Veiligheid en projectmanagement bewonen op het eerste gezicht hun eigen wereld. Eigen methodes, eigen taal, eigen prioriteiten. Maar wie goed kijkt, ziet dat ze onlosmakelijk met elkaar verbonden zijn en dat de samenwerking tussen beide disciplines nog lang niet vanzelfsprekend is.
Ik sprak met Iris Brans , 24 jaar oud en eigenaar van Brans Veiligheid & Advies, een adviesbureau op het gebied van digitale veiligheid, arbeidsveiligheid en ISO-normen. Ze heeft in drie jaar tijd meer dan dertig bedrijven geholpen met veiligheid en compliance. Een gesprek dat mij heeft doen nadenken over hoe ik als projectmanager naar veiligheid kijk en zou moeten kijken.
Veiligheid als sluitpost: een hardnekkig patroon
Wie projecten runt, kent het fenomeen. Het budget staat onder druk, de deadline nadert en er moeten keuzes worden gemaakt. Wat verdwijnt als eerste van de agenda? Te vaak is het antwoord: veiligheid.
“Als je kijkt naar compliance met wetgeving als AVG of de aankomende NIS2, dat wordt niet heel erg meegenomen in projecten,” vertelt Iris. “Er wordt meer gekeken naar uren, kosten, budget. En als dat in lijn ligt, is veiligheid een sluitpost.”
Het is een patroon dat ik als projectmanager herken. Niet omdat we het bewust fout doen, maar omdat veiligheid nu eenmaal moeilijk te meten is. Preventie is per definitie onzichtbaar: zolang er niets misgaat, lijkt de investering nergens voor nodig. En zodra er wél iets misgaat, was de investering achteraf gezien veel te klein.
“Iedereen snapt dat preventie goedkoper is dan achteraf oplossen,” zeg ik tijdens ons gesprek. “Maar zolang jij heel goed preventie doet, zie je het probleem niet.” Iris beaamt het direct: “Ze zeggen dan: er is toch nog nooit iets gebeurd, dus waarom zou je vooraf investeren?”
De bouwsector is een uitzondering. Daar is veiligheid diep verankerd in de cultuur. Niet omdat bouwers van nature voorzichtiger zijn, maar omdat de gevolgen van onveilig werken letterlijk zichtbaar zijn. Bij digitale veiligheid ontbreekt dat zichtbare element grotendeels. Een datalek is anoniem. De persoonsgegevens van duizenden mensen liggen op straat, maar die mensen ken je niet. Je ziet hun gezicht niet.
Kleine bedrijven zijn niet veilig — integendeel
Een misvatting die ik vaker tegenkom: “Wij zijn te klein om interessant te zijn voor hackers.” Het klinkt logisch, maar klopt niet.
“Hackers zijn helemaal niet op zoek naar jouw meest waardevolle bedrijfsgeheimen,” legt Iris uit. “Die willen gewoon jouw voornaam, achternaam, e-mailadres en het liefst ook een wachtwoord. Want wat doen mensen het meest, zeker bij kleinere bedrijven? Wachtwoorden recyclen.”
Met een database vol e-mailadressen en wachtwoorden kunnen criminelen systematisch proberen waar ze binnenkomen. Elk bedrijf, hoe klein ook, is daarmee een potentieel opstapje naar iets groters. Je bent misschien niet het einddoel, maar wel een deur die openstaat.
Dit raakt ook aan aansprakelijkheid. “Als bestuurder ben jij voortaan aansprakelijk,” zegt Iris, “en in het ergste geval ook privé aansprakelijk.” De NIS2-wetgeving maakt dit expliciet — juist om te zorgen dat veiligheid niet langer als sluitpost wordt behandeld, maar als bestuurlijke verantwoordelijkheid.
En dan is er nog de reputatieschade. Odido, Rituals, Basic-Fit. Grote namen die recent te maken kregen met datalekken. “Die zijn gewoon een heleboel klanten kwijt,” constateert Iris nuchter. “Reputatieschade is slecht meetbaar, maar het kan meer doen dan een boete van een autoriteit.”
NIS2: van wetgeving naar werkbare praktijk
Een van de grootste uitdagingen van dit moment is de NIS2-richtlijn — de Europese wetgeving die in Nederland wordt omgezet in de Cyberbeveiligingswet. De omzetting heeft al twee jaar vertraging opgelopen, maar ze komt er. En ze heeft grote gevolgen voor een breed scala aan organisaties.
NIS2 richt zich op ketenveiligheid. Niet alleen energieleveranciers, ziekenhuizen en gemeentes zijn verplicht te voldoen, maar ook hun toeleveranciers. Als jij zakendoet met een NIS2-plichtige organisatie, moet jij aantoonbaar hetzelfde veiligheidsniveau kunnen waarborgen.
“Ineens moeten heel veel organisaties voldoen aan regels waarbij ze er nooit eerder mee van doen hebben gehad,” vertelt Iris. “Dat is een hele grote omslag.”
En daar zit een fundamentele spanning: hoe veiliger je iets maakt, hoe minder werkbaar het doorgaans wordt. Extra authenticatiestappen, strikte toegangsbeveiliging, uitgebreide logging, het kost tijd, geld en soms ook geduld van medewerkers. De vertaalslag van wetgeving naar een werkbare situatie vraagt om ervaring, begrip van de organisatie én een pragmatische aanpak.
Voor projectmanagers is dit een interessant gegeven. Want NIS2-implementatie is niet alleen een IT-vraagstuk, het is een organisatievraagstuk. Het vraagt om een project dat door alle lagen van de organisatie heen loopt: van het bestuursniveau tot de operationele medewerker die moet weten wat veilig werken inhoudt.
Gedrag: de zwakste én sterkste schakel
Techniek kan veel, maar menselijk gedrag blijft de grootste factor in veiligheid, in de richting van risico én in de richting van bescherming.
“Je kunt nog zoveel sloten overal op zetten. Als iemand het niet goed doet, ben je de weg kwijt.” Iris beaamt het onmiddellijk. De meest geavanceerde firewall helpt niet als een medewerker klikt op een overtuigende phishingmail.
Hoe verander je dan gedrag? Iris heeft een aanpak die ze consequent toepast: maak het persoonlijk.
“Ik zoek Have I Been Pwned op, een site waarop je kunt zien of je e-mailadres bij een datalek betrokken is geweest. Dan zeg ik: voer je privé e-mailadres eens in. Dan hebben ze bijvoorbeeld vijf datalekken gehad en schrikken ze ineens heel erg. En dan zeg ik: hoe zou jij het vinden als hier bij dit bedrijf iets gebeurt en jouw gegevens liggen nóg een keer op straat?”
Abstracte risico’s worden dan ineens concreet. Niet andermans data, die van jou. En dat maakt het verschil.
Naast het persoonlijk maken, pleit Iris voor een bottom-up aanpak. In plaats van veiligheidsbeleid van boven naar beneden door te drukken, betrek je mensen op de werkvloer actief bij het proces. “Laat ze meedenken. Wat zou voor hen werkbaar zijn? Dat zorgt voor eigenaarschap.”
Eigenaarschap is precies wat je wilt. Niet compliance uit verplichting, maar veilig gedrag omdat mensen begrijpen waarom het belangrijk is. Dit is geen zachte bijzaak, het is de meest effectieve manier om veiligheidscultuur te verankeren. Tegelijkertijd moet de top het goede voorbeeld geven. Een directeur die met een zwak wachtwoord werkt, ondermijnt in één klap wat er in maanden aan cultuur is opgebouwd.
Risico’s prioriteren: een gezamenlijke taal
Een van de meest waardevolle inzichten uit ons gesprek is het belang van een risico-gestuurde aanpak. In projectmanagement kennen we risicoanalyses, maar in de praktijk worden ze lang niet altijd consequent uitgevoerd.
“Als ik een risicoanalyse maak, krijgen de hoogste risico’s de hoogste prioriteit,” legt Iris uit. “Die zijn kritisch, dus die wil je op korte termijn reduceren waar het kan.” De aanpak lijkt op hoe ik vanuit projectmanagement naar risico’s kijk: kans maal impact, prioriteren, monitoren.
Maar Iris voegt een dimensie toe die ik waardevol vind: de financiële vertaling van veiligheidsrisico’s. Bij arbeidsveiligheid kun je verzuim meten. Bij digitale veiligheid geldt hetzelfde: de gemiddelde schade van een hack bedraagt drie ton. Met die getallen kun je een businesscase bouwen die ook bij een financieel ingestelde directie aanslaat.
“Als je je risico’s niet weet, hoe weet je dan of je op de goede plek begint?” vraagt Iris terecht. Een risicoanalyse is geen bureaucratische exercitie, het is het fundament van elke goede veiligheidsstrategie. En een goede projectmanager zou dit ook als fundament van zijn project moeten behandelen, ongeacht of het nu een productlancering, een procesoptimalisatie of een NIS2-implementatie betreft.
De balans tussen snelheid en zorgvuldigheid
Geen projectbespreking is compleet zonder de driehoek tijd-geld-kwaliteit. In veiligheidstrajecten komt daar een extra dimensie bij: de risico’s van onzorgvuldigheid zijn niet hypothetisch, maar reëel en meetbaar.
“Snelheid en zorgvuldigheid staan een beetje lijnrecht tegenover elkaar,” stelt Iris. “Als je dingen heel snel doet, wordt het vaak minder zorgvuldig. En bij veiligheid heb je gewoon kans op incidenten, boetes, reputatieschade.”
Dit is een waarheid die in projectmanagement soms verdrongen wordt door de druk van deadlines. Maar in veiligheidstrajecten mag kwaliteit niet worden opgeofferd aan snelheid. Iris stelt het simpel: Wanneer de kwaliteit die zij wil leveren binnen een spoedopdracht of kort tijdsbestek niet haalbaar is, maakt zij dit vooraf bespreekbaar en kijkt zij samen met de opdrachtgever naar een passende deadline of neemt ze de opdracht niet aan.
Als projectmanager bewonder ik die positie. Het vraagt senioriteit en zelfvertrouwen om een deadline te contesteren. Maar het is precies wat professionaliteit vereist: je kunt je product garanderen, of je neemt de opdracht niet aan.
Verandermanagement als fundament
Uiteindelijk draait zowel veiligheid als projectmanagement om mensen. Systemen kunnen perfect zijn, processen kunnen kloppen, maar als de mensen niet meegaan, houdt het op.
“Valt of staat alles met mensen,” zegt Iris. “Niet alleen veiligheid, maar ook projectmanagement. Als je de mensen niet mee hebt, gaat het niet worden.”
Weerstand is daarbij een gegeven. Organisaties zijn soms onbewust onbekwaam, ze denken dat het goed geregeld is, terwijl dat niet zo is. Als jij als adviseur of projectmanager binnenkomt en aangeeft dat dingen anders moeten, is dat zelden een welkom bericht.
“Ze zien liever niet dan wel,” zegt Iris, “want je kost geld. Resultaat is vaak niet direct terug te zien.”
De sleutel is draagvlak en dat moet van twee kanten komen. Van boven: een directie die zelf zichtbaar betrokken is en het goede voorbeeld geeft. En van onderaf: medewerkers die worden meegenomen, gehoord worden en begrijpen waarom verandering noodzakelijk is. Verandermanagement is geen zachte bijvak. Het is de kern van elk succesvol project.
Conclusie: twee vakgebieden, één gezamenlijke opgave
Veiligheid en projectmanagement zijn niet elkaars tegenpolen. Ze zijn elkaars aanvulling. Projectmanagement geeft structuur, focus, afbakening en sturing. Veiligheid geeft de risicoanalyse, de zorgvuldigheid en de menselijke factor.
De beste projecten zijn die waarbij veiligheid geen sluitpost is, maar een integraal onderdeel van het ontwerp. Waarbij de risicoanalyse aan het begin staat, niet aan het einde. Waarbij zorgvuldigheid niet ten koste gaat van snelheid, maar als kwaliteitskader wordt meegenomen in de planning.
En waarbij iedereen, van directie tot werkvloer, begrijpt waarom het ertoe doet.
Want uiteindelijk, zoals Iris het samenvat: “Als de wilskracht er is, dan komt de rest vanzelf.”
Thijs is specialist in projectmanagement en richt zich op het vertalen van strategie naar uitvoering. Hij spreekt regelmatig met professionals uit aangrenzende vakgebieden om de raakvlakken met projectmanagement te verkennen. Kijk voor meer informatie op https://coolegem-pm.nl/
Iris Brans is eigenaar van Brans Veiligheid & Advies, een adviesbureau op het gebied van integrale veiligheid en compliance. Ze ondersteunt ondernemers op het gebied van digitale veiligheid en privacy, arbeidsveiligheid en ISO-normen. Kijk voor meer informatie op https://bransveiligheidadvies.nl/
