Achter de Douane

Afbeelding via Pixabay

“Achter de Douane kocht ik een horloge,” zei Merlijn Kaiser in de roman Magnus van Arjen Lubach. Het boek is een aanrader, maar dit zinnetje vraagt even om aandacht.

Merlijn bevond zich op Schiphol en nam een vlucht naar Stockholm. Je komt dan slechts één instantie tegen die een controle uitvoert: security. Excuus voor de wat vage benaming, maar zo noemt de luchthaven het zelf. Ze bedoelen de controle van je handbagage en van jouzelf, waarbij wordt gekeken of je niks bij je hebt wat de vlucht in gevaar kan brengen. Zoals een schaar of explosieven, om maar wat te noemen.

Op vluchten buiten het Schengengebied (dus grofweg buiten Europa) kom je ook nog de Koninklijke Marechaussee tegen, die je paspoort controleert. Dat is dus niet de Douane. Die kom je bij vertrek uit Nederland bijna nooit tegen; de Douane is alleen geïnteresseerd in goederenverkeer. Dus, beste Merlijn, er is geen ‘achter de Douane’ als je Nederland verlaat. Je komt deze dienst alleen tegen als je terugkeert uit het buitenland. Je weet wel, als je je koffers hebt opgehaald, vlak voor de schuifdeuren waar de afhalers op je staan te wachten.

Het gebeurt wel vaker dat verantwoordelijkheden worden verward. Vroeger werd in veel organisaties gedacht dat informatiebeveiliging iets was waarvoor de IT-afdeling verantwoordelijk was. En de IT-afdeling zelf vond dan weer dat de security-afdeling het allemaal moest regelen. Gek genoeg was dat ook de tijd waarin het kon gebeuren dat er van een bepaald systeem geen back-up werd gemaakt omdat de klant (‘de business’) daar niet om had gevraagd. Vanuit de ene kant werd gedacht dat het allemaal zou worden geregeld, terwijl aan de andere kant strikt aan de opdracht werd voldaan – en niet meer dan dat.

Nu is het omgekeerd. De business beseft (grotendeels) dat ze zelf verantwoordelijk zijn voor het op orde hebben van hun beveiliging, dat ze daar eisen aan mogen en moeten stellen. Tegelijkertijd zijn er veel standaardmaatregelen ingevoerd. Als je een auto koopt, hoef je niet te eisen dat hij met remmen, veiligheidsgordels en airbags wordt geleverd; dat heeft de wetgever voor je geregeld. Ook op het gebied van informatiebeveiliging is er wet- en regelgeving, waarin de minimale eisen zijn beschreven waaraan een systeem moet voldoen. Uiteraard kan een organisatie of een interne klant hogere eisen stellen, als uit een risicoanalyse blijkt dat dat nodig is. Want je treft nooit zomaar maatregelen hè.

Wat dan weer niet betekent dat er geen ad hoc-maatregelen kunnen worden getroffen. Dat kan bijvoorbeeld wanneer securitymensen een gevaarlijke situatie aantreffen. Want we zijn dan weliswaar niet van ‘het allemaal regelen’, maar we zijn er wel voor verantwoordelijk dat de organisatie veilig is. Daarbij passen we soms professional judgement toe. Een mooie term die in feite betekent: dit moet nu zo omdat ik, vanuit mijn functie, oordeel dat het nodig is. En vertrouw er maar op dat dit oordeel is gebaseerd op vakkennis.

Terug naar Merlijn Kaiser. Waar kocht hij dat horloge nou eigenlijk? Schiphol kent twee grote winkelgebieden: eentje waar je de luchthavengebouwen betreedt, en eentje achter security. Dáár kocht hij dat horloge. Zonder ook maar één douanier te hebben gezien. Maar verder is het een geweldig boek.

  

En in de grote boze buitenwereld …

• doet ChatGPT soms ook een paspoortcontrole.
• wordt het nu echt tijd om afscheid te nemen van Windows 10.
• moet je zelf kunnen bepalen hoe het nieuws tot je komt.
• zat er een groot gat in Entra ID.
• vormen scholieren een bedreiging voor hun school.
• moet een authenticatie-mechanisme weerstand bieden tegen phishing.
• pikken inmiddels ook columnisten de noodzaak voor Europese data-soevereiniteit op.
• gaat LinkedIn binnenkort AI-modellen trainen met jouw data.
• nemen de Finnen een flinke toename in het aantal gehackte M365-accounts waar.
• kronkelt er een worm door npm-packages.