“Ik heb een geweldig team van slimme mensen die helpen de druk van de ketel te halen”

Felix Speulman

12 mei 2026

Kay Behnke kwam zes jaar geleden bij het biofarmaceutische bedrijf Genmab, in zijn derde CISO-rol na NXP Semiconductors en FrieslandCampina, waar hij landde na aanpalende rollen in cybersecurity, risk en compliance. Zijn doctorstitel in Neurale Netwerken en Psycholinguïstiek heeft hem analytisch gevormd, maar hem er niet van weerhouden terug te keren naar zijn roots, de IT. “Ik realiseerde me tijdens mijn PhD-periode al dat ik geen wetenschapper in hart en nieren ben.”

Wat is jouw achtergrond?
“Ik heb informatica gestudeerd aan de Universiteit Erlangen-Neurenberg. Daar heb ik mijn master gedaan in informatica, met specialisatie in neurale netwerken. Na mijn studie was ik op zoek naar een baan in de medische informatica. Dat was toen heel moeilijk, en ik heb toen een promotieplaats op het Max-Planck-instituut in Nijmegen aangeboden gekregen nadat ik daar op een andere positie had gesolliciteerd. Het is het enige Max-Planck-instituut buiten de Duitse landsgrenzen, en gespecialiseerd in psycholinguïstiek, dus hoe mensen taal verwerven en verwerken. Ik heb onderzoek gedaan naar de acquisitie van klanken in de moedertaal door baby’s, en die gesimuleerd met een neuraal netwerk. Het was superleuk, terwijl ik oorspronkelijk nooit van plan was om een doctoraat te doen. Ik ben uiteindelijk aan de TU Twente gepromoveerd, maar realiseerde me al tijdens mijn PhD periode dat ik geen wetenschapper in hart en nieren ben.”

“Dus ben ik teruggekeerd naar mijn roots, de IT. Ik was een aantal jaren consultant bij een klein consultancybedrijf en heb in deze periode veel security projecten gedaan. Voor de overheid, de Belastingdienst, de Nederlandse politie maar ook in “pure” security consultant projecten voor verschillende bedrijven. Toen heb ik [in 2005] een baan aangenomen bij Philips als security service manager. En een jaar later kreeg ik de kans om een CISO-functie te vervullen bij NXP Semiconductors in Eindhoven. Al gauw, en zeker tijdens mijn tweede CISO-functie bij FrieslandCampina, realiseerde ik dat de CISO-rol gedegen kennis over kritische bedrijfsprocessen vereist. Toen heb ik de beslissing genomen om een MBA te doen, aan de Nyenrode Business University.”

CISO’s staan flink onder druk de laatste jaren. Het dreigingslandschap wordt er niet minder complex op. Je hebt natuurlijk ook zelf een zware verantwoordelijkheid om de organisatie veilig te houden. Hoe ga jij daarmee om?
“Een CISO heeft een 24/7 job. Ik heb een geweldig team van slimme mensen die helpen de druk van de ketel te halen. Dit team is cruciaal voor succes. Terwijl de kennis over business-processen superessentieel is, is het volgens mij ook nog steeds noodzakelijk om een solide IT-achtergrond te hebben. Dat helpt om bepaalde dingen goed te begrijpen. Uiteindelijk moet je de zaken om je heen goed organiseren en ook met je stakeholders de juiste afspraken maken.”

“Kijk, als er een groot incident is, wordt er natuurlijk meteen gekeken naar het security team. Mijn rol als CISO houdt in dat ik moet inspringen en ervoor moet zorgen om de impact voor de organisatie te beperken. Dat doe je niet alleen. Het helpt dus als je van tevoren hierover goede afspraken hebt gemaakt. Ik denk dat er nu ook voldoende begrip voor is dat, terwijl de CISO eindverantwoordelijk is voor information security, ook de bewustwording en hulp van de hele organisatie belangrijk zijn. Diegene die bijvoorbeeld verantwoordelijk is voor het businessproces speelt ook een heel belangrijke rol op dat gebied. Dat niveau van bewustwording is super belangrijk.”

“Bij Genmab is het security team vanaf het begin betrokken als er nieuwe projecten worden gestart”

“Je hebt CISO’s die heel adviserend zijn richting de business process owner. Veel securitybeslissingen liggen dan ook bij die business owner. Bij Genmab zijn wij als security team vanaf het begin betrokken als er nieuwe projecten worden gestart. Sinds ik hier werk, is het mijn focus om een security-organisatie te bouwen die onderdeel van bestaande processen is. Dat betekent ook dat je een team moet hebben dat groot genoeg is om alle vragen die op je afkomen te kunnen verwerken. Of je moet prioriteiten stellen. Maar spreiding van de verantwoordelijkheid is, denk ik, het juiste antwoord op je vraag.”

Welke technologische en maatschappelijke ontwikkelingen gaan volgens jou een stempel drukken op de rol van de CISO op middellange termijn?
“De afgelopen jaren hebben ransomware attacks als business model voor aanvalsgroepen een heel groot stempel gedrukt op de zichtbaarheid van cybersecurity. En niet voor niks staat het daardoor in de top drie van enterprise risicos. Waarbij ik ook steeds benadruk dat ik ook cybersecurity als een enterprise risico zie, onderdeel van enterprise risk management. In mijn optiek zijn wij dus onderdeel van het enterprise-risicolandschap binnen het bedrijf.”

“Dat neemt niet weg dat onze specialisatie voornamelijk op technologisch gebied ligt. Technologie is qua innovatie een drijvende kracht in bijna alle bedrijfstakken. Het internet heeft sowieso tot veel wijzigingen in businessmodellen en processen geleid die heden volledig afhankelijk zijn van informatietechnologie. Hierdoor heeft ook cybersecurity zijn rol gekregen.”

“Als je dan naar de toekomst kijkt, dan gaat AI een grote invloed hebben op toekomstige innovaties. Die ontwikkeling gaat steeds sneller worden en vereist ook een andere benadering – ook binnen de security-organisatie of de security-processen. In de biomedische sector ligt de focus op het maken van efficiëntere processen door middel van AI. Patiënten wachten op nieuwe behandelingsmogelijkheden, dus time is money, en de concurrentie is groot. Des te korter we de ontwikkeltijd van nieuwe medicatie kunnen maken, des te eerder kunnen we deze beschikbaar maken voor patiënten die op nieuwe behandelmethoden wachten.”

“Er zijn AI agents die op de achtergrond veel krachtiger zijn [dan LLM’s] om AI-taken uit te voeren. Daar heb je een governance omheen nodig zodat je de kikkers wél in de kruiwagen houdt. Maar ik zie ook de noodzaak dat wij kunnen experimenteren. Ik wil kijken wat het oplevert als agents met grote hoeveelheden data aan de slag gaan en analyses op een efficiëntere manier uitvoeren. Maar [het] misschien ook [uitvoeren] op een andere manier, waardoor ze ook tot nieuwe inzichten komen. Dat is natuurlijk op dit moment heel spannend; ik denk bij elk bedrijf. Waarbij wij de uitdaging hebben dat we het met gevoelige patiëntengegevens te maken hebben en we veel verschillende regelgevingen in acht moeten nemen.”

“Ik denk dat er nu voldoende begrip voor is dat, terwijl de CISO eindverantwoordelijk is voor information security, ook de bewustwording en hulp van de hele organisatie belangrijk zijn”

“Daarnaast, op geopolitiek vlak, is digitale soevereiniteit natuurlijk belangrijk, wat ik niet zozeer als een puur cyber- of information security-aspect zie, maar meer als een business continuity-aspect, vanuit een enterprise-risico bekeken. En bedrijven gaan daar ook verschillend mee om.”

“En ten slotte… iedereen kijkt zo’n beetje de kat uit de boom wat kwantumtechnologie nu kan. Het kan een opportunity zijn, maar ook een threat. Dus [je neemt] maatregelen om alvast quantum-proof te zijn voordat de eerste kwantumcomputers op de markt komen.”

Wat draag je verder nog bij aan de maatschappij?
“Ik was vroeger heel actief in [een aantal] ISAC’s van de Nederlandse overheid, maar daarbij ben ik nu niet meer betrokken. We zijn een internationaal bedrijf met het hoofdkantoor in Denemarken. We hebben daar ook een netwerk binnen de medische sector, die in Denemarken vrij groot is. Er bestaat zoiets als de ‘Med Valley’ in Kopenhagen, met een aantal Deense bedrijven die samenwerken, ook op het gebied van cybersecurity.”

“Daarnaast ben ik nogal geëngageerd in een organisatie die erop gericht is CIO’s en CISO’s samen te brengen. Daar ben ik een van de co-chairs. Mijn rol is input te geven aan de inhoudelijke agenda, regelmatig bij te dragen aan panel-discussies en aan het geven van presentaties. Daarnaast is Genmab lid van de Health-ISAC en van het Information Security Forum. Ik beschouw het als super belangrijk om in ons vakgebied een goed netwerk te onderhouden, niet alleen voor mezelf maar voor het hele team.”

Wat vind je van de andere kandidaten?
“Ik ken eigenlijk alleen Wim Sonnemans goed. In mij tijd als consultant heb ik met hem in een project bij de Nederlandse politie samengewerkt. En omdat wij beide bij grote multinationals werkten, kwamen wij elkaar vaker tegen. Wim was vroeger security-architect; op dat gebied heeft hij een super gedegen achtergrond. En wat ik aan hem ook waardeer, is dat hij heel uitgesproken is. Walter van Oostrum ken ik persoonlijk niet zo goed. Ik weet wel wat het CAK doet en ik hoop snel meer te leren over zijn werk. Ik weet zeker dat hij geweldig werk doet, anders was hij niet genomineerd. Ik vind het echt een eer om met hen samen genomineerd te zijn.”

Gerelateerde artikelen

Meer artikelen

“Ik vind het gaaf om de organisatie verder te helpen in volwassenheid en te zorgen dat we niet gehackt worden”

Walter van Oostrum is bijna vijf jaar CISO bij het CAK. Met zijn informele achtergrond en lange staat van dienst in IT, telecom, de consultancy en bij de overheid kun je hem een self-made CISO noemen. Sinds kort is hij genomineerd voor de CISO of the Year Award. “Toen ik in 1992 in de IT begon, was security eigenlijk helemaal geen ding.”

“Niet iedere nieuwe ontwikkeling is een revolutie”

Wim Sonnemans is een kleine drie jaar CISO bij Philips. Daar keerde hij terug na een aantal jaren als IT-security manager bij ASML. Zijn niet-technische achtergrond maakt hem tot een unieke waarnemer. “Juist in informatiebeveiliging, waar er zo veel invalshoeken zijn, kun je gemakkelijk verdwalen in details en bijzaken.”

Felix Speulman

Gerelateerde artikelen

“Ik vind het gaaf om de organisatie verder te helpen in volwassenheid en te zorgen dat we niet gehackt worden”

“Niet iedere nieuwe ontwikkeling is een revolutie”

Artikelen

Programma’s

Overig

ITexecutive