# Achtergrond en Context: Richard ## Professionele achtergrond - **30 jaar ervaring** in het IT-domein - Geen techneut, maar met diep inhoudelijk begrip van IT-processen en -technieken - Sinds **2017 gespecialiseerd** in security en privacy management - Rollen: project- en programmamanager bij implementaties; begeleider van reorganisaties; ervaring op bestuursniveau en in governance ### Specialisaties - Implementaties van business software en bijbehorende bedrijfs- en beheerprocessen - Implementaties en audits van normenkaders: **GDPR, ISO 27001, NEN 7510** - Begeleiding van reorganisaties - Security en privacy management ## Doelgroep en markt - **Primaire focus:** MKB, 50–500 medewerkers - **Branches met ervaring:** print media, zorg (ziekenhuizen, GGZ, ouderenzorg, kinderopvang), fabrieken (voedseladditieven, drukkerijen), softwareontwikkeling, MSP's, cultuurorganisaties - **Grootste impact tot nu toe:** zorgsector - **Gewenste groei:** meer werk in software en MSP-branche ## Onderscheidend vermogen Richard haalt security en privacy **uit de IT-hoek** en maakt er een **integrale managementverantwoordelijkheid** van. Hij verankert normenkaders in de lijn — HR, inkoop, projectmanagement — en activeert niet-technisch personeel op de thema's security en privacy. **Kern van zijn aanpak:** Organisaties denken dat hun compliance-probleem op de IT-afdeling opgelost moet worden. Richard lost een managementvraagstuk op. **Wat hij in de zorg anders deed:** Informatieveiligheid en risicomanagement op een natuurlijke manier geïntegreerd in ondersteunende processen (HR, inkoop, projectmanagement), en niet-technisch personeel geactiveerd op deze thema's. ## Opvattingen en kritische standpunten 1. **Te veel focus op controls, te weinig op risicomanagement.** Normenkaders worden behandeld als checklists. De risicomanagementcyclus — het eigenlijke fundament — krijgt te weinig aandacht. 2. **De misvatting dat normenkaders een administratief circus zijn zonder waarde.** Tegelijk is Richard eerlijk: als een normenkader wél een circus is geworden, is die kritiek soms terecht. Dat zegt dan iets over de implementatie, niet over het kader. 3. **De misvatting dat ISO 27001 heel complex is.** Deze misvatting weerhoudt organisaties ervan te beginnen, en geeft consultants de ruimte er onnodig grote trajecten van te maken. 4. **Een certificaat is een foto, geen film.** Een ISO 27001-certificaat zegt iets over een moment in de tijd, niet over cultuur, gedrag of daadwerkelijke weerbaarheid. 5. **Compliance zonder management buy-in is theater.** Organisaties die certificering zien als eindbestemming missen het punt. ## LinkedIn-netwerk - Omvangrijk Nederlands netwerk - Mix van IT-professionals, bestuurders en managers (exacte samenstelling niet gespecificeerd) - Doel: weer onder de aandacht komen bij bestaande contacten én nieuwe mensen bereiken ## Voorkeuren voor content - **Toon:** direct en nuchter, maar niet confronterend - **Grondhouding in posts:** empathisch — de lezer voelt zich begrepen, niet bekritiseerd. "Ik zie jullie worsteling, ik heb dit eerder opgelost, ik help je graag." - **Niet corporate** tenzij expliciet gevraagd - Jargon alleen gebruiken om het te *vertalen* naar normaal Nederlands - Geen bevestiging of aanmoediging nodig — wel opbouwende kritiek - Voorkeur voor **opzetjes** die hij zelf verder uitwerkt - Posts moeten zelfstandig werken, maar als serie ook een verhaal vertellen