Het duivelselastiek van De Telegraaf

Journalistiek en het auditvak liggen eigenlijk bijzonder dicht bij elkaar. Politiek commentator van De Telegraaf Wouter de Winther en information security officer Edward Roozenburg van Mediahuis, geven een inkijkje. Niet alleen voor ons, maar ook voor henzelf een eerste ontmoeting tussen een journalist en de backoffice van Mediahuis.

Wat is Mediahuis voor een bedrijf?

Edward Roozenburg (ER): “Mediahuis is een groot mediabedrijf met misschien wel honderd titels. We zijn actief in veel landen waaronder Nederland, België, Luxemburg en Ierland en dat worden er alleen maar meer. In mijn beleving is Mediahuis vooral een journalistiek bedrijf. Ons primaire doel is een journalistiek product leveren. Dat is weleens lastig als ik probeer draagvlak te vinden voor de activiteiten die ik uitvoer aan de achterkant voor Mediahuis, die bij de ‘bedrijfshygiëne’ horen.”

Wouter de Winther (WdW): “Ik werk voor De Telegraaf , sinds 2015 onderdeel van Mediahuis.”

Hoe ervaart u als journalist de medewerkers van ‘bedrijfshygiëne’?

WdW: “Ik voel me bijna overvraagd, omdat ik hierbij denk aan: staan er wel voldoende flessen alcoholgel op tafel. Maar ik heb eigenlijk niet heel veel ervaring met collega’s die zich met dit soort werkzaamheden bezighouden. Behalve dan met de technische dienst, op het moment dat mijn laptop niet werkt. Daarnaast is mijn kantoor in Den Haag en niet in Amsterdam bij Mediahuis. Wij zitten in het gebouw van de Tweede Kamer, dat is onze werkplek. De bedrijfshygiëne waar ik mee te maken heb is de bedrijfshygiëne in Den Haag en minder die van Mediahuis.”

Legt Mediahuis geen specifieke regels op voor het journalistieke werk?

WdW: “Jawel, dat je bijvoorbeeld voorzichtig moet zijn met phishing. Ik kan mij wel voorstellen dat we beveiliging serieus moeten nemen. We zien ook dat mediabedrijven regelmatig doelwit zijn van hackpogingen, verstoringen en bombardementen. Daar hebben we vooral in het verleden veel last van gehad, omdat we beschikten over apparatuur, servers en beveiliging waar een jaartje of tien niet in was geïnvesteerd. Je merkt wel dat dat soort dingen nu beter geregeld zijn.”

Edward Roozenburg: “Als iedereen aangesloten wordt op hetzelfde netwerk en er staat ergens maar één poortje open, dan heeft dat meteen consequenties voor het hele bedrijf”

ER: “Mediahuis breidt steeds verder uit. Voor mijn afdeling Information Security en IT Risk is het steeds de vraag welke bedrijven bij Mediahuis komen en of zij in control zijn qua beveiliging. Of trekt de nieuwe uitbreiding het niveau van ons hele concern naar beneden? Als iedereen aangesloten wordt op hetzelfde netwerk en er staat ergens maar één poortje open, dan heeft dat meteen consequenties voor het hele bedrijf.”

WdW: “Belangrijk voor mij als journalist is dat ik over apparatuur beschik die werkt. Wat ik me nog wel kan herinneren van voor de overname is dat we werkten met oude apparatuur waarvoor je drie inlogcodes nodig had om te kunnen beginnen aan een stuk. Gelukkig is dat veranderd, beveiliging moet werkbaar blijven.”

Wat zijn de belangrijkste kernwaarden in uw journalistieke werk?

WdW: “Wat ik als belangrijkste doel heb is dat ik verhalen, die bij voorkeur niet bekend zijn, in de publiciteit breng. Er zijn ook gebeurtenissen die breed bekend worden, en daar probeer je op een zo goed mogelijke manier verslag van uit te brengen. Je probeert aan nieuwsvoorziening te doen en tegelijkertijd aan toegankelijkheid te werken. Wij zijn van De Telegraaf, we zijn een massamedium.”

“Mensen die onze artikelen lezen willen in eenvoudige taal en in korte tijd inzichten krijgen in wat er in de politiek gebeurt. Ze verwachten daar ook een bepaalde snelheid bij. Onze kernwaarden zijn dus nieuwsvoorziening, toegankelijkheid en snelheid. Dat zijn de drie dingen waarop ons werk in Den Haag gebaseerd is. Niet voor niets staat op onze voorpagina: ‘spraakmakend de grootste’, wij proberen nieuws te brengen dat je niet zo snel bij andere media tegenkomt, en als eerste bij ons.”

En juistheid?

WdW: “Juistheid is voor mij een vanzelfsprekendheid. Ik schrijf geen fictie.”

ER: “Grappig, dit is nu typisch een vraag die iemand uit ons vak zou stellen: wat zijn de kernwaarden. Dat zijn dus de belangrijkste factoren die we moeten beheersen. En jij zegt: ‘Juistheid, natuurlijk is dat mijn kernwaarde, want anders zou ik geen journalist zijn’.”

WdW: “Ja, daar denk ik niet zo bewust over na, dat hoort gewoon bij mijn werk.”

Wouter de Winther: “Eén bron is geen bron, je past hoor en wederhoor toe. Je zoekt bevestiging van de feiten zoals ze zijn geschetst”

En hoe weet u dat uw bronnen de waarheid spreken?

WdW: “Je moet je eigenlijk altijd afvragen, wat is het belang van de bron om mij iets te vertellen? Je moet altijd in je achterhoofd houden dat je iemands persoonlijke herinneringen krijgt aan gebeurtenissen. Een van mijn voorgangers verwoordde het altijd als volgt: je staat bij een huis waarvan de ramen beslagen zijn en vitrage voor het raam hangt, en jij probeert van de buitenkant te kijken wat er binnen in dat huis gebeurt. Dat gaat niet zo makkelijk. Je krijgt dus nooit een volledig beeld. Het is jouw beschrijving van wat jij ziet gebeuren, of wat je achteraf van mensen hoort. Je gaat terug naar de basisbeginselen van journalistiek. Eén bron is geen bron en je past hoor en wederhoor toe. Je zoekt bevestiging van de feiten zoals ze zijn geschetst.”

Wat betekenen de genoemde kernwaarden voor uw werk als information security officer?

ER: “Snelheid is voor journalisten heel erg belangrijk, maar dat wat wij doen staat dat meestal in de weg. Daar ben ik mij van bewust en het is belangrijk dat wij dat goed in de gaten houden. Als Wouter snel iets gepubliceerd wil hebben en hij moet eerst allerlei sluizen door, dan zou dat een beperking in zijn werk kunnen zijn. Wij zijn geneigd om meteen te zeggen: ‘Oh dat is niet veilig’, maar dat schaadt dan het grotere belang van ons bedrijf, namelijk snel publiceren. Dat zijn wel discussies die gevoerd moeten worden, wat is belangrijker: veiligheid van de data of de snelheid van het nieuws? Liefst allebei natuurlijk, eigenlijk is het een soort duivelselastiek.”

WdW: “Ik ben blij dat te horen, want zo werkt het natuurlijk in feite wel. Tegenwoordig hebben mensen die geïnteresseerd zijn in nieuws bij alle nieuwssites een abonnement met pushberichten. Stel, op het moment dat er onverwacht een minister aftreedt en het AD komt daar een aantal minuten of zelfs seconden eerder mee dan De Telegraaf, dan klikken de mensen op het pushbericht dat het eerst binnenkomt. Elke 10 seconden lijken als een eeuwigheid te voelen, je krijgt maar één kans op dat soort momenten. De snelheid is met de nieuwe technologieën enorm gestegen.”

Welke rol speelt objectiviteit in uw werk?

WdW: “Objectiviteit bestaat in feite niet, iedereen heeft altijd bepaalde voorkeuren. Je probeert een zo realistisch en objectief mogelijk beeld te geven van de politiek. De verschillende kranten stellen andere prioriteiten, bijvoorbeeld door de manier waarop een kop wordt gemaakt en hoe groots wordt uitgepakt met bepaalde verhalen. Je moet goed oog houden voor wie je schrijft, wij schrijven voor ons Telegraaf-publiek, dat is niet automatisch hetzelfde als schrijven voor de mensen die de NRC lezen.”

Wouter de Winther: “Je moet altijd in je achterhoofd houden voor wie je aan het werk bent. Wie je klanten zijn”

In welk opzicht?

WdW: “Als je een verhaal over het zoveelste vriendje van Gordon in De Telegraaf leest, dan zullen onze lezers daarvan smullen, maar als dit in de NRC staat dan denken de NRC-lezers: wat krijgen we nu? En omgekeerd, we hebben niet elke zaterdag een kunstbijlage over die nieuwe tentoonstelling waar twee mensen naar komen kijken. Je ziet dus dat er voortdurend keuzen worden gemaakt. Wat je uiteindelijk probeert is een waarheidsgetrouw beeld te geven van wat er voor, maar zeker ook achter de schermen gebeurt.”

En uw eigen politieke voorkeuren?

WdW: “Natuurlijk heb ik die, dat zit in ieder mens gebakken. Maar dat is voor mij niet relevant als ik een stuk schrijf, dan zou ik dit werk niet kunnen doen. Ik kan de meest gruwelijke verhalen schrijven over de mensen die ik in het stemhokje sympathiek vind, dat moet je gewoon uitschakelen. Mensen zitten niet te wachten op wat ik persoonlijk vind. Mensen willen lezen wat ze nergens anders kunnen lezen. Dat is waarom ik het werk doe. Je moet altijd in je achterhoofd houden voor wie je aan het werk bent. Wie je klanten zijn.”

Welke controles voert u uit op het journalistieke werk?

WdW: “We hebben de spelregel dat er altijd een extra paar ogen meekijkt. We hebben de mogelijkheid om als journalist zelf artikelen te publiceren. Maar het is belangrijk dat altijd iemand tegenleest, al is het maar voor spelfouten. Daarna gaat het naar de eindredactie, maar dat is vooral stilistisch. Tenzij we écht spraakmakend nieuws hebben, zoals dat Rutte een geheim gezin blijkt te hebben of zo. De hoofdredactie bepaalt de uiteindelijke koers van de krant. Het is niet zo dat bepaalde onderwerpen taboe zijn. De eindredactie maakt een keuze of het interessant genoeg is om te publiceren en of het aansluit bij de interesse van de lezers.”

ER: “Jouw klanten zijn de lezers en mijn klanten zijn, bovenop jouw klanten, de journalisten. Want wij willen dat de stukken die op de site terecht komen zo blijven zoals ze zijn geschreven. Dat niet achteraf nog een kwaadwillend persoon daar iets in kan veranderen.”

Edward Roozenburg: “Wij zijn geneigd om meteen te zeggen: ‘Oh dat is niet veilig’, maar dat schaadt dan het grotere belang van ons bedrijf, namelijk snel publiceren”

Gaat u met de organisatie in gesprek voor de implementatie van een beveiligingsmaatregel?

ER: “Dat hangt ervan af. Soms denken we dat we een maatregel zonder overleg kunnen implementeren, het kan voorkomen dat dit een ander bedrijfsbelang doorkruist. Dan krijgen we kritische e-mails en passen we het aan. Bij andere maatregelen houden we er rekening mee en vragen we om advies. Het blijft lastig, want in hoeverre moeten we de organisatie met technische vraagstukken belasten, dat is iets wat vaak niet wordt begrepen. Dat leidt er soms toe dat we net niet de goede inschatting maken. Het is belangrijk om de consequenties goed in beeld te hebben.”

Welke beveiligingsactiviteiten voert uw afdeling zoal uit?

ER: “We proberen ons hele netwerk zo veilig mogelijk te houden. We hebben pentesten die we op allerlei systemen uitvoeren. Er is regelmatig ‘vulnerability scanning’ op bekende kwetsbaarheden. We schrijven beleidsdocumenten hoe servers moeten worden ingericht om het zo veilig mogelijk te houden. We zorgen dat processen rondom in- en uitdiensttreding goed lopen, zodat alleen de juiste mensen toegang hebben tot de systemen. En we zien verder toe op de fysieke toegang van het gebouw en datacenters.”

Doen jullie dit op basis van een risicoanalyse?

ER: “We hebben een strategische risicoanalyse uitgevoerd, daarin hebben we ook het risico benoemd dat er op de website content wordt aangepast. We weten dat dit in landen in het Midden-Oosten weleens gebeurt. In Nederland hebben we daar nog geen signalen van, maar TV5 is bijvoorbeeld wel een keer overgenomen waarbij propaganda werd uitgezonden. Dan komt het opeens toch wel dichtbij. En wat niet is, kan nog komen, we moeten vooruitlopen op de ontwikkelingen die gaan komen. Tot slot moeten we ons blijven focussen op het uiteindelijke doel van Mediahuis en zorgen dat we met onze maatregelen goed blijven aansluiten bij de behoeften van de journalisten en geen belemmering vormen voor hun werk. Af een toe is dit dus inderdaad een duivelselastiek.”