Loopbaan
De carrière van Fleur van Leusden (35): kritische pionier
'Ik zeg het wanneer iets niet klopt'.
'Ik zeg het wanneer iets niet klopt'.
Waar de meeste jaren negentig-kinderen een uurtje per dag mochten ‘computeren’ had Fleur van Leusden - CISO bij de Autoriteit Consument & Markt - al een eigen pc met internetverbinding op haar slaapkamer. Vele uurtjes bracht ze erdoor, met het bouwen van websites en games. Daarnaast was ze verslingerd aan true crime- en politieseries. Het bleken passies die richting gaven in haar carrière. Omdat ze naar eigen zeggen nogal kritisch is aangelegd belandde ze als vanzelf in de securitywereld.
Van Leusden heeft een voorliefde voor ‘afwijkend gedrag’, zo vertelt ze thuis op haar bank. Naast haar werk is ze een gamer en kickbokser. Na haar middelbare school twijfelde ze tussen de studies rechten en psychologie. Het werd met criminologie aan de VU een combinatie van beiden.
“Toen ik klaar was met studeren moest ik op zoek naar werk, maar er was een recessie en dan is er niet veel vraag naar criminologen, wat eigenlijk een luxe-beroep is. Ik bleef dus hangen in de bijbaantjes van mijn studie: technical support bij Ziggo, destijds @Home. En later bij TomTom op het Rembrandtplein in Amsterdam. Toen diende zich een vacature aan voor internetrechercheur bij de politie.”
Ontvoerde mensen helpen
Ze begon zodoende als begin twintiger als één van de vier eerste internetrechercheurs in Nederland. Destijds een baan op MBO-niveau. “Ik had een master op zak, maar dat het onder mijn opleidingsniveau was interesseerde mij niet zoveel. Het was erg leuk werk en ik kon zo toch iets met mijn studie doen. Als internetrechercheur deed ik voornamelijk OSINT-werk (internet afspeuren naar openbare informatie die de bewijslast voor onderzoeken verzwaart). Maar we vroegen ook camerabeelden op bij een plaats-delict. Bij een onderzoek vroeg ik een IMEI-nummer op van een telefoon en locatiegegevens van iemand die ontvoerd was. Dat kon, omdat er voor uitzonderingen voor gevallen gemaakt kunnen worden. Het werk kende zeer uitdagende situaties.”
Haar eerste baan beviel goed, maar ze wilde meer. Ze wilde zich door ontwikkelen en dat ging lastig bij de politie, zo ondervond ze. “Ik werd te jong geacht voor hogere functies. Intussen werd ik benaderd door IT-bedrijf Capgemini, die mij voor langere tijd bij de overheid wilden detacheren voor een aantal klussen. De voorwaarden waren bovendien veel beter, dus de keuze was makkelijk.”
Voor de overheid werken
Voor de overheid werken was een belangrijke voorwaarde voor haar, gezien zij graag een bijdrage levert aan het publiek belang. Ze sprak daarom af met Capgemini dat ze alleen overheidsklussen kreeg. “Me nuttig maken voor een goed doel, de maatschappij. Dat spreekt me aan.” In vier jaar tijd bij Capgemini kreeg Van Leusden de ruimte om zich ontwikkelen. “Ik deed verschillende opdrachten voor het NFI, zoals het testen van nieuwe software.” Toch koos ze na een aantal jaar toch weer voor een baan als ambtenaar. Het bedrijfsleven, waarin bonussen vaak verdiend worden met de hoeveelheid inzet bovenop een 40-urige werkweek vond ze oneerlijk. “Ik was daarnaast nooit ‘echt’ van NFI, maar ik bleef altijd een externe. Een buitenstaander. Uiteindelijk kon ik daardoor ook niet altijd alles eerlijk tegen collega’s zeggen. Als ik bijvoorbeeld vind dat de security ruk geregeld is, dan wil ik dat gewoon kunnen roepen.” Ze begint te lachen. “Tja ik ben nogal kritisch van mezelf!”
Er volgde na een aantal jaren een aanbod van de Onderzoeksraad voor Veiligheid, als digitaal onderzoeker. “Dat was een mooie kans. Er was bij deze organisatie alleen nog helemaal niets geregeld op dit vlak.” Dus ook hier kwam van Leusden in een functie die eigenlijk nooit eerder bestond. “Het mooie is dat ik daardoor echt leuke dingen heb kunnen doen, zoals onderzoek naar de security van zelfrijdende auto’s en technologische hulpmiddelen bij het rijden zoals cruise-controle en Lane Keeping assistance.” Van Leusden mocht voor onderzoeksrapporten onder meer hackers van de Jeep Cherokee interviewen voor RDW, die destijds wereldnieuws waren. Ook nam ze de beruchte Tesla-hacks van Tencent onder de loep.
ICT in ziekenhuizen
Ze was in deze jaren ook veel bezig met ICT in ziekenhuizen, waar veel storingen optraden. “Daar heb ik veel input aan kunnen leveren, het was zeker leerzaam en interessant.”Maar als onderzoeker liep ze toch ook tegen een aantal nadelen aan. “Het kan niet dat we als organisatie anderen de maat namen met security, maar zelf niet eens aan de basisvoorwaarden voldeden. Ik trek mijn mond in dit soort gevallen gewoon open. Je kent het sprookje van de keizer zonder kleren? Tja, ik zeg het wanneer iets er niet uit ziet.”
Steeds meer security
Vaak kreeg ze na commentaar te horen dat ze zich op haar eigen functie moest focussen en niet op de security van haar eigen organisatie. “Dus toen bedacht ik me dat ik misschien beter ergens kan gaan werken waar ik dat wél kan.” Van Leusden was inmiddels zoveel met security bezig, dat ze ook zélf op gebied van security aan het roer wilde staan. “Ik kwam daardoor bij de Autoriteit Consument en Markt (ACM) terecht, waar ik nu werk. Je kunt dus inderdaad stellen dat ik tijdens mijn carrière steeds verder in de security-hoek ben beland.”
Geen gebaande paden
Wat van Leusden als CISO vooral bevalt aan haar huidige baan is het ontbreken van gebaande paden. Het is net als bij de politie en bij de Onderzoeksraad een functie die voorheen niet bestond. “Er is dus geen standaard-opleiding voor dit beroep, er zijn alleen trainingen en cursussen. Je hebt daardoor volop de ruimte om jezelf en het beleid te ontwikkelen, zoals het finetunen van pentesten. Er is niemand geweest die al eerder heeft gedaan bij de ACM, dus ik schrijf voor een deel zelf het beleid rondom nieuwe security-maatregelen. Er is veel vrijheid en eigen interpretatie bij. Maar er zijn binnen de securitywereld gelukkig veel goede best practices te vinden. Helemaal pionieren is het dus ook niet.”
Wat is het hoogtepunt van Van Leusden haar carrière? Vanwege het vertrouwelijke karakter van de cases bij de politie kan ze niet alles vertellen. Tijdens haar periode als CISO mocht Van Leusden een talk houden tijdens de ONE Conference over nep-phishing campagnes binnen organisaties, iets waar ze overigens nog altijd faliekant op tegen is. De zaal zat stampend vol met mensen die Van Leusden zelf al jaren bewondert. “Ik ben zo’n iemand die al jarenlang deze conferentie volgt en met een aantekeningenboekje meeschrijft met wat de mensen op het podium zeggen. Nu waren de rollen ineens andersom en luisterden diezelfde mensen naar mijn verhaal. Daar ben ik dus zeker trots op.”
CISO bij DIVD
Uiteindelijk werd ze na de vraag wie eigenlijk de CISO was bij stichting Dutch Institute for Vulnerability Disclosure (DIVD) zelf gevraagd om daar CISO te worden. De missie en visie van DIVD spraken haar aan. Het internet veiliger maken is iets waar zij graag een bijdrage aan levert. Van Leusden hapte toe. “Dat leek me leuk, omdat DIVD veel belangrijk werd doet op gebied van security-onderzoek. Al snel werd ik na een aantal wisselingen in het bestuur ook gevraagd als secretaris. Dat leek me leerzaam: een functie als bestuurder heb ik nooit eerder gehad. Maar het valt me eerlijk gezegd niet mee. Ik dacht altijd dat CISO’s veel meer slapeloze nachten hadden, maar als bestuurder zijn je verantwoordelijkheden nog veel breder. Het voordeel: door deze rol bij DIVD leer ik bestuurders een stuk beter begrijpen.”
Aan beginnende IT’ers wil Van Leusden meegeven dat contact hebben met de security-community belangrijk kan zijn tijdens werk. “Er is een hele grote, levende en gezellige community die dagelijks klaar staat met tips en adviezen over security. Daar is ook online heel veel uit te halen en dat kan ook zonder verplicht in de kroeg te moeten hangen. Daarnaast wordt zelflerend vermogen binnen de security enorm gewaardeerd. Jezelf dingen aanleren is beter dan met een papiertje staan wapperen.”
Fleur van Leusden (1986) is Security Manager (CISO) en Privacy Officer bij Autoriteit Consument & Markt. Daarnaast is ze bestuurslid en secretaris bij DIVD. Ze begon haar carrière in de IT als internetrechercheur bij de politie. Via Capgemini, waar ze onder meer langdurige klussen deed voor Nederlands Forensisch Instituut (NFI) en de Onderzoeksraad voor Veiligheid, waar ze digitaal onderzoeker was, kwam ze terecht bij ACM waar ze verantwoordelijk is voor security.
Dit artikel is ook gepubliceerd in het magazine van AG Connect (september 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.
is redacteur bij AG Connect.