Maak kennis met Steffen van der Velde
“Je kunt waarschijnlijk niet alles in één keer goed doen op het gebied van cybersecurity. Maar ik zou echt willen meegeven: neem dit onderwerp serieus. Het moet een integraal onderdeel worden van je bedrijfsvoering. Hou daar rekening mee.”

Wie ben je?
Mijn naam is Steffen van der Velde. Sinds 2019 werk ik bij het ministerie van Infrastructuur en Waterstaat, bij de directie Duurzame Leefomgeving en Circulaire Economie. Mijn werk richt zich voornamelijk op juridische dossiers die te maken hebben met afvalbeheer; ik ben verantwoordelijk voor de kaderrichtlijn afvalstoffen. Dat is een Europese richtlijn waarmee wij als lidstaat ons afvalbeheer moeten inregelen. Samen met onze juridische collega’s schrijf ik aan een Circulaire economie-wet . Op aandringen van de Tweede Kamer moest er worden gekeken naar onze huidige milieuwetgeving, die te lineair was. Die moest meer circulair worden, en daar zijn we nu al geruime tijd mee bezig.
Mijn hoofddossier is afvalverbranding en, in bredere zin, thermische afvalverwerking. Daar vallen ook andere technieken onder. In Nederland willen we naar minder afvalverbranding in de toekomst. Samen met collega’s kijk ik naar hoe we dat kunnen realiseren, want verbranding is geen hoogwaardige manier van grondstofbenutting. We willen juist meer recycling. Daarnaast houd ik me bezig met het dossier cybersecurity, voor zover dat betrekking heeft op afvalbedrijven. Dat komt voort uit nieuwe wetgeving waarin de afvalbeheersector is toegevoegd als sector die moet voldoen aan specifieke cybersecurityregels. Voor ons was dat echt even zoeken naar wie zich daarmee zou moeten bezighouden, want het is voor ons helemaal nieuw.
Welke ervaring heb je met jouw sector?
Voor de sector afvalbeheer is cybersecuritywetgeving relatief nieuw. Daarom hadden wij als beleidsmedewerkers ook geen ervaring met cyberweerbaarheid. Daarbij bent ik zelf geen cybersecurityspecialist — ik ben jurist, met een specialisatie Europees milieurecht. Ik vind het interessant om me in het onderwerp te verdiepen. Ondertussen begin ik wel een beetje te begrijpen wat er allemaal speelt, wat belangrijk is en hoe de nieuwe richtlijn binnenkomt bij bedrijven. Maar in het begin was het echt zoeken: hoe sluiten wij als directie, die volledig gericht is op circulariteit, aan op zo’n onderwerp?
Inmiddels gaat dat goed. Ik draai lekker mee met het programmateam. Omdat ik in een andere directie zit, was het voor ons misschien nog net wat meer schakelen. Maar ik kan nu zeggen dat het gewoon lekker loopt. Ik ben ook heel blij met mijn nieuwe collega’s Verena en Schelte, die mij ondersteunen — specifiek op het gebied van afvalbeheer.
Hoe zet je je in voor het programma?
Binnen het dossier waar ik aan werk, is een van mijn hoofdtaken om de afvalverwerkende bedrijven te motiveren zich echt goed te verdiepen in het onderwerp. Daar moet je echt achteraan zitten. Daarnaast is het belangrijk dat wij zelf een beter beeld krijgen van hoe de sector in elkaar steekt als het gaat om cybersecurity-gerelateerde onderwerpen. Hoe groot is die sector eigenlijk? Over hoeveel bedrijven hebben we het? Daarom hebben we onderzoeken uitgezet. Die onderzoeken begeleid ik. We werken daarvoor samen met consultants die ons daarbij helpen. Ze zijn nog maar net gestart, dus het staat nog in de kinderschoenen. Samen met Verena en Schelte kijk ik mee naar wat die consultants doen en hoe ze te werk gaan.
Er lopen momenteel twee trajecten. Het eerste traject is gericht op het in kaart brengen van hoeveel bedrijven onder de nieuwe richtlijn en wetgeving gaan vallen. We hebben altijd gewerkt met cijfers die we via het CBS opgevraagd hebben, maar we willen nu echt meer zekerheid over hoe groot ‘de vijver’ is. De opdracht aan de consultant is vrij eenvoudig: breng in beeld wie er allemaal aan de eisen moet voldoen. Die eisen gaan over het aantal werknemers, het balanstotaal en de omzet. Als je dat helder hebt, ben je al een heel eind.
Het tweede onderzoek is wat ingewikkelder. Dat gaat over het in kaart brengen van ketenrisico’s. Neem bijvoorbeeld een afvalbeheerketen: dat is een complex geheel met allerlei schakels — van het begin bij ons tot aan de eindverwerker. Hoe dat precies zit in het kader van cyberweerbaarheid weten we nog niet. Wanneer welke risico’s optreden is ook nog relatief onbekend. Daar willen we dus meer inzicht in krijgen.
Een belangrijk doel van deze onderzoeken is om ook voor de handhaving inzichtelijk te maken waar zij mee te maken krijgen. Uiteindelijk wordt er een toezichthoudend gezag aangewezen, en die moeten weten hoeveel capaciteit zij moeten vrijmaken om dit goed te kunnen doen. Voor ons is het ook handig om te weten met wie we te maken hebben. Als we zelf iets organiseren, is het fijn om te weten hoeveel mensen we kunnen verwachten. Het helpt ons dus bij de beleidsvorming en de uitvoering van activiteiten.
Waar komt je motivatie vandaan om je te blijven inzetten voor het programma?
Je raakt vanzelf gemotiveerd als je het nieuws volgt. Er is zoveel aandacht voor cyberweerbaarheid de laatste tijd, en de risico’s nemen snel toe. Ik merk dat persoonlijk sterk. Het onderwerp wordt alleen maar belangrijker. Als je nu niet goed bent voorbereid, kunnen de gevolgen groot zijn. In de afvalbeheersector bijvoorbeeld: als één bedrijf stilvalt, ligt de verwerking van afval tijdelijk plat. Dat kunnen we nog wel overleven. Maar in andere sectoren kan zo'n incident veel grotere gevolgen hebben — daar kan het echt bedreigend zijn. In die context zie ik mijn werk ook: het is een manier om ons voor te bereiden op de toekomst, en ik vind het mooi om daar een steentje aan bij te dragen.
Wat zou je willen zeggen tegen de partijen in jouw sector?
Maak gebruik van alles wat wij organiseren voor het bedrijfsleven. Er wordt veel aangeboden om bedrijven te helpen bekend te raken met de wetgeving en de verplichtingen die daaruit voortkomen. Ik snap dat bedrijven keuzes moeten maken — je hebt een budget dat je maar één keer kunt uitgeven. Je kunt waarschijnlijk niet alles in één keer goed doen op het gebied van cybersecurity. Maar ik zou echt willen meegeven: neem dit onderwerp serieus. Het moet een integraal onderdeel worden van je bedrijfsvoering. Hou daar rekening mee.