Bram van Veen (Island): de browser is voor de overheid werkplek, risicozone en controlepunt tegelijk

“Het grootste deel van je tijd zul je in de browser actief zijn,” zegt Van Veen over de dagelijkse praktijk binnen veel overheidsorganisaties. Medewerkers werken via de browser met SaaS-applicaties, openen documenten, raadplegen informatie en gebruiken steeds vaker ook AI-tools. Dat maakt die browser tegelijkertijd tot een productiviteitslaag én een aanvalsvlak. “De browser wordt daarmee ook een attack surface,” zegt hij. Volgens Van Veen is dat op dit moment een van de meest onderschatte verschuivingen in de publieke sector.

Daar komt bij dat dezelfde overheidsorganisaties ook worstelen met andere grote thema’s: AI-adoptie, digitale soevereiniteit, zero trust en databeheersing. Juist omdat al die ontwikkelingen in de browser samenkomen, vindt hij dat organisaties daar veel nadrukkelijker strategisch naar moeten kijken.

Onderschat

Volgens Van Veen is de browser lange tijd onderschat, juist omdat die zo vanzelfsprekend is geworden. Iedereen gebruikt hem, overal, op ieder device. Maar in veel organisaties draait nog altijd dezelfde browser als thuis, terwijl de context totaal anders is. Maar die browsers zijn van oorsprong niet gebouwd voor de eisen van een publieke of enterprise-omgeving.

Dat heeft beveiligingsgevolgen. Phishing wordt slimmer, sessies worden waardevoller, webapplicaties worden de norm en kwaadwillenden weten steeds beter hoe ze die laag moeten gebruiken. Juist daarom vindt Van Veen dat je de browser niet langer als een open toegangspoort kunt behandelen waar je pas buitenom controls omheen zet.

Beveiliging

“Organisaties hebben hun security jarenlang rond de browser georganiseerd in plaats van erin. VPN’s, proxies, firewalls, password managers en allerlei andere controls werden toegevoegd rondom een relatief open browserlaag. Dat werkte tot op zekere hoogte, maar is steeds minder houdbaar nu het merendeel van het werk precies daar plaatsvindt.”

“Dan blijft dus één cruciale vraag onbeantwoord: wat gebeurt er werkelijk in die laatste laag, op het moment dat een gebruiker met een applicatie, document, dataset of AI-tool werkt? Juist daar ontbreekt in veel organisaties nog grip.”

Daarom kiest Island voor een andere benadering. “Wij hebben niet de network centrische aanpak, maar een user centric aanpak. Dan worden beveiligings- en beheerelementen die vroeger buiten de browser zaten, veel dichter naar de werkelijke gebruikerslaag verplaatst. Niet als losse schil, maar als onderdeel van de omgeving waar het werk feitelijk wordt uitgevoerd.”

Hij ziet dat niet alleen als een securityverbetering, maar ook als vereenvoudiging van het landschap. “Minder losse componenten, minder schakels en meer centrale controle op de plek waar de interactie met data en applicaties plaatsvindt. Voor overheidsorganisaties is dat belangrijk omdat hun applicatielandschap vaak hybride is: moderne SaaS-diensten naast oudere toepassingen, plus steeds meer samenwerking via webinterfaces.”

Legacy

Deze ontwikkeling geldt niet alleen voor moderne cloudapplicaties. “Ook oudere of lokaal ontworpen applicaties kunnen steeds vaker via de browser worden ontsloten, zodat ze onder dezelfde beheers- en beveiligingslogica vallen. Bij lokale overheden heb je in sommige gevallen nog applicaties die uit een bepaald jaartal dateren. Wij bieden de mogelijkheid om dergelijke applicaties alsnog binnen een browsergedreven omgeving te laten draaien.”

Uiteraard staat is ook AI een thema dat overal op tafel ligt. Dat maakt de browser nog gevoeliger als werklaag, omdat ook veel AI-gebruik precies daar plaatsvindt.” Aan de ene kant is er de wens om medewerkers toegang te geven tot AI, omdat die tools kunnen helpen om efficiënter te werken en betere dienstverlening te bieden. Aan de andere kant leeft er grote zorg over dataverlies, ongecontroleerd gebruik en de mogelijkheid dat gevoelige informatie in verkeerde AI-omgevingen terechtkomt.”

Veel organisaties proberen dat op te lossen door één door corporate goedgekeurde AI-tool aan te wijzen, en andere tools te blokkeren. In de praktijk komt dat vaak neer op een voorkeur voor één leverancier, terwijl andere toepassingen buiten beeld moeten blijven. “Maar daarmee is het probleem niet opgelost. Gebruikers vinden altijd een weg om toch een AI-tool te gebruiken.”

Omdat dit meestal via de browser plaatsvindt, ziet hij daar ook de logische plek om zicht te organiseren. “Je kunt AI uiteindelijk wel blokkeren, maar het is beter om volledig zicht te houden op welke AI-tools er nou eigenlijk gebruikt worden. Dan kun je detecteren wanneer gevoelige data vanuit een publieke dienstapplicatie richting een ongewenste AI-tool beweegt.”

Ook het thema digitale soevereiniteit komt in zijn gesprekken veelvuldig terug. Island is van oorsprong een Amerikaans bedrijf, en klanten hebben daar vragen over. “Maar wij zijn geen hyperscaler. Island is een aanvullende laag die juist kan helpen om organisaties meer controle te geven over waar data blijft en hoe die wordt gebruikt. Klanten kunnen hun data laten staan waar zij dat willen, zonder dat Island daar zelf toegang toe heeft.

Vooruitstrevend

Hij besluit: “Ik denk dat onze overheid vrij vooruitstrevend is als het gaat om digitale transformatie. Veel publieke diensten zijn al digitaal beschikbaar en er is in Nederland relatief veel ruimte om initiatieven te ontplooien. Dat neemt niet weg dat bedrijven vaak sneller kunnen bewegen. Zij hebben meer directe prikkels om te innoveren en kunnen makkelijker middelen, talent en besluitvorming rond een nieuwe technologie organiseren.”

Bij de overheid ligt dat anders. Innovatie is belangrijk, maar het bestaansrecht van de organisatie hangt er niet op dezelfde manier van af. Daardoor liggen tempo en prioriteiten anders. Dat is waarom de browser strategisch kan worden benaderd. Niet alleen als toegangspoort tot applicaties, maar als plek waar security, AI, data, governance en gebruikersgedrag samenkomen. “De browser is de meest gebruikte applicatie op de planeet, en kan zorgen voor grip op de combinatie van productiviteit, veiligheid en publieke verantwoordelijkheid.”