• CorporatieGids
• Nieuws

Rob de Rijk (Woonbedrijf): Digitale weerbaarheid is geen eindpunt, maar een cyclus

Geplaatst door CorporatieMedia op Tuesday 3 March 2026

De digitale kwetsbaarheid van woningcorporaties is de laatste jaren sterk toegenomen. Dat maakt informatiebeveiliging bij Woonbedrijf al lang geen puur technisch vraagstuk meer, maar een organisatiebreed thema waarin mens, proces en technologie samenkomen. In gesprek met CorporatieGids.nl vertelt Security Officer Rob de Rijk hoe meerdere jaren pentesting hebben bijgedragen aan een realistischer beeld van digitale weerbaarheid, waarom Woonbedrijf de stap zet naar red teaming light en welke inzichten dat opleverde over aannames, gedrag en respons. “Digitale weerbaarheid is geen eindpunt, maar een cyclus waarin je steeds opnieuw moet durven toetsen wat je denkt op orde te hebben.”

Twee jaar geleden sprak CorporatieGids.nl ook met Rob over de rol van informatiebeveiliging bij Woonbedrijf: “Sinds dat gesprek is de rol van informatiebeveiliging verder verbreed en verdiept. Door toenemende digitalisering, de groei van cloudoplossingen en de intensievere samenwerking in ketens, is security niet langer een puur technische aangelegenheid. Ook zijn we als Woonbedrijf meer risicogestuurd gaan werken, baseren we keuzes op data en monitoring, betrekken we security eerder bij aanbestedingen en ontwerp én is governance steviger geworden, onder andere door ons awarenessprogramma, DPIA-procesverankering en nauwere samenwerking met leveranciers.”

Pentesten
Een belangrijk onderdeel van informatiebeveiliging bij Woonbedrijf is het gebruik van pentesten: “De reden dat we hier destijds mee begonnen was tweeledig. Allereerst nam de afhankelijkheid van digitale processen sterk toe, denk aan klantportalen, digitale onderhoudsprocessen en gegevensuitwisseling met ketenpartners. Daarnaast wilden we weten waar we écht staan, los van aannames of zelfevaluaties. We hadden destijds een redelijk beeld van onze weerbaarheid, maar nog weinig harde toetsing op technische kwetsbaarheden. De eerste pentests waren daarom vooral bedoeld om inzicht te krijgen in exposure, configuratiefouten en de robuustheid van applicaties waarin veel persoonsgegevens zitten. Met name de ingekochte oplossingen wilden we toetsen, in plaats van alleen afgaan op de blauwe ogen van de leveranciers.”

Groeiende volwassenheid
Door de jaren heen is die aanpak steeds volwassener geworden, gaat Rob verder: “De scope is van enkelvoudige applicaties naar bredere ketens gegaan, het is nu een structureel onderdeel van de securitycyclus en bevindingen worden niet langer als losse incidenten behandeld, maar gekoppeld aan risicomanagement en structurele verbetering. Ook is de samenwerking met leveranciers intensiever én transparanter geworden en vertalen we rapportages beter naar governance.”

Geleerde lessen
Op de vraag wat Woonbedrijf zoal heeft geleerd van een paar jaar pentesten, vertelt Rob: “Een paar dingen springen eruit. Zo zagen we dat kwetsbaarheden – zoals authenticatie, autorisatie, logging en configuratie – terugkerende thema’s waren. Ook zagen we dat security by design loont, en we veel tijd besparen door vroeg in het ontwerp al securitybeslissingen mee te nemen.”

“Menselijke aannames blijken daarnaast risicovol. Wat een leverancier veilig vindt of wat intern als bekend risico wordt gezien, blijkt in de praktijk vaak anders. Prioritering blijkt eveneens cruciaal, want niet iedere bevinding verdient dezelfde aandacht. Context, data-inhoud en exploitability zijn belangrijk. Deze inzichten beïnvloeden mijn werk als Security Officer; ik let sneller op ontwerpkeuzes die later kwetsbaarheden kunnen veroorzaken.”

Red teaming
Naast het uitvoeren van pentesten maakt Woonbedrijf inmiddels ook gebruik van red teaming light. “Waar pentesten zich vooral richten op technische kwetsbaarheden, wilden we ook antwoord krijgen op vragen die je niet met een gewone pentest beantwoord krijgt. Hoe reageert onze organisatie als een aanvaller toch binnenkomt, waar liggen risico’s in proces, gedrag en aannames en hoe effectief zijn detectie, monitoring en respons? Red teaming light is voor ons een pragmatische variant op formeel red teaming: realistischer dan een pentest, maar minder zwaar en langdurig dan een volledige red team-opdracht.”

Realistische paden
Zo krijgt Woonbedrijf antwoord op de vraag ‘hoe onze weerbaarheid werkt als techniek, mens en proces samenkomen’, zegt Rob: “We krijgen inzicht in de samenhang tussen mens, detectie en aannames. Daarbij werken we nauw samen met Hackify. Zij ondersteunen ons door vanuit aanvallersperspectief mee te denken. Niet alleen ‘kan het technisch’, maar ook ‘wat is het realistische pad’. Ze brengen scenario’s en tooling die net buiten het klassieke pentestkader vallen, waardoor we extra zicht hebben op de veiligheid van onze organisatie.”

Uitkomsten verankeren
“De uitkomsten van pentesten en red teaming light-sessies verankeren we binnen Woonbedrijf op drie niveaus,” vervolgt Rob: “Procesmatig worden bevindingen gekoppeld aan risicomanagement en herleid tot grondoorzaken. Daarnaast worden nieuwe security-eisen vastgelegd in architectuurprincipes, inkoopvoorwaarden en DPIA-uitkomsten. Organisatorisch scherpen we rollen en verantwoordelijkheden aan en vinden periodieke evaluaties plaats met leveranciers waarin security een vast agendapunt is.”

“Op het gebied van bewustwording vertalen we bevindingen naar begrijpelijke verhalen en gedragslijnen via onze security-, privacy- en integriteitscampagnes. Lessen worden daarnaast vertaald naar praktijkvoorbeelden in presentaties, workshops en e-learning. Zo wordt beveiliging minder een IT-vraagstuk, maar een organisatiebreed thema, passend bij de kernwaarden van Woonbedrijf.”

Cyclus
Digitale weerbaarheid is geen eindpunt, maar een cyclus, sluit Rob af: “Organisaties die regelmatig testen zien eerder patronen, verbeteren sneller en kunnen risico’s effectiever managen. Daarbij is iets als red teaming en pentesten geen vervanging, maar juist een essentiële aanvulling op cyberweerbaarheid. Kijk daarbij verder dan techniek alleen: processen en menselijk handelen bepalen minstens evenveel.”

Bron: CorporatieMedia, Foto: Woonbedrijf