De security office van de NVWA

Datalekken

Bij de NVWA gaat weleens iets mis, zoals bij alle organisaties. Iemand stuurt een e-mail naar de verkeerde persoon bijvoorbeeld. Dat is een datalek. Als dat intern gebeurt is dat ongewenst, maar een e-mail met bedrijfsgevoelige informatie moet niet in een verkeerde externe postbus belanden.

Cybercrime

Natuurlijk heeft ook de NVWA te maken met phishing, spoofing, malware, spyware en ransomware. Ook overheden en officiële instanties hebben belangstelling voor de NVWA. Telefoons en laptops worden weleens gestolen of vergeten. Hoe sneller de collega’s bij de security office dit weten, hoe sneller ze actie kunnen ondernemen.

De veiligheid van locaties

De security office zorgt ook dat onze inspecteurs hun werk veilig kunnen doen. Sommige locaties mogen ze niet solo bezoeken, bijvoorbeeld omdat er in het verleden geweldsincidenten zijn geweest. Andere locaties mogen ze alleen bezoeken onder begeleiding van de politie. De security office maakt hiervoor een risico-assessment en houdt bij om welke locaties dat gaat.

Bijzondere taken

In de NVWA-laboratoria werken mensen met gevaarlijke stoffen, chemicaliën bijvoorbeeld, maar ook met pathogenen: ziektekiemen. Als goed werkgever zorgen wij dat onze mensen dat zonder gevaar kunnen doen. Pathogenen moeten ook beschermd worden tegen kwaadwillenden. In de verkeerde handen kunnen ze voor erg vervelende situaties zorgen.

Onderzoeksresultaten moeten goed worden beschermd. Onderzoeken van onze laboratoria trekken ook aandacht in het buitenland. Bijvoorbeeld die bij het Nederlands Instituut voor Vectoren en Invasieve Planten (NIVIP) in Wageningen en onderzoeken naar chemische productveiligheid in Groningen.

Data

De NVWA beschikt over veel data van in Nederland gevestigde bedrijven. Die data is niet altijd geheim. Zodra ondernemers werken op hun huisadres kunnen simpele naam-, adres-, woonplaats- en telefoongegevens wel als privacygevoelig worden bestempeld. Onze data moet daarom goed worden beveiligd. Alle NVWA’ers hebben een rol daarin. Voor de technische kant van de beveiliging is de Dienst ICT Uitvoering (DICTU) van de Rijksoverheid verantwoordelijk. De penetratietesters van DICTU testen onze beveiliging regelmatig. Dat doen ze aan de hand van een risicobepaling die ze samen met de NVWA uitvoeren.

Toegangsbeveiliging

Onze informatie wordt – ook intern – beschermd. Onze gebouwen zijn ingedeeld in zones. Niet iedereen kan overal naar binnen lopen met een rijkspas. Er is vastgelegd wie op welk moment toegang moet hebben tot welke informatie en hoe privacygevoelig die informatie is. NAWT-gegevens van bedrijven zijn dat meestal niet. Medische gegevens van mensen zijn dat altijd wel. En daar tussenin zit nog veel dat beoordeeld moet worden.

Bordspel

Collega’s bewust maken van veiligheidsrisico’s is een belangrijke taak voor Helga Markus en Bianca Kroes, coördinatoren informatiebeveiliging. Ze doen dat op allerlei manieren. Via blogs op het intranet, een podcast, informatiesessies, en zelfs door het spelen van een bordspel. Dat maakt het voeren van gesprekken makkelijker.

Een nieuwe loopbaan

Beide dames zijn pas later in de security beland, nadat zij zich hadden bijgeschoold. Helga begon haar loopbaan als goudsmid en gaat eind 2025 met pensioen als coördinator informatiebeveiliging & privacy. Tussen de goudsmederij en haar laatste functie zaten een paar andere stappen en een studie aan de Haagse Hogeschool. Het kan dus: het idee dat je op je 18e had loslaten, en een andere draai geven aan je loopbaan. Helga is een succesvol voorbeeld hiervan.

Bianca Kroes heeft een soortgelijk verhaal. Ze was ooit drogist, ging weer studeren en werd procesmanager bij een IT-bedrijf. Daar begeleidde ze een aantal ITIL-processen (Information Technology Infrastructure Library), waaronder beveiligingsincidentmanagement. Tot het bedrijf werd overgenomen. Ze wilde niet meeverhuizen en ging op zoek naar een nieuwe baan. Die vond ze bij de NVWA.

Bij de NVWA vinden we het belangrijk dat mensen zich kunnen ontwikkelen.