— Cbw-compliance in 8 stappen — 3/5 \#managingsecurity \#Cbw \#NIS2
--- a/Leadership/s02p04nl
+++ b/Leadership/s02p04nl
@ -0,0 +1,17 @@
+# Informatiebeveiliging compliant en aantoonbaar maken — de laatste vier stappen.
+
+Informatiebeveiliging compliant en aantoonbaar maken — de laatste vier stappen.
+
+De eerste vier stappen gaven inzicht en voorbereiding. De volgende vier maken informatiebeveiliging aantoonbaar: naar je leveranciers, naar je klanten, en naar toezichthouders.
+
+Stap 5: Leveranciersmanagement — De Cbw verplicht je expliciet tot ketenverantwoordelijkheid. Je bent niet alleen verantwoordelijk voor je eigen beveiliging, maar ook voor wat je leveranciers doen met jouw data en systemen. Uit je risicoanalyse (stap 1) weet je wat de kritische systemen en diensten zijn. Breng het risicoprofiel van de leveranciers in kaart: hoe afhankelijk ben je van ze, welke toegang hebben ze tot je systemen, en wat hebben jullie contractueel vastgelegd over beveiliging? De stelregel is: de eisen die je aan je eigen beveiliging stelt, moet je ook stellen aan je leverancier.
+
+Stap 6: Bestuurstraining — Artikel 24 verplicht elk bestuurslid tot aantoonbare kennis van cybersecurityrisico's, maatregelen, en het op strategisch niveau kunnen voeren van het gesprek over beveiliging. Certificeringseisen moeten nog worden uitgewerkt, maar een training die de wettelijke leerdoelen afdekt en daar een schriftelijk bewijs van afgeeft, is vooralsnog de meest praktische invulling.
+
+Stap 7: Beveiligingsprofiel voor klanten — De vragen en eisen die jij aan leveranciers stelt (stap 5), zullen jouw klanten en opdrachtgevers ook aan jou gaan stellen. Het is raadzaam een standaarddocument op te stellen waarin je beleid en de belangrijkste maatregelen zijn samengevat. Dat is geen wettelijke eis, maar een praktische invulling die helpt je kansen bij klanten te vergroten en het verkoopproces versnelt.
+
+Stap 8: Borging in de organisatie — Voldoen aan de Cbw is geen eenmalig project, maar vraagt aantoonbare processen die zorgen dat de beveiliging actueel blijft. Benoem eigenaren voor de verschillende onderdelen en plan periodieke reviews. Die eigenaren hoeven geen technische kennis te hebben: ze zijn verantwoordelijk voor het proces, niet voor de inhoud. De eindverantwoordelijkheid ligt altijd bij de directie.
+
+"In de volgende post: Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht.
+
+— Cbw-compliance in 8 stappen — 4/5 \#managingsecurity \#Cbw \#NIS2
--- a/Leadership/s02p05nl
+++ b/Leadership/s02p05nl
@ -0,0 +1,15 @@
+# Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht
+
+Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht.
+
+De acht stappen in deze reeks leiden niet naar een oorkonde. Ze leiden naar een werkend systeem van risicomanagement dat je organisatie weerbaar houdt en waarmee je als bestuurder verantwoording kunt afleggen over de gemaakte keuzes.
+
+Gebruik de tien minimummaatregelen uit artikel 21 — risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie — daarom niet als checklist, maar als kader om bij te sturen in een omgeving waar processen, technologie, stakeholders en risico's continu veranderen.
+
+Als bestuurder hoef je niet op zoek naar zwakke plekken in de techniek. Wat je wél nodig hebt om de juiste beslissingen te nemen, is inzicht in het verband tussen bedrijfsrisico's en IT-maatregelen. Dat inzicht krijg je door je betrokkenheid bij de risicoanalyse uit stap 1. Hiermee kun je het gesprek over informatiebeveiliging naar bestuursniveau trekken.
+
+De Cbw vraagt niet om perfecte beveiliging — er zullen altijd risico's zijn. Waar het wel om gaat is dat je consistent blijft zoeken naar verbetering, zoals je dat als bestuurder gewend bent te doen.
+
+Als je wilt weten waar jouw organisatie staat, praat ik graag een uur met je.
+
+— Cbw-compliance in 8 stappen — 5/5 \#managingsecurity \#Cbw \#NIS2
--- a/Leadership/s02p06nl
+++ b/Leadership/s02p06nl
@ -0,0 +1,3 @@
+
+
+— Cbw-compliance in 8 stappen — 5/5 \#managingsecurity \#Cbw \#NIS2
--- a/marketing/Marketing
+++ b/marketing/Marketing
@ -0,0 +1,18 @@
+**Do you supply EU customers in vital sectors? They will send you this checklist.**
+
+The EU Cybersecurity Act (NIS2) is now being implemented across member states of the European Union. One of its core requirements: supply chain responsibility. Organizations that fall under the law are legally obligated to assess the security posture of their suppliers — and to contractually enforce minimum standards.
+
+That means if you supply to organizations in sectors that have been marked 'essential' or 'important' — like energy, healthcare, manufacturing, food, B2B IT services and cloud computing —, your customers will be asking you to demonstrate that your information security is in order. Not as a choice, but because the law requires them to. (full list of sectors [here](../../../../Corpus/Standards/NIS%202%20Cbw/NIS%202%20Scope.md))
+
+They will check for the minimum measures listed in Art. 21(2):
+
+- risk analysis, incident response procedures, and business continuity plans, covering cyber scenarios;
+- management of effectiveness of cybersecurity measures;
+- supply chain security and security in network and information systems acquisition;
+- training of personnel and HR security;
+- access control policies and asset management;
+- cryptography, encryption, and the use of multi-factor authentication.
+
+You don't need to be certified. But you do need to be able to answer these questions — on paper, not just in your head. Have your answers ready!
+
+You can find an interactive checklist [[on our site]]. If the checklist raises any questions on how to continue, I'm happy to spend an hour with you.
--- a/werk/agent-instructie.md
+++ b/werk/agent-instructie.md
@ -0,0 +1,75 @@
+# Agent Instructie: LinkedIn Contentbegeleiding voor Richard
+
+## Rol
+Je bent adviseur en copywriter. Je helpt Richard met het schrijven van LinkedIn-posts die zijn kennis en ervaring op het gebied van informatieveiligheid, privacy en security management zichtbaar maken. Het doel is dat mensen uit zijn netwerk — en nieuwe contacten — gaan denken: *"We hebben nog werk liggen op dit gebied, laten we Richard eens polsen."*
+
+## Werkwijze
+
+### Sessieritme
+- Elke zondag kiest Richard een thema voor de komende week
+- Per thema werk je een serie van **drie posts** uit
+- Je levert opzetjes — geen volledig uitgewerkte posts. Richard werkt ze zelf verder uit.
+
+### Vaste spanningsboog per serie
+
+**Post 1 — Prikkel**
+Een herkenbare situatie of spanning die de lezer even doet stilstaan. Niet beschuldigend, maar herkenbaar — de lezer moet denken: "dit ken ik." Doel: herkenning wekken, niet confronteren.
+
+**Post 2 — Perspectief**
+Laat zien hoe het er anders uitziet vanuit een andere hoek. Gebruik een praktijkvoorbeeld of concrete vertaling. De toon is: "ik herken jullie worsteling, en ik zie ook een andere weg." Geen abstracte theorie — één herkenbare situatie. Doel: "zo had ik er nog niet naar gekeken."
+
+**Post 3 — Handvat**
+Closure. De lezer krijgt iets concreets mee: één conclusie of één vraag die hij zichzelf kan stellen. De toon is: "dit kun jij ook doen, en als je wil help ik je daarbij." Dit is ook waar de sluiter komt die uitnodigt tot contact.
+
+### Belangrijk: elke post staat op zichzelf
+Niet iedereen ziet alle drie de posts. Elke post moet zelfstandig kloppen, maar wie alle drie leest krijgt een volledig verhaal.
+
+## Tone of voice
+- Direct en nuchter, maar niet confronterend
+- Empathisch: de lezer voelt zich begrepen, niet aangesproken op fouten
+- De grondhouding is: "ik zie jullie worsteling, ik heb dit eerder opgelost, ik help je graag"
+- Geen jargon — tenzij het doel is jargon te vertalen naar normaal Nederlands
+- Niet corporate
+- Geen bevestigingen of bemoedigingen richting Richard
+- Opbouwende kritiek waar nodig
+
+**Wat te vermijden in posts:**
+- Toon die impliceert dat de lezer het fout doet
+- Zinnen die klinken als "de meeste organisaties begrijpen het niet"
+- Conclusies die de lezer buiten het verhaal plaatsen in plaats van erin
+
+## Afsluiting van posts
+Eindig Post 3 altijd met een sluiter die uitnodigt tot contact — maar nooit als "bedelen om werk". Gebruik een van deze drie vormen:
+- *"Herken je dit in jouw organisatie?"*
+- *"Ik ben benieuwd hoe dit bij jullie belegd is."*
+- *"Wat zie jij als grootste obstakel hierin?"*
+
+Nooit eindigen met "neem contact op" of "stuur me een bericht als je hier meer over wil weten."
+
+## Themalijst (geplande volgorde is flexibel)
+
+**Generiek/strategisch**
+1. Security is geen IT-probleem *(uitgewerkt)*
+2. Wat een certificaat wel en niet zegt
+3. Waarom compliance-trajecten mislukken
+4. NIS2, Cbw en ISO 27001
+5. Risicomanagement zonder jargon
+
+**Implementatie/praktijk**
+6. Hoe je een normenkader laat landen buiten de IT-afdeling
+7. Wat een goede audit je oplevert — en wat niet
+8. Leveranciersmanagement als onderschat risico
+9. Wat HR te maken heeft met informatieveiligheid
+10. Cyberweerbaarheid, hoe bouw je dat?
+11. Hoe starten met ISO 27001
+
+**Controls-serie** *(langere reeks, per bedrijfsproces)*
+10. ISO 27001 controls in HR-processen
+11. ISO 27001 controls in inkoop
+12. ISO 27001 controls in projectmanagement
+
+## Wat je niet doet
+- Geen volledig uitgewerkte posts schrijven tenzij Richard daarom vraagt
+- Geen generieke "ISO 27001 is belangrijk"-content
+- Niet te technisch of te gedetailleerd — een business manager moet denken: "deze vent begrijpt het"
+- Geen aanmoedigingen of complimenten over Richards input
--- a/werk/richard-context.md
+++ b/werk/richard-context.md
@ -0,0 +1,63 @@
+# Achtergrond en Context: Richard
+
+## Professionele achtergrond
+
+- **30 jaar ervaring** in het IT-domein
+- Geen techneut, maar met diep inhoudelijk begrip van IT-processen en -technieken
+- Sinds **2017 gespecialiseerd** in security en privacy management
+- Rollen: project- en programmamanager bij implementaties; begeleider van reorganisaties; ervaring op bestuursniveau en in governance
+
+### Specialisaties
+- Implementaties van business software en bijbehorende bedrijfs- en beheerprocessen
+- Implementaties en audits van normenkaders: **GDPR, ISO 27001, NEN 7510**
+- Begeleiding van reorganisaties
+- Security en privacy management
+
+## Doelgroep en markt
+
+- **Primaire focus:** MKB, 50–500 medewerkers
+- **Branches met ervaring:** print media, zorg (ziekenhuizen, GGZ, ouderenzorg, kinderopvang), fabrieken (voedseladditieven, drukkerijen), softwareontwikkeling, MSP's, cultuurorganisaties
+- **Grootste impact tot nu toe:** zorgsector
+- **Gewenste groei:** meer werk in software en MSP-branche
+
+## Onderscheidend vermogen
+
+Richard haalt security en privacy **uit de IT-hoek** en maakt er een **integrale managementverantwoordelijkheid** van. Hij verankert normenkaders in de lijn — HR, inkoop, projectmanagement — en activeert niet-technisch personeel op de thema's security en privacy.
+
+**Kern van zijn aanpak:**
+Organisaties denken dat hun compliance-probleem op de IT-afdeling opgelost moet worden. Richard lost een managementvraagstuk op.
+
+**Wat hij in de zorg anders deed:**
+Informatieveiligheid en risicomanagement op een natuurlijke manier geïntegreerd in ondersteunende processen (HR, inkoop, projectmanagement), en niet-technisch personeel geactiveerd op deze thema's.
+
+## Opvattingen en kritische standpunten
+
+1. **Te veel focus op controls, te weinig op risicomanagement.**
+   Normenkaders worden behandeld als checklists. De risicomanagementcyclus — het eigenlijke fundament — krijgt te weinig aandacht.
+
+2. **De misvatting dat normenkaders een administratief circus zijn zonder waarde.**
+   Tegelijk is Richard eerlijk: als een normenkader wél een circus is geworden, is die kritiek soms terecht. Dat zegt dan iets over de implementatie, niet over het kader.
+
+3. **De misvatting dat ISO 27001 heel complex is.**
+   Deze misvatting weerhoudt organisaties ervan te beginnen, en geeft consultants de ruimte er onnodig grote trajecten van te maken.
+
+4. **Een certificaat is een foto, geen film.**
+   Een ISO 27001-certificaat zegt iets over een moment in de tijd, niet over cultuur, gedrag of daadwerkelijke weerbaarheid.
+
+5. **Compliance zonder management buy-in is theater.**
+   Organisaties die certificering zien als eindbestemming missen het punt.
+
+## LinkedIn-netwerk
+- Omvangrijk Nederlands netwerk
+- Mix van IT-professionals, bestuurders en managers (exacte samenstelling niet gespecificeerd)
+- Doel: weer onder de aandacht komen bij bestaande contacten én nieuwe mensen bereiken
+
+## Voorkeuren voor content
+
+- **Toon:** direct en nuchter, maar niet confronterend
+- **Grondhouding in posts:** empathisch — de lezer voelt zich begrepen, niet bekritiseerd. "Ik zie jullie worsteling, ik heb dit eerder opgelost, ik help je graag."
+- **Niet corporate** tenzij expliciet gevraagd
+- Jargon alleen gebruiken om het te *vertalen* naar normaal Nederlands
+- Geen bevestiging of aanmoediging nodig — wel opbouwende kritiek
+- Voorkeur voor **opzetjes** die hij zelf verder uitwerkt
+- Posts moeten zelfstandig werken, maar als serie ook een verhaal vertellen
--- a/marketing/branding/Channels.md
+++ b/marketing/branding/Channels.md
@ -21,3 +21,15 @@ https://www.reddit.com/r/ycombinator/s/LScdyyPYCm
 ISACA
 NOREA

+## LinkedIn groepen
+[Information Security Network](https://www.linkedin.com/groups/80784/)
+[Information Security Community](https://www.linkedin.com/groups/38412/)
+Startup Specialists Network Group
+On Startups
+Executive Suite
+Small Business Network
+Cloud Computing
+Bestuurders Zorg en Welzijn
+Dutch Health Network
+
+
				`@ -0,0 +1,3 @@`


				`— Cbw-compliance in 8 stappen — 5/5 \#managingsecurity \#Cbw \#NIS2`