Eerste ciso van Rijksoverheid stopt na vijf jaar, opvolger is nog niet bekend

De eerste Nederlandse chief information security officer voor de Rijksoverheid stopt ermee. De functie blijft wel nog bestaan, maar het is nog niet bekend wie dat gaat doen. Als 'ciso Rijk' had Aart Jochem een invloedrijke functie op overheids-ict-beleid.

Aart Jochem schrijft op LinkedIn dat hij vanaf 1 januari volgend jaar stopt als de chief information security officer voor de Rijksoverheid. Hij begon in december 2020 met die functie. Jochem was de eerste ciso voor de gehele Nederlandse Rijksoverheid. Die functie werd in 2019 aangekondigd naar aanleiding van een rapport van de Algemene Rekenkamer. Dat schreef dat er veel problemen waren met de beveiliging van ict-systemen binnen de overheid.

Een van de problemen die het rapport aankaartte, was dat er veel fragmentering van ciso's en chief information officers was bij verschillende afdelingen van de overheid. Die hadden vaak verschillende functieprofielen en taakbeschrijvingen. De ciso Rijk moest die taken gelijktrekken en coördineren. Daarmee had Jochem als eerste ciso een invloedrijke taak binnen de ict-beveiliging van de Nederlandse overheid.

Jochem schrijft: "Ik kijk met trots terug op bijdragen aan onder meer het rijksbrede cloudbeleid, de Nationale Cryptostrategie, de strategie voor digitale weerbaarheid en digitale autonomie, redteaming, VSSR (het 'versterkte SOC-stelsel voor het Rijk') en het zijn van vertrouwd adviseur voor vier staatssecretarissen en het interdepartementale cio-beraad." Jochem schrijft niet waarom hij vertrekt. Het is ook niet bekend wie hem opvolgt.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 10-11-2025 10:59 21

10-11-2025 • 10:59

Lees meer

Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries

Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries Nieuws van 18 april 2025

Nederlandse Rijksoverheid en ministeries krijgen chief privacy officers

Nederlandse Rijksoverheid en ministeries krijgen chief privacy officers Nieuws van 7 juli 2023

Overheid krijgt Rijks-ciso om slechte ict-beveiliging tegen te gaan

Overheid krijgt Rijks-ciso om slechte ict-beveiliging tegen te gaan Nieuws van 3 juli 2019

Beveiliging en antivirus Politiek en recht Nederland Overheid

Reacties (21)

21

21

14

1

0

6

Wijzig sortering

ApexAlpha 10 november 2025 11:09

Je kan een LinkedIn URL niet zomaar kopieren, die zijn relatief aan je eigen feed. Bij deze: https://www.linkedin.com/...-7393540824862519296-Zl5c

Dat gezegd hebbende verwacht je bij dit soort functies toch wel dat er al iemand klaarstaat meteen, niet? Beetje knullig dat er nu geen CISO is, al hebben we gelukkig een 'stelsel van CISO's', dus het is ook niet alsof de deur open staat nu.

Wel typisch te lezen dat de NL overheid eerst een rapport nodig had om te weten dat je een CISO moet hebben...

[Reactie gewijzigd door ApexAlpha op 10 november 2025 11:15]

Renoir @ApexAlpha • 10 november 2025 11:54

Wel typisch te lezen dat de NL overheid eerst een rapport nodig had om te weten dat je een CISO moet hebben...

Mwoah ik vind dat in deze niet zo gek. Het is nog niet zo lang dat dergelijke functies breed voor de rijksoverheid zijn. Onze overheid is namelijk opgeknipt is allemaal losse ministeries met ministers die voor hun eigen stuk verantwoordelijk zijn. De minister president is daar ook niet als bovenliggende verantwoordelijk voor.

En gelukkig hebben we dan een AR die als taak heeft dit soort onderzoeken te doen en dat daar verbetervoorstellen uit kunnen komen. En dat daar dan ook nog eens naar gehandeld wordt, dat is toch alleen maar goed?

stukongeluk @ApexAlpha • 10 november 2025 11:23

Afgezien van het feit dat de buitenwereld je hard zal afrekenen, lijkt het me ook heel lastig om binnen de kaders van de overheid echt impact te maken als CISO. Ook de mensen waarmee je werkt zijn meestal niet zo happig naar verbeteringen of veranderingen (Dit naar eigen ervaring). En aangezien je ook verantwoordelijk bent voor de uitvoering van de strategie en beleid, kan dit misschien wel zelfs frustrerend zijn.
Dat de overheid echt een rapportje nodig had om in te zien dat dit nodig was, is misschien al een indicatie hoe stroef het kan gaan daar.

magician2000 @stukongeluk • 10 november 2025 22:44

Komt dat niet vooral door de manier waarop er wijzigingen naar binnen gedonderd worden? Meestal een nieuwe manager die het allemaal we even zal regelen, zonder ook maar enige ruggespraak met mensen die er al tijden werken en kunnen vertellen wat de apen en beren op de weg zijn. Dat is althans wat ik meestal meemaak. Bij grote(re) wijzigingen althans. Bij simplistische dingen is het vaak diezelfde manager die opstaat en roept: "geen budget voor".

Ja, het overgrote deel van de managers is zo incompetent als wat. Als 20% dat niet is, schat ik dat hoog in.

BytePhantomX @ApexAlpha • 10 november 2025 11:35

Dit is een een type CISO rol waar direct operationeel zeer weinig vanaf hangt. Het is een hele beleidsmatige functie waarbij hij vooral bezig was om rijksbreed zaken te organiseren die anders per ministerie werden geregeld. Daarnaast staat er ook gewoon een team met seniore security officers die voor continuïteit zorgen en zijn er departementele CISO's die voor continuïteit zorgen.

Ook zou het gek zijn dat een vertrekkend iemand zijn eigen opvolger aankondigd. Dat is aan de organisatie om een opvolger aan te kondigen. Twee opties, die opvolger is al bekend, maar kan nog niet publiek gemaakt worden (bijvoorbeeld in afwachting van een screening). Of omdat het vertrek nu bekend is, kan er nu pas een profiel gepubliceerd worden waar iedereen op kan solliciteren.

Oon @ApexAlpha • 10 november 2025 12:20

Nouja, een ISO is 99% bureaucratisch, de echte dagelijkse impact zou nihil moeten zijn als iedereen de voorgelegde processen volgt. Een CISO zou daarmee nóg minder hard nodig moeten zijn, want die zou zich niet eens over inhoudelijke dingen moeten hoeven buigen

DonDaaf @ApexAlpha • 10 november 2025 13:39

Er is een plaatsvervangend CISO Rijk ;-)

iketot @ApexAlpha • 10 november 2025 14:36

Je kan een LinkedIn URL niet zomaar kopieren, die zijn relatief aan je eigen feed. Bij deze: https://www.linkedin.com/...-7393540824862519296-Zl5c

De link in het artikel werkt bij mij gewoon prima naar behoren, waarom zou het niet werken?

[Reactie gewijzigd door iketot op 10 november 2025 14:37]

ApexAlpha @iketot • 10 november 2025 14:38

Hij werkte hier niet, weet niet of dit nog dezelfde is.

Nederland

@ApexAlpha • 11 november 2025 08:45

Wel typisch te lezen dat de NL overheid eerst een rapport nodig had om te weten dat je een CISO moet hebben...

De overheid had geen rapport nodig om te weten dat een COSO nodig was. Elk relevant onderdeel had al zijn eigen CISO of CIO. Het rapport gaf aan dat die hun werk ongecoördineerd deden en vaak net op een andere wijze of vanuit een andere invalshoek. Daarom werd een een rijksbrede CISO aangesteld die alles moest coördineren.

S.McDuck 10 november 2025 11:12

Tja lijkt me geen leuke functie om te hebben: De buitenwereld zal je hard afrekenen op al het nieuws wat meestal alleen is als er iets aan de hand is. De datalekken, uitzetten van systemen, hacks en fouten die gemaakt worden bij de overheid en alle diensten. Insiders weten hoe lastig het is en misschien heeft hij voor wat mogelijk echt goed werk gedaan.

[Reactie gewijzigd door S.McDuck op 10 november 2025 11:12]

Skywalker27 @S.McDuck • 10 november 2025 11:20

CISO en ISO zijn is een leuke job alleen het gezeik er om heen met leidinggevenden en directies die eerst moeten begrijpen dat je er voor hun bent en niet een vijand die de vrijheden probeert in te beperken. Ik kom helaas heel vaak tegen dat men denk alle problemen opgelost te hebben met het inhuren van een ISO of een CISO. Maar dan moet de cultuur van een bedrijf om incl. die van de directie en ja verandering vinden ze vaak niet leuk.

S.McDuck @Skywalker27 • 10 november 2025 11:33

Waarom hebben we een virusscanner nodig: we hebben toch nooit virussen

Of ChatGPT zegt dat....

Aherin @S.McDuck • 11 november 2025 08:10

Oh hemel ja! Iedereen is tegenwoordig een politicus door Facebook, EN een IT expert door ChatGPT

Overheid
Politiek en recht
Nederland

@S.McDuck • 11 november 2025 10:08

2 dagen later: Bedrijf ligt compleet stil door ransomware en de backups zijn 2,5 week oud.

FrostyPeet @Skywalker27 • 10 november 2025 13:01

Veel van dit soort interdepartionaire overlappende functies zijn er omdat het een moetje is. Of dat het top management zich wil indekken.

Dat deze functie een "moetje" lijkt te zijn blijkt wel dat het enige tijd duurde voor de beste man werd aangesteld en er (nog) geen opvolger is. Bij functies die er echt toe doen is er wel meteen een opvolger bekend want anders stopt het bedrijfsproces meteen. Waarmee ik dus niet zeg dat het een nutteloze functie is. Dit soort functies kan goed helpen om een paraplu afstemming op te zetten.

Metal999 10 november 2025 15:18

Ik denk dat de functie ciso Rijk ook kan helpen om ons onafhankelijker van de amerikanen te maken. Ik zie dat als security risk. We moeten daar wel mee beginnen. Overheid, Wetenschap, Onderwijs voorop. In Europa hebben we genoeg eigen kennis en marktvolume.

SpeedersPeugeot @Metal999 • 10 november 2025 15:49

Ja goed punt. Ook wel zo dat hier al veel over nagedacht wordt overigens. We hebben veel kennis in Europa, ook eigen overheid datacenters in Nederland. Soevereiniteit is wel wat lastig overigens, ook Cloud hardware (off /on-premise) bevat al snel Chinese chips of ergens een Amerikaans bedrijf in de leveringsketen en daarnaast ook NetApp, CheckPoint, Fortinet, F5 BIG-IP / Cisco etc. om dat datacenter te bouwen...

De truuk is: beetje hybride, dus dataverwerking bijv. GEN materiaal onderzoek (lees: data zonder BSN of namen/adressen) lekker in de Azure Cloud, maar je kroonjuwelen in je eigen datacenter, regel veilige op- en neergang, gewoon logisch en verstandig ermee om gaan, haal wat architecten in huis om met je mee te denken en te adviseren.

Om nog even op het originele punt terug te komen, ja een CISO Rijk is belangrijk, sowieso wat meer coherentie over de Ministeries heen op ICT gebied is wenselijk, al die verschillende eigen ICT oplossingen, al die specifieke app's en virtuele werkplekken, het kan wel iets eenduidiger. Ik zeg altijd, we zitten in een soort van tussenfase, nog teveel punt-oplossingen; het wiel wordt zo wel vaak opnieuw uitgevonden, dat is niet altijd nodig, beter als er wat meer kruisbestuiving binnen de overheid zou zijn.

[Reactie gewijzigd door SpeedersPeugeot op 10 november 2025 15:54]

tfro71 @SpeedersPeugeot • 14 november 2025 08:39

Waarom zou je een deel van je data in de cloud stoppen en welk deel is dat dan? Het is niet alsof we nu als NL zo ongelovelijk veel data maken dat we het niet zelf in een datacenter kunnen stoppen of dat we zulke idioot grote verwerkingen doen dat de machines van Surf het niet aan zouden kunnen.
Het is simpelweg een kwestie van achterover leunen en, net als altijd, de makkelijkste route kiezen die lekker populair is zonder verder na te denken over de toekomst.
Er zijn, op enkele specialistische dingen zoals misschien een F5, voldoende oplossingen om dit in eigen beheer te regelen, iets wat je toch al zou moeten voor die persoonlijke data. En als je dat toch al moet, waarom zou je dan nog je email in de cloud zetten. Je email waarin binnen de grote clubs die iets met personen doen gewoon BSN's en certificaten, begrotingen, etc in staan.... Excel bestandjes en Outlook zijn nog steeds enorm aantrekkelijke doelen voor hackers/kwaadwillenden

C7RL 11 november 2025 21:43

Ik weet niet zeker of de missie volledig geslaagd is. Er is nog steeds veel werk te doen. De afstand tussen de werkvloer , waar het daadwerkelijk gebeurt , en de beleidsmakers binnen het CIO- en BVA-stelsel van de Rijksoverheid is nog altijd aanzienlijk.

Zoals iemand al in een reactie opmerkte, zijn veel functies binnen het ISMS bedoeld als ondersteuning voor de departementen, directies en lijnorganisaties. In de praktijk wordt dat echter niet altijd zo ervaren. Mijn ervaring is ook dat velen zelfs niet op de hoogte zijn van het bestaan of de rol van deze functies.

Daarnaast is informatiebeveiliging nog vaak ondergeschikt aan de voortbrenging van functionaliteit. Security en ‘security by design’ zijn nog lang geen gemeengoed. De manier waarop het huidige stelsel is ingericht, maakt dat de mensen die hierin opereren vaak als een papieren tijger functioneren, en dan nog één zonder tanden, althans vanuit ervaring waar het het informatiebeveiligingsbeleid betreft.

Door deze opzet van stelsels zijn de informatie-, communicatie- en rapportagelijnen niet zozeer onduidelijk, maar wel heel complex. Dat heeft tot gevolg dat sturing en bijsturing niet op alle niveaus goed gaat of info niet terecht komt op het juiste bordje.

Dat er nu niet direct een vervanger klaarstaat, verbaast mij dan ook niet (wellicht ook weinig animo ivm de ‘nullijn’).

Zoals eerder terecht werd opgemerkt: er zijn (plaatsvervangend) CISO’s, CIO’s, CSO’s, BVA’s, BSO’s en ISO’s binnen alle ministeries, departementen en directies. Het is dus niet zo dat er nu ineens van alles omvalt. Dat is wel goed geregeld, maar de vervanger heeft nog zat werk aan de winkel!

tfro71 @C7RL • 14 november 2025 08:29

Ik weet zeker dat de missie nog verre van compleet is, die rijksdienst zal bestaan maar uit ervaring kan ik stellen dat het gedachtegoed echt nog niet is geland overal waar het nodig is. En als het er is dan het is het een infrastructuur security feestje waar de mooiste spullen worden binnengereden om hackers tegen te houden op plekken waar ze eigenlijk niet kunnen komen maar op andere plekken de voordeur gewoon wagenwijd openstaat.

Om te kunnen reageren moet je ingelogd zijn