De vraag die wethouders, gedeputeerden en directeuren steeds stellen is simpel: leveren onze security-investeringen aantoonbaar maatschappelijke waarde op? Het antwoord vergt meer dan een technisch statusrapport. Het vraagt om een verhaal waarin de Nederlandse Baseline voor Veilige Cloud, de BIO en de NIS2 rechtstreeks worden gekoppeld aan vitale processen zoals vergunningverlening, uitkeringsketens of noodhulp. Bestuurders willen zien hoe een indicator invloed heeft op inwoners, hoeveel bestuurlijke ruimte overblijft en welke toezegging aan raad of Staten waargemaakt kan worden. Zonder die vertaling blijft security een kostenpost in plaats van een strategische randvoorwaarde.
Dit executive framework bouwt daarom voort op drie pijlers: outcome, accountability en tempo. Outcome gaat over meetbare effecten op dienstverlening en vertrouwen. Accountability borgt dat elke KPI een eigenaar, een norm en verifieerbaar bewijs heeft. Tempo laat zien hoe snel het stelsel reageert op nieuwe dreigingen, politieke ambities of reorganisaties. Door deze pijlers te combineren verandert telemetrie in een dialooginstrument; cijfers krijgen betekenis omdat ze direct uitmonden in keuzes over risicobereidheid, investeringen en maatschappelijke prioriteiten.
In de volgende hoofdstukken maken we deze aanpak concreet. Eerst ontwerpen we resultaatgedreven KPI's die beginnen bij publieke doelen en eindigen bij financiële en operationele impact. Daarna beschrijven we hoe dezelfde KPI-set verandert in een dashboardverhaal dat bestuurders helpt besluiten te nemen in plaats van plaatjes te bewonderen. Tot slot richten we een governance- en iteratieritme in dat datakwaliteit, eigenaarschap en continue verbetering afdwingt, zodat rapportages net zo dynamisch zijn als de omgeving waarin Nederlandse overheden opereren.
Vertaal iedere KPI naar een concreet beleidsdoel, verwachte publieke waarde en expliciete eigenaar, zodat bestuurders binnen één minuut begrijpen welke beslissing nodig is en welke maatschappelijke schade ontstaat als actie uitblijft.
Plan vooraf een pre-briefing met CISO, concerncontroller, CIO en communicatieadviseur waarin per KPI de kernboodschap, gevraagde middelen en bestuurlijke toezegging worden geoefend. Dankzij die repetitie gaat de uiteindelijke sessie uitsluitend over besluitvorming.
1. Resultaatgedreven KPI's
Resultaatgedreven KPI's beginnen bij het publieke mandaat om dienstverlening, democratische controle en ketencontinuïteit te beschermen. Start daarom niet met een lijst technische metrieken, maar met beleidsuitspraken: welke belofte is gedaan in coalitieakkoord, programmabegroting of bestuurlijk arrangement? Koppel vervolgens elke indicator aan het relevante hoofdstuk van de Nederlandse Baseline voor Veilige Cloud, de BIO-paragraaf of het Wbni- en NIS2-artikel waarop wordt gestuurd. De bestuurder herkent zo onmiddellijk welk normatief kader op het spel staat en waarom een afwijking bestuurlijke aandacht verdient.
Vertaalt vervolgens dreigingsinformatie naar concrete effecten. Een stijgende lijn in phishing of ransomware zegt pas iets als duidelijk is hoeveel accounts tijdelijk zijn geblokkeerd, welke MITRE ATT&CK-tactieken in de keten opdoken en of een vergunningsproces daardoor dreigde stil te vallen. Zet de gemiddelde detectietijd, responstijd en hersteltijd naast wettelijke termijnen uit bijvoorbeeld de Woo of AVG en benoem expliciet wanneer de technische klok sneller of trager tikt dan de juridische verplichting. Hierdoor ontstaat een tastbare businesscase voor aanvullende automatisering, inhuur van specialisten of contractuele afspraken met leveranciers.
Compliance-indicatoren verdienen dezelfde narratieve aanpak. Toon niet alleen hoeveel systemen aantoonbaar voldoen, maar beschrijf ook hoeveel uitzonderingen onder voorwaarden zijn goedgekeurd, welke dossiers bij toezichthouders openstaan en welk bewijs beschikbaar is in Purview, ServiceNow, SharePoint of een auditdossier. Wanneer bestuurders kunnen doorklikken naar bewijs en zien dat er een herstelpad met duidelijke data-eigenaren, mijlpalen en SLA's bestaat, groeit het vertrouwen dat afwijkingen actief worden beheerst.
Financiële vertaling maakt het verhaal compleet. Gebruik dezelfde kostensoorten en ramingsmethoden als de P&C-cyclus en werk met bandbreedten om onzekerheid te tonen. Een daling van Business Email Compromise-incidenten krijgt pas bestuurlijke waarde als duidelijk is welk bedrag aan verloren transacties, juridische kosten of reputatieherstel is vermeden. Beschrijf ook productiviteitswinst, zoals honderden uren HR-tijd die vrijkomen doordat identity reviews geautomatiseerd worden, of lagere facturen voor externe forensische expertise omdat Sentinel-automatisering sneller context levert.
Vergeet de gebruikers- en burgerervaring niet. Meet adoptie van phishingbestendige meervoudige authenticatie, tevredenheid over beveiligde samenwerking en het aantal klachten over hinderlijke maatregelen. Zet deze cijfers naast HR-indicatoren, medewerkerstevredenheid, dienstverleningstargets en burgerpanels om te laten zien dat security de primaire taak ondersteunt in plaats van belemmert. Voeg kwalitatieve signalen toe uit tabletop-oefeningen, communities of practice of burgerparticipatietrajecten, zodat het dashboard ook de emotionele temperatuur van de organisatie weergeeft.
Dataherkomst en integriteit vormen de ruggengraat van het KPI-verhaal. Leg per indicator vast welk bronsysteem wordt gebruikt, welke transformatie plaatsvindt, welke datakwaliteitscontroles draaien en hoe handmatige correcties worden gelogd. Benoem de data steward en documenteer welke fallback geldt tijdens migraties of verstoringen. Vanuit die transparantie kan een auditdienst of Rekenkamer onmiddellijk reproduceerbare cijfers krijgen, terwijl bestuurders weten dat manipulatie zonder sporen onmogelijk is.
Tot slot verdienen scenario's een vaste plek in de KPI-set. Beschrijf hoe indicatoren reageren op een langdurige ketenstoring, verkiezingsperiode met verhoogde desinformatie of grootschalige modernisatie van het applicatielandschap. Door vooraf aan te geven welke KPI als eerste buiten bandbreedte loopt, welke crisismaatregelen dan activeren en hoe dat terugkoppelt naar risicoregister en bestuurlijke risicobereidheid, verandert de KPI-set in een vroegtijdig waarschuwingssysteem. Bestuurders zien dat cijfers niet alleen terugkijken, maar vooral vooruitkijken en directe koppelingen hebben met crisisdraaiboeken, investeringsbesluiten en maatschappelijke impact.
2. Dashboard en storytelling
Een dashboard voor bestuurders is geen verzameling grafieken, maar een zorgvuldig geregisseerd verhaal. Begin met een openingspagina die het ritme van de bestuurlijke vergadering volgt: eerst het belangrijkste risico, daarna de compliancepositie, vervolgens de inzet van middelen en tenslotte de beleving van medewerkers en burgers. Elke categorie krijgt één kernindicator met een korte zin waarin trend, oorzaak en gewenste ingreep staan. Een voorbeeldzin maakt het verschil: Secure Score 82 procent, drie punten stijging dankzij afronding van Conditional Access, maar nog onder BIO-norm omdat privileged access-herstel achterloopt. Binnen enkele seconden weet de bestuurder waar actie nodig is.
Visuele rust ondersteunt dat besluitvormingsmoment. Hanteer een stijlboek waarin kleuren, iconografie en signalering exact zijn vastgelegd en documenteer wat rood, oranje of groen juridisch en financieel betekent. Voeg benchmarks toe uit G4-werkgroepen, NCSC-publicaties of interprovinciale samenwerkingen zodat duidelijk is of een afwijking een bewuste keuze is of een tekortkoming. Wanneer een lijn onder de afgesproken bandbreedte zakt, verschijnt automatisch een tekstblok met context en voorgestelde maatregelen, inclusief verwijzing naar relevante passages uit NBVC, BIO of NIS2.
Storytelling wordt krachtiger wanneer tekstuitleg naast elke visual staat. Geef bij iedere grafiek een compacte paragraaf waarin risico, oorzaak, consequentie en voorgestelde interventie worden benoemd. Gebruik actieve bewoordingen zoals: bestuurstoestemming nodig voor versnelling identity automation, anders blijft de gemiddelde hersteltijd boven twaalf uur en riskeren we ENSIA-bevindingen. Eindig per sectie met een overzicht van lopende acties, eigenaars, benodigde middelen en verwachte evaluatiemomenten zodat de bestuurlijke lijn zichtbaar blijft.
Publiceer het dashboard via een beveiligde Power BI-app, compleet met conditional access, en bied exportbestanden voor vergaderpakketten of off-line besluitvorming. Voeg korte video-, audio- of briefingnotes toe waarin de CISO de kernboodschap toelicht, zodat bestuurders vooraf kunnen reflecteren. Tijdens crisisoefeningen of echte incidenten zorgt dezelfde omgeving voor pushnotificaties die direct vertellen welke KPI is geraakt, welke scenario's actief zijn en welk besluitvenster beschikbaar is. Daarmee sluit de rapportage aan op het Nationaal Crisiscentrum, gemeentelijke beleidstafels of provinciale coördinatiemodellen.
Denk in verschillende verhaallijnen bovenop dezelfde dataset. Een college richt zich op financiële consequenties, een ondernemingsraad op personele effecten en een ketenpartner op continuïteit in de dienstverlening. Door varianten te bouwen met identieke brondata maar aangepaste accenten voorkom je discussies over definities en behoud je consistentie. Documenteer in een data dictionary welke filters en aggregaties per doelgroep gelden en leg contractueel vast dat partijen dezelfde definities hanteren.
Evalueer ieder kwartaal of het verhaal nog aansluit op politieke agenda's, maatschappelijke verwachtingen en veranderprogramma's. Interview portefeuillehouders, griffies, communicatieadviseurs en ketenpartners om te horen hoe dashboards landen en welke vragen terugkomen. Werk visuals, terminologie en volgorde bij voordat een nieuw begrotingsjaar start en leg vast welke inzichten hebben geleid tot investeringen, beleidswijzigingen of risicoreductie. Zo ontstaat een feedbacklus die laat zien dat rapportage geen ritueel is maar een strategische dialoog.
Veranker vertrouwen door bij elke pagina kort te beschrijven hoe datapaden lopen, hoe vaak gegevens worden ververst en welke validatieregels gelden. Benoem welke ketenpartners of leveranciers extra context leveren en hoe datadelingsovereenkomsten voldoen aan soevereiniteits- en privacykaders. Wanneer bestuurders weten dat de cijfers aantoonbaar juist zijn en dezelfde waarheden worden gedeeld in crisisoverleggen, zijn ze bereid moeilijke besluiten sneller te nemen.
3. Governance en iteratie
Een KPI-framework blijft alleen actueel wanneer governance en iteratie net zo strak zijn georganiseerd als de technologie. Richt daarom drie lagen van overleg en verantwoordelijkheid in. Operationele reviewmeetings, wekelijks of maandelijks, brengen CISO, SOC-leads, architecten, risk officers en data stewards samen om afwijkingen te duiden, root causes vast te leggen en acties direct in ServiceNow of Azure DevOps te registreren. Elk kwartaal volgt een bestuurlijke sessie met college, directieraad of DG-team waarin highlights, risico's en gevraagde besluiten worden besproken en gekoppeld aan begroting en coalitieafspraken. Jaarlijks wordt de volledige KPI-set herijkt tegen de Nederlandse Baseline voor Veilige Cloud, de BIO, nieuwe Wbni- en NIS2-verplichtingen en maatschappelijke prioriteiten, zodat definities meebewegen met politieke realiteit.
Datakwaliteit vereist een aparte besturingslaag. Leg in een data dictionary vast welke bronnen, transformaties en controles worden gebruikt en automatiseer health-checks die een alert sturen zodra een bron langer dan enkele uren geen data levert. Documenteer vierogencontroles voor handmatige invoer en archiveer zowel ruwe data als afgeleide tabellen. Bij Ensia-audits, Rekenkameronderzoeken of parlementaire vragen kan zo direct worden aangetoond dat cijfers reproduceerbaar zijn en dat manipulatie zonder sporen onmogelijk is.
Benchmarking en audittrail gaan hand in hand. Sla elke dashboardversie op met de bijbehorende datasets, besluitenlijsten en memo's zodat reconstructie achteraf eenvoudig is. Koppel benchmarks aan formele gremia zoals G4-werkgroepen, interprovinciale taskforces of sectorale ketentafels. Wanneer een toezichthouder vraagt waarom een indicator in april groen was en in mei rood, kan een compleet dossier worden overhandigd inclusief genomen maatregelen en veranderde context.
Cultuur bepaalt of het framework echt gaat leven. Betrek HR, juridische zaken, primaire proceseigenaren, communicatie en burgervertegenwoordiging structureel bij de KPI-cyclus. Laat zien hoe identity governance, dataclassificatie of incidentrespons direct raakt aan onboarding, mandaatbesluiten en dienstverlening. Zodra managers ervaren dat een rode KPI ook hun resultaten beïnvloedt, ontstaat eigenaarschap buiten het securitydomein en groeit de bereidheid om maatregelen gezamenlijk te realiseren.
Iteratie houdt de set relevant. Leg wijzigingen vast in een changelog met motivatie, beslissingsdatum, betrokken gremia en impact op rapportages. Gebruik lessons learned uit incidenten, audits, crisisoefeningen of proefprojecten met nieuwe technologie zoals Copilot, post-quantum cryptografie of OT-integraties om KPI-definities aan te scherpen. Koppel iedere wijziging aan het strategisch informatiebeveiligingsplan en communiceer via vaste bestuurlijke kanalen waarom aanpassingen nodig zijn. Zo blijft vertrouwen in de cijfers groot.
Ondersteun het governance-ritme met workflow- en attestatietooling. Automatiseer actiebeheer, deadlinebewaking en evidence-koppeling via ServiceNow, Power Automate of Azure DevOps en toon tijdens crisisoefeningen hoe dashboards live worden geactualiseerd terwijl besluiten direct in crisislogboeken belanden. Nodig interne auditdiensten, gemeentelijke accountants of ketenpartners uit om steekproeven te nemen op datakwaliteit en opvolging; deze externe spiegel houdt het ritme scherp en stimuleert continue verbetering.
Meet tenslotte ook de effectiviteit van het governance-ritme. Voeg indicatoren toe over het percentage acties dat op tijd is afgerond, het aantal managementteams dat de dashboards structureel bespreekt, het aantal auditbevindingen dat dankzij het framework tijdig is gesloten en de doorlooptijd van beleidsbesluiten die uit de KPI-set voortkomen. Door governance zelf meetbaar te maken laat je zien dat het raamwerk een lerend systeem is dat de betrouwbaarheid van dienstverlening, transparantie richting volksvertegenwoordiging en publieke waarde aantoonbaar beschermt.
Een volwassen KPI-framework is de tolk tussen SOC-console en bestuurskamer. Door outcome, compliance en euro-impact in één verhaal te presenteren, begrijpen bestuurders waarom een indicator rood kleurt, welke publieke waarde op het spel staat en welke ingreep nodig is om wettelijke termijnen, dienstverlening en vertrouwen te beschermen. Wanneer dashboards dezelfde taal spreken als begroting, auditplan, crisisorganisatie en coalitieafspraken verandert rapportage van een verplicht nummer in een stuurmechanisme dat investeringen legitimeert en draagvlak creëert voor structurele verbeterprogramma's.
Blijf daarom meten, leren en bijsturen. Herzie jaarlijks de KPI-set op basis van dreigingsbeeld, reorganisaties, technologische vernieuwing en nieuwe verplichtingen uit de Nederlandse Baseline voor Veilige Cloud of NIS2. Documenteer definities, wijzigingen en beslissingen zorgvuldig en vertel bestuurders expliciet waarom de set is aangepast, zodat vertrouwen in de cijfers behouden blijft. Zo groeit securityrapportage mee met de organisatie en blijft het fundament onder publieke besluitvorming aantoonbaar sterk.