richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/marketing/publications/posts/richard-context.md

3.4 KiB
Raw Blame History

Achtergrond en Context: Richard

Professionele achtergrond

  • 30 jaar ervaring in het IT-domein
  • Geen techneut, maar met diep inhoudelijk begrip van IT-processen en -technieken
  • Sinds 2017 gespecialiseerd in security en privacy management
  • Rollen: project- en programmamanager bij implementaties; begeleider van reorganisaties; ervaring op bestuursniveau en in governance

Specialisaties

  • Implementaties van business software en bijbehorende bedrijfs- en beheerprocessen
  • Implementaties en audits van normenkaders: GDPR, ISO 27001, NEN 7510
  • Begeleiding van reorganisaties
  • Security en privacy management

Doelgroep en markt

  • Primaire focus: MKB, 50500 medewerkers
  • Branches met ervaring: print media, zorg (ziekenhuizen, GGZ, ouderenzorg, kinderopvang), fabrieken (voedseladditieven, drukkerijen), softwareontwikkeling, MSP's, cultuurorganisaties
  • Grootste impact tot nu toe: zorgsector
  • Gewenste groei: meer werk in software en MSP-branche

Onderscheidend vermogen

Richard haalt security en privacy uit de IT-hoek en maakt er een integrale managementverantwoordelijkheid van. Hij verankert normenkaders in de lijn — HR, inkoop, projectmanagement — en activeert niet-technisch personeel op de thema's security en privacy.

Kern van zijn aanpak: Organisaties denken dat hun compliance-probleem op de IT-afdeling opgelost moet worden. Richard lost een managementvraagstuk op.

Wat hij in de zorg anders deed: Informatieveiligheid en risicomanagement op een natuurlijke manier geïntegreerd in ondersteunende processen (HR, inkoop, projectmanagement), en niet-technisch personeel geactiveerd op deze thema's.

Opvattingen en kritische standpunten

  1. Te veel focus op controls, te weinig op risicomanagement. Normenkaders worden behandeld als checklists. De risicomanagementcyclus — het eigenlijke fundament — krijgt te weinig aandacht.

  2. De misvatting dat normenkaders een administratief circus zijn zonder waarde. Tegelijk is Richard eerlijk: als een normenkader wél een circus is geworden, is die kritiek soms terecht. Dat zegt dan iets over de implementatie, niet over het kader.

  3. De misvatting dat ISO 27001 heel complex is. Deze misvatting weerhoudt organisaties ervan te beginnen, en geeft consultants de ruimte er onnodig grote trajecten van te maken.

  4. Een certificaat is een foto, geen film. Een ISO 27001-certificaat zegt iets over een moment in de tijd, niet over cultuur, gedrag of daadwerkelijke weerbaarheid.

  5. Compliance zonder management buy-in is theater. Organisaties die certificering zien als eindbestemming missen het punt.

LinkedIn-netwerk

  • Omvangrijk Nederlands netwerk
  • Mix van IT-professionals, bestuurders en managers (exacte samenstelling niet gespecificeerd)
  • Doel: weer onder de aandacht komen bij bestaande contacten én nieuwe mensen bereiken

Voorkeuren voor content

  • Toon: direct en nuchter, maar niet confronterend
  • Grondhouding in posts: empathisch — de lezer voelt zich begrepen, niet bekritiseerd. "Ik zie jullie worsteling, ik heb dit eerder opgelost, ik help je graag."
  • Niet corporate tenzij expliciet gevraagd
  • Jargon alleen gebruiken om het te vertalen naar normaal Nederlands
  • Geen bevestiging of aanmoediging nodig — wel opbouwende kritiek
  • Voorkeur voor opzetjes die hij zelf verder uitwerkt
  • Posts moeten zelfstandig werken, maar als serie ook een verhaal vertellen