Publiceren & Adverteren
“Niet iedere nieuwe ontwikkeling is een revolutie”

Felix Speulman

11 mei 2026
Start met lezen

Wim Sonnemans is een kleine drie jaar CISO bij Philips. Daar keerde hij terug na een aantal jaren als IT-security manager bij ASML en eerdere rollen als information security officer bij onder andere DSM en Marel. Zijn niet-technische achtergrond maakt hem tot een unieke waarnemer. “Juist in informatiebeveiliging, waar er zo veel invalshoeken zijn, kun je gemakkelijk verdwalen in details en bijzaken.” Sonnemans is onlangs genomineerd voor de CISO of the Year Award.

Wat is jouw achtergrond?
“Ik heb rechten gestudeerd en ben afgestudeerd in crypto-wetgeving en computercriminaliteit. Dat was in opkomst eind jaren negentig. Via een hoogleraar aan de Universiteit van Tilburg kwam ik in contact met de Centrale Recherche Informatiedienst, waar ik stage heb gelopen. Die stage leidde ertoe dat ik op gesprek mocht komen bij een zelfstandig bestuursorgaan van Binnenlandse Zaken, voor de vacature beleidsmedewerker cryptoregulering. Die regeling werd uiteindelijk helaas niet op EU-niveau doorgezet.”

“Toevallig zochten ze daar ook iemand om informatiebeveiliging op te pakken. Dat heb ik toen gedaan en nooit meer losgelaten. Het betrof een IT-organisatie voor de politie, brandweer en ambulance. Als net afgestudeerd rechtenstudent zat ik ineens tussen de IT’ers. Dat gaf in het begin aanpassingsproblemen, want ik wist op dat moment nog niet zo veel van IT. Maar doordat je er dagelijks middenin zit, leer je snel. Het heeft mij ook een uniek perspectief gegeven. Voor mij is IT een hulpmiddel. Ik kijk er meer vanuit de functionele kant naar, en daardoor vaak anders dan veel IT-specialisten.”

“Ik kan de vertaling naar de business goed maken. Ook al weet ik inmiddels veel van IT, ik blijf het zien als Legoblokken in één geheel. Technologie, processen en mensen moeten samenkomen in een optimale vorm. Die zienswijze heeft mij door mijn hele carrière geholpen. Juist in informatiebeveiliging, waar er zoveel invalshoeken zijn, kun je gemakkelijk verdwalen in details en bijzaken, terwijl het overzicht en de hoofdzaken essentieel zijn. Je verliest je in technologie en symptoombestrijding en vergeet het structureel meenemen van informatiebeveiliging in het bedrijfsproces en de organisatie.”

CISO’s staan flink onder druk de laatste jaren. Het dreigingslandschap wordt er niet minder complex op. Je hebt natuurlijk ook zelf een zware verantwoordelijkheid om de organisatie veilig te houden. Hoe ga jij daarmee om?
“Veranderingen zijn de norm en volgen elkaar steeds sneller op. Toch is het belangrijk elke verandering te zien voor wat die werkelijk is. Vaak blijken ze niet fundamenteel of revolutionair, maar varianten van iets dat we al kennen en weten te beveiligen. Dat betekent dat je team kan werken aan structurele verbeteringen die ook nieuwe ontwikkelingen kunnen absorberen. Zo voorkom je het rennen van de ene nieuwe tool naar de andere en kun jij, je team en de hele organisatie werken met meerjarige roadmaps en plannen.”

De kwaliteit van informatiebeveiliging hangt sterk samen met de kwaliteit van het beheer

“Uiteindelijk is informatiebeveiliging ook gewoon hard werken. Het vereist aandacht en discipline om de beschikbaarheid, integriteit en vertrouwelijkheid van data en systemen te waarborgen. De kwaliteit van informatiebeveiliging hangt sterk samen met de kwaliteit van het beheer. Daarom besteden wij veel aandacht aan het afstemmen met de business maar ook met de IT-beheersorganisatie, naast het implementeren van kernmaatregelen op het gebied van security.”

“De druk hoort bij de job. Je bent een waakhond, maar niet altijd degene die zelf implementeert. Wel wordt van je verwacht dat je organiseert dat maategelen worden uitgevoerd door verschillende delen van de organisatie. Dat vraagt om signaleren, communiceren en overtuigen, soms ook om autoriteit. De business kan vaak heel goed aangeven wat de impact is als er iets misgaat, maar heeft hulp nodig om te bepalen welke maatregelen noodzakelijk zijn in een specifieke situatie. Het is continu risk management: het landschap scannen, je eigen omgeving kennen, en samen met de business bepalen waar verbetering nodig is.”

Welke technologische of maatschappelijke ontwikkelingen gaan volgens jou een stempel drukken op de rol van de CISO op de middellange termijn?
“’The new kid on the block’ is natuurlijk AI. Ook hier is het belangrijk goed aan te geven wat echt nieuw is en wat vooral meer van hetzelfde. In zekere zin zijn LLM’s en agents gewoon nieuwe componenten in je landschap die beheerd, geconfigureerd, gepatcht en beschermd moeten worden tegen bijvoorbeeld inputmanipulatie en informatie exfiltratie.”

“Tegelijkertijd zijn er wezenlijke verschillen. Agents krijgen opdrachten zonder dat vooraf vastligt welke oplossingspaden mogelijk zijn. Ze werken niet taak- maar doelgericht. Dat noemt men met een moeilijk woord non-deterministisch. Deze eigenschap maakt het toekennen van de juiste permissies aan zo’n agent complex. Welke rechten geef je een agent om een probleem te verkennen zonder dat hij ongewenste acties kan uitvoeren of tot ongewenste oplossingen komt? Als je hem te weinig rechten geeft limiteer je wat hij kan, als je hem te veel rechten geeft, kan hij meer dan nodig is voor het bereiken van zijn doel. Dit is een revolutie en momenteel onderwerp van onderzoek.”

In zekere zin zijn LLM’s en agents gewoon nieuwe componenten in je landschap die beheerd, geconfigureerd, gepatcht en beschermd moeten worden”

“Een ander aandachtsgebied is agent-identiteit. In feite is een agent een nieuw lid van je organisatie, die binnenkomt, accounts en permissies krijgt en uiteindelijk ook de organisatie weer moet verlaten. Dit is een voorbeeld waar de verandering minder wezenlijk is dan gedacht. We hebben namelijk al identity- en access management voor mensen. Dezelfde principes en tools kunnen we grotendeels hergebruiken. Niet iedere nieuwe ontwikkeling is een revolutie, maar gewoon veel werk.”

Wat draag je verder bij aan de maatschappij?
“Ik ben secretaris van de CISO Circle of Trust, een Nederlandse stichting die onder andere door Philips is opgezet, samen met bedrijven als ASML en ABN AMRO. We komen met verschillende multinationals samen om van elkaar te leren, maar ook met de intentie om Nederland veiliger te maken. We zijn heel actief in publiek-private samenwerking met de Nederlandse overheid.”

“We houden regelmatig sessies waarbij we het bedrijfsleven en overheden uitnodigen om te sparren over actuele informatiebeveiligingsonderwerpen. Binnenkort hosten wij er één waarbij we ook CISO’s van andere bedrijven uitnodigen. Zo proberen we een dialoog op gang te brengen en te houden over hoe we informatiebeveiliging beter kunnen maken voor onze hele samenleving.”

Wat vind je van de andere twee kandidaten?
“Kay Behnke heeft ook bij Philips gewerkt. Ik ken hem al heel lang en we komen elkaar regelmatig tegen bij allerlei congressen en bijeenkomsten. Hij is heel doordacht, competent en zeer ervaren. Ja, gewoon een goede collega. Over Walter van Oostrum kan ik eerlijk gezegd weinig zeggen, daarvoor zijn we elkaar nog te weinig tegen het lijf gelopen.”

Gerelateerde artikelen

Meer artikelen
“Ik heb een geweldig team van slimme mensen die helpen de druk van de ketel te halen”

“Ik heb een geweldig team van slimme mensen die helpen de druk van de ketel te halen”

Kay Behnke kwam zes jaar geleden bij Genmab, in zijn derde CISO-rol na NXP Semiconductors en FrieslandCampina. Zijn doctorstitel in Neurale Netwerken en Psycholinguïstiek heeft hem analytisch gevormd, maar hem er niet van weerhouden terug te keren naar zijn roots, de IT. “Ik realiseerde me tijdens mijn PhD periode al dat ik geen wetenschapper in hart en nieren ben.”