In de nieuwste aflevering van The Sentyron gaat Willemijn Rodenburg in gesprek met Frank Breedijk, CISO bij Schuberg Philis en een van de meest herkenbare stemmen in de Nederlandse cyberbeveiliging. Wat volgt is geen gesprek over hype, angst of abstracte kaders. Het is een nuchtere blik op wat beveiliging in 2026 daadwerkelijk van organisaties vraagt.
Franks visie is gevormd door tientallen jaren praktijkervaring, variërend van programmeren en kwetsbaarheidsbeheer tot kritieke infrastructuur, publiek-private samenwerking en zijn werk bij DIVD. Tijdens het gesprek komt één thema steeds weer terug: veerkracht wordt niet opgebouwd door slogans of schijnvertoningen op het gebied van compliance. Het wordt opgebouwd door moeilijke keuzes, echte verantwoordelijkheid en systemen die zijn ontworpen om stand te houden wanneer mensen en technologie onvermijdelijk falen.
Cyberbeveiliging wordt nog steeds behandeld als administratieve rompslomp
Een van Franks observaties is dat veel organisaties naleving nog steeds verwarren met beveiliging. „Ze meten het percentage geïnstalleerde patches, stellen dashboards op en rapporteren de voortgang in percentages, terwijl ze de harde realiteit daarachter over het hoofd zien: aanvallers hebben maar één fout nodig. Beveiliging stuurt het bedrijf niet aan, het bedrijf stuurt het bedrijf aan.“
Die uitspraak, die een mentor hem jaren geleden meegaf, is hem sindsdien altijd bijgebleven. Ze vat een centrale spanning binnen de moderne cyberbeveiliging samen. „Beveiligingsteams zijn er niet om de organisatie te domineren. Ze zijn er om de organisatie te helpen veilig te functioneren. Maar dat kan alleen werken als het management beveiliging niet langer als een rapportageverplichting beschouwt, maar als een bedrijfsvoorwaarde. Als je 98% beveiliging vraagt, krijg je 98% beveiliging en dus ook 2% kwetsbaarheid. Het probleem is niet dat statistieken nutteloos zijn. Het probleem is dat ze een vervanging kunnen worden voor intentie. Als het doel alleen is om aan te tonen dat er genoeg is gedaan, in plaats van ervoor te zorgen dat de omgeving daadwerkelijk verdedigbaar is, zien organisaties er op papier gezond uit, maar blijven ze in de praktijk kwetsbaar.”
Frank spreekt dan ook klare taal over de kloof tussen het bewustzijn van leidinggevenden en de realiteit op de werkvloer: „Te veel leidinggevenden onderschatten nog steeds hoe geprofessionaliseerd cybercriminaliteit is geworden. Het idee dat een organisatie te klein, te lokaal of te oninteressant is om een doelwit te worden, is niet langer alleen maar naïef. Het is gevaarlijk.“
“Iedereen is een interessant doelwit.”
Hij wijst op de steeds kortere tijdspanne tussen het bekendmaken van een kwetsbaarheid en het misbruik ervan. Wat vroeger weken duurde, kan nu uren of zelfs minuten duren. In sommige gevallen worden kwetsbaarheden in feite ontdekt doordat ze worden misbruikt. Dat verandert de situatie volledig. Het betekent dat reactiesnelheid, prioritering en operationele paraatheid veel belangrijker zijn dan algemene beleidsverklaringen. Voor raden van bestuur heeft dit gevolgen. Regelgevingskaders zoals NIS2 en de Cyberbeveiligingswet verschuiven de verantwoordelijkheid naar het hoogste niveau, wat Frank als een noodzakelijke vooruitgang beschouwt. Jarenlang heeft de beveiligingssector erop aangedrongen dat cyberbeveiliging een bestuurskwestie moest worden. Dat is nu het geval. Maar die verantwoordelijkheid is alleen van belang als besturen het verschil begrijpen tussen juridische verdedigbaarheid en daadwerkelijke veerkracht.
“Als ik kan aantonen dat mijn organisatie aan de regels voldoet, betekent dat nog niet automatisch dat de organisatie veilig is. Dat is de ongemakkelijke boodschap. Naleving kan de aansprakelijkheid weliswaar verminderen, maar houdt aanvallers niet tegen.”
Geef gebruikers niet langer de schuld omdat ze zich als mensen gedragen
Frank is duidelijk over een onderwerp dat veel beveiligingsprofessionals nog steeds verkeerd aanpakken: menselijke fouten. Hij verwerpt de neiging om medewerkers te beschamen die op een phishinglink klikken of een vermijdbare fout maken. Volgens hem wijst dat instinct op een gebrek aan begrip: „Ik zal nooit accepteren dat een van mijn collega’s een gebruiker een domme gebruiker noemt.“
Het punt is niet dat bewustzijn niet meer van belang is. Dat is het wel. Maar gebruikers zijn niet de hoofdoorzaak van cybercriminaliteit. Ze vormen vaak het laatste zwakke schakel in systemen die van meet af aan geen rekening hielden met menselijke beperkingen. Frank spreekt hier uit ervaring. Hij herinnert zich dat hij jaren na het begin van zijn carrière zijn eigen laptop besmette en dat moment beschouwde als een harde les in nederigheid.
“Als ik erin trap, hoe kunnen we dan verwachten dat iemand die nog geen zes of zeven jaar ervaring heeft in het vak er niet intrapt?”
Dat is nu des te belangrijker, nu phishing, identiteitsfraude en oplichting steeds moeilijker te herkennen zijn. De oude aanwijzingen verdwijnen. Slechte spelling, onhandige zinsbouw en overduidelijke opmaakfouten zijn niet langer betrouwbare signalen in een wereld die wordt gevormd door generatieve AI. Dat betekent dat organisaties hun beveiligingsstrategie niet kunnen baseren op de illusie van foutloos gebruikersgedrag.
Post-kwantum is geen probleem van de toekomst
Frank neemt cryptografie net zo serieus als het verdient, maar blijft daarbij wel terughoudend. Hij stelt cryptografie niet voor als een wondermiddel. Volgens hem is het een deel van de oplossing, niet de volledige oplossing. “Cryptografie is een deel van de oplossing, maar kan nooit op zichzelf de oplossing zijn. Dat is een cruciaal onderscheid. Versleuteling is krachtig wanneer je moet opereren in omgevingen die niet te vertrouwen zijn.” Maar Frank gaat nog een stap verder: “Als je extreme complexiteit moet toevoegen alleen maar om te kunnen functioneren in een omgeving die je fundamenteel niet vertrouwt, is het misschien slimmer om waar mogelijk niet langer afhankelijk te zijn van die omgeving.”
Cryptografie is van enorm belang, vooral in vijandige of risicovolle omgevingen. Maar veerkracht gaat niet alleen over het beveiligen van gegevens tijdens het transport of in rust. Het gaat ook om het verminderen van onnodige afhankelijkheid van systemen, aanbieders of architecturen die structurele kwetsbaarheid veroorzaken.
Over post-kwantumcryptografie zegt Frank: „Is de markt er klaar voor? Nee. Moet de markt er klaar voor zijn? Ja.” Hij beschrijft de komende transitie niet als een nicheprobleem op cryptografisch gebied, maar als een grote organisatorische en infrastructurele uitdaging. Algoritmen zullen moeten veranderen. Systemen zullen zich moeten aanpassen. Sommige onderliggende technologieën moeten wellicht opnieuw worden ontworpen. En het belangrijkste is dat organisaties crypto-agility nodig hebben. Niet alleen sterkere cryptografie, maar ook het vermogen om cryptografische mechanismen snel te vervangen en te rouleren naarmate de realiteit verandert. Frank wijst ook op het risico op langere termijn dat zelfs kwantumresistente algoritmen minder duurzaam kunnen blijken te zijn dan momenteel wordt gehoopt. Dat betekent dat de transitie waarschijnlijk geen eenmalige migratie zal zijn. Het kan een doorlopend proces worden.
“We hebben crypto-flexibiliteit nodig, want misschien moeten we weer overschakelen. En nog een keer.”
Voor veel organisaties voelt post-kwantum nog steeds ver weg. Iets voor nationale overheden, defensie, inlichtingendiensten of kritieke infrastructuur. Frank ontkent niet dat die sectoren als eerste met het grootste risico worden geconfronteerd. Maar hij is duidelijk dat het daar niet bij blijft: „De mogelijkheden verspreiden zich. Wat begint aan de geopolitieke rand, vindt uiteindelijk zijn weg naar de criminele mainstream. De boodschap is ongemakkelijk omdat ze ingaat tegen het gebruikelijke instinct om uit te stellen. Toch is dit precies waar veel organisaties in de val lopen. Ze behandelen strategisch risico als een probleem van morgen, totdat het zich voordoet als een operationele crisis van vandaag.”
Samenwerking moet resultaten opleveren, en AI verandert de spelregels
Franks werk bij de DIVD vormt de basis voor een ander belangrijk thema in het gesprek: samenwerking. Hij beschouwt cyberveiligheid als een maatschappelijk vraagstuk, niet alleen als een technisch of organisatorisch probleem. Dat betekent dat geen enkele partij het in zijn eentje kan oplossen. Niet de overheid. Niet het bedrijfsleven. Niet de beveiligingssector zelf. “Cyberbeveiliging is een maatschappelijk probleem.” Maar Frank is niet geïnteresseerd in symbolische samenwerking. Hij staat kritisch tegenover partnerschappen die weinig meer inhouden dan afstemmingsbijeenkomsten en publieke verklaringen over gezamenlijke doelen. Voor hem moet samenwerking tot actie leiden.
“Samenwerken is hard werken. Het is niet alleen maar met elkaar om de tafel zitten en het eens zijn.”
Op het gebied van cyberveiligheid vereist echte vooruitgang vaak een ongemakkelijke rolverdeling. Maatschappelijke organisaties kunnen dingen doen die overheden niet kunnen. Particuliere bedrijven kunnen op sommige gebieden sneller handelen en op andere juist langzamer. Overheidsinstellingen zorgen voor legitimiteit, schaalgrootte en continuïteit. Effectieve samenwerking hangt af van het onderkennen van die verschillen en het benutten ervan, in plaats van ze te vervlakken tot algemene partnerschapsretoriek. „De dreiging groeit sneller dan het reactievermogen van welke instelling dan ook. Als samenwerking niet leidt tot gezamenlijke uitvoering, dan is het vooral schijnvertoning.“
Als post-kwantum een enorme technische ommekeer betekent, is Frank van mening dat AI iets nog ingrijpender inhoudt. Het zal niet alleen nieuwe risico’s met zich meebrengen. Het zal de logica van controle zelf veranderen. “Ik denk dat kunstmatige intelligentie het hele vakgebied op zijn kop gaat zetten.” Wat hem het meest zorgen baart, zijn niet alleen aanvallende AI, deepfakes of geautomatiseerde aanvallen. “Het is de manier waarop AI-agenten en generatieve systemen zachte controles ondermijnen. Een groot deel van de bedrijfsbeveiliging is nog steeds afhankelijk van het beïnvloeden van menselijk gedrag door middel van begeleiding, bewustwording en normen. Maar AI-systemen verinnerlijken normen niet op dezelfde manier. Ze optimaliseren voor resultaten, vaak zonder te begrijpen waarom bepaalde grenzen bestaan.”
Daarom pleit Frank voor strengere controles. Sandboxing, technische beperkingen en structurele grenzen zijn juist in een AI-omgeving van groter belang, omdat overtuigend bestuur daar minder effect heeft. „Dit is geen onbeduidende operationele aanpassing. Het zet vraagtekens bij jarenlange denkwijzen op het gebied van beveiliging die zijn gebaseerd op bewustwording, zachte beïnvloeding en voorlichting van gebruikers. Met andere woorden: AI creëert niet alleen nieuwe aanvalsvlakken. Het ondermijnt ook enkele van de uitgangspunten waarop moderne beveiligingsprogramma’s zijn gebaseerd.“
Het echte risico is achterhaalde denkwijzen
Frank biedt iets wat in de cyberbeveiliging nog steeds verrassend zeldzaam is: duidelijkheid zonder poespas. Hij bagatelliseert de omvang van de uitdaging niet. Integendeel, hij benadrukt die juist. Maar hij wijst het simplistische beeld af dat beveiliging vooral draait om angst, schuld toewijzen of bureaucratische controle.
Gedurende het hele gesprek blijft hij bij zijn standpunt. Beveiliging begint bij realisme. Mensen maken fouten. Besturen begrijpen het probleem vaak verkeerd. Naleving is noodzakelijk, maar niet voldoende. Afhankelijkheid is belangrijk. Overdraagbaarheid is belangrijk. Cryptografische overgangen zijn belangrijk. Samenwerking is belangrijk. En AI staat op het punt om te testen of organisaties serieus bezig zijn met controle, of alleen maar serieus bezig zijn met de schijn van controle. Het echte risico dat Frank signaleert, is niet simpelweg dat aanvallers steeds beter worden. Het is dat organisaties nog steeds vasthouden aan modellen van bestuur, technologie en verantwoordelijkheid die niet langer aansluiten bij het dreigingslandschap waarin ze daadwerkelijk opereren.
Luister naar de podcast van Frank (in het Nederlands) via Spotifyof bekijk de podcast op YouTube.