Publiceren & Adverteren
“Ik vind het gaaf om de organisatie verder te helpen in volwassenheid en te zorgen dat we niet gehackt worden”

Felix Speulman

13 mei 2026
Start met lezen
Walter van Oostrum, CISO bij Het CAK

Walter van Oostrum is bijna vijf jaar CISO bij het CAK, een uitvoeringsorganisatie die onder het ministerie van VWS valt. Met zijn informele achtergrond en lange staat van dienst in IT, telecom, de consultancy en bij de overheid zou je hem een self-made CISO kunnen noemen. Sinds kort is hij genomineerd voor de CISO of the Year Award. “Toen ik in 1992 in de IT begon, was security eigenlijk helemaal geen ding.” 

Waar ligt jouw achtergrond?
“Ik heb LTS elektrotechniek gedaan. In 1992, op mijn zeventiende, begon ik op het computercentrum van de Bondsspaarbank, wat nu ABN AMRO is, in Woerden. Het was een en al mainframe; je had nog geen internet en security was eigenlijk helemaal geen ding. Je kon pas inbreken in een computersysteem als je ervóór stond. Bij Getronics ben ik de ‘Millennium Bug’ te lijf gegaan. Daar heb ik echt systeem- en applicatiebeheer gedaan voor onder andere de Staatsloterij. Ook veel over security geleerd, want inmiddels was wel alles connected. En het werd steeds belangrijker [gevonden].”

“Ik heb een paar jaar bancaire systemen beheerd voor Effectenbank Stroeve/Theodoor Gilissen Bankiers. En toen ben ik eigenlijk uit de markt gekocht door LogicaCMG en bij hun telecom-tak gestart als engineer. Dat heb ik een jaartje gedaan. In de EMEA-regio, sms-centrales in de lucht gehouden en derdelijns problemen opgelost. En toen ben ik binnen Logica overgestapt naar de consultancytak. Uiteindelijk ben ik bij ING investment management terechtgekomen, om wat ik bij die kleine bank [Theodoor Gilissen] in het klein deed, in het groot te doen. Zo ben ik doorgerold naar problem management en een projectmanagementrol.”

“Ik ben communicatief, vooral verbaal, altijd goed geweest, alleen schriftelijk was het wat minder. Op een gegeven moment heb ik in de avonduren mijn HBO bachelor bedrijfskundig management gehaald. Want het was vrij bijzonder dat ik allerlei projecten en programma’s draaide, terwijl ik de papieren nog niet had, alleen heel veel ervaring. Door de diploma’s werd het 1+1=3. Toen heb ik heel veel grote projecten gedaan, ook voor de overheid. Maar op een gegeven moment voegt [werken bij] zo’n consultancy-organisatie niet zoveel toe. Na twaalf jaar bij Logica, wat nu CGI heet, had ik het eigenlijk wel gezien. Ik wilde zelf voor de overheid gaan werken. In 2017 kreeg ik een aanbieding bij SSC-ICT [ministerie van Binnenlandse Zaken] als teammanager security.”

“Ik zit hier echt aan de businesskant. Ik val onder de CIO en rapporteer rechtstreeks aan de raad van bestuur”

“Bij SSC-ICT heb ik het security-vak echt in de diepte geleerd. Ik was verantwoordelijk voor een team van 25 security-professionals en ook het Security Operations Center heb ik mede opgezet. En na bijna vijf jaar wilde ik eigenlijk de rol van CISO wel. De CISO zou te zijner tijd met pensioen gaan, maar ik wilde daar niet op wachten. Toen kwam het CAK voorbij.”

“Ik zit hier ook echt aan de businesskant. Ik val onder de CIO en rapporteer rechtstreeks aan de raad van bestuur. En ik ben stelselverantwoordelijk, zoals ze dat binnen de overheid noemen, voor security. De meeste security-uitvoering wordt gedaan bij ICT, mijn security officers en ook security operations zitten bij ICT. En ik geef daar functioneel leiding aan. Ik vind het gaaf om de organisatie verder te helpen in haar volwassenheid en te zorgen dat we niet gehackt worden. Dat is gewoon een kat-en-muis-spel.”

CISO’s staan van twee kanten onder druk. Het dreigingslandschap wordt steeds breder en dynamischer. Maar intern is er natuurlijk ook druk. Je moet leveren en wordt verantwoordelijk gehouden als dingen fout lopen. Kun je daar iets over vertellen?
“Toen ik hier binnenkwam heb ik schoon schip gemaakt en gekeken naar wat er moest veranderen. Ik heb een GAP-analyse gemaakt. Waar missen we wat? Van tevoren had ik een volwassenheidsmeting gedaan. Daarbij scoorden we redelijk ondermaats. Na drie jaar was het allemaal ruim voldoende. Dus we hebben bijna geen incidenten. Is het dan helemaal perfect? Nee, zeker niet. Maar bij ons van buiten naar binnen komen is lastig. En ik denk ook dat wij, met het profiel dat wij hebben, niet met onze kop boven het maaiveld uitkomen. En we bewaren ook geen staatsgeheimen, dus we zijn minder interessant voor statelijke actoren.”

“Wij voeren regelingen uit voor het ministerie van VWS, zoals de Wlz [Wet langdurige zorg] en de Wmo [Wet maatschappelijke ondersteuning]. De bijzondere persoonsgegevens van onze burgers zijn het belang dat wij moeten beschermen. Als bij ons zoiets als bij Odido zou gebeuren, liggen de gegevens van de meeste kwetsbare mensen in Nederland op straat. Dat wil je niet meemaken. Het lukt goed om ons te beschermen tegen een heel groot stuk van het risico dat we lopen door aanvallen. Maar honderd procent security bestaat niet. Dat zeg ik ook altijd tegen onze bestuurders.”

“Het is geen gemakkelijke baan. Het lukt mij om het in een normale werkweek te doen, ik ben wel vorig jaar vijftig geworden, dus dan gaat het toch wat minder makkelijk dan vroeger. En ik vind mijn vrije tijd ook belangrijk. Dus je zoekt naar een modus waar je wel nog wat andere dingen kan doen en niet dag en nacht aan het werk bent.”

Welke technologische of maatschappelijke ontwikkelingen gaan volgens jou op de middellange termijn een stempel drukken op de rol van CISO?
“Ik denk toch wel alle geopolitieke ontwikkelingen die we nu zien. Ik zit al aardig wat jaartjes in de security. En wat men nu leest en ziet in de media, daar werd jaren niet in het openbaar over gesproken, maar het was er wel. We liggen al jaren onder vuur van allerlei partijen. Zo heeft [cybersecurity] zich wel heel snel ontwikkeld. Het is steeds meer van een niche naar een volwassen vakgebied gegroeid. En dat is maar goed ook. We zijn met veel minder verdedigende partijen dan er aanvallers zijn. En hun tools worden steeds beter. Mythos werkt beter dan de makers zelf dachten. Dus ik vind het terecht dat er opgeroepen wordt te stoppen met het gebruik van dit soort tools. Maar ik denk niet dat het kan.”

“Wat men nu leest en ziet in de media, daar werd jaren niet in het openbaar over gesproken, maar het was er wel”

“Er is criminelen natuurlijk ook enorm veel aan gelegen om dit soort dingen te hebben. De AI van nu volgt dezelfde aanvalspatronen als een hacker. Dezelfde systematiek. Die vecht zichzelf naar binnen en extrafiltreert je data en zet het klaar op het darknet. Dat is echt bizar. Je hoeft er niks meer voor te kunnen.”

“Het streven is: we betalen niet. Ik wil niet zeggen dat het nooit gebeurt, er kan altijd een reden zijn om het toch te doen. Maar in principe betalen we niet. En ik weet niet of je dat wel altijd kan verkopen richting je cliënten en burgers, dat je daar niet voor zou moeten betalen. Het is een duivels dilemma, waar je volgens mij niet uitkomt. Ik zou altijd zeggen, niet betalen. Maar een bestuurder kan altijd, zeker als deze eigenaar van een commerciële organisatie is, denken: als ik nu een ton betaal, kan mijn business verder. Dus ik snap heel goed dat sommige organisaties toch betalen.”

Wat draag je verder nog bij aan de maatschappij? Doe je iets aan het stimuleren van cyber ondernemerschap, bijvoorbeeld?
“Ik doe dit natuurlijk al heel lang, ook binnen de overheid. Omdat ik het leuk vind, maar ook voor de maatschappij. Dat wil ik even voorop stellen. Anders was ik wel voor een hoger salaris bij een commercieel bedrijf gaan werken. Ik ben ook lid geworden van deze [CISO] community om te kijken of ik mijn steentje kan bijdragen. Ik zit ook nog in allerlei werkgerelateerde gremia. Ik ben lid van de Manifestgroep, een lobbyclub binnen de overheid van grote  uitvoeringsorganisaties die met elkaar kennis delen. Naast mijn baan werk ik samen met de CISO’s van VWS. Dus ik ben met veel meer bezig dan alleen mijn eigen werk. Het is veel complexer.”

“Ik spreek af en toe ergens. Ik vind het leuk, maar wil het niet te veel doen. En je wilt natuurlijk ook nog een beetje bijblijven in je vakgebied, dus af en toe bezoek ik een conferentie. Dat is ook voor je netwerk goed. Als ik op de One Conference kom, dat is een soort van thuiskomen. En met de CISODAY is dat ook zo. Een hoop collega’s die ik in geen jaren gezien heb, kom ik daar weer tegen.” 

Wat vind je van de andere kandidaten?
“Het zijn geduchte concurrenten, al vind ik dat een groot woord. Ik kende hen niet, maar voel me vereerd dat ik in dat rijtje mag staan. Ik moet eerlijk zeggen dat ik de uitslag minder belangrijk vind. Dat je ervoor gevraagd wordt, vind ik al heel leuk.” [Lachend:] “Maar nu ik genomineerd ben wil ik eigenlijk wel winnen.”

Gerelateerde artikelen

Meer artikelen
“Ik heb een geweldig team van slimme mensen die helpen de druk van de ketel te halen”

“Ik heb een geweldig team van slimme mensen die helpen de druk van de ketel te halen”

Kay Behnke kwam zes jaar geleden bij Genmab, in zijn derde CISO-rol na NXP Semiconductors en FrieslandCampina. Zijn doctorstitel in Neurale Netwerken en Psycholinguïstiek heeft hem analytisch gevormd, maar hem er niet van weerhouden terug te keren naar zijn roots, de IT. “Ik realiseerde me tijdens mijn PhD periode al dat ik geen wetenschapper in hart en nieren ben.”

“Niet iedere nieuwe ontwikkeling is een revolutie”

“Niet iedere nieuwe ontwikkeling is een revolutie”

Wim Sonnemans is een kleine drie jaar CISO bij Philips. Daar keerde hij terug na een aantal jaren als IT-security manager bij ASML. Zijn niet-technische achtergrond maakt hem tot een unieke waarnemer. “Juist in informatiebeveiliging, waar er zo veel invalshoeken zijn, kun je gemakkelijk verdwalen in details en bijzaken.”