“De burger moet zijn verantwoordelijkheid nemen.” Het is al jaren een gevleugelde uitspraak van diverse politici. Ik ben de laatste die het daarmee oneens wil zijn. Er zijn hiervoor echter wel twee dingen nodig. De burger moet ook de bevoegdheid krijgen om zijn verantwoordelijkheid te nemen en hij moet de competenties hebben om goede besluiten te nemen.

Over bevoegdheid heb ik het al eerder gehad. (Zie ‘Die ene heilige bevoegdheid van de projectmanager’.) Projectmanagers zijn verantwoordelijk voor alles wat fout gaat in een project, maar moeten het doorgaans stellen zonder bevoegdheden. Dat is niet erg zolang zij de spelregels mogen bepalen in hun project. We kunnen een parallel trekken met de individuele burger. Het leven van de individuele burger is het project en de individuele burger is verantwoordelijk voor alles wat er in zijn leven fout gaat. (Zie ook ‘Van je geluk wordt 10 procent bepaald door je omgeving en 90 procent door hoe je hiermee omgaat’.) Dat er een vangnet moet zijn voor bepaalde groepen zwakkeren moge duidelijk zijn. Maar daarbij gaat het wel om uitzonderingen. Als ik echter als burger kijk naar mijn project, mijn leven dus, dan heb ik niet het idee dat ik zelf de spelregels mag bepalen. En helemaal niet meer als de plannen van het huidige kabinet doorgaan.

• We zijn verplicht om vanaf ons 20-ste levensjaar geld opzij te leggen voor ons pensioen, terwijl we het geld juist heel goed zouden kunnen gebruiken als we een huis willen kopen of een gezin willen stichten. We mogen ook niet zelfkiezen, waar we dat geld onderbrengen.
• De score op de Cito-toets is in hoge mate bepalend voor de keuze van het vervolgonderwijs dat we volgen.
• Het wordt ons onmogelijk gemaakt om korter of langer te doen over een academische studie of een HBO-studie, wanneer we dat zouden willen.
• Als een bank teveel risico nemen, dan worden we verplicht om mee te betalen aan de redding van deze bank ook al hebben we niets met deze bank te maken.
• Als we vinden, dat de kwaliteit van leven onvoldoende is geworden, dan zitten we opgescheept met artsen die verplicht zijn te kiezen voor de lengte van het leven. En als we dan toch kiezen voor de lengte van het leven, dan krijgen we nu weer te maken met het feit dat er zwaar wordt bezuinigd op de kwaliteit van leven.

Zo zijn er nog tig voorbeelden te noemen waaruit blijkt, dat we onze verantwoordelijkheid niet mogen nemen.

Onze enige bevoegdheid wordt verkwanseld

Niet alleen wordt onze enige bevoegdheid verkwanseld, we zitten vast aan volksvertegenwoordigers die volledig gericht zijn op de herverdeling van uw en mijn geld op een wijze waarvan ze denken, dat die bij de volgende verkiezingen weer stemmen oplevert. Dat die volksvertegenwoordigers juist gekozen zijn op grond van beloften die ze voor de verkiezingen gedaan hebben en dat ze dus nu de verantwoordelijkheid hebben om die beloften waar te maken, is niet eens meer een issue. Zelfs journalisten vinden het niet meer de moeite waard om hier nog eens op door te vragen. Kortom, de enige bevoegdheid die we als burger hebben, wordt verkwanseld door de volksvertegenwoordigers die we gekozen hebben.
Het gezegde ‘Al is de leugen nog zo snel; de waarheid achterhaalt hem wel’ kan intussen bij het oud vuil. Anno 2013 kan de waarheid de leugen al lang niet meer bijhouden.  Maar het spreekwoord ‘Eerlijk duurt het langst’ is nog wel steeds van toepassing. Als politici de hoop hebben ooit het vertrouwen van burgers in de volksvertegenwoordiging te kunnen herstellen, dan zullen ze eerlijker moeten uitleggen waar de pijn zit. Dat geldt trouwens voor heel veel leiders waar wij als burger mee te maken hebben.

Snapt u het nog?

We leven in een tijd van crises. Niet zo maar crises, maar systeemcrises. De huizenmarkt, de zorg, de arbeidsmarkt, de financiële crisis, de euro; de complexiteit lijkt ons boven het hoofd te groeien. We zullen de crises moeten begrijpen, want anders kunnen we onze verantwoordelijkheid niet meer nemen om er goed op te anticiperen. En dat zal wel moeten, want de standaardaanpak van de overheid lijkt niet erg adequaat. Nieuws over een nieuwe crisis leidt tot de nodige consternatie, er wordt een schuldige aangewezen en beslissers en toezichthouders schuiven de verantwoordelijkheid af. Er volgt een onderzoek. Hiermee is het onderwerp geparkeerd en heeft het zijn nieuwswaarde verloren en politici en journalisten kunnen weer op zoek gaan naar een volgend incident.
Soms worden maatregelen getroffen, die meestal eerder een stap terug dan vooruit zijn. De leiders van nu denken nog in de oplossingen van de vorige eeuw met als belangrijkste denkfout, dat bezit en zekerheid het hoogste goed zijn. (Zie ook ‘Businessmodel voor de wereld van morgen’.)
Neem bijvoorbeeld het sociaal akkoord voor flexwerkers. De sociale partners dachten flexwerkers beter te moeten beschermen. De termijn dat flexwerkers tijdelijk mogen werken werd terug gebracht van drie jaar naar twee jaar. Dat is natuurlijk mooi als een tijdelijke aanstelling met instemming van beide partijen wordt omgezet naar een vaste aanstelling. De realiteit is echter, dat zowel werkgevers als flexwerkers hier niet op zitten te wachten. Een werkgever is dus nu verplicht om na twee jaar al afscheid te nemen van een flexwerker. Snapt u het nog als werkgever of als flexwerker?
Ook moeten we weer gaan sparen. Maar kunnen we daarin onze eigen keuzes maken? Jonge mensen zitten nu vaak vast in het systeem. Ze betalen braaf hun fiscaal aftrekbare pensioenpremie, terwijl ze het geld dat ze zo opzijzetten vaak pas over vijftig jaar nodig hebben. Het zou veel beter zijn om jongeren daarin meer vrijheid te geven, zodat ze bijvoorbeeld eerst kunnen sparen voor een eigen huis en pas later voor hun pensioen.
We zijn nu bezig om op grote schaal geld rond te pompen. Mensen betalen pensioenpremies, die vervolgens door de pensioenfondsen belegd worden in hypothecaire leningen die de banken hebben uitgegeven. Zo financieren mensen op een ingewikkelde manier hun eigen hypotheek bij de bank. Daarmee komt de huizenmarkt niet uit de malaise. Veel mensen realiseren zich niet dat hun werkgever meebetaalt aan hun pensioen. Het is veel logischer om die werkgeverspremie uit te betalen aan de werknemer, zodat die daarmee zelf kan sparen en het geld vervolgens kan uitgeven aan een huis, het opzetten van een eigen bedrijf of een sabbatical. Daarmee geef je de economie een directe impuls, leer je de Nederlander ook weer wat financiële planning is en breng je op korte termijn de staatsschuld naar beneden. Helaas mogen wij niet beschikken over het geld dat we in werkelijkheid verdienen. Die bevoegdheid hebben we niet. Snapt u het nog?

Toch maar weer polderen

Implementatie van nieuwe plannen kost tijd. En vaak pakken die plannen anders uit dan verwacht. Zo werd gedacht dat het openbaar maken van salarissen zou leiden tot een neerwaartse druk op topinkomens. Het omgekeerde gebeurde. In 1983 werd een eigen bijdrage per recept ingevoerd om het medicijnengebruik terug te dringen. Het aantal medicijnen per recept steeg zo sterk, dat er per saldo een stijging in medicijngebruik was. Het is nodig, dat we problemen weer in hun context zien.
Als het uitgangspunt de perceptie van slechts één partij is en de stakeholders worden niet in de discussie betrokken, dan kan het bijna niet anders dat er vervolgens aan de oplossing gesleuteld moet worden. Het huidige regeerakkoord is hiervan een treffend voorbeeld. De enige context was ‘De tering naar de nering zetten’ en iedere creativiteit vanuit sociaal of innovatief perspectief werd de kop ingedrukt. Het lijkt een logische stap om partijen die te maken krijgen met een systeemwijziging te vragen hoe ze gaan reageren op die wijziging. Dan is er niet één partij die voor de anderen denkt, maar kunnen aannames direct getoetst worden. Het poldermodel kan hiervoor een goede werkwijze zijn, maar dan zullen we het polderen toch weer opnieuw moeten uitvinden.
Het doel is dan niet te onderhandelen en de (schaarse) middelen te verdelen, maar om te begrijpen hoe we samen in deze situatie terecht zijn gekomen. De koek die verdeeld wordt, moet groter gemaakt worden. Dat is wat de sociale partners verbindt ondanks alle verschillende doelstellingen. Dat is het polderen 2.0.
De burger schuift helaas niet aan bij dit overleg. De standaardreactie van onze gekozen vertegenwoordigers is, zoals gezegd, afschuiven. Het sociaal akkoord is daar de schitterende vertaling van: “Als u als burgers voldoende geld uitgeeft, dan krijgt de economie een boost en krijgen wij geld om voor u leuke dingen te doen (tenminste waarvan wij denken dat u ze leuk vindt). Doet u dit niet, dan verhogen we uw lasten, want de overheid zelf is van plan om in 2014 wel meer uit te geven dan in 2013”.
Ik snap het niet meer helemaal, maar dat zal wel komen doordat ik te beperkt ben.En dan moet ik natuurlijk blij zijn dat de overheid me tegen mezelf beschermt, zodat ik geen foute keuzes meer kan maken. Dat doen anderen dan wel voor mij.

Nawoord na de inhuldiging van Willem Alexander:

Wat is beter voor de burger en de democratie? Een niet gekozen maar wel goed voorbereide koning die zijn verantwoordelijkheden kent en het volk dient. Een gekozen volksvertegenwoordiger die na de verkiezingen zijn verantwoordelijkheden afschuift en slechts het partijbelang dient.

Bronnen:
Etiënne Rouwette, Marlies Honingh, ‘Systeemcrises vragen om de fundamentele aanpak van een nieuw poldermodel’. In: Het Financieele Dagblad. 30 maart 2013.
Neelie Kroes, ‘Lekker model’. In: Het Financieele Dagblad. 30 maart 2013.
Michiel Goudswaard, ‘Het is de hoogste tijd voor emancipatie van de Nederlandse spaarder’. In: Het Financieele Dagblad. 6 april 2013.

Vanaf 1 maart 2013 hanteert het College bescherming persoonsgegevens (CBP) nieuwe richtsnoeren bij het toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp). Artikel 13 van deze wet eist dat bedrijven en overheden die persoonsgegevens verwerken, ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beveiligen. Als het CBP nu gaat voorschrijven wat passend is, dan stelt het zichzelf daarmee boven de wet.

Zoals geldt voor meer toezichthouders, beschouwt het CBP zichzelf tegenwoordig als het orgaan dat enerzijds de regels maakt en anderzijds de naleving van de regels die het maakt, controleert en boetes oplegt. Kortom, het CBP vervult de rol van zowel wetgever, als aanklager als rechter, rollen die in een rechtstaat strikt gescheiden horen te zijn. Want terecht immers merkt het CBP in zijn richtsnoeren op: “Rechterlijke uitspraken kunnen naast wetswijzigingen, technische ontwikkelingen en praktijkervaringen aanleiding geven tot aanvulling of herziening van deze richtsnoeren”.

Vriendendienst aan auditors en beveiligingsadviseurs

Het is sowieso de vraag of het CBP zijn eigen richtsnoeren serieus neemt. Allereerst verwijst het CBP al naar het nieuwe regelgevend kader van de Europese Commissie, dat op handen is. Aangezien deze Europese richtlijn boven de Nederlandse richtlijn gesteld is, zullen allerlei maatregelen die bedrijven nu moeten treffen van het CBP, binnenkort weer aanpassing behoeven. Ook wordt in de richtsnoeren van het CBP niet ingegaan op organisaties met vestigingen in meer landen. Verwacht men dat voor iedere vestiging een apart beleid wordt gemaakt? Zenuwachtige organisaties worden zo onnodig op kosten gejaagd.
En natuurlijk is het te zot voor woorden dat deze nieuwe richtsnoeren pas op 19 februari 2013 zijn gepubliceerd (en dat alleen naar aanleiding van een eis op grond van de WOB) en op 1 maart 2013 geacht worden te zijn geïmplementeerd. Vanaf die datum gebruikt het CBP namelijk de richtsnoeren als uitgangspunt om organisaties te beoordelen op maatregelen die ze hebben getroffen om de privacy te waarborgen. Deze werkwijze maakt het volledig ongeloofwaardig dat het CBP wil bijdragen aan een betere bescherming van persoonsgegevens. Het lijkt er meer op, dat ook het CBP moet bijdragen aan het oplossen van het overheidstekort. Hoe dan ook, een leuk cadeautje voor alle dienstverleners op het gebied van informatiebeveiliging is het in elk geval.

Voldoen aan de Wbp

Wanneer zijn beveiligingsmaatregelen nu ‘passend’, zoals de Wbp eist? In de richtsnoeren van het CBP is hierover een heel verhaal te lezen, dat echter los staat van de Wbp. Maar we willen u dat verhaal niet onthouden, opdat u er maar op bent voorbereid. Op de vraag wat passende maatregelen zijn, is in de richtsnoeren het volgende antwoord te vinden:

“Deze richtsnoeren leggen uit hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De richtsnoeren vormen de verbindende schakel tussen enerzijds het juridisch domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen. Dat betekent dat de richtsnoeren in samenhang moeten worden gebruikt met algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging, zoals de Code voor Informatiebeveiliging of de ict-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum.”

Opvallend hierbij is allereerst dat er nog verwezen wordt naar de Code voor Informatiebeveiliging en niet naar de opvolger in de vorm van ISO 27001 en ISO 27002. Het vervolg is echter wel in lijn met ISO 27001 en ISO 27002.

“Het uitgangspunt om tot een passende beveiliging te komen is, dat in een organisatie bestuurders en de mensen die verantwoordelijk zijn voor de informatiesystemen en -beveiliging gezamenlijk nadenken over de wijze van beveiliging, al vóórdat ze persoonsgegevens gaan verzamelen. De beveiliging van persoonsgegevens binnen een organisatie moet gedurende de gehele levensduur van een informatiesysteem punt van aandacht zijn”.

En dit geldt niet alleen voor persoonsgegevens, maar voor alle bedrijfskritische gegevens. Dus gewoon ISO 27001 en 27002.

Niet het CBP maar uzelf kiest het beveiligingsniveau

Ook het vervolg is geheel in lijn met ISO 27001. De onderstaande tekst is letterlijk overgenomen uit de richtsnoeren. Mijn commentaar vindt u in de cursief en onderstreepte tekst:

“Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Dat komt kort gezegd op het volgende neer:

1. Beoordeel de risico’s
Beoordeel (u dus) de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal (u dus) op basis daarvan het (door u) gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voor zullen doen (uw inschatting dus). Tref op basis daarvan gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen. (Het gaat hierbij dus niet om het niveau dat het CBP voorschrijft, maar om wat uzelf een acceptabel niveau vindt.)

2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden. Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, -standaarden en -maatregelen
die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. (ISO 27002 is hiervan een voorbeeld.) Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. (Net zoals ISO 27002 een verzameling ‘best practices’ vormt, die u naar eigen inzichten kunt gebruiken, geldt dit ook voor de richtsnoeren. Wel geldt uiteraard: ‘pas toe of leg uit’.) Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken.

3. Controleer en evalueer regelmatig
Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Pas waar nodig de maatregelen aan.” (Ook dit is volledig in lijn met ISO 27001 en 27002. Het gaat om uw verantwoordelijkheid en uw keuzes over het beveiligingsniveau.)

Ook het CBP grossiert in illusies

Waarschijnlijk is er bewust voor gekozen om deze ISO 27001 norm niet te noemen. Deze ISO- norm is namelijk een niet-normatieve norm, die de verantwoordelijkheid volledig legt bij de bestuurders van een organisatie. En dat lijkt duidelijk niet de bedoeling van het CBP. Men wil blijkbaar zelf de regie in handen houden en niet, zoals in de Wbp en de ISO 27001 norm wel is bepaald, dat de directie zelf kiest voor haar norm.
Het is duidelijk dat het CBP probeert de suggestie te wekken dat zijn richtsnoeren verplicht zijn. Een strategie van bangmakerij, die al vele jaren door beveiligers wordt gehanteerd om ervoor te zorgen, dat richtsnoeren hoog op het lijstje van operational risks komen, waar iedere organisatie tenslotte in meer of mindere mate mee te maken heeft.
De richtsnoeren kunnen organisaties helpen bij het selecteren van maatregelen, net als ISO 27002 dat kan. Daarom zijn de richtsnoeren een welkome bijdrage aan de informatiebeveiliging. Dat de indruk gewekt wordt dat de richtsnoeren de norm zijn, waarop bedrijven de maat genomen wordt, is laakbaar. Laat dan een dergelijke houding voor politici en bedrijven tegenwoordig niet ongebruikelijk zijn, van toezichthouders verwacht ik meer dan een halve waarheid. Dit terwijl in die in de richtsnoeren ook die ene zin staat vermeld:

“Met deze richtsnoeren wil het CBP duidelijk maken wat het van de beveiliging van persoonsgegevens verwacht. Daarbij heeft een organisatie de ruimte om de beveiliging van persoonsgegevens in te richten op de wijze en met de middelen die in de specifieke situatie van deze organisatie het meest passend zijn. Een organisatie benut hierbij optimaal wat het vakgebied informatiebeveiliging te bieden heeft.”

U voldoet dus volledig aan de richtsnoeren als u deze heeft meegewogen in het bepalen van passende maatregelen die, zoals het CBP het zegt: “het gewenste beveiligingsniveau kunnen waarborgen.”

Bron:
http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf

Tegenwoordig bestaat de neiging ieder incident op te blazen tot een calamiteit, of er nu sprake is van ernstige schade of niet. De afrekencultuur door toezichthouders houdt hiermee gelijke tred. Ondernemers en bestuurders moeten daarom terdege rekening houden met deze trend. Het is allemaal een gevolg van de risico-regelreflex, een virus waarmee vooral politici en de media zijn geïnfecteerd. Bij ieder incident roepen media en politici in koor, dat er nu krachtdadig opgetreden moet worden. Bestuurders kunnen weinig anders dan hierin meegaan. Zinnig of niet zinnig.

Het bekendste voorbeeld is de tunnel onder de A273 onder de Maas. Door de vele veiligheidseisen moest de tunnel zeer frequent afgesloten worden vanwege storingen in de veiligheidssystemen. Becijferd is dat door het omrijden van het verkeer er meer slachtoffers zijn gevallen, dan het geval zou zijn geweest als de tunnel geen beveiligingssystemen zou hebben gehad. Het effect op de kosten vanwege zowel de veiligheidssystemen als het omrijden kunt u eenvoudig raden.

Natuurlijk is er onderzoek gedaan naar het optreden van de risico-regelreflex bij de overheid. Het heeft geleid tot vuistdikke rapporten, die uiteraard niet zijn door te worstelen. Maar soms zijn ze ook humoristisch of schokkend is. Eén ervan wil ik u niet onthouden. Mijn commentaar staat cursief vermeld.

Ongeluk A28 door rookpotten: het opstoken van het vuurtje

18 januari 2006 rond half tien ’s avonds, op de A28 bij Assen ontstaan in beide richtingen grote kettingbotsingen. De Telegraaf meldt dat er vanwege zeer dichte mist in combinatie met gladheid 68 auto’s op elkaar zijn gebotst (Telegraaf, 2006, 19 januari). Drie auto’s vliegen in brand. Gelukkig vallen er geen dodelijke slachtoffers, maar twee mensen raken zwaar- en vijftien lichtgewond. In het nabijgelegen Van der Valkmotel wordt opvang geregeld.
Een dag na het ongeval meldt NRC Handelsblad dat een oefening met rookpotten mogelijk ook de oorzaak van de kettingbotsing is geweest. “Defensie oefende op het moment van het ongeval op het militaire oefenterrein Baggelhuizen, op enkele honderden meters van de snelweg. Hierbij werden rookpotten gebruikt. Omdat het een terrein van Defensie is hoeft het leger de oefeningen vooraf niet te melden bij de gemeente. Evenmin is toestemming nodig. Of de rook mede de oorzaak is van het ongeval is niet duidelijk, maar wordt wel onderzocht (NRC Handelsblad, 2006, 19 januari). De Telegraaf heeft diezelfde dag de Koninklijke Landmacht om een reactie gevraagd, en deze bevestigt dat er een oefening is geweest, maar ziet de oefening en het ongeval als twee losstaande feiten; onderzoek moet vaststellen of er een relatie is (Telegraaf, 2006, 19 januari).
De Partij van de Arbeid wil daar niet op wachten en stelt Kamervragen aan de minister van Defensie, Henk Kamp (VVD). Men wil weten of het verantwoord is om oefeningen met rookpotten te houden, terwijl er een combinatie van mist met vorst is en waarom de militairen de slachtoffers niet hebben geholpen, terwijl ze zich op driehonderd meter afstand van het ongeval bevonden. Tevens willen de PvdA’ers weten of de minister dit soort schade in de toekomst gaat laten verzekeren “gezien de grote kosten die gepaard kunnen gaan bij bewezen schuld” (TK 20506 07240).

Kortom, een gewoon incident als gevolg van mist en vorst is opgeblazen tot een calamiteit voor bestuurders, vanwege mogelijk grote financiële gevolgen als betrokkenheid bewezen kan worden.

Reactie minister

In een reactie geeft Minister Kamp allereerst aan welke procedures er van toepassing zijn op het gebruik van rookpotten. “Voorafgaand aan elke oefening wordt een standaard procedure gevolgd, waarbij mogelijke risico’s inzichtelijk worden gemaakt en worden maatregelen getroffen om deze risico’s tot een minimum te beperken. Bij het gebruik van rookpotten wordt rekening gehouden met de locatie van het ontsteken van de rookpot, in combinatie met de weersomstandigheden (windkracht en windrichting), om een zo veilig en effectief mogelijk rookgordijn aan te leggen. Daarbij worden ook de mogelijke effecten buiten de directe oefenomgeving in beschouwing genomen” (TK 20506 07240).

De gevolgde procedure is adequaat, dus hiermee zou de kous af moeten zijn.

Maar de minister gaat verder. Hij stelt een tweetal maatregelen voor.

• Ten eerste gaat hij een onderzoek laten uitvoeren door de Koninklijke marechaussee naar de gang van zaken, om duidelijkheid te krijgen over de vraag of er een verband is tussen de oefening en het ongeluk. 
• Ten tweede draagt hij de Commandant der Strijdkrachten op zijn ondercommandanten een goede analyse van de omstandigheden te laten maken, alvorens over te gaan tot het gebruik van vuurwerken”. (TK 20506 07240).

Dit is typisch de risico-regelreflex. Ondanks dat er sprake was van een gecontroleerd risico, worden toch aanvullende maatregelen genomen.

De uitslag van het aanvullende onderzoek

Op 13 juni 2006 maakt het OM bekend wat de uitkomsten van het onderzoek door de Koninklijke marechaussee zijn (TK 20506 18360). De conclusie van het OM is, dat de militairen zich aan de geldende instructie hebben gehouden en dat “de effecten die de bijzondere weersomstandigheden hadden op de rookontwikkeling” (TK 20506 18360) niet waren te voorzien. Minister Kamp laat in de beantwoording van Kamervragen over het onderzoek weten dat het ministerie van Defensie onderzoekt “of er (meteorologische) normen zijn op basis waarvan een voorspelling kan worden gegeven van de gevolgen van het afsteken van rookpotten in dergelijke weersomstandigheden” (TK 20506 18360).

Ambtelijke follow-up

De ambtenaar die verantwoordelijk was voor het onderzoek, was ten tijde van het incident onderzoeker bij de beveiligingsautoriteit en onderzocht beveiligingsincidenten. Op het moment dat het incident plaatsvond was ze de “point of contact van Defensie, dus de ongevalscoördinator. Zij geeft aan de gang van zaken rond het incident vervelend te vinden. Ze spreekt over “oestergedrag” tussen de bewindspersoon en de Kamer”.
Maatregelen
De maatregelen die na het incident zijn genomen zijn volgens deze ambtenaar de volgende. Ten eerste is er dus het onderzoek, gedaan door de Marechaussee, geweest. Dit was gedegen en correct. Omdat het rapport van het onderzoek toch ook nog veel vragen opleverde, is de ambtenaar zelf naar Assen gegaan: “Gewoon zelf. Ik heb op het veld gelopen. Ik heb daar rondgebanjerd. Ik heb het helemaal uitgezocht van voor tot achter. En mijn conclusie was: defensie heeft niets fout gedaan. Er is geen procedure overtreden en er is ook geen ongewenst gedrag geweest. Helemaal niks”.
De tweede maatregel die ze noemt, is dat er door Defensie zesenzestig auto’s zijn vergoed. Dit is gedaan omdat defensie “een grotere zorgplicht” voelde: “Formeel-juridisch is Defensie niet aansprakelijk, moreel-ethisch (…) is er wel een bepaalde plicht naar de maatschappij”.
Ten derde zijn de procedures rond het oefenen met rookpotten opnieuw tegen het licht gehouden. Ten slotte zijn er gesprekken geweest met de leverancier van de rookpotten om te kijken of die verbeterd kunnen worden.

Conclusies ambtenaar

De ambtenaar vindt het ministerie van Defensie dus niet verantwoordelijk voor dit incident. Ze noemt het een “toevallige samenloop van omstandigheden. Sukkels die honderdtwintig blijven rijden bij dichte mist. Een dal dat gebouwd is, een meer dat ernaast ligt, een toevallige oefening en de weersomstandigheden bij elkaar opgeteld”. Toch vindt ze de maatregelen die genomen zijn heel redelijk. “Juist dat even opfrissen van alle relevante regelgeving en procedures werkt heel goed. Al die commandanten waren opeens weer heel bekend met de procedure „oefenen met rookpotten‟. En de gesprekken met de fabrikant, waren nuttig om te kijken of er misschien iets zou kunnnen worden verbeterd aan de rookpotten.

Kosten van deze overreactie

Wel concludeert de ambtenaar dat er overgereageerd is, omdat Defensie haar zorgplicht moreel-ethisch groter achtte dan die formeel-juridisch is. En dat zorgt volgens haar voor een aantal negatieve effecten.

1. Hoge kosten van het beleid

Als alle procedures weer tegen het licht worden gehouden, betekent dat, dat heel veel mensen in schaal twaalf daar ineens hun tijd aan moeten gaan besteden en andere dingen dus noodgedwongen voor zich uit moeten schuiven. De schalen voor dit soort werk worden bovendien opgehoogd van tien of elf naar twaalf of dertien en er worden overal senioren voor ingezet, want ja, er mogen geen fouten meer gemaakt worden, omdat de risico’s groter zijn. Dit brengt de nodige kosten met zich mee.

Tel daarbij op de kosten voor het vergoeden van de schade aan 66 auto’s en de menskracht om alle Kamervragen te beantwoorden.

2. Afnemend rendement in de verbetercurve

Er is ook nadrukkelijk sprake van een afnemend rendement. Er wordt gewerkt op basis van risicomanagement. Als je aan risicomanagement doet, dan heb je dus een geaccepteerd risico. De politiek wil echter altijd dat iets honderd procent beveiligd wordt. Dat is niet werkbaar. Toch legt de politiek dat op.

3. Onduidelijkheid over (publieke) verantwoordelijkheden

Als het gaat om verantwoordelijkheden, moet onderscheid worden gemaakt tussen de verantwoordelijkheid die door de politiek verwacht wordt en de eigen invulling van de verantwoordelijkheid: de politiek vindt vaak dat de overheid verantwoordelijk is, maar gunt de overheid niet dat zij deze verantwoordelijkheid zelf invult. Dat is het spanningsveld. De overheid wordt wel verantwoordelijk geacht voor een juiste beveiliging, maar als dat gebeurt op basis van risicomanagement, dan is men weer niet tevreden. Hierbij sluit ook de toegenomen ervaren zorgplicht van Defensie. Deze beide elementen creëren onduidelijkheid over verantwoordelijkheden.

4. Imagoschade voor de overheid

Door het soort maatregelen als genoemd, vindt nadrukkelijk imagoschade plaats . Het is niet zo dat als de overheid zegt, dat ‘iets’ niet meer zal gebeuren, het ook niet meer gebeurt. En dat is de crux van de imagoschade. De betrouwbaarheid van het instituut overheid wordt daardoor aangetast. Volksvertegenwoordigers dwingen de overheid iets te zeggen, waarvan iedereen op z’n klompen aanvoelt dat dat niet waargemaakt kan worden. Kwalijk is dan vooral, dat de burger dan denkt dat hij belazerd wordt door een departement, terwijl hij in feite belazerd wordt door zijn eigen volksvertegenwoordigers.

Risico-regelreflex en communicatie

Er is hier duidelijk sprake van de risico-regelreflex met aanzienlijke kosten en schade. De automobilisten, die zeker wat te verwijten valt, krijgen bovendien als beloning voor slecht gedrag een vergoeding, terwijl ze bovendien voor de schade al verzekerd zijn. En dat van publiek geld, waarop we toch al zwaar moeten bezuinigen.
Het is echter te goedkoop om de boodschappers de schuld te geven van deze overreactie. De echte verantwoordelijkheid hiervoor ligt bij de bestuurders, die hun rug recht moeten houden. ‘Goed is goed genoeg’. Dat moet je niet per definitie willen verbeteren. En risico nemen is onderdeel van het besturen van een organisatie. Daar moet je voor staan en dat moet je communiceren. Het eerste deel van het antwoord van de minister was correct en voldoende. Het tweede deel zette de risico-regelreflex in werking en dat leidde tot deze overreactie.
In het artikel ‘Vijf strategieën voor effectieve crisiscommunicatie ‘beschrijven we meerdere mogelijkheden om met een crisis om te gaan. Niet de ‘Mea Culpa’-strategie, maar gewoon even afwachten. Want een kettingbotsing op de A28 verliest voor de media al snel weer nieuwswaarde en voor politici al snel de mogelijkheid om te scoren.
En voor bestuurders en ondernemers het advies om zich niet gek te laten maken door allerlei beveiligingsspecialisten. Alleen u maakt de keuze welke risico’s u acceptabel vindt en welke niet. (Zie ook ‘Kosten en baten van beveiliging’.)

Ook 2012 heeft ons weer diverse nieuwe woorden geschonken. Soms komen nieuwe woorden voort uit een nieuwe ontwikkeling. In veel gevallen echter gaat het om oude wijn, die iemand die daar belang bij heeft, in een nieuwe verpakking heeft gestopt. Ik wil eens ingaan op het voorbeeld cyberrisico. Dit woord werd aangezwengeld door het centrale thema van de AON whitepaper ‘Cyberrisico’s onder controle?. In dit rapport worden zeer tendentieuze conclusies getrokken uit onderzoeken. Natuurlijk is het woord cyberrisico slim gekozen. De associatie met cybercrime is snel gemaakt. Laat u echter niet misleiden. Uit het rapport blijkt bovendien dat het belangrijkste cyberrisico is gemist. Voor mij is dit aanleiding om juist dit risico onder uw aandacht te brengen.

Het rapport opent quasi objectief: “De cyberrisico’s nemen toe. Welke uitdagingen stellen deze nieuwe risico’s uw organisatie?” Uit twee onderzoeken van Aon wordt duidelijk dat experts cyberrisico’s inschatten als één van de belangrijkste bedreigingen voor organisaties. In de Aon Global Risk Management Survey en de Security Management Survey staan cyberrisico’s in 2011 zelfs voor het eerst in de top tien van meest genoemde risico’s.

Aon Global Risk Management Survey 2011

De top tien risico’s van de Aon Global Risk Management Survey 2011 (tussen haakjes positie in 2009):

1. (1) Verzwakking economie
2. (2) Veranderingen in wet- en regelgeving
3. (4) Toenemende concurrentie
4. (6) Reputatie- en merkschade
5. (3) Onderbreking van het productieproces
6. (-) Gebrekkige innovatie/ aansluiting bij klantbehoefte
7. (10) Onvermogen om toptalent aan te trekken en vast te houden
8. (5) Prijsrisico grondstoffen
9. (-) Falende technologie/systeemfalen
10. (7) Risico van cashflow en liquiditeit”

Kunt u de relatie ontdekken met cyberrisico’s? Al deze risico’s bestaan al jaren. Mogelijk is een aantal van deze risico’s in belangrijkheid wat veranderd. Maar om te zeggen dat nu voor het eerst cyberrisico’s in de top tien staan? Natuurlijk wordt er meer online gekocht en dus is er sprake van toenemende concurrentie. Natuurlijk zijn er de social media en daarmee is er dus een extra mogelijkheid om reputatieschade toe te brengen. Natuurlijk kunnen hackers uw technologie of systemen aanvallen. Dat is echter de continue innovatie waar we mee te maken hebben en die zowel positief als negatief gebruikt kan worden. Waarschijnlijk vindt AON ook zelf dat dit nog niet een sterk verhaal is. Men gooit er daarom nog een tweede onderzoek tegen aan.

Security Management Survey 2011

Eind 2011 deed Aon in samenwerking met het vaktijdschrift Security Management van Kluwer voor de tweede keer onderzoek onder security managers in Nederland. In het Security Management Survey 2011 maakten de ondervraagde security managers net als in 2010 duidelijk welke risico’s de meeste aandacht krijgen. De top tien security-risico’s 2011 is een volstrekt andere dan in 2010. De nieuwe, vooral digitale risico’s zoals informatiediefstal, het lekken of manipuleren van informatie en cybercrime (vooral hacking) zijn in 2011 volgens de ondervraagden opkomende, urgente risico’s.

De top tien security risico’s van Security Management Survey 2011 (tussen haakjes positie in 2010)

1. (1) Diefstal
2. (-) Informatiediefstal
3. (4) Agressie
4. (6) Vandalisme
5. (5) Fraude
6. (7) Lekken of manipuleren van informatie
7. (9) Cybercrime
8. (-) Bedrijfsspionage
9. (-) Bewust toebrengen imagoschade
10. (-) Bewuste negatieve continuïteitsbeïnvloeding

Ook hier dringt de vraag zich op wat dan nu precies de cyberrisico’s zijn. Informatiediefstal is gewoon diefstal van informatie. Het hoort thuis onder het eerste punt. Cybercrime is uiteraard een cyberrisico. Maar betekent dat, dat nou juist uw organisatie de strijd moet aangaan met de georganiseerde misdaad? (Zie ook ‘Hackers niet het probleem van beveiligers’.) Zeer waarschijnlijk vindt die u niet eens de moeite waard. Ook de laatste drie risico’s zijn nauwelijks cyberrisico’s te noemen.
Kortom, een dergelijk door onderzoeken onderbouwd whitepaper lijkt mooi, maar trekt u wel uw eigen conclusies. En dan zou ik hiermee dit verhaal kunnen afsluiten. Het vervolg is echter te interessant om er niets over te zeggen.

Wat zijn oorzaken van cyberrisico’s?

De drie belangrijkste oorzaken van cyberrisico’s op een rij:

1. Moedwillig handelen: risico’s die te maken hebben met cybercriminaliteit. Denk aan het verspreiden van kwaadaardige software, identiteitsfraude en hacking.
2. Technisch falen: risico’s als gevolg van falende systemen zoals ICT-storingen of uitval.
3. Menselijk falen: onder deze categorie vallen risico’s door het niet goed beheren of beveiligen van de ICT-infrastructuur. Denk aan het kwijtraken of onbetrouwbaar raken van informatie, het te laat of niet adequaat updaten van software of systemen

Zolang misdaad loont, zullen er mensen zijn die er hun geld mee verdienen. Mensen die dat doen, noemen we criminelen. In de echte wereld komt een crimineel binnen, als hij dat echt wil. 100% veiligheid bestaat immers per definitie niet. In de cyberwereld is dit niet anders. En in beide werelden geldt, dat u standaard uw basismaatregelen moet treffen en voor uw kroonjuwelen aanvullende voorzieningen moet treffen. (Zie ook ‘Is beveiliging een groeiend probleem’.) Dat is niet nieuw en ook geen reden om de directie te alarmeren.
Technisch falen van systemen heeft altijd bestaan en zal altijd bestaan. Resteert het menselijk falen.  Hier wordt dat toegespitst op vooral ICT-beheerders. Ook dit risico is niet nieuw. Opvallend is echter, dat het menselijk falen van gebruikers niet wordt meegenomen. Terwijl dat eigenlijk de grootste verandering in het cyberrisico vormt voor uw informatiebeveiliging.

De gebruiker als cyberrisico

De belangrijkste verandering zit bij de gebruikers en bij de mogelijkheden die gebruikers door de voortschrijdende technologie hebben om informatie te benaderen. Ontwikkelingen als de cloud, de smartphone, het tablet en BYOD betekenen, dat steeds meer informatie beschikbaar komt buiten de goed beveiligde bedrijfsmuren. De noodzaak van kennis delen wordt steeds groter. De traditionele beveiligingsstrategieën en –systemen gericht op het beveiligen van de infrastructuur schieten daardoor steeds meer tekort. Informatiebeveiliging gaat over data. De hoeveelheid data groeit gemiddeld met 50% per jaar. Van ieder belangrijk document in uw organisatie bestaan gemiddeld 20 kopieën (print, mail, USB-stick, laptop, cloud etc). 80% van alle documenten wordt niet meer geopend nadat ze eenmaal zijn aangemaakt. Juist deze explosie aan veelal decentraal opgeslagen data vormt het belangrijkste cyberrisico. Want de beveiliging van al die decentrale infrastructuur is maar beperkt centraal te regelen. Het is vaak een zaak van de gebruiker zelf. Het wordt daardoor steeds belangrijker om naast de infrastructuur ook de vitale data te beschermen. En in dat woordje vitaal zit nu net de crux.

Bescherming van vitale data (kroonjuwelen)

Als u niet op zoek gaat naar maatwerk voor uw organisatie, is het onontkoombaar dat informatiebeveiliging een molensteen om uw nek wordt. Vaak wordt gedacht dat ICT de oorzaak is van alle ellende en tevens de oplossing voor het probleem. Maar dat is onzin. Het gaat om het maken van keuzes over wat uw kroonjuwelen, uw vitale data zijn. Dat is mensenwerk.
Neem als uitgangspunt dat data niet vitaal zijn. Als iemand dat voor bepaalde data wil weerleggen, dan zal hij anderen ervan moeten overtuigen dat die data wel vitaal zijn en moeten aangeven welke velden in datarecords dan vitaal zijn. Als het bijvoorbeeld gaat om persoonsgegevens, dan zijn de meeste velden niet vitaal. Alleen als u betalingsgegevens opslaat bij de identificerende gegevens of bij velden die verwijzen naar ziektes, geloof of ras, dan zult u maatregelen moeten nemen. Het meest eenvoudige is deze gegevens te verwijderen. Als dit niet kan, dan zult u de identificerende gegevens moeten scheiden van de zaakgegevens. De slechtste oplossing is om te proberen alle persoonsgegevens te beveiligen. Dan krijgt u een onwerkbare situatie of een oplossing, die zo lek is als een mandje.
Iets dergelijks geldt voor procesautomatisering. Als het gaat om de input voor uw productieproces, dan hebben we het over vitale data. Hiermee kunnen immers buitenstaanders uw productieproces of uw bewakingssystemen manipuleren. Data betreffende output en administratieve processen zijn doorgaans niet vitaal.
Ongetwijfeld kunt u nog andere data verzinnen, die voor uw organisatie van vitaal belang zijn. Wellicht kan ‘Checklist risico analyse informatiebeveiliging ISO 27001 en NEN 7510’ u hierbij helpen.
Voor de meeste organisaties is het zinvol om de risico’s voor informatiebeveiliging tegen het licht te houden. De beveiliging is doorgaans verzonnen door ICT’ers en vaak heeft niemand een goed beeld of maatregelen werken en zo ja, of de maatregelen wel nodig zijn en of er misschien ook witte vlekken in de beveiliging zitten. Slechts uw vitale data behoeven een adequate bescherming. Voor de rest gaat het om basismaatregelen. Maar die moet u dan wel treffen om bestuurdersaansprakelijkheid af te dekken. En beseft u hierbij dat de mens ook in deze tijd van cyberrisico’s nog steeds de zwakste schakel is.

Bron:
AON, ‘Cyberrisico’s onder controle’ Risicomanagement in het digitale tijdperk. White paper. Juni 2012.

De wereld bevindt zich op een keerpunt. De wereld zoals we die denken te kennen bestaat eigenlijk al niet meer. Omdat we de toekomst nog niet scherp kunnen zien, houden we tegen beter weten in vast aan een verouderd wereldbeeld, dat is gestoeld op het gedachtegoed van de tweede industriële revolutie. Die wereld was maakbaar, en geluk was via een steeds hogere consumptie te koop. Economische groei was de nieuwe religie. Maar de grenzen van die groei zijn bereikt.

We zien over de hele wereld een combinatie van crises. In de eerste plaats een financiële crisis die we maar niet echt onder controle lijken te krijgen. De mondiale onderlinge afhankelijkheid lijkt onbeheersbaar te zijn geworden. Daarnaast hebben we te maken met een grondstoffencrisis, een energiecrisis, een klimaatcrisis en een snel toenemend afvalprobleem.
Eén ding is duidelijk: we kunnen niet doorgaan op de ingeslagen weg. Als we willen voorkomen dat onze beschaving zichzelf om zeep helpt, zullen wij afscheid moeten nemen van het allesoverheersende economische paradigma, dat volledig op bezit is gebaseerd.

Herdefiniëren van waarde en waarden

We zijn losgeraakt van onze wortels en hebben het besef verloren van wat de wereld bij elkaar houdt en samensmeedt tot een zinvol geheel. We moeten een nieuwe cultuur ontwikkelen die gebaseerd is op andere paradigma’s en andere waarden. Dat is minder ingewikkeld dan het lijkt, want diep van binnen weten we heel goed wat er nodig is om op een goede manier met elkaar om te gaan.
Als menselijke soort hebben we alleen maar kunnen overleven door in co-existentie te leven met de natuur en met onze buren. We worden allemaal geboren met het besef dat we als individu minder overlevingskansen hebben dan als collectief, maar ergens onderweg naar volwassenheid raken we dat inzicht kwijt.
Als je kinderen vraagt naar hun ideeën over een rechtvaardige wereld, dan komen ze aan met universele waarden die in ieder van ons resoneren: eerlijk delen, voor elkaar zorgen, respectvol zijn, en de zwakkeren beschermen. Als kind voelden we haarfijn aan dat het niet deugt dat wij in rijkdom leven, terwijl anderen sterven van de honger. Ieder mens heeft een moreel kompas dat is afgestemd op dezelfde universele waarden. Dat is ons geweten. Het wordt tijd dat we weer durven te varen op dat kompas!
We zijn gewend welvaart uit te drukken in termen van geld. Natuurlijk draagt materiële welvaart bij aan ons welzijn, maar uiteindelijk kan zij ons nooit volledig vervullen. We moeten onder ogen zien dat het ook gaat om fysieke, intellectuele, sociale, en spirituele waardecreatie. We moeten kwantitatieve groei inruilen voor kwalitatieve groei. En we moeten het begrip succes herdefiniëren. Niet materieel succes maar het vermogen om gelukkig te zijn en iets voor anderen te betekenen, moet centraal staan.

De toekomst is aan visionairs en onze kinderen

Die nieuwe cultuur wordt gedragen door een ander soort denken en handelen. Een ander soort instituties, met een ander soort medewerkers en bovenal: een ander soort leiderschap. We hebben leiders nodig die hun koers niet laten bepalen door externe omstandigheden maar door hun intrinsieke motivatie, hun innerlijke stem en hun passie. Ze moeten durven varen op hun innerlijke kompas. De wereld van morgen vraagt om mensen die van binnen naar buiten leven in hun voelen, denken en handelen. Zij komen tot creatievere, onconventionele oplossingen en nieuwe denkrichtingen. Het herontdekken van onze universele waarden is een opdracht voor ons allemaal. Voor ondernemers,bestuurders, politici, kunstenaars, juristen, economen, wetenschappers, journalisten, artsen, ontwerpers, ingenieurs en last but not least: leraren. Leraren die durven te varen op hun interne kompas.
Volwassenen moeten het goede voorbeeld geven, maar de werkelijke quantum leap kunnen we maken door onze kinderen anders op te voeden en te scholen. Het is cruciaal dat kinderen gesterkt worden in de waarden die nodig zijn in de wereld van morgen en dat ze op pad worden gestuurd met de juiste bagage.

Van bezit naar gebruik vraagt andere businessmodellen

Een sluipmoordenaar, die onze welvaart bedreigt of beter gezegd, die bedreigd wordt door de toename van de wereldwijde welvaart, is de beschikbaarheid van grondstoffen. Als we ons huidige productie- en consumptiepatroon niet doorbreken, zullen de tekorten nog dit decennium voelbaar worden. Zoals voormalig Greenpeace-directeur Paul Gilding al eerder betoogde, zijn hiervoor radicaal vernieuwende bedrijfsmodellen nodig. En omdat bedrijven vooral de taal van de winst spreken, moeten duurzaamheid en grondstofefficiëntie onderdeel worden van het economisch belang van een bedrijf. Daarvoor moet onze samenleving af van het denken in bezit en moeten we toe naar een lease-samenleving als het gaat om gebruiksgoederen.
In die samenleving blijven producenten eigenaar van hun product en bieden zij enkel diensten aan. Een bedrijf verkoopt geen lampen, stoelen of tv-toestellen, maar immateriële zaken als licht, zitcomfort en tv-kijkuren. De producent verzorgt alle benodigdheden — levering, materiaal, onderhoud — voor deze dienst.
Een totale omkering van het denken ook bij de producenten want de huidige markt werkt andersom: hoe eerder een product weggegooid wordt hoe beter, want dan koopt de consument een nieuw exemplaar.

Hoe werkt de lease-samenleving?

In de lease-samenleving is hoogwaardigheid terug van weggeweest. Waar je vroeger nog naar de schoenmaker ging of je bank liet oplappen, is tegenwoordig reparatie vaak niet meer aan de orde. Bij veel elektronische apparaten is de batterij niet eens te vervangen, en na een x-aantal herlaadmomenten geeft je telefoon of iPhone de geest. Producten zijn ‘designed for the dump’ en daarmee — helaas — in de huidige economie perfect economisch rationeel. In een leasesamenleving zijn producten ‘designed to last’. De producent beseft dat als hij een dienst moet aanbieden, zoals de beschikking over een goedwerkend en ‘up-to-date’ telefoontoestel, deze het meest oplevert wanneer een bestendig, jaren meegaand apparaat wordt geleverd.
Actualisatie kan plaatsvinden door softwarevernieuwing of door makkelijke en goedkope vervanging van innovatiegevoelige onderdelen. Onderhoud en ontzorging staan centraal. Zo verschuift werkgelegenheid richting de dienstensector. Als de juiste acties genomen worden, biedt dit bedrijfsmodel een oplossing voor het Europese afvalprobleem en de grondstofkwestie.
De lease-samenleving geeft een economische invulling aan modellen die zijn geïnspireerd door de eeuwig hernieuwbare ketens van de natuur, bijvoorbeeld het ‘cradle to cradle’-model. Producten worden afgerekend op de dienst die ze leveren. Snelle, vergankelijke producten worden uit de markt geprijsd. Afval is niet meer het probleem van de samenleving, maar van de producent. Tegelijk is dit een kans, omdat producenten ervan verzekerd zijn dat ze hun product — inclusief grondstoffen — terugkrijgen. Dit maakt een kringloopeconomie evidenter.

Kaders voor een lease-samenleving

Er zijn concrete stappen nodig om een lease-samenleving mogelijk te maken. Een belastingverschuiving moet diensten als recycling en reparatie goedkoper maken. Om bedrijven aan te zetten tot het sluiten van productieketens, moet de verantwoordelijkheid van producenten opgeschaald worden met heldere criteria over duurzaamheid en recycling. Ten slotte moet een product ook werkelijk terugkomen bij de producent, zodat we het tijdperk van export, stort en verbranding achter ons laten.
Natuurlijk, er zijn voetangels en klemmen, zelfs al krijgt een bedrijf zijn aanvoerketen gesloten. Een economie waar waardevolle grondstoffen in omloop blijven tegen een continue vergoeding en waar goederen nooit van eigenaar veranderen, breekt met de huidige logica. Hoe zit het met leasen over grenzen? Wat gebeurt er met eigendomsrecht? En wie is de bewuste eigenaar: de grondstoffenleverancier? De maker? De verkoper? Het vergt moeite deze plooien glad te strijken. Maar ondanks deze bezwaren zien we dat de praktijk ons al heeft ingehaald. Nadruk op hebben, tomeloze afzet en weggooigedrag passen niet in deze tijd. Slimme voorlopers hebben dit gezien en hebben het leasemodel al omarmd. KPN kondigde onlangs aan mobieltjes te leasen om 100% recycling mogelijk te maken.
Ook in de ‘business to business’-sector zijn bedrijven succesvol met leasen. Denk aan meubels en tapijten, of de florerende markt van chemisch leasen, waar de aanbieder nu het belang heeft om niet méér dan de exact benodigde hoeveelheid van hun vaak schadelijke en zeldzame substantie aan te bieden. Deze bedrijven hebben de voordelen voor zichzelf en hun klanten ingezien. Het is nu aan de politiek om uitbreiding van het leasemodel te faciliteren. Misschien wel door nu in te zetten op een beter onderwijs, dat onze kinderen leert om welzijn na te streven.

Waardengericht onderwijs

Ons onderwijs levert nu hetzelfde type mensen af dat de oude wereld heeft gecreëerd. Mensen die onderwezen en ontwikkeld zijn vanuit een sterke focus op het cognitieve en met een economische drive. We leiden onze kinderen op om succesvolte worden in de wereld van gisteren, terwijl ze moeten leren om gelukkig te worden in de wereld van morgen.
Als we dat willen, moeten we het accent juist niet leggen op taal en rekenen, zoals de onderwijsminister doet. Heeft de minister enig idee hoe de economie van morgen eruitziet en welke competenties daarvoor nodig zijn? In zijn boekje A whole new mind stelt Daniel Pink dat het Westen om te kunnen overleven een transitie zal moeten maken van een economie die draait op de logische, lineaire kwaliteiten van het informatietijdperk, naar een economie waar inventiviteit, empathie en holistische kwaliteiten centraal staan. Inzicht ontwikkelen in de samenhang der dingen, daar draait het in de toekomst om.
Een tweede misvatting in ons onderwijs is de selectie op puntenscore. Het stimuleert basisscholen om kinderen op te leiden voor de Cito-toets. De toets bepaalt de inhoud van het onderwijs in plaats van andersom. Verder kweekt het huidige onderwijs kinderen die volgen en die zich voegen in het gareel. Om te ‘slagen’ leren we onze kinderen om zich te conformeren, om in een bepaald stramien te denken en risico’s te vermijden. Daarmee worden originaliteit en innovatie in de kiem gesmoord.
En dan is er nog de misvatting dat de opdracht van het onderwijs kennisoverdracht is. Daarmee zegt de minister dat kennis de belangrijkste succesfactor is in de nieuwe economie. Terwijl kennis overal beschikbaar is en uitermate snel veroudert. Een deel van onze kinderen gaat straks een beroep uitoefenen dat vandaag nog niet eens bestaat.
Waardengedreven onderwijs levert jonge mensen af die hun passie en talent willen gebruiken om een bijdrage te leveren aan de wereld en die dat ook kunnen omdat ze geleerd hebben hun creativiteit aan te boren en ‘out of the box’ te denken. Ze zijn vertrouwd met hun interne kompas en zijn in staat om van daaruit hun leven en de wereld vorm te geven.
In een wereld die zo snel verandert als de onze, kunnen we amper voorspellen hoe volgend jaar eruitziet, laat staan hoe de wereld er over 50 jaar uitziet. We kunnen kinderen dus niet de benodigde oplossingen meegeven voor de problemen van de toekomst. Maar we kunnen ze wel leren om op een bepaalde manier te denken, om samen te werken en samen te leven, zodat ze later in staat zullen zijn om op een zinvolle en effectieve manier de problemen van hun tijd te tackelen. De nieuwe wereld vraagt om leiders die beseffen dat het leven niet in eerste instantie om geld en bezit draait, maar om verantwoord gebruik. Kortom, het rentmeesterschap, dat zelfs binnen het CDA een ondergeschoven kindje is geworden. Anders worden onze kinderen het slachtoffer van uw en mijn consumptie. (Zie ook ‘Vrijheid zullen we opnieuw moeten uitvinden’).

Bronnen:
Judith Merkies, ‘Lease-samenleving oplossing voor het afvalprobleem en de grondstofkwestie’. In: Het Financieele Dagblad. 28 april 2012.
Tex Gunning, ‘Value Based Education’. NIVOZ Lezing, 13 oktober 2011. www.nivoz.nl.

IBM was 30 jaar geleden nog toonaangevend in computerland. Door de wet van de remmende voorsprong echter werd IBM overvleugeld door tal van andere bedrijven. Tijd dus om een nieuw landschap te schilderen voor de komende vijf jaar. IBM wil het voortouw nemen met computers die binnen vijf jaar op hun manier allemaal zijn uitgerust  met menselijke zintuigen. Maakt dit de mens overbodig? Oordeelt u zelf.

Jaarlijkse brengt IBM de “IBM 5 in 5″ uit, een lijst van innovaties die de komende vijf jaar belangrijk worden en die de manier waarop mensen werken, leven en met elkaar omgaan zouden kunnen veranderen. De “5 op 5” prognoses van IBM gaan uit van maatschappelijke trends en markttrends en kijken naar de nieuwe technologieën die door de R&D-labs van IBM wereldwijd worden ontwikkeld en die de innovaties mogelijk maken. In de zevende editie van deze lijst kondigt IBM diverse doorbraken aan, die het tijdperk van de cognitieve systemen inluiden, met computers die op hun manier zullen kunnen zien, ruiken, voelen, proeven en horen.

Een nieuw computertijdperk met cognitieve systemen

Dit jaar verkennen de “5 op 5” voorspellingen van IBM innovaties die het volgende computertijdperk inluiden, dat IBM ook wel het tijdperk van de cognitieve systemen noemt. Deze nieuwe computergeneratie zal waarnemen, leren, zich aanpassen en de wereld beginnen te ontdekken zoals hij werkelijk is. De voorspellingen van dit jaar hebben alle te maken met één aspect van dit nieuwe tijdperk: de capaciteit van computers om de menselijke zintuigen na te bootsen en op hun manier te zien, te ruiken, te voelen, te proeven en te horen.
Computers die kunnen waarnemen zullen ons helpen om bewuster en productiever te leven. Ze zullen ons denken ondersteunen, maar niet in onze plaats denken. Cognitieve computersystemen zullen ons helpen om het complexe weer eenvoudig te maken, de snelheid waarmee informatie op ons afkomt bij te benen, beter gefundeerde beslissingen te nemen, onze gezondheid en levensstandaard te verbeteren, ons leven te verrijken en allerlei obstakels uit de weg te ruimen, zoals geografische afstanden, taalverschillen, kosten en ontoegankelijkheid.
“Wereldwijd slaan IBM-wetenschappers de handen in elkaar om doorbraken te realiseren die computers helpen om de wereld rondom hen beter te begrijpen,” verklaarde Bernie Meyerson, IBM Fellow en VP of Innovation. “Net zoals het menselijk brein voortdurend de informatie van verscheidene zintuigen combineert voor wisselwerking met de wereld, zo leveren combinaties van deze doorbraken nog waardevollere cognitieve systemen op. Met betere inzichten zullen zij ons helpen om antwoorden te vinden op een aantal van de meest complexe uitdagingen waar wij voor staan.”

Voelen via je telefoon

Stel u voor dat u uw smartphone gebruikt om een trouwjurk te kopen en dat u via het oppervlak van het scherm de satijnen of zijden jurk of de kant aan de sluier voelt … Of dat u het kantwerk en het weefpatroon van een deken voelt dat door een lokale vakman aan de andere kant van de wereld wordt gemaakt … Over vijf jaar zullen sectoren zoals retail een kleine revolutie ondergaan door de mogelijkheid om een product via een mobiel toestel “aan te raken”.
IBM-wetenschappers maken gebruik van haptische, infrarode en drukgevoelige technologieën om toepassingen te ontwikkelen voor de retailsector, de gezondheidszorg en andere domeinen. De textuur en het weefpatroon van een stof worden dan voelbaar als iemand met zijn vinger over een beeld van het voorwerp op een scherm wrijft. De trilfuncties van een telefoon geven elk voorwerp een uniek trilpatroon dat overeenstemt met de tastervaring: korte en snelle patronen of langere en sterkere reeksen trillingen. Het trilpatroon zal helpen om zijde van linnen of katoen te onderscheiden en de fysieke gewaarwording van het aanraken van het materiaal te simuleren.
Momenteel maakt de gamingsector al gebruik van haptische en grafische technologieën om de speler in een gesimuleerde omgeving te brengen. Maar hier staan wij voor een nieuwe uitdaging: de technologie zo alomtegenwoordig maken en zo verweven met onze dagelijkse ervaringen, dat ze ons leven verrijkt. Deze technologie wordt vanzelfsprekend bij alles wat wij doen en verandert mobiele telefoons in instrumenten voor natuurlijke en intuïtieve interactie met de wereld die ons omringt.

Zien: een pixel zegt meer dan duizend woorden

Elk jaar maken wij 500 miljard foto’s. Elke minuut wordt 72 uur aan video geüpload naar YouTube2.
Verwacht wordt dat de markt voor medische diagnostische beeldvorming tegen 2016 niet minder dan $ 26,6 miljard zal bedragen. Maar momenteel begrijpen computers de beelden niet. Ze begrijpen alleen de tekst die wij aan en beeld toevoegen; om ze te taggen of een titel te geven. De meeste informatie – de inhoud van het beeld zelf – blijft een mysterie.
De volgende vijf jaar zullen systemen niet alleen de mogelijkheid verwerven om beelden en visuele data te bekijken en de inhoud ervan te herkennen, maar zij zullen aan de pixels ook een betekenis kunnen geven, ongeveer zoals een mens foto’s bekijkt en interpreteert. In de toekomst zullen computers met een soort “breinfuncties” kenmerken zoals kleur, textuurpatronen en begrenzing analyseren en inzichten verwerven uit visuele media. De impact hiervan op sectoren zoals de gezondheidszorg, retail en landbouw zal groot zijn.
Binnen vijf jaar zullen wij dankzij dit “gezichtsvermogen” in de medische sector informatie over specifieke anatomieën of pathologieën kunnen destilleren uit de enorme informatievolumes van MRI- en CT-scans, röntgenopnamen en echoscopieën. De essentiële informatie in deze beelden is soms zo subtiel dat ze ontsnapt aan het menselijk oog en alleen door nauwkeurige metingen aan het licht komt. Als systemen getraind worden om op beelden specifieke informatie op te zoeken – zoals het onderscheid tussen gezond en aangetast weefsel – en die te correleren met patiëntendossiers en wetenschappelijke literatuur, dan kunnen ze de artsen helpen om medische problemen veel sneller en accurater op te sporen.

Horen: computers zullen horen wat belangrijk is

Hebt u er ooit van gedroomd om alle geluiden rondom u correct te interpreteren en ook te begrijpen wat niet wordt uitgesproken?
Binnen vijf jaar zal een gedistribueerd systeem van slimme sensoren geluidselementen zoals geluidsdruk, trillingen en geluidsgolven op verschillende frequenties detecteren. Het zal deze input interpreteren om te voorspellen wanneer een boom in een bos zal omvallen of wanneer een aardverschuiving in beweging dreigt te komen. Een dergelijk systeem zal naar onze omgeving “luisteren” en de bewegingen of de belasting van een materiaal meten. Het kan ons dan waarschuwen als er gevaar dreigt.
Net zoals het brein zal het systeem door sensoren gevoed worden met onbewerkte, “ruwe” geluiden. Bij het interpreteren en klassificeren van de geluiden zal het ook rekening houden met andere “modaliteiten”, zoals visuele of tactiele informatie. Als het systeem nieuwe geluiden detecteert, zal het conclusies trekken op basis van eerder verworven kennis en de mogelijkheid om patronen te herkennen.
Neem bijvoorbeeld het gehuil of gebrabbel van een baby. Het systeem zal dit als een taal analyseren en ouders of artsen vertellen wat de jonge kinderen proberen te zeggen. De geluiden helpen ons dan om het gedrag of de behoeften van een baby juist te interpreteren. Een geavanceerd spraakherkenningssysteem dat de betekenis van babygeluiden heeft geleerd – honger, te warm, moe, pijn, … – kan de geluiden en het gebrabbel correleren met andere fysiologische informatie zoals hartslag, polsslag en temperatuur.
Binnen vijf jaar zullen systemen ook leren om emoties te onderscheiden en iemands stemming aan te voelen. Zij zullen gesprekselementen afbakenen en toonhoogte, spraaktempo en aarzelingen analyseren om dialogen productiever en efficiënter te maken. Dit kan bijvoorbeeld van pas komen voor een betere interactie met klanten in callcenters of om naadloos te communiceren met andere culturen.

Smaak: digitale smaakpapillen helpen om slimmer te eten

Zou het niet leuk zijn als gezond eten altijd heerlijk zou smaken? En als dit zou kunnen met een computersysteem dat vooral creatief is?
Onderzoekers van IBM ontwikkelen een computersysteem dat smaken onderscheidt en dat door chefs kan worden gebruikt om smakelijke en originele recepten te creëren. Het ontleedt ingrediënten tot op moleculair niveau en combineert de chemie van voedselbestanddelen met de psychologie van de smaken en geuren waar mensen dol op zijn. Door die informatie te vergelijken met miljoenen recepten kan het systeem nieuwe, onverwachte smaakcombinaties creëren. Wat vindt u bijvoorbeeld van geroosterde kastanjes met gekookte rode biet, verse kaviaar en gerookte ham?
Een dergelijk systeem kan ons ook helpen om gezonder te eten, want de innoverende smaakcombinaties zullen ons even hard doen smachten naar een vegetarische schotel als nu naar chips. Aan de hand van algoritmes zal de computer ook de precieze chemische structuur van voedsel achterhalen en bepalen waarom mensen verzot zijn op bepaalde smaken. De algoritmes zullen onderzoeken hoe chemicaliën met elkaar reageren, welke complexe moleculen er achter samengestelde smaken en geuren schuilgaan en hoe die moleculen zijn opgebouwd. Met behulp van die informatie en perceptiemodellen zullen de systemen kunnen voorspellen hoe aantrekkelijk een bepaalde smaak zal zijn.
Dit zal er niet alleen voor zorgen dat gezond eten lekkerder smaakt. Wij zullen ook verrast worden door ongewone combinaties van voedingsmiddelen die onze smaak- en geurwaarneming avontuurlijker en interessanter maken. Voor mensen met een speciaal dieet – zoals diabetespatiënten – zou het systeem smaken en recepten ontwikkelen om hun bloedsuiker precies op het juiste peil te houden, terwijl zij toch zoet kunnen eten.

Ruiken: computers zullen kunnen ruiken

De volgende vijf jaar zullen minuscule sensoren in onze pc of smartphone detecteren of er een verkoudheid of andere ziekte op ons afkomt. Door de geuren, biomarkers en duizenden moleculen in iemands adem te analyseren helpt dit systeem artsen om een vroegtijdige diagnose te stellen en beginnende kwalen te detecteren, zoals lever- en nierproblemen, astma, diabetes en epilepsie, gewoon door te detecteren welke geuren normaal zijn en welke niet.
Wetenschappers van IBM onderzoeken op deze manier nu al in musea de omgevingsomstandigheden en de luchtsamenstelling om kunstwerken beter te beschermen (US). Deze innoverende technologie wordt stilaan ook toegepast voor een betere ziekenhuishygiëne, momenteel een van de grootste uitdagingen in de gezondheidszorg. Zo komt een antibioticaresistente bacterie als staphylococcus aureus (MRSA) (resistent tegen methiciline), die in 2005 in de Verenigde Staten in verband werd gebracht met bijna 19.000 overlijdens bij ziekenhuispatiënten, vaak voor op de huid. Ze kan ook gemakkelijk worden doorgegeven als mensen met elkaar in contact komen. MRSA kan in gezondheidsinstellingen onder andere worden bestreden door ervoor te zorgen dat het medisch personeel de richtlijnen voor ziekenhuishygiëne naleeft. De volgende vijf jaar zal IBM-technologie aan oppervlakken die werden ontsmet gaan “ruiken” om na te gaan of kamers steriel zijn. Via nieuwe draadloze “vermaasde” netwerken worden gegevens over diverse chemicaliën verzameld en door sensoren gemeten, zodat het systeem voortdurend bijleert en zich aanpast aan nieuwe geuren.
Als doorbraken in sensor- en communicatietechnologieën worden gecombineerd met geavanceerde zelflerende systemen, dan kunnen sensoren gegevens verzamelen op plaatsen die tot voor kort voor onmogelijk werden gehouden. In de landbouw kunnen computersystemen bijvoorbeeld “ruiken” of analyseren of de bodemomstandigheden gunstig zijn voor een bepaald gewas. In een stedelijke omgeving kan deze technologie worden ingezet om problemen met afval, rioolwater en lucht- en watervervuiling vroegtijdig op te sporen en snel te reageren, voor ze uit de hand lopen.

En dat alles binnen vijf jaar?

Het klinkt heel fraai. Het lijkt echter wel heel sterk op de hype van 20 jaar geleden over kunstmatige intelligentie door computers. Natuurlijk is er vooruitgang geboekt. Het wereldkampioenschap schaken wordt intussen uitgevochten door computers. Maar ja, schaken is in die zin voorspelbaar, dat het zich afspeelt op 64 velden met stukken die slechts een beperkt aantal bewegingen kunnen maken en een duidelijk omschreven doel: het schaakmat zetten van de koning van de andere partij.
Toen ik de voorspellingen van IBM las, moest ik onmiddellijk denken aan de opmerking die ik laatst hoorde over de technologische vooruitgang: “In 1969 zette de mens voet op de maan en in 2012 zagen we zelfs kans om de Fyra naar Brussel te laten rijden.”
Het gat tussen laboratoria en het echte leven is nogal groot. Natuurlijk zijn er visionairs zoals bijvoorbeeld Steve Jobs, die in staat zijn of waren om sprookjes werkelijkheid te laten worden. (Zie ook ‘Innovatie is geloven in een niet bestaande werkelijkheid’.) Zodra echter een bedrijf iets dergelijks gaat roepen, dan speelt direct mijn Hollandse wantrouwen op: eerst zien, dan geloven.

Bron:
‘IBM onthult de vijf innovaties die ons leven de volgende vijf jaar zullen veranderen’. ibm.com/news/be/nl/2012/12/17/f593941c21112i37.html.

Maar dan begint de ellende. Hoe te beginnen? En vooral, wie moet het business continuity plan maken? Moet dat de manager beveiliging zijn? De manager ICT? De manager facilitaire zaken? De manager Kwaliteit? De financieel manager? Als u uiteindelijk maar besluit om iemand in te huren of het maken van een business coninuity plan neer te leggen bij een stafmedewerker, dan heeft u zich als directie ogenschijnlijk wel doortastend getoond, maar zal u in werkelijkheid niet veel verder komen met uw business contnuity plan. Want wanneer u daadwerkelijk begrijpt wat een business continuity plan (BCP) inhoudt, dan weet u dat juist uw keuzes belangrijk zijn als basis voor het BCP. (Zie ook ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’.) Bsiness continuity is meer dan het hebben van een draaiboek bij brand, overstroming, uitval van ICT of een terroristische aanslag.

Een business continuity plan is geen managementsysteem

Als u als directie ervoor kiest uw beslissingen over business continuity te legeren, dan kunt u ervan verzekerd zijn, dat gekozen zal worden voor een procesgerichte benadering volgens een aanpak die vergelijkbaar is met die van ISO 9001 of ISO 27001. Vaak wordt gestart met een uitvoerige risicoanalyse van alle processen in de organisatie om vast te stellen welke processen tijdkritisch zijn. Vaak gaat dit gepaard met een reeks van interviews onder het tweede en derde echelon management. En dat kan desastreuze gevolgen hebben. Iedere afdelingsmanager vindt, dat op zijn afdeling minimaal enkele bedrijfskritische processen plaatsvinden. Anders zou immers zijn afdeling niet echt meetellen in de organisatie. Het resultaat is een rijstebrijberg van risico’s voor de bedrijfscontinuïteit. Hiermee gaat de projectleider business continuity vervolgens aan de slag. Hij definieert maatregelen en uitwijkvoorzieningen voor elk deelproces, om de continuïteit van dat proces ook bij calamiteiten te garanderen. In het ergste geval worden er ook nog processen gedefinieerd om deze exercitie eens in de twee of drie jaar te herhalen om de continuïteit van de business continuity te borgen, zoals men dat gewend is bij ieder ander managementsysteem. Eindresultaat van het geheel is een dik pak draaiboeken, veel investeringen in uitwijkvoorzieningen en een eindeloos project, dat maar niet omgezet wordt in een bedrijfsproces.
Natuurlijk moet het opzetten van een business continuity plan wel projectmatig worden opgepakt, maar het moet vooral een eindig traject zijn. Het resultaat van dit project, dat meestal niet langer dan 2-6 maanden hoeft te duren, moet een business continuity plan zijn dat bestaat uit een beperkte set draaiboeken en vooral een ingericht proces dat ervoor zorgt, dat deze draaiboeken ook werken als een calamiteit zich daadwerkelijk voordoet.
Kortom, business continuity management bestaat in feite niet. Business continuity is geen managementsysteem. Zorg u ervoor dat het dat ook niet wordt.

Wat is business continuity dan wel?

Een business continuity plan is onderdeel van de maatregelenset die het risk management heeft om bedrijfsrisico’s te beheersen. Niet de dreigingen die u wilt pareren zijn uitgangspunt, maar de risico’s die uw organisatie loopt. En dan niet de objectieve risico’s. Uitgangspunt is in feite het antwoord op de vraag of iets erg is. Want als een gebeurtenis een te groot risico voor uw organisatie vormt, dan wilt u voorkomen dat die gebeurtenis optreedt. Dan gaat u op zoek naar preventieve maatregelen waarmee u het risico uitsluit. U bepaalt als directie zelf welke risico’s u wilt uitsluiten. (Zie ook ‘Risk management laat je niet over aan professionals’. Inherent aan die keuze is dat u kiest voor de duurste oplossing. Want preventie is een kostbare zaak. En nooit zult u weten of het misschien geen weggegooid geld is geweest. Preventie vormt geen onderdeel van uw business continuity plan. Preventie wordt belegd in de lijn. Een alternatief voor preventie is verzekeren. Als u bent verzekerd en een calamiteit vindt plaats, heeft u in elk geval budget om de directe schade van de ramp te dekken. (Zie ook ‘Business Continuity Plan: uw dekking voor onverzekerde schade’.) Maar ook dit vergt een aanzienlijke investering, en ook hiervan weet u niet of het weggegooid is geweest.
Naast deze risico’s zijn er de risico’s die u niet wilt of kunt afdekken met preventie of verzekeren, maar die aanzienlijk genoeg zijn om er een draaiboek voor op de plank te hebben liggen om de schade te beperken als de ramp zich daadwerkelijk voordoet. Blijft de ramp uit, dan heeft u de investering in preventie of verzekering in uw zak kunnen houden. Doet de ramp zich toch voor, dan blijft de schade acceptabel en komt uw bedrijfscontinuïteit niet in het geding. Dit is de categorie risico’s waarvoor het business continuity plan wordt gemaakt. In onderstaande afbeelding wordt de positionering van het business continuity plan weergegeven.

Is dat erg?

Terug weer even naar ons begin, naar de situatie waarin de directie de verantwoordelijkheid voor het business continuity plan voortvarend delegeerde. Op zich is dat een goede zaak, mits die directie zich er maar van bewust is, dat zij zelf het antwoord moet geven op de vraag: “Is dat erg?” Natuurlijk hoeft de directie niet elke keer bijeen te komen om deze vraag te beantwoorden als het risico zich voordoet. Zij heeft wel wat beters te doen. Meestal gaat het immers om tweederangs risico’s. Maar zij moet wel een proceseigenaar benoemen voor business continuity of voor risk management, die het mandaat heeft om in voorkomende gevallen deze vraag te beantwoorden. Want daarmee kan worden voorkomen dat het business continuity plan de container wordt voor alle bedrijfsrisico’s. Risico’s moeten dus beoordeeld worden. Hierbij  zijn vier classificaties mogelijk:

• preventie
• verzekeren
• opnemen in het business continuity plan
• accepteren

Deze beoordeling is een directieverantwoordelijkheid en die verantwoordelijkheid moet de directie beleggen bij de proceseigenaar. Pas dan kan zij de verantwoordelijkheid voor het daadwerkelijk opstellen van het business continuity plan delegeren en dan maakt het niet zoveel meer uit aan wie. (Zie ook ‘Hoe u een business continuity plan op de agenda krijgt bij directies’.)

Al enkele decennia lang wordt veel effort gestoken in het verbeteren van het succes van projecten, met behulp van methoden als Prince2, MSP tot aan ISO 21500 toe. Helaas leveren projecten nog steeds vaak niet datgene op wat we ervan verwachten. Misschien is de grootste faalfactor voor projecten wel dat we het succes willen behalen door het als een project te definiëren.

Er zijn boekenkasten volgeschreven over projecten en veranderingsmanagement en dat goed projectmanagement essentieel is voor veranderingsmanagement. Hierdoor is echter een levensgroot probleem ontstaan, met een Babylonische spraakverwarring tot gevolg. Laten we maar eens kijken naar de definitie van een project:

“Een project is een, in de tijd en middelen begrensde, eenmalige activiteit om een resultaat te creëren”.

Een projectmanager wordt geacht dat resultaat binnen tijd en budget te realiseren. Essentieel is dus dat de projectmanager scherp krijgt, wat het projectresultaat dient te zijn. Volgens Prince2:

• wordt een project opgeknipt in fases die zijn te overzien en wordt elke fase afgesloten, alvorens de volgende begint;
  Bij het afsluiten van een fase wordt een document opgeleverd waarin de resultaten van de afgesloten fase staan vermeld en deze vastgelegde resultaten kunnen dan worden vergeleken met de uitgangspunten, zoals deze golden aan het begin van de fase. Dit geeft de stuurgroep de mogelijkheid tot bijsturing.
• ligt de focus op het definiëren van de producten die opgeleverd moeten worden en de bijbehorende kwaliteitscriteria waaraan die producten moeten voldoen.
  Met andere woorden, het wat staat centraal en niet het ‘hoe’. Dat laatste is de verantwoordelijkheid van degene aan wie het opleveren van een specialistisch product gedelegeerd is.

Helaas, verandering is geen product en kan en kan  niet op ‘wat’-niveau gemanaged worden. Tenzij de verandering iets is als een fusie of een afslankingsoperatie met gedwongen ontslagen, zal de projectmanager nooit precies die verandering kunnen leveren, die de opdrachtgever verwacht.

Vewarring door KPMG-survey

In 2012 heeft KPMG, overigens niet voor het eerst, onderzoek gedaan onder een groot aantal bedrijven. De uitkomsten zijn gepubliceerd in een rapport ‘Project en programmamanagement survey 2012’. Een aantal punten uit de managementsamenvatting wil ik u niet onthouden:

1. Belang neemt toe, succesgraad van projecten blijft achter.
   Organisaties zien projecten nog altijd als een belangrijk instrument om veranderingen te realiseren. Sterker nog, het belang van projecten neemt toe. Toch rondt nog steeds slechts een vijfde van de organisaties het merendeel van zijn projecten af binnen de gestelde tijd en het gestelde budget en met het afgesproken resultaat.
2. Gestructureerd projectmanagement draagt bij aan succes.
   Het succes van projecten neemt toe als gestructureerd projectmanagement wordt ingezet. Denk aan de inzet van portfolio-, risico- en batenmanagement of businesscases. Organisaties met een hogere succesgraad rapporteren ook vaker het gebruik van opleidingen en lessons learned-evaluaties. In onze ogen zijn deze activiteiten essentieel voor continue verbetering.

Onder punt 1wordt aangegeven, dat organisaties een project vaak nodig achten om veranderingen te realiseren en in het tweede punt wordt genoemd, dat portfolio- en batenmanagement noodzakelijk zijn om de kans op een succesvol project te vergroten. Dit zijn niet echt zaken die in Prince2 thuishoren. Het zijn echter wel de belangrijkste conclusies uit dit onderzoek. Organisaties denken dus blijkbaar dat veranderingen het best kunnen worden gerealiseerd via projecten en dat de projectmanager faalt als de veranderingen niet succesvol verlopen (dit laatste valt tussen de regels door te lezen).

Benaderingen binnen verandermanagement

Veranderingsmanagement of verandermanagement is een vorm van management die zich in het bijzonder bezighoudt met het veranderen van de structuur en/of de werkwijze van een organisatie. Er bestaan twee benaderingswijzen bij het beheer van veranderingen: het ontwerpmodel en het ontwikkelmodel.

• Bij het doorgaans centralistische “ontwerpmodel” tracht men vooraf zo nauwkeurig mogelijk vast te stellen welke procedures en werkinstructies nodig zijn. Dit model gaat gepaard aan een grote controlebehoefte. Vaak zien we een dergelijke benadering bij veranderingen waarbij een concreet resultaat behaald moet worden zoals bijvoorbeeld een fusie of een bezuinigingsoperatie. 
• Het “ontwikkelmodel” gaat uit van de inventiviteit van mensen en de flexibiliteit van de onderneming. Er is consensus over de ideale eindsituatie, maar men bepaalt in de praktijk welke procedures en werkinstructies nodig zijn om tot deze situatie te komen. Het ontwikkelmodel is meestal decentraal en maakt gebruik van netwerken (virtuele organisatiestructuren). Niet controle maar vertrouwen, vrijheid en verantwoordelijkheid nemen staan centraal.

Het is een bekend gegeven dat centraal aangestuurde veranderingen zelden succesvol zijn. Draagvlak ontbreekt hierbij en slechts prikkels oplopend van onzekerheid tot dreigend ontslag kunnen dan als breekijzer dienen om ogenschijnlijke veranderingen door te voeren. Gevolg is dat bijvoorbeeld na een fusie pas het echte spel begint en duidelijk wordt welke cultuur dominant is en waar de informele macht komt te liggen. Deze veranderingen vallen echter niet binnen de deadline van het project en worden dan meestal ook niet gemanaged.
Een decentrale verandering gebaseerd op vertrouwen en intern ondernemerschap, kan echter per definitie niet in een projectvorm worden gegoten. En nog minder kan een projectmanager verantwoordelijk gesteld worden voor het realiseren van zo’n verandering.

Verstoorde communicatie

Probleem is zoals gezegd dat men niet goed kijkt naar wat de definitie van een project is of dat men een verkeerde perceptie heeft van die definitie. Toch denkt iedereen wel te weten wat de term project inhoudt en dat resulteert in een zee van misverstanden. Belangrijk in deze zijn de volgende punten:

• Een project is gericht op het behalen van een vooraf gedefinieerd projectresultaat. Zolang iedereen zich er maar van bewust is, dat dit projectresultaat slecht een middel is voor de organisatie om haar doelen (lees baten) te bereiken, is dat prima.
• Als een opdrachtgever verwacht dat binnen het project baten worden gerealiseerd, dan is er geen sprake meer van een project maar van een programma. En voor een programma is een andere aanpak nodig dan voor een project en vooral ook een andere projectmanager (Zie ook ‘Waarom goede projectmanagers vaak slechte programmamanagers zijn’.)
• Een verandering is een leerproces binnen de lijnorganisatie. Als deze verandering in de vorm van een project moet plaatsvinden, wordt dit leerproces eerst binnen het project doorlopen waarna de verandering nog moet worden geïmplementeerd in de lijn. Kortom, dubbel werk, dubbele kosten en totaal niet nodig.

Het verschil tussen projectmatig werken en werken in een project

Eigenlijk is er sprake van maar een klein misverstand. Het gaat om het verschil tussen projectmatig werken en werken in een project. Projecten staan per definitie buiten de lijn en vormen een eigen universum. Projectmatig werken vindt plaats in de lijnorganisatie onder aansturing van het lijnmanagement. Dat toevallig ook in een project projectmatig wordt gewerkt leidt vaak tot dit misverstand.
Veranderingen moeten doorgaans leiden tot verbeteringen in de lijnorganisatie. Per definitie is dit een lijnverantwoordelijkheid. Gezien het unieke karakter van een verandering is de aanpak projectmatig. Er is alleen geen opdrachtgever, geen stuurgroep en geen projectmanager. Dit zou overbodige overhead zijn. Wel bestaat de kans dat de lijnmanager naast zijn andere taken onvoldoende tijd kan steken in het realiseren van de verandering. In dat geval kan die lijnmanager een aantal taken delegeren naar een ondergeschikte. Vaak wordt die dan de projectmanager genoemd, maar dat is slechts een woordenspel. Van deze ondergeschikte (interne projectmanager) worden heel andere dingen verwacht dan van een projectmanager van een project gericht op een concreet resultaat op tijd en binnen budget. Die interne projectmanager richt zich niet op een concreet resultaat (een middel), maar helpt de lijnmanager om zijn doelen te bereiken. Vaak heeft dit betrekking op meer productiviteit, meer flexibiliteit, meer klantgerichtheid of meer effectiviteit.
De projectkosten en de doorlooptijd zijn ondergeschikt aan het resultaat, want dit resultaat is een jaarlijks terugkerende bate.
Wellicht is dit de reden dat ondanks 40 jaar investeren in de professionalisering van het projectmanagement nog steeds een ruime meerderheid van de projecten niet oplevert wat de organisatie ervan verwacht. Vrijwel ieder project bevat een veranderingscomponent en die is niet adequaat in een projectvorm te managen. Dit staat haaks op wat van een echte projectmanager wordt verwacht. Niet voor niets is het project dus de begraafplaats van de verandering.

Geen methoden en technieken voor de interne projectleider.

Zoals gezegd benoemt de lijnmanager vaak een interne projectmanager om zeker te stellen dat een verandering voldoende aandacht krijgt. (Zie ook ‘U bent tot projectleider gebombardeerd en dan’.) Methoden als Prince2 werken niet en planning is van ondergeschikt belang. Van de interne projectleider worden andere competenties verwacht zoals:

• altijd een plan B beschikbaar hebben als plan A niet lukt (zie ook ‘De projectmanager is tacticus en geen strateeg’).
• toeleveranciers aansturen (zie ook ‘De missie van een projectmanager’).
• op gebruikerstevredenheid sturen in plaats van op projectresultaat (zie ook ‘Hoe u intern een fixed price fixed date project kunt sturen’).
• diensten inkopen (zie ook ‘Zeven tips voor het inkopen van ICT-projecten’).

Helaas beschikken veel projectmanagers niet over deze vaardigheden en voorzien de standaard projectmanagementcursussen ook niet in deze behoefte. De naam interne projectleider suggereert dat dit per definitie een interne medewerker moet zijn. Dat is echter niet zo. De praktijk leert echter wel dat externen zich vaak weer gaan gedragen als projectmanager. Dat is nu net wat zij niet moeten doen.

Bron: Wikipedia (diverse issues)

Thema’s als cybercrime, big data, de cloud en sociale media zullen ook in 2013 zorgen voor een toename van  beveiligingshoofdbrekens. Althans, dat voorspellen experts in koor, met in hun achterhoofd beelden van directies die wanhopig constateren dat ze niet het hoofd kunnen bieden aan deze nieuwe dreigingen. Was tenslotte 2012 niet al het jaar van de beveiligingsincidenten?

Ook de ICT-vakbladen doen met liefde mee aan het verspreiden van griezelverhalen. Een soort Y2K drama, alleen dan met een permanent karakter. Y2K is echter een rotje gebleken, in plaats van de voorspelde bom. De vraag is nu of het beveiligingsprobleem ook een rotje is of daadwerkelijk een tikkende bom, die iedere organisatie binnen zijn bedrijfsmuren heeft.
U kunt dit vraagstuk op twee manieren benaderen.

• U kijkt naar de ontwikkelingen in de omgeving en de dreigingen die hiervan uitgaan.
• U kijkt naar de kroonjuwelen die u in huis heeft en bepaalt of die nu meer bedreigd worden.

De uitkomsten van deze twee benaderingen zullen verrassend van elkaar verschillen. Maar oordeelt u zelf. We stellen in dit artikel beide benaderingen aan de orde.

Ontwikkelingen in de omgeving

Natuurlijk verandert uw omgeving en zijn er allerlei ontwikkelingen die ook uw organisatie raken. Computable laat een aantal experts aan het woord.

BYOD en het nieuwe werken

Het jaar 2013 zal volgens architect security & networking Martijn Bellaard van Brainforce het jaar zijn waarin ict anders gaat aankijken tegen de werkplek. ‘Niet langer is de werkplek per definitie te vertrouwen. Er zal een scheiding plaats gaan vinden tussen verschillende type werkplekken en gebruikers. Afhankelijk van wie, waar, wanneer en met welk device inlogt zal er dynamische bepaald gaan worden welke resource hij mag gaan benaderen’, zegt Bellaard. ‘Daardoor zullen dataprotection en host protection een belangrijk beveiligingsonderwerp worden in 2013 en daarna.

Sociale media

Naast ‘bring your own device’ zullen ook cloud computing en de opkomst van sociale media in 2013 nog veel impact hebben op de beveiligingsindustrie, denkt business consultant Albert Brouwer van KPN Corporate Market Trusted Services. ‘De opkomst van het  gebruik van sociale media in het zakelijke verkeer maakt het nodig om opnieuw na te denken over beveiligingsaspecten. Welke mate van betrouwbaarheid moet worden toegedicht aan een betrekkelijk informele omgeving. Is de technische afscherming daarvan mogelijk en wenselijk of moeten we het hebben van menselijke bewustwording?’ Ook denkt Brouwer dat goedkope cloud-oplossingen aantrekkelijker worden onder druk van krimpende budgetten. ‘De beveiligingsimplicaties kunnen echter groot zijn.’

De cloud

Directeur Gertjan Nickolson van Behring Consultancy is het met hem eens. ‘Er komen steeds meer cloud-oplossingen waarvan het niet helemaal duidelijk is waar wie voor verantwoordelijk is, hoe het zit met aansprakelijkheid en waar de informatie zich precies bevindt. Dus waar het voor het gebruiksgemak misschien heel handig lijkt om te kiezen voor een dergelijke oplossing, is het vanuit beveiligingsperspectief wellicht juist niet handig’, zegt hij.

Toenemende cybercriminaliteit

De maatschappij zal volgens de Computable-experts mede door deze ontwikkelingen in toenemende mate te maken krijgen met cybercriminaliteit. Brouwer van KPN: ‘De reële wereld is steeds meer afhankelijk van de digitale wereld. Economieën zijn gedigitaliseerd. Grote geldstromen verlopen elektronisch. Transport en logistiek worden digitaal geregeld. Dit heeft een grote aantrekkingskracht op criminelen. Grote delen van onze informatiemaatschappij gaan hier nog naïef mee om.’
Hoofd kenniscentrum Gert Jan Timmerman van Info Support: ‘Hackers breiden hun werkterrein uit. Waren vroeger vooral Windows-pc’s het doelwit, de laatste tijd zien we steeds meer aanvallen op platforms van Apple, Google en Oracle.’ Hij verwacht dat deze ontwikkeling doorzet. ‘Door de opkomst van steeds meer mobiele devices zijn consumenten steeds meer gewend dat alle informatie online beschikbaar is. Hierdoor ontstaat er druk op organisaties om meer en meer informatie online te zetten, waardoor de beveiliging soms te weinig aandacht krijgt. Applicaties die nooit bedoeld waren om online beschikbaar te zijn, zijn daar qua security niet op ingericht’, legt hij uit.
‘Een fenomeen dat steeds meer voorkomt is de zogenaamde ‘multivector-aanval’, waarbij criminelen een gecoördineerde aanval via verschillende lijnen opzetten, waarbij de lijnen elkaar onderling versterken of afdekken. Denk hierbij aan een DDoS-aanval op het telefoonsysteem van een bank, gecombineerd met het leegroven van rekeningen met gekopieerde pasjes. Daardoor kan de bank zijn klanten niet bellen om te verifiëren of de transacties die ze zien, authentiek zijn.’

De oplossing

Technisch directeur Peter Mesker van SecureLink denkt daarom ook dat het zeker in verder gevirtualiseerde omgevingen essentieel is dat securitymaatregelen door de hele infrastructuur heen genomen kunnen worden om zo de continuïteit van de bedrijfsvoering te kunnen garanderen. ‘De oplossing ligt in een holistische security-oplossing die op alle lagen aansluit, dus zowel op de netwerk- en applicatielaag als op de inhoud. ‘Hiermee wordt het beheer vereenvoudigd en het inzicht op applicatie, gebruiker en content niveau verhoogd’, zegt hij. Het nieuwe netwerk moet volgens Mesker ‘adaptive’ zijn, dus zich aanpassen aan de gebruiker en zijn behoeften.
Tot zover een aantal experts in Computable. Uiteraard benaderen zij de zaak vanuit de ontwikkelingen en de dreigingen. Hun betoog moet immers voor een breed scala van organisaties interessant zijn. Waar u echter mee te maken heeft, is uw organisatie en uw bedrijfsspecifieke risico’s. Het brede verhaal is wellicht interessant. Maar de vraag is of het voor u ook van toepassing is. Laten we daarom nu het perspectief nemen van de kroonjuwelen.

Bescherm uw kroonjuwelen ook in 2013

Voor een specifieke organisatie is beveiliging het maken van keuzes of risico’s al dan niet acceptabel zijn. Laten we als voorbeeld eens  uw privésituatie nemen.
In uw huis heeft u allerlei spullen die een waarde vertegenwoordigen. Als u weg gaat, sluit u de deuren en ramen en zet u eventueel uw alarm aan. Geen huis echter is zo beveiligd, dat er gegarandeerd geen inbreker binnen kan komen die iets mee kan nemen. Honderd procent veiligheid bestaat tenslotte niet. En daarom neemt u extra maatregelen voor de bescherming van uw kroonjuwelen. Deze bewaart u zo (intern of extern) dat ze extra zijn beveiligd, zoals bijvoorbeeld in een kluis. Wat u als uw kroonjuwelen beschouwt, is uw keuze.
Als u in uw vakantie gaat kamperen, dan hebt u met een andere situatie te maken en neemt u andere maatregelen. Uw tent kunt u niet op slot doen en zelfs een kind kan binnenkomen. Dat is echter geen reden om niet te gaan kamperen. Als kampeerder kent u het risico en zorgt u dat in uw tent geen kroonjuwelen aanwezig zijn. Uw kroonjuwelen als paspoort, bankpasjes of contant geld neemt u gewoon mee als u de tent verlaat. En u ligt er vervolgens niet van wakker dat uw tent eenvoudig leeggehaald kan worden.
Essentieel is natuurlijk dat u bepaalt, wat uw kroonjuwelen zijn, waarvoor u aanvullende maatregelen treft. En voor de rest geldt, dat u uw eigendommen moet beveiligen op zo’n niveau, dat u geen nalatigheid kan worden verweten (zoals ramen en deuren dicht, maar zeker niet inbraakproof).
Voor organisaties ligt dit niet anders. Bepaal wat uw kroonjuwelen zijn en bekijk deze apart. Voor de rest geldt, dat u ervoor moet zorgen dat u geen nalatigheid kan worden verweten. Daarmee voldoet u aan allerlei wetgeving zoals bijvoorbeeld de Wet Bescherming Persoonsgegevens (WBP) en voorkomt u bestuurdersaansprakelijkheid. Dan kunt u ook gecertificeerd worden volgens ISO 27001. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Het zijn niet de voorschriften waarvoor u bang moet zijn; het zijn de consultants die u angst willen inboezemen.
Want oordeelt u zelf: Is het voor de gevirtualiseerde omgevingen in uw organisatie essentieel dat securitymaatregelen door de hele infrastructuur heen genomen worden om uw kroonjuwelen te beschermen? Is een holistische security-benadering die op alle lagen aansluit (dus zowel op de netwerk- en applicatielaag als op de inhoud) voor uw organisatie de oplossing om uw kroonjuwelen te beschermen? Het is wel de oplossing die beveiligingsexperts in het vorige hoofdstuk noemden. Maar u kent vast zelf een betere en vooral pragmatischer oplossing.

Maak van een mug geen olifant

Voor een bank, een ziekenhuis of de AIVD geldt, dat bijna alle data kroonjuwelen zijn. Zij moeten wel kiezen voor genoemde oplossingen. Maar voor uw organisatie is het zeer waarschijnlijk niet nodig te kiezen voor dergelijke kostbare oplossingen. Voor de meeste data gelden eenvoudige basisregels zoals deuren en ramen dicht. Voor uw kroonjuwelen zult u een kluisje moeten hebben. Maar als u bij de keuze van uw kroonjuwelen eerst van een mug een olifant maakt, dan passen ze daar echt niet meer in.

Zolang BYOD, social media of de cloud geen betrekking hebben op uw kroonjuwelen, heeft u van cybercriminaliteit waarschijnlijk helemaal niets te vrezen. Dan zijn ook extra maatregelen niet nodig. (Zie ook ‘Checklist risico analyse informatiebeveiliging ISO 27001 en NEN 7510’).

Bron:
Kim de Vries, ‘Cybercriminaliteit houdt 2013 in zijn greep’. In: Computable.  03-12-2012.

Volgens onderzoekbureaus Gardner en IDC is in 2012 de hoeveelheid data in een gemiddelde organisatie met ongeveer vijftig procent toegenomen. Al die data moeten ergens worden opgeslagen. Met een prijs van 1 euro per gigabyte is uitbreiding van de opslagcapaciteit niet echt een probleem. En technisch gezien is dit waarschijnlijk nog best lang vol te houden, aldus de Wet van Moore, die stelt dat het aantal transistors in een geïntegreerde schakeling door de technologische vooruitgang elke 2 jaar verdubbelt. Functioneel zal er echter weldra een onwerkbare situatie ontstaan. Tegen de tijd echter, dat een organisatie ontdekt dat ze haar grenzen op dit gebied heeft bereikt, is het voor het informatiemanagement te laat om de datastromen nog in goede banen te kunnen leiden.

Navraag in Nederland brengt aan het licht dat het getal van vijftig procent wel ongeveer klopt, al zijn er wel verschillen per branche. Over vier jaar zullen de data van uw organisatie zich dus bijna hebben vertienvoudigd. Nu is dit nog het probleem van de ICT-manager, die lachend storage bij koopt. Maar als dit probleem niet functioneel opgepakt wordt, is de gebruiker straks de dupe. Denk bijvoorbeeld een aan een eenmalige query op de database. Denk eens aan het terugvinden van een plaatje of een document, dat u nodig hebt.
Leveranciers van slimme storage oplossingen bestoken nu uw ICT-manager. Maar daar ligt dus niet het probleem. Het probleem is het hanteren van al die data door de business. Het probleem ligt dus bij informatiemanagement en/of functioneel beheer.
Waar u zich hierbij goed van bewust moet zijn, is dat de business verantwoordelijk is voor de groei. Zolang het bijkopen van storage goedkoper is dan het toepassen van functionele oplossingen, zullen organisaties daarom kiezen voor het bijkopen van storage. Totdat er problemen ontstaan. Dan is het echter te laat voor het informatiemanagement om zich nog in deze materie te verdiepen. En het principe van de vervuiler betaalt is hier niet aan de orde. De vervuiler zal zich immers gewoon verschuilen achter het bedrijfsbelang en de directie zal daar natuurlijk mee instemmen.
In dit artikel gaan we in op de oorzaak van het probleem en bespreken we een aantal mogelijke oplossingen vanuit de optiek van informatiemanagement.

Waarom de hoeveelheid data blijft groeien

De hoeveelheid data blijft dus maar groeien.
De ICT-manager van een aardappelgroothandel legt uit: “De voornaamste oorzaak van deze groei is dat partijen in onze keten steeds meer informatie willen over producten. Dat heeft met regelgeving te maken, maar ook met een toegenomen angst voor claims. Iedereen probeert zich daarvan te vrijwaren en doet dat met documenten. Heel veel documenten. Dat speelt op landniveau, maar ook op het niveau van de supermarkten die onze producten verkopen. Een voorbeeld: vijf jaar geleden had je één A-4tje nodig om een partij aardappelen naar Rusland te kunnen exporteren. Nu zijn dat er minstens tien. Er moeten onder meer verklaringen bij die helemaal teruggaan naar het begin van de teelt. Welke handelingen zijn er toen verricht? Zijn er pesticiden gebruikt en zo ja welke? Al dergelijke documenten zijn tegenwoordig digitaal, dus dat vraagt om meer opslagruimte.
Daarnaast speelt ook onze eigen marketing een rol. We maken ook zelf meer documenten
aan om informatie te verstrekken aan de kopers van onze producten.”
De kwaliteitsmanager van een ander bedrijf: “Ook de data in bedrijfsapplicaties neemt in omvang toe. Dat komt vooral doordat we facturen zijn gaan scannen. Dat vraagt ook meer ruimte. Voorts vragen vooral foto’s, video’s en presentaties met beeldmateriaal veel ruimte. Die bestanden worden vaak in hoge resolutie opgeslagen, terwijl dat vaak helemaal niet nodig is. Dat geldt ook voor het rondmailen van zware bestanden.” Verder noemt deze kwaliteitsmanager als een belangrijke reden voor de snelle toename het feit dat niemand iets wil weggooien. En voor de zekerheid zet men het dan ook nog eens op meerdere locaties. Onderzoek heeft uitgewezen dat in bedrijfsomgevingen er gemiddeld negentien kopieën van elk origineel document bestaan.
Een complicatie bij dit alles is de BYOD-trend in samenhang met de komst van Windows 8. We zien straks dat er door gebruikers applicaties worden gedownload die gebruikmaken van webservices en dat ze daarmee data buiten de bedrijfsomgeving opslaan. Daarmee verdwijnen echter de controle en het overzicht over de data. Bovendien: van wie is die data straks? Van de gebruiker? Van de organisatie? Van de aanbieder van de webdienst? Van Microsoft? De jurisprudentie hierover stemt tot nu toe niet erg vrolijk. (Zie ook ‘Outsourcing contracten dekken zelden de business continuity van de klant af’.)
Kortom, de noodzaak van de business om intern en extern informatie te delen maakt, dat we de komende jaren zeker niet moeten verwachten dat de datagroei afneemt. En dat levert niet alleen een storage probleem op, maar vooral ook een security probleem. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.) Maar ook dat is het probleem van informatiemanagement en niet van de ICT.

Slimmer opslaan van informatie met metadata

Traditionele bestandssystemen maken vaak nog gebruik van directory en file naming-conventies voor het catalogiseren van gegevens. En dat werkte vroeger prima. Maar hoe zit dat vandaag de dag? Maakt u voor elke dag dat u op de computer werkt een afzonderlijk map aan met de datum, of gaat alles op de ‘grote hoop’? En hoe zit dat met mappen voor bepaalde locaties of speciale gebeurtenissen? Natuurlijk, achteraf gezien zou het erg handig zijn geweest, als u alles handmatig zou hebben gecategoriseerd, maar het is nu niet meer te doen om alles in de juiste mapjes te stoppen. Hierin moeten dus (andere) keuzes worden gemaakt.
De juiste foto terugvinden in een collectie die inmiddels (tien)duizenden foto’s bevat wordt met de dag ingewikkelder. Want wat nu, als u al uw foto’s op datum hebt ‘ingericht’ en u op zoek bent naar plaatjes van een specifiek persoon of een bepaalde gebeurtenis. of juist naar een combinatie van die twee! Veel mensen kopiëren alle foto’s uit hun collectie die ze voor een digitaal fotoalbum willen gebruiken eerst naar een speciaal daarvoor aangemaakte map. Zeer tijdrovend, nogal foutgevoelig en in elk geval inefficiënt! In organisaties gaat het in wezen niet anders, de hoeveelheid tijd die verloren gaat aan zoeken en repliceren van gegevens is enorm!
Door metadata (dus informatie over uw data) direct te koppelen aan uw bestanden is het mogelijk content op verschillende manieren te identificeren. Zo kunt u foto’s bijvoorbeeld tegelijkertijd terugvinden op locatie, datum, mensen die op de plaat staan en nog andere informatie. Applicaties die met deze metadata werken, werken zeer snel en effectief, zodat de tijd die men bezig is met zoeken en wachten enorm afneemt en men veel productiever is. Dit betekent echter wel dat u ieder bestand wat u opslaat moet voorzien van metadata. En wie heeft daar nog zin in als hij net met veel moeite een document heeft opgesteld, een presentatie heeft gemaakt of een op internet gevonden artikel even snel wil opslaan. De belangrijkste reden waarom introductie van documentmanagementsystemen zelden de voordelen oplevert die ervan worden verwacht.
Het is aan de industrie om ervoor te zorgen dat die oneindige stroom aan gegevens geen bron van problemen, maar van mogelijkheden wordt. Het gebruik van object storage en metadata kunnen hierbij een cruciale rol spelen, maar ook de verdere ontwikkeling van noSQL-databases. Ook cloud computing zal bij deze ontwikkelingen een vooraanstaande rol spelen door bijvoorbeeld projecten als OpenStack. Maar u dacht toch niet dat u een verhaal met dergelijke termen kwijt kunt aan een informatiemanager? (Zie ook ‘Net als mannen worden ICT-bedrijven bijna nooit volwassen’.) Toch is hij degene die zich hiervoor sterk moet maken. Hoe slim de storage oplossingen ook worden.

Verwijderen van data

Al decennia is het schonen van data een bekende oplossing voor dit probleem. Zeker in tijden dat dataopslag kostbaar was. Tegenwoordig zijn er echter tal van redenen om niet te schonen:

• de wettelijk voorgeschreven bewaartermijnen van data;
• bewijsvoering in juridische processen, waarbij mail wordt erkend als bewijsmateriaal en het schonen van mail als het verduisteren van bewijsmateriaal; en bijlagen bij een mail genereren een explosie aan duplicatie van data.
• De grote hoeveelheden dat die gebruikers opslaan onder het mom: “Beter mee verlegen dan om gelegen”. Maar 90 procent van de bestanden wordt nooit meer benaderd. nadat ze zijn aangemaakt. Doorgaans is echter helaas niet bekend welke 90 procent dat is.
• Business Intelligence die pretendeert kostbare informatie te halen uit bedrijfsinformatie door mogelijk onwaarschijnlijke verbanden tussen data te leggen; schoning wordt daarmee gekwalificeerd als vernietiging van bedrijfskapitaal. (Zie ook ‘Met business intelligence of BI is nog zelden geld verdiend’.)

Na 5, 7 of 10 jaar weet niemand meer waarom welke data nog worden bewaard. Dit uit te zoeken kost een veelvoud van het bijkopen van storage. Als schoning niet vooraf wordt gedefinieerd, zodat het een geautomatiseerd proces kan worden, zal in de praktijk zelden of nooit iets geschoond worden.
Data die is gegenereerd, is gegenereerd. Daar valt weinig aan te doen, afgezien van de toepassing van storage efficiency-technologieën als deduplicatie en compressie. Waar u wel iets aan kunt doen is het aantal kopieën. Daar is veel winst te halen. Als u dat gaat aanpakken komt u als vanzelf bij informatiemanagement. U geeft dan bijvoorbeeld aan dat van belangrijke documenten tien kopieën mogen bestaan en dat dit na een jaar moet zijn teruggebracht tot twee. Door aan documenten vooraf een waarde toe te kennen, kunt u aan de achterkant stukken effectiever managen.
Information Lifecycle Management (ILM) wordt steeds belangrijker. De kern daarvan is dat u business rules definieert voor uw dataopslag. Bijvoorbeeld: facturen bewaren we acht jaar, een jaartje langer dan van de belastingdienst moet, het eerste jaar op disk, daarna op tape en na acht jaar wordt de informatie automatisch gewist en is het opslagmedium weer bruikbaar voor recentere informatie.

Conclusie

Het probleem zit vooral in de ongestructureerde data. Vroeger was de verhouding met transactiedata meest 60-40, tegenwoordig loopt dit vaak op tot 80-20 of zelfs 90-10. Nodig zijn intelligente datamanagement systemen, die data effectief opslaan, tegen lagere kosten. Naast slimme primaire opslagsystemen zijn ook  secundaire storage, archiveringsoplossingen en storage in de cloud nodig. Deze moeten zijn voorzien van technologie voor deduplicatie, compressie en encryptie en data naar behoefte automatisch kunnen verplaatsen naar het meest geschikte opslagsysteem.
Veel organisaties overzien niet meer welke storage-oplossingen ook op termijn voldoen aan de gestelde eisen voor de komende 10 jaar. En leveranciers roepen in koor, dat ze alles bieden tegen minimale kosten. Vindt u het gek, dat die organisaties kiezen voor het bijkopen van terabytes in plaats van tonnen of miljoenen uit te geven aan slimme oplossingen waarvan zij niet kunnen overzien of het de investering waard is? Misschien wordt het tijd voor Storage-as-a-Service. En misschien wordt het tijd dat ICT-leveranciers informatiemanagement en functioneel beheer eens serieus gaan nemen. (Zie ook ‘Heeft u de antwoorden op de vragen van de CIO’.)

Bronnen
Kim de Vries, ‘De vraag naar storage blijft groeien’. In: Computable. 06-12-2012
Fred Theunissen, ‘Hoe tem ik mijn data’. In: ICTmagazine. 18-12-2012.
Angelo Dijkstra, ‘Big data is here to stay’. In: Computable. 21-09-2012.