Blogs

Inhoud Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project. De nieuwe privacywetgeving (AVG) gaf de mogelijkheid om privacy nu eens goed in te richten. Een projectteam werd samengesteld en samen werd gewerkt aan een gedegen opzet van privacy met een beleid, procedures, een verwerkingsregister en het organiseren van rechten voor betrokkenen. Ook werd vanuit dit projectteam gedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris gegevensbescherming (FG).   Enige tijd later Alle verplichte documenten zijn opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam krijgt decharge en de aangewezen Privacy Officer (PO) gaat zelf aan de slag. De projectgroep was een veilige omgeving, los van de rest van de organisatie waar alle aandacht vol op privacy lag en meerdere mensen ermee bezig waren. Eenmaal in de organisatie razen alle andere prioriteiten en veranderingen als snelverkeer langs de PO heen. Compliance is ineens een van de vele onderwerpen op de lijst en bovendien eentje die net al het projectbudget had gekregen, dus nu is een ander onderwerp aan de beurt.   Van opzetten naar onderhouden In plaats van het opzetten hebben we het nu over het onderhouden van een privacy programma. Dit brengt andere vragen met zich mee voor de Privacy Officer: “Voldoe ik wel voldoende aan de AVG? Hoe houd ik mijn verwerkingsregister bij? Waarover moet ik precies rapporteren en aan wie? Moet ik niet budget aanvragen voor komend jaar? Wat heeft de meeste prioriteit? Hoe los is drie incidenten en een datalek op in de acht uur die ik deze week aan privacy mag besteden?”. Eigenlijk zijn al deze vragen samen te vatten in: “Lukt het één Privacy Officer om de hele organisatie compliant te houden?”. Audittrail en Mavim zijn samen op zoek gegaan naar een oplossing om de Privacy Officer te ondersteunen in de transitie van project naar programma. Dit heeft als resultaat opgeleverd dat wij een op expertise gebaseerd product hebben gebouwd dat een combinatie bevat van onder andere een digitaal verwerkingsregister, risicoanalyse, awareness rapporten, procesvisualisaties en verplichte documentatiestukken is. We noemen dit het Compliance Management Framework (CMF). Naast een compleet privacy programma kun je hierin ook een volledig Informatiebeveiligingsprogramma opzetten en onderhouden. Vooral het stukje onderhouden is hier cruciaal: in veel organisaties verslapt de aandacht voor Security en Privacy na verloop van tijd. Dankzij de communicatiefunctie van het CMF kan de PO de juiste personen verantwoordelijk houden voor de eigen processen. Met het Mavim Platform als software achter onze kennis en expertise creëer je jouw eigen ideale control omgeving, één centrale bron van waarheid en krijgt de Privacy Officer de regie terug in handen.    Bron: Audittrail   > Meer weten over het Privacy en het Compliance Management Framework? Download hier de Productsheet

Inhoud De uitdaging Veel organisaties zijn verplicht compliance management goed te organiseren. Compliance in control houden is geen eenvoudige opgave. Bovendien blijkt het lastig om compliance een vast onderdeel van de organisatiecultuur te maken. Vaak krijgt één collega privacy ‘erbij’ en belandt informatiebeveiliging al snel bij de ICT-afdeling. Wet- en regelgeving en normenkaders zijn uitvoerig en complex. Veel compliance projecten typeren zich dan ook door losse spreadsheets en acties waarmee aan de belangrijkste hoofdstukken wordt voldaan. Denk bijvoorbeeld aan het verwerkingsregister vanuit de AVG of een ISO27002 auditrapportage. Het doel van compliance management is zorgdragen voor het mitigeren en verminderen van risico’s voor de organisatie. Hiervoor is het noodzakelijk om compliance daar te beleggen waar het echt hoort. Om de Privacy- of Security Officer meer een regierol te geven en compliance ook bij proceseigenaren en verantwoordelijke medewerkers te beleggen, is meer nodig dan men nu gewend is. Dit soort zaken zijn vaak in losse documenten of zogenaamde “point solutions” vastgelegd. Omdat deze niet met elkaar communiceren is het lastig om één centraal compliance managementsysteem op te zetten als ware het één bron van waarheid.   Het Audittrail CMF is de oplossing voor al deze zaken! Ons team van gecertificeerde Mavim consultants heeft, samen met onze Privacy en Informatiebeveiligingsexperts, een volledig nieuwe oplossing gebouwd (in het Mavim Platform) op basis van problematiek die we bij grote én kleine klanten in diverse branches hebben kunnen identificeren. Door gebruik te maken van het Audittrail Compliance Management Framework (CMF) voorkom je zaken als verschuiving van focus, verval in de waan van de dag, en het managen van losse documenten en spreadsheets. Het CMF is één platform waar verschillende compliance-gebieden samenkomen: privacy, informatiebeveiliging en risicomanagement. Beleg taken bij proceseigenaren en houd hen verantwoordelijk. Zo maak je compliance onderdeel van het DNA van de organisatie. In het CMF vind je templates voor verschillende informatiebeveiligingsnormen (zoals BIC, BIG, ISO, KWH, of HKZ), maar ook middelen om de AVG passend in te regelen binnen jouw organisatie. Leg de verbinding tussen privacy- en informatiebeveiligingsvraagstukken. Zo kun je overzichtelijk vele uitdagingen managen, eenvoudig rapporteren aan het management, en bij audits bewijzen aan externe partijen dat de mate van control hoog genoeg is om risico’s significant te verminderen.   Voordelen Het CMF is gebaseerd op ervaring van onze professionals binnen honderden projecten Privacy & Informatiebeveiliging borgen zonder veel tijd te investeren Compliance onderdeel van de hele organisatie maken Te allen tijde in control (geen vertraging of verslapping) Lage investeringskosten Duidelijke afspraken met één betrouwbare partner Te koppelen met andere systemen zoals Microsoft Power BI, Compliance manager, Naris, Topdesk etc. Inclusief software voor interne communicatie en verantwoording aan derden (Audit)   Bron: Audittrail   > Meer weten over het Compliance Management Framework? Download hier de Productsheet

Inhoud Hij wordt de Godfather van process mining genoemd, won een prestigieuze wetenschapsprijs en is veruit de meest geciteerde Nederlandse informaticus. Wie beter dan Professor Wil van der Aalst kan aan procesmanagers uitleggen wat process mining is en wat de toegevoegde waarde is?    Process mining klinkt als weer een nieuwe hype, maar dat is het beslist niet. Prof. dr. ir. Wil van der Aalst houdt zich al 20 jaar bezig met process mining. Niet voor niets wordt hij de Godfather van process mining genoemd. Hij begon aan de TU Eindhoven, waar hij onder meer directeur was van het eerste Nederlandse Data Science Centrum. In 2018 verhuisde hij naar Aken in Duitsland omdat hij een grote wetenschapsprijs won: vijf miljoen euro om onderzoek te doen naar nog steeds hetzelfde onderwerp: process mining.   Wat is process mining? Wat is process mining eigenlijk? Prof. Van der Aalst legt het helder uit: ‘Het basisidee van process mining is dat je data die in informatiesystemen zitten gebruikt om automatisch procesmodellen te construeren, die beschrijven wat er daadwerkelijk gebeurt.’   Process mining laat zien wat er daadwerkelijk gebeurt. Je genereert automatisch een procesmodel.’   Dat klinkt nog abstract, maar enkele voorbeelden maken het snel duidelijk. ‘Kijk bijvoorbeeld naar data uit het informatiesysteem van een ziekenhuis, een vliegveld of hoe mensen Facebook gebruiken. Die data laten zien dat er iets is gebeurd. Als je op een vliegveld je koffer incheckt, dan wordt dat geregistreerd als een ‘event’, een gebeurtenis. Iedere keer als jouw koffer door een volgend poortje gaat, dan is dat een event. Als jij bij bol.com een bestelling plaatst, dan kun je dat zien als een event. En als je online een cursus volgt en je beantwoordt een vraag, dan is ook dat een event.’ ‘Dit soort data kun je vinden in élk systeem. Of je nou naar een ziekenhuis, een autofabriek of een hogeschool gaat: dit soort data is overal. Process mining laat zien wat er daadwerkelijk gebeurt. Je genereert dan automatisch een procesmodel.’   Who cares? Een logische vervolgvraag zou zijn: who cares? Waarom is dit relevant? Om twee redenen, legt Van der Aalst uit. ‘Doordat je automatisch die modellen genereert, kun je ook automatisch aangeven waar de knelpunten zitten. Kijken we weer naar het voorbeeld van de luchthaven, dan kunnen we zien dat koffers te laat komen omdat op een bepaald punt vaak een vertraging voorkomt. Zonder dat je iets gemodelleerd hebt, zonder dat je iets subjectiefs gedaan hebt, genereer je een model wat laat zien op welke plek een probleem zit. Deze vragen hebben vooral te maken met performance: hoe snel of hoe goedkoop worden dingen gedaan?’   Process mining kan ingezet worden om te laten zien waar bepaalde afwijkingen zich voordoen.   ‘Een tweede set van vragen heeft te maken met compliance. Denk aan zaken als audits en kwaliteitscontroles. ‘Process mining kan ingezet worden om te laten zien waar bepaalde afwijkingen zich voordoen,’ legt Van der Aalst verder uit. ‘Je kunt dan denken aan het automatisch opsporen van fraude en het opsporen van dingen die heel anders verlopen dan het management denkt. Soms laten die afwijkingen zien hoe je het beter zou kunnen doen. Want heel vaak is het zo dat afwijkingen aantonen dat het informatiesysteem niet werkt en dat mensen om het informatiesysteem heen gaan werken.’   Voorspellen Process mining gebruiken om te zien wat er gebeurt in een proces is inmiddels vrij standaard. Een meer geavanceerd gebruik van process mining is om te voorspellen hoe een proces zal verlopen.   Een meer geavanceerd gebruik van process mining is om te voorspellen hoe een proces zal verlopen.   Van der Aalst: ‘Vandaag kan een productieproces probleemloos verlopen. Met process mining-technieken kun je voorspellen dat je morgen waarschijnlijk wél problemen hebt. Als je het proces namelijk een hele tijd observeert, dan ga je patronen zien in het gedrag van mensen, machines, producten, en dat op een later moment een probleem optreedt. Je kunt als het ware terugkijken in de tijd, waar zat het probleem? Met process mining kun je dus zien waar op dit moment knelpunten zitten, maar je kunt het ook op een voorspellende manier gebruiken.’   Opkomst van process mining Process mining is in zekere zin onder de radar ontstaan. Prof. Wil van der Aalst houdt zich er al twintig jaar mee bezig, maar pas in de laatste jaren is de belangstelling enorm toegenomen. Eind juni organiseerde hij in Aken een conferentie over process mining. Er waren 500 bezoekers, wat best bijzonder is voor een wetenschappelijke conferentie op zo’n specifiek gebied. ‘Er waren sprekers van grote bedrijven, zoals bijvoorbeeld Siemens. Alleen al binnen Siemens gebruiken meer dan 6000 mensen process mining. Het is een groot bedrijf en ze hebben heel erg veel processen, van inkoop tot verkoop tot onderhoud en noem maar op. Binnen Siemens worden honderden processen dagelijks geanalyseerd met process mining. En zijn er dus 6000 actieve gebruikers van hun process mining-software’.   Er zijn organisaties waarvan je zou verwachten dat ze volop gebruik maken van process mining, maar waar nog niemand er ooit van gehoord heeft.   Het gebruik van process mining wisselt zeer sterk, signaleert Van Aalst. ‘Het voorbeeld van Siemens is heel uitzonderlijk. Er zijn andere organisaties waarvan je zou verwachten dat ze volop gebruik maken van process mining, maar waar nog niemand er ooit van gehoord heeft. Je ziet dat het nu in opkomst is, maar de verspreiding is niet heel homogeen.’   Open source software Wil van der Aalst is first and foremost wetenschapper, ook al zit hij in de adviesraad van verschillende bedrijven. Het werk en het onderzoek dat hij met zijn vakgroep doet, gebeurt not-for-profit. Van der Aalst: ‘Alle algoritmes, alle dingen die wij bouwen, zijn open source. De tool ProM die wij hebben ontwikkeld, is al 15 jaar de standaard in de wetenschappelijke wereld. Mensen kunnen dus gratis process mining-software gebruiken die al behoorlijk geavanceerd is.’ Tegelijkertijd is het aantal process mining bedrijven de laatste jaren ontzettend gegroeid. Op dit moment zijn er meer dan dertig aanbieders van process mining-software. Sommige zijn heel klein, maar er zijn er ook die heel erg groeien, vertelt Van der Aalst.   Hoe begin je met process mining? Met het bovenstaande wil Prof. Van der Aalst aangeven dat er een heel spectrum aan tools beschikbaar is. Aan de ene kant open source software die gratis en open is, en die je zelf kunt aanpassen. Aan de andere kant commerciële software die, afhankelijk van het gebruik, gratis weggegeven wordt omdat men dienstverlening wil leveren, tot software waar grote bedrijven voor betalen om het op grote schaal te gebruiken.   Het is relatief eenvoudig om te beginnen met process mining. Het lastige is: hoe kom je bij je data?   ‘Het is relatief eenvoudig is om te beginnen’, zegt Van Aalst. ‘Je kunt op elk niveau instappen. Het enige wat je nodig hebt is de software. Wat je verder natuurlijk nodig hebt, zijn data. In principe zijn de eisen die gesteld worden aan de data heel laag. Dit soort data vind je binnen elke organisatie in grote hoeveelheden. Wat veel moeilijker is, is de data die er zijn uit de bestaande systemen te halen. Heel veel organisaties werken met een systeem als SAP of iets vergelijkbaars. Ze hebben een heleboel gegevens waarvan ze wel weten dat ze er zijn, maar waarvan ze niet goed weten hoe ze erbij moeten komen. Daar zit echt de drempel: hoe kun je data vinden en hoe kun je ze zodanig vertalen dat je er ook dingen mee kunt doen, zoals knelpunten signaleren en voorspellen?’   Sexy onderwerp Procesmanagement is eigenlijk al een heel oud vakgebied. Al heel lang zijn mensen bezig met het verbeteren van processen, de laatste decennia met behulp van IT. Maar het vakgebied heeft ook een beetje een stoffig imago, vindt Prof. Wil van der Aalst. Process mining maakt dit vakgebied weer sexy omdat het niet langer gaat om powerpoints, maar om een technologie die op elk willekeurig moment in een organisatie kan laten zien wat er daadwerkelijk gebeurt. ‘Je kunt het vergelijken met de overstap van de landkaart naar Google Maps. Vroeger konden mensen urenlang praten over de landkaart. Die landkaart had misschien helemaal niets met de werkelijkheid te maken, maar dat zou men totaal niet in de gaten hebben. Maar nu is er een nieuw systeem, Google Maps, waarmee je interactief aan de slag kunt. Je kunt in- en uitzoomen, kijken waar op dit moment de files staan, wat de gemiddelde huizenprijs in dit deel van de stad is, waar de dichtstbijzijnde supermarkt is, etc, etc. Die saaie landkaart waar mensen niet zoveel mee konden, is in een keer heel interactief geworden en direct gekoppeld aan de werkelijkheid. Zo is het ook met process mining.’   Interview: Maud Notten   Wil je meer weten over process mining? Bekijk hier een (Engelstalig) introductiefilmpje van Prof. dr. ir. Van Aalst over process mining.Of bezoek onze webpagina over process mining.      

Inhoud "Er moet meer bestuurlijke aandacht komen voor informatieveiligheid, met een hechtere verbinding tussen bestuurder en de chief information security officer (CISO). De CISO heeft binnen de gemeentelijke organisatie een spilfunctie, om ervoor te kunnen zorgen dat de juiste acties worden genomen ten aanzien van de informatiebeveiliging". Dat concludeerde de Visitatiecommissie Informatieveiligheid na het bezoeken van de colleges B&W en CISO’s van 120 gemeenten eind 2017. De visitatiecommissie stelde vast dat het in alle gevallen van belang is dat de CISO onafhankelijk is gepositioneerd, een directe rapportagelijn heeft naar de (eindverantwoordelijke) gemeentesecretaris en de (bestuurlijk) portefeuillehouder en daarmee periodiek overleg heeft. Daarnaast dient de CISO verbonden te zijn met de ambtelijke organisatie en het primaire proces. Het is voor een CISO echter niet doenlijk (en ook niet zijn/haar rol) om nauw betrokken te zijn bij de specifieke werkprocessen. Gemeenten verschillen van elkaar qua organisatie en daardoor in de wijze waarop de CISO functie wordt ingevuld. Met de invoering van de Baseline Informatiebeveiliging Overheid (BIO) en het verbindend verklaren van dit normenkader voor de hele overheid per 1 januari 2020, is aanstelling van een CISO niet langer vrijblijvend, maar verplicht geworden. De aanstelling van een CISO is een belangrijke voorwaarde om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen. Tevens is sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming van kracht, de wet die strenge eisen stelt aan de verwerking van persoonsgegevens en de informatiebeveiligingsmaatregelen. Ook zijn de rechten van betrokken flink uitgebreid. Maar ook de buitenwereld is bezig met een privacy inhaalslag; de Autoriteit Persoonsgegevens is begonnen met handhaving en heeft net de eerste AVG boete uitgedeeld aan het HAGAZiekenhuis. Aan een betrokkene bij een datalek door gemeente Enschede is door de rechterbank Overijssel in hoger beroep een schadevergoeding toegekend van €500.- Een datalek met duizenden betrokkenen kan zo al snel flink in de papieren lopen en naar verwachting zullen collectieve claim procedures dan ook snel volgen. Zaak dus om uw informatiebeveiliging op orde te hebben. Kijkend ook naar de astronomische boetes die momenteel worden uitgedeeld aan de multinationale datafabrieken zoals FaceBook dan is het duidelijk dat informatiebeveiliging in zeer korte tijd een serieus vakgebied geworden is waar organisaties, gezien het enorme aantal vacatures, een flinke inhaalslag op aan het maken zijn. Kortom; de CISO is in toenemende mate en met versneld tempo van belang om er binnen de gemeente over te waken dat (persoons)gegevens van burgers en bedrijven goed verwerkt worden en onverlaten er niet bij kunnen. Hierbij geldt voor kleinere gemeentes dat een deeltijd- of gecombineerde-functie CISO beter is dan helemaal geen CISO. En soms is het inhuren van een CISO voor een paar dagen per maand door meerdere aanpalende gemeentes ook een goede eerste stap. De CISO is in ieder geval wel vast onderdeel van het gemeentelijk meubilair geworden!   Maar waar hebben we het dan samen over? Als burgemeester, wethouder, gemeentesecretaris, raadslid of collega ambtenaar wordt u soms pas actief betrokken bij het werk van de CISO als het te laat is. Als de krant bericht dat de gemeente gehackt is, als er een datalek heeft plaatsgevonden of als er om budget gevraagd wordt in de voorjaarsnota. Informatiebeveiliging echter, is de verantwoordelijkheid van iedereen binnen de organisatie die met data omgaat. Bewustwording en het pro-actief bezig zijn met informatiebeveiliging is dus cruciaal. De volgende 5 vragen kunt u de CISO stellen om het gesprek met hem of haar te starten. Het zijn mogelijke vragen om de dialoog te starten, geen vastomlijnde aanpak voor informatiebeveiliging. Daarvoor verwijs ik graag naar de Informatiebeveiligingsdienst. 5 vragen zijn natuurlijk bij lange na niet voldoende dus het is slechts een eerste aanzet. Ook is de relevantie van sommige vragen tijdgebonden en daardoor over een tijdje wellicht weer minder actueel. Maar we kunnen toch ergens beginnen? Ik nodig u uit andere relevante vragen via de comments toe te voegen en de lijst aan te vullen..   1. wat is ons dataprotectie-risicoprofiel? Ik begin de eerste vraag niet zonder reden. Er zijn CISO's die compliance-based en andere die risk-based werken. De eerste zal séc willen voldoen aan de (wettelijke) voorschriften (de groene vinkjes) terwijl de tweede kijkt naar de actuele informatiebeveiligingrisico's en kiest voor adequate mitigatie ervan om zo toch de organisatorische doelstellingen te kunnen blijven behalen. Het paraat hebben van de laatste stand van zaken op Technologisch-, Personeel- en Organisatorisch dataprotectie-gebied is daarom ook van groot belang. Waar zitten de gaten ten opzichte van de overheidsbaseline (GAP-Analyse) plus welke bijzonderheden heeft deze gemeente waar we specifiek naar moeten kijken? Heb je een Informatiebeveiligingsplan waarin staat hoe we hier mee omgaan? Welke beveiligings incidenten hebben we de afgelopen tijd aan de hand gehad en hebben we data onbedoeld vrijgegeven? Een interessante openingsvraag toch?   2. ben je al begonnen met het ISMS? De Informatie BeveiligingsDienst definieert het ISMS als volgt: "Het Information Security Management System (ISMS) is een procesgerichte benadering voor informatiebeveiliging. Het is een managementsysteem waarin het risicobeheerproces centraal staat, zodat risico’s adequaat worden beheerd. Het ISMS is de motor van de informatiebeveiligingsactiviteiten en wordt onderhouden middels de plan-do-check-act cyclus". Het werken volgens een ISMS geeft aan dat de CISO het beleid niet alleen opstelt maar ook de implementatie ervan toetst en het beleid door de tijd heen bijstelt waar nodig. Vaak wordt een ISMS tool gebruikt om het framework en de bijbehorende documenten in onder te brengen. Het ISMS is een van de beste manieren om de taken van een CISO over te dragen aan een opvolger. Het stelt ook tijdelijke krachten in staat om sneller op stoom te zijn.   3. hoe staan we ervoor met de ENSIA rapportage? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad. ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG (en vanaf 2020 op de BIO). De verantwoordingssystematiek over de Basisregistratie Personen (BRP) en wet- en regelgeving Reisdocumenten (PUN en PNIK), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) is samengevoegd en gestroomlijnd. De eerste ENSIA cyclus is achter de rug en de nieuwe 2019 cyclus is gestart per 1 juli jongstleden. Bespreek samen het resultaat 2018 en op welke wijze 2019 aangevlogen wordt. Wat zijn de lessons learned en hoe, adviseert de CISO, gaan we de vastgestelde tekortkomingen wegwerken?   4. zijn we op tijd klaar met de BIO implementatie? Vanaf 1 januari 2019 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt per 1 januari 2020 de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. 2019 is een overgangsjaar. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Helder, actueel en veilig. Vraag de CISO (kudo's voor u, u heeft er al een aangesteld ;-) naar de impact voor de gemeente, waar u staat als organisatie en op welke wijze de belangrijkste wijzigingen doorgevoerd kunnen worden. De BIO Praatplaat kan helpen het gesprek met de clusters te voeren om inzichtelijk te krijgen wat er nog moet gebeuren. Maak ook hier in overleg keuzes in de activiteiten om compliant te geraken. First things first, eerst de hoge risico's, dan de lagere.   5. hoe staan we ervoor m.b.t. de 2019 streefbeeld afspraken? De vorige vragen waren redelijk strategisch en tactisch van aard op het gebied van informatiebeveiliging. Toch ontkomt u er niet aan af en toe over de techniek te praten. De laatste CISO vraag is daardoor misschien wat te complex voor de gemiddelde ambtenaar maar niet minder relevant. Kijk eens hoe ver u samen komt! Binnen de overheid zijn er adoptieafspraken over standaarden voor internetveiligheid en informatieveiligheid. Op dit moment is de afspraak dat ALLE websites van de overheid beveiligd moeten zijn met de standaarden HTTPS, HSTS en TLS conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC. Voor mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het voorkomen van phishing en dat STARTTLS en DANE worden toegepast voor het beveiligen van mailverkeer. Na het instellen van de mailstandaarden dienen DMARC en SPF vervolgens zodanig geconfigureerd te worden dat phishing van mail actief wordt bestreden. Dit betekent dat voor deze standaarden niet het tempo van ‘pas toe of leg uit’ wordt gevolgd (i.e. wachten op een volgend investeringmoment en dan de standaarden implementeren) maar dat actief wordt ingezet op implementatie van de standaarden op de korte termijn. Weinig overheden kunnen al deze afspraken allemaal tijdig (eind 2019) nakomen. De praktijk leert dat het implementeren ervan over meerdere schakels dient te gebeuren, derde (cloud)partijen die je niet altijd zelf in de hand hebt waardoor het ook nog eens eindeloos kan duren. Bespreek met uw CISO wat er gebeurt als u niet tijdig klaar bent, de risico's die u loopt en de verantwoordelijkheid die u in de keten hebt om wél tijdig klaar te zijn. Vraag uw CISO om advies op welke wijze de techniek aangepast moet worden en wie in de organisatie deze taken dienen uit te voeren.   Tot slot Zoals al eerder gezegd is de dataprotectie arbeidsmarkt op dit moment enorm schaars. Goed opgeleide medewerkers zijn lastig te vinden en de gemeentelijke salarissen kunnen moeilijk concurreren met het bedrijfsleven. Zorg er derhalve voor dat u de CISO en zijn/haar stafmedewerkers voldoende uitrusting geeft om het werk ook daadwerkelijk te kunnen verrichten. Dat is niet alleen salaris maar zeker ook voldoende budget voor opleiding, seminars/congressen, ICT-tooling en tijdelijke ondersteuning (inhuur) voor projectwerk. Ook een directe, doorlopende en open dialoog met het bestuur en college is belangrijk. Immers, gemeentelijke informatiebeveiliging is een bestuurlijke verantwoordelijkheid. Als laatste en hopelijk ten overvloedde, noem ik daarom nog vraag 6. Eigenlijk de meest belangrijke vraag die u uw CISO kunt stellen: "Hoe gaat het met je, heb je het nog naar je zin en wat kan ik voor je doen?"   Auteur:  Dimitri v. Zantvliet Rozemeijer MBA CISM CISA CIPP-E CIPM FIP, CISO / Manager Strategie, Security en Privacy gemeente Haarlemmermeer    

Inhoud Customer Journey: het onderwerp duikt overal op en zou daarmee makkelijk aangezien kunnen worden voor een hype, die wel weer over gaat. In deze tijd van snelle technologische vooruitgang, waarin iedereen alle informatie letterlijk voortdurend in de hand heeft, is transparantie belangrijker dan ooit geworden. Volgens Natalie Aubel is dat niet het geval en zorgt Customer Journey voor innovatie en transformatie binnen bedrijven. "Door goed ingerichte journeys af te stemmen op de interne bedrijfsprocessen, levert dit een krachtige transformatie op naar een klantgericht handelende organisatie."   Impact van informatie In deze tijd van snelle technologische vooruitgang, waarin iedereen alle informatie letterlijk voortdurend in de hand heeft, is transparantie belangrijker dan ooit geworden. Informatie verspreidt zich razendsnel (iedere tweet van president Trump is direct wereldnieuws) en negatieve berichten hebben veel impact. Uit onderzoek is gebleken dat restaurantbezoekers drie keer eerder een negatieve recensie plaatsen, dan een positieve. Door smartphones en social media is die informatie direct voor iedereen beschikbaar. Dit beïnvloedt hoe (potentiële) klanten naar jouw product of dienstverlening kijken. Tegelijkertijd heeft positieve Word of Mouth impact op het koopgedrag van mensen. Als bedrijf wil je ervoor zorgen dat je klant een positieve ervaring heeft en dat die klant vaker terugkomt en het liefst ook anderen positief beïnvloedt.   Klantervaring in proces Hoe zorg je er als bedrijf of organisatie dan voor dat mensen jouw producten of diensten kopen en ook tevreden zijn over de manier van die aankoop? Om de ervaring van de klanten met jouw bedrijf zo positief mogelijk te laten verlopen, is het goed te weten welke stappen zij doorlopen in het aankoopproces. Of in het bestel-, lever- of klantenserviceproces.   Inzichten met data Data biedt veel inzichten in de reis die een klant nu daadwerkelijk aflegt: het aantal pagina's dat zij bezoeken op de website, de redenen van telefonisch contact, de hoeveelheid contactformulieren die ingevuld worden of de afhandeltijd van een vraag of probleem. Deze informatie is overal in het bedrijf aanwezig. Maar wordt deze informatie wel op de juiste manier verzameld, met elkaar in verband gebracht en leidt dit dan tot verbeteringen? Of wordt de klantenservice binnen de organisatie alleen beoordeeld op haar 'reactieve' prestaties zoals het verlagen van de afhandeltijd? De vraag 'Hadden we de vraag of het probleem van de klant eerder ín het proces kunnen ondervangen of zelfs voorkomen?' levert informatie en inzichten op die de klantervaring verder kan verbeteren dan bijvoorbeeld alleen de duur van een telefoongesprek.   Visueel maken met Customer Journey Door het opstellen van een Customer Journey maak je de te doorlopen stappen visueel, kun je contactmomenten (ook wel touch points genoemd) in beeld brengen en aan je klanten vragen of zij die als positief of negatief hebben ervaren. Je kunt verschillende typen klanten in beeld brengen, die verschillende behoeften hebben. In leeftijdcategorieën, personen die een eerste aankoop doen of al langer klant zijn en de verschillende devices en kanalen die mensen gebruiken om met een bedrijf in contact te komen. Al deze data geeft je de mogelijkheid om de touch points goed in te richten en beter te communiceren dan je concurrent.   Transformatie naar klantgericht handelen Het doorvoeren van deze verbeteringen vraagt om een transformatie binnen je organisatie. Geeft je klant aan dat het beantwoorden van een vraag door klantenservice te lang duurt, dan is het van belang om dit proces goed onder de loep te nemen. Breng de kanalen in kaart waarover vragen binnenkomen, krijg inzicht in de informatie en beslissingsvrijheid van de medewerker, met welke systemen hij werkt en hoe deze zijn ingericht.   Verbanden leggen met Business Analyse Dit is een punt waarop de Business Analist zijn expertise kan inzetten. Door de verbinding te leggen tussen de beschikbare informatie, beschikbare systemen en ingerichte processen, levert hij de externe en interne input voor de Customer Journey zoals die nu verloopt. En geeft hij inzicht in verbeterkansen zodat de Journey geoptimaliseerd wordt. Vanuit een helikopter view over afdelingen heen, kan hij naar een totale klantervaring kijken. Waar nodig zoomt hij in op knelpunten en verbindt afdelingen en medewerkers die elkaar nodig hebben. Hiermee ondersteunt hij het bedrijf in een transformatie van klantgericht denken naar klantgericht handelen. Auteur: Natalie Aubel op CXO.nl Lees hier hoe Nationale Nederlanden de Customer Journey optimaliseert met Mavim.

Inhoud In het eerste deel van deze serie hebben we de focus gelegd op Service-integratie vanuit noodzaak, voordelen en randvoorwaarden. In het tweede deel zijn we nader ingegaan op de meest essentiële veranderingen in de werkwijze van de dienstverleners en positionering van dienstverlening ten opzichte van klanten, gebruikers en ondersteunde bedrijfsprocessen. In dit derde deel wordt ingezoomd op veranderingen in beleving en ervaring van klanten, gebruikers en dienstverleners.   Wat is service-integratie waard voor een organisatie? Het meest in het oog springende effect van service-integratie voor klanten en gebruikers, wat als positief zal worden ervaren, is dat de zoektocht naar de juiste servicedesk weg valt. Klant en gebruiker worden na de integratie van servicecentra, helpdesks en andere loketfuncties per definitie nooit meer van het kastje naar de muur gestuurd met hun melding. De waarde hiervan voor de organisatie wordt door de afzonderlijke dienstverleners vaak gemakkelijk en schromelijk onderschat. Alleen al het feit dat gebruikers voor hun meldingen niet hoeven te shoppen en na hoeven te denken waar ondersteuningsvragen gemeld kunnen worden geeft grote besparingen in tijd. Tijd die gebruikers kunnen blijven besteden aan het uitoefenen van hun taken binnen bedrijfsprocessen. Om de waarde van alleen al dit aspect tastbaar te maken kan worden gerekend met een simpele formule. Aantal meldingen op jaarbasis vermenigvuldigd met het percentage dat eerst bij een verkeerde serviceorganisatie wordt gemeld, de verloren tijd door contact met de verkeerde serviceorganisatie en een gemiddeld uurtarief levert al snel een serieus bedrag op. En verkeerde contactmomenten tellen dubbel. Het is zowel verloren tijd van de gebruiker als van de medewerker(s) bij van de verkeerde serviceorganisatie. Een tweede waarde wordt gevonden in de manier waarop afspraken over dienstverlening worden gemaakt met een enkele geïntegreerde serviceorganisatie. Zoals in het vorige deel benoemd, wordt de dienstverlening rechtstreeks gerelateerd aan de veerkracht in het ondersteunde bedrijfsproces: Line-of-business (LOB) dienstverlening. De business-owner heeft nog maar één enkele gesprekspartner over diensten, dienstverlening en dienstenniveaus die nodig zijn om zijn of haar businessproces goed ondersteund te krijgen, in plaats van met elke dienstverlener afzonderlijk.   Een relatie heeft meerdere kanten Een bredere waardebepaling begint met een nulmeting bij de klant, gebruiker en dienstverleners met de vraag welk gemak en last men ervaart bij gescheiden serviceorganisaties. En hierbij graag ook de uitnodiging om een optimale ondersteuningsvorm te beschrijven gezien vanuit het ondersteunde bedrijfsproces. Hierbij kunnen meer aspecten worden meegenomen dan alleen de waarde uitgedrukt in tijd en geld. Bijvoorbeeld emotie, frustratie en verstoorde relaties. Want die ontstaan nu eenmaal in meer of mindere mate als meldingen frequent bij de verkeerde serviceorganisatie(s) terecht blijven komen. Naarmate meer klanten en dienstverleners worden bevraagd, in bijvoorbeeld een tevredenheidonderzoek aangevuld met interviews, ontstaat een goed beeld van de totale waarde. En van de wederzijdse verwachting(en). Verwachtingen kunnen vertaald worden naar veranderpotentieel voor de geïntegreerde serviceorganisatie.   En wat verandert er dan operationeel? Een belangrijke tegenwerping vanuit afzonderlijke dienstverleners is dat door service-integratie minder meldingen direct in de eerste lijn kunnen worden afgehandeld. Voor de minder volwassen dienstverlening is dat inderdaad zo omdat er minder sprake is van gestandaardiseerde meldingen met bijbehorende werkinstructies, die door generalisten in de eerste lijn kunnen worden afgehandeld. Is de beperkte volwassenheid en standaardisatie in de eerste lijn dan een reden om te wachten met service-integratie? Nee! Service-integratie leidt er juist toe dat de meest volwassen dienstverlener in de groep een duidelijke voorbeeldfunctie krijgt en daarmee de groei van de anderen bevordert. Voor gebruikers is, voor het laten afhandelen van meldingen, het procentuele verschil van directe afhandeling voor en na service-integratie niet of nauwelijks merkbaar. Een gebruiker doet een melding en kan dan altijd al twee soorten ondersteuning onderscheiden. Het kan meteen aan de telefoon worden geregeld of de dienstverlener komt er later, al dan niet op locatie, op terug. Service-integratie verandert niets aan die twee mogelijkheden. Geen enkele individuele gebruiker doet in zijn eentje zoveel meldingen dat het merkbaar is dat een lager percentage niet direct in eerste lijn wordt afgerond. Een andere ontwikkeling, die volledig los staat van service-integratie, leidt wel merkbaar tot minder afhandelingen in de eerste lijn. Technische innovaties zoals bijvoorbeeld cloud-technologie, Computing Everywhere en Computing Anytime leiden tot meer gebruik van self-service en minder persoonlijk contact met servicecentra. Hierdoor ervaren gebruikers minder directe afhandeling in de eerste lijn. Dit houdt geen verband met het wel of niet doorvoeren van service-integratie. Wat voor gebruikers en klanten positief merkbaar is als gevolg van service-integratie is soepeler afhandeling van complexe meldingen bij dienstverlening die van meerdere ondersteunende disciplines afhankelijk is. Afzonderlijke ondersteunende partijen hebben voor integratie de ruimte om naar elkaar te verwijzen en daarmee de afhandeling te vertragen. In een situatie waarbij de betrokken dienstverleners zijn geïntegreerd onder een enkele aansturing is de verantwoordelijkheid bij voorbaat eenduidig en helder.   Service-integratie is een middel, geen doel op zich Net als in de tijd zonder service-integratie zijn snelheid en kwaliteit van dienstverlening essentieel in het creëren van waarde. Standaardisatie is hierbij een groot goed. Standaardisatie van dienstverlening en dienstverlener. Standaardisatie bepaalt in grote mate de volwassenheid, voorspelbaarheid en betrouwbaarheid. Met standaardisatie worden immers de doelmatigheid en doeltreffendheid geborgd. Voor vaker voorkomende meldingen zijn de contactmomenten geprotocolleerd via een script om gericht benodigde informatie beschikbaar te krijgen, behorende bij de betreffende melding. In een relatie van een dienstverlener met een particulier wordt nog altijd veel 'geslikt' waar het gaat om wachttijd en oplostijd, maar in de ondersteuning van een professional gaat er kostbare tijd verloren. Wachttijd en oplostijd zijn voor een gebruiker feitelijk allebei wachttijd en brengen per definitie bedrijfsschade met zich mee. In kosten, imago, tot wellicht zelfs wanprestatie. In zowel de ‘oude’ situatie als de nieuwe is het managen van wachttijd voor gebruikers een belangrijke succesfactor voor gebruikerservaring. De scope voor de dienstverlening voor of na service-integratie verandert niets aan dat mechanisme en bekende stuurmiddelen hiervoor blijven onverminderd toepasbaar. Bijvoorbeeld via dynamische allocatie van de capaciteit in de telefoondienst op basis van actuele wachtrijgrootte of wachtrijhistorie. Door het mechanisme van standaardisatie integraal toe te passen op alle dienstverlening wordt de waarde ervan verveelvoudigd.   De veranderende serviceorganisatie(s) De beleving van individuele dienstverlenende medewerkers verandert door integratie van dienstverleners met verschillende niveaus van standaardisatie en volwassenheid. Met name in de eerste lijn. Was men eerder nog niet gewend aan een grote mate van standaardisatie, dan ervaart men op basis van meldingen uit de ‘andere’ diensten na enige tijd de kracht en het gemak van werken volgens werkinstructies als een verbetering. Ook al gaat er een stuk vrijheid verloren om zelf steeds te mogen bepalen hoe werkzaamheden worden verricht. Medewerkers die juist al gewend zijn aan een hoge mate van standaardisatie ervaren de ‘terugval’ op basis van meldingen uit de ‘andere’ diensten en zullen hun nieuwe collega’s stimuleren en helpen dezelfde mate van volwassenheid te realiseren.   Geen ‘hullie’ en ‘zullie’ meer. Iedereen dezelfde doelstelling Het basisplan voor de geïntegreerde serviceorganisatie is in overleg met de klant(en) ontstaan op hoofdlijnen. Elke serviceorganisatie levert diensten en producten aan de gebruikersorganisatie. Met mede verantwoordelijkheid voor de doelstelling van de gebruikersorganisatie, geen eigen doelstelling. Dit vereist resultaatgerichtheid en klantgerichtheid, bezien vanuit het ondersteunde bedrijfsproces. Dit gaat over houding, gedrag en cultuur. Een gebruiker stelt een vraag aan de serviceorganisatie. In de communicatie wordt initieel geluisterd naar de gebruikersvraag, waarbij in een vraag- en antwoordspel tussen ondersteuner en gebruiker duidelijk dient te worden wat de gebruiker wenst aan ondersteuning en wat de serviceorganisatie kan leveren. Dit impliceert dat de dienstverlener zich moet laten meenemen in wat er aan ondersteuning nodig is, met een prestatie die voor het ondersteunde bedrijfsproces 'verdraagbaar' is. Specifieke productkennis is hierbij niet bij voorbaat vereist. De klant heeft immers een functionele vraag. Het siert de dienstverleners die de ambitie tonen om zoveel mogelijk vragen in de eerste lijn snel te kunnen oplossen. Dus de vraag herkennen en meteen kunnen afhandelen. De grotere scope van diensten na service-integratie maakt dat de ‘generalist’ in de eerste lijn niet alles meer kan overzien en ‘uit het hoofd’ kan afhandelen. De kracht en volwassenheid van een skilled-helpdesk zitten dan niet meer in parate kennis van de specifieke medewerker, maar in de beschikbaarheid van gestandaardiseerde werkinstructies. Gemaakt door specialisten, toepasbaar voor generalisten. Des te meer meldingen via gestandaardiseerde werkinstructies kunnen worden afgehandeld, des te effectiever de ondersteuning wordt.   Geïntegreerd gereedschap Een belangrijk facet van Service-integratie is het gezamenlijk gebruik van dezelfde ondersteunende Service Management systemen over de verschillenden ondersteunende disciplines heen. Doordat de procesmatige werkwijze in de dienstverlening is geüniformeerd, kan worden volstaan met een enkele functionele toepassing voor alle dienstverlening. Belangrijk hierbij is te onderkennen dat de uniforme werkwijze leidend moet zijn, maar dat beperkingen in de mogelijkheden van een gekozen Service Management systeem beperkend kunnen werken op de mogelijke werkwijze. Procesmatig beheer is weliswaar het toverwoord, maar feitelijk is voor elk type melding een goede workflow bepalend voor de kwaliteit van dienstverlening. Workflows leggen een logica over de processen heen, met opeenvolgende taken en activiteiten om zo zeker mogelijk tot een goed resultaat in de afhandeling te komen. Helaas is niet elk bekend Service Management systeem in staat goed workflow management te faciliteren. Ongeacht of taken, bevoegdheden en verantwoordelijkheden dan met behulp van een zuivere RACI–tabel eenduidig belegd kunnen worden, als de ondersteunende middelen het niet faciliteren gaat het links- of rechtsom ten koste van de kwaliteit van dienstverlening. Reden te meer om de keuze voor een Service Management systeem weloverwogen te nemen, waarbij prijs niet het belangrijkste argument is. Goedkoop is al snel duurkoop.   In het volgende deel Tot zover de beleving van betrokkenen bij service-integratie. In het vierde deel van deze reeks zullen we nader ingaan op de positionering en toepassing van een IT Service Management tool en de veranderende rol van het management bij Service Integratie.    Over de auteurs en hun bronnen Edwin Charité heeft 25 jaar ervaring in Service Management en is als consultant werkzaam voorPaphos Group in Amsterdam.Jeroen van de Ven heeft ruim 25 jaar ervaring in automatiseringsland. Systeembeheer, applicatie beheer, informatie analyse, projectmanagement, service management en lijnmanagement zijn de gebieden waarin hij zijn ervaring heeft opgebouwd. Momenteel is hij als hoofd MICT Technische Services werkzaam binnen het Jeroen Bosch Ziekenhuis in ‘s-Hertogenbosch..Ronald Vendel heeft ruim 35 jaar ervaring in de it-dienstverlening. Hij begon zijn loopbaan in 1980 bij Unisys als applicatieontwikkelaar en vanaf 1999 was hij commercieel verantwoordelijk bij een leverancier van documentmanagementsoftware. Sinds 2004 is Ronald werkzaam bij Mavim en als manager Business Solution Development betrokken bij het gehele klantenportfolio als ook vele partners van Mavim. Zijn focus ligt op het ontwikkelen en bieden van nieuwe toepassingen met Mavim, geavanceerde software die wordt ingezet bij zo’n duizend organisaties wereldwijd, over de as van thema’s zoals 'proces- en kwaliteitsmanagement', 'business en it-alignment' tot 'enterprise transformation'. Basis voor dit artikel zijn de volgende (inspiratie-)bronnen: ISM is een product van Servitect Veranderkrachtmodel, Ten Have Theory U, Otto Scharmer “Thinking in Promises”, Mark Burgess PDCA, Deming “De zeven stappen van effectief leiderschap”, Stephen R. Covey Theory of Constraints, Goldrath “Beheer van informatiesystemen”, Prof. Dr. Ir. Maarten Looijen 4-fasenmodel, Hardjono Deze artikelen zijn te vinden als expertverslagen op computable.nl.   Lees ook de volgende delen in de reeks Economy of Scope in Service Management: Deel 1: Economy of scope in service management Deel 2: Dienstverlening begint niet voor niets met "dienst" Deel 4: De manager als voorbeeld van het 'not invented here' syndroom

Inhoud Tijdens elke overgang van tijdperk bestaan de oude en de nieuwe situatie enige tijd naast elkaar. In een dergelijke situatie verkeert onze samenleving nu. Er is een doorgang gemaakt naar een parallel universum, een digitale wereld. Daar bevinden veel klanten zich al en bedrijven en instellingen staan voor de uitdaging snel een digitale versie van zichzelf te ontwikkelen – willen ze nog mee blijven doen. De twee werelden weerspiegelen in de IT-afdelingen van vele organisaties in de vorm van bi-modal IT, zoals Gartner dat noemt. Snelheid en wendbaarheid zijn de belangrijkste differentiators tussen beide modaliteiten. Naast de traditionele solide en betrouwbare IT-omgevingen staan de moderne IT-omgevingen die direct moeten kunnen inspelen op de grilligheid van de customer journey, de wispelturigheid van de klant en de snelle veranderingen in competitie. De klant neemt abrupt geen genoegen met een slechte ‘experience’, kansen doen zich plotseling voor, concurrenten duiken op uit ongedachte hoeken met ongedachte aanbiedingen, sociale media en internet beïnvloeden à la minute de beslissingen van de klant. Dat is het digitale universum. Daar is de klant de norm. De snelheid in de digitale wereld heeft grote impact op vernieuwingen en innovatie. Er is geen tijd om met conventionele watervalmethoden nieuwe diensten te ontwikkelen. Een nieuw idee moet snel vorm krijgen, snel getest en gepresenteerd kunnen worden. Dat kan met zogenaamde fast-trackprocessen; die kennen minder beperkingen en zorgen voor snelheid en agility. Omdat de kosten lager zijn, is vaak gemakkelijk een (bescheiden) budget vrij te maken. De kleine incrementele eenheden kunnen vlug getest worden door klanten en collega’s zonder te hoeven wachten op een volgende budgetronde. Voor het evalueren en prioriteren van de meest veelbelovende ideeën wordt dikwijls een lichtgewicht framework opgezet. Dit ‘rapid prototyping’ geeft inzicht in de impact op de business en klanten met een proof of concept. Het is nu eenmaal niet mogelijk voor elk idee een businesscase te schrijven. Rapid prototyping maakt ideeën tastbaar, zowel voor medewerkers als voor de board – maar ook voor niet-ingewijden. Dat kan handig zijn bij de funding. Er zijn echter niet veel organisaties die over de faciliteiten voor rapid prototyping beschikken. Met ‘snelheid’ als key driver kan alleen sourcing uitkomst bieden. En dan niet ad hoc, maar strategisch. Alleen op die manier kan aan de ‘natuurwetten’ van het digitale universum het hoofd worden geboden. Hiermee is ook meteen de spot gericht op de marketing, een bedrijfsfunctie die enigszins in de schaduw is komen te staan. Maar juist de marketeers voelen als hoeders van de customer experience de gevolgen van digitalisering het hardst. Bij elk nieuw idee of plan hoort direct de digitale bouwtekening. Marketing anno 2016 is zo onlosmakelijk verbonden met technologie dat marktvorser Gartner zelfs verwacht dat de chief marketing officer in 2017 meer geld zal uitgeven aan technologie en analytics dan de CIO! En dat terwijl de meeste CMO’s over beperkte kennis op het gebied van informatietechnologie zullen beschikken. Ook hier biedt sourcing soelaas, niet alleen op het gebied van technologie maar zeker ook op het vlak van kennis, ervaring en digital design. Daarmee is een nieuwe rol ontstaan die door enkele serviceproviders inmiddels al met verve wordt gespeeld en die zich ongetwijfeld verder zal verspreiden. Het is duidelijk dat innovatie in het digitale universum een bijzonder krachtige driver is van strategische sourcing.Auteur: Arnoud van Gemeren, IT Executive

Inhoud "Het lijkt wel alsof we al jaren over ‘digital’ praten, maar eigenlijk staat we nog maar aan het begin van het digitale tijdperk en kunnen we de implicaties nog maar nauwelijks overzien. Het enorme potentieel van digitale technologie is in staat onze samenleving compleet te veranderen. Dit is wat wij ook wel het ‘Digital Possible’ noemen. PokemonGo bijvoorbeeld, dat laat zien dat in deze tijden zelfs een spelletje ontwrichtend kan zijn. PokemonGo is een uitgelezen voorbeeld van digital possible. Het brengt technologieën, data en mensen van over de hele wereld samen en heeft - hoe je verder ook over het spel denkt - een enorme impact op de maatschappij. Duizenden (niet altijd jeugdige) spelers worden verleid om vele kilometers af te leggen om een Poke-ei uit te broeden, langs de ‘Gyms’ te gaan (waar men samenkomt om (virtueel) te strijden) en ‘Poke-stops’ aan te doen om de ‘Poke-balls’ aan te vullen. Mensen vallen er serieus van af! Daarbij heeft het impact op de economie; steden vallen over elkaar heen over wie nou de ‘Pokemon hoofdstad’ is, om over Pokemon merchandising nog maar te zwijgen. Het is een voorbeeld van hoedisruptive technologie kan zijn. Het is dit soort gebruik van technologie dat bedrijven en IT-teams uitdaagt om hun organisatie mee te nemen in dit digitale tijdperk. Nieuwe businessmodellen, andere strategieën, innovatieve diensten en veranderende ecosystemen zijn noodzakelijk om groei te bereiken - of te behouden. Steeds meer bedrijven zetten dan ook in op de ‘digitale transformatie’ van hun bedrijfsprocessen en -diensten.   Digitale transformatie roept om een andere mentaliteit Dit heeft een impact op organisaties, de rol van IT-teams en CIO’s. Maar het zet ook ecosystemen en outsourcing op z’n kop. Waar voorheen de inkoop van technologie vooral een ‘sluitstuk’ was en werd gedreven door kostenbesparingen, is het nu een voorwaarde voor innovatie, succes en groei. Hierdoor verandert het speelveld van klant/leverancier naar partnerships, van SLA’s (service level agreements) naar ELA’s (experience level agreements) en van ‘hoe kosten te besparen’ naar ‘hoe omzetgroei te verwezenlijken’. Digitale transformatie roept om een andere mentaliteit en in sommige gevallen om een ander soort leiderschap. Hoe een bedrijf invulling geeft aan zijn ‘digital possible’ is uniek. Dat men daartoe connectiviteit en de cloud als primaire enablers in wil zetten, is – in tegenstelling tot enkele jaren geleden – een gegeven. Dit blijkt ook uit een onderzoek dat BT dit jaar liet uitvoeren onder meer dan 1.000 CIO’s (The BT CIO Report 2016). CIO’s gaven zonder uitzondering aan digitalisering als hoogste prioriteit te zien. Echter slechts 23% van de Nederlandse organisaties (en slechts 7% in België – dat daarmee het laagst scoort) zegt dat zij al volledig ‘cloud-centric’ zijn – oftewel dat alle applicaties en infrastructuur in de cloud zijn gezet. En de druk is hoog, want 65% van de IT-beslissers geeft aan dat de huidige IT-infrastructuur de snelheid van de technologische innovaties eigenlijk niet meer bij kan benen. Zij hebben behoefte aan een infrastructuur die hen de keuze en controle biedt in netwerk, clouddiensten en de beveiliging die zij nodig hebben; en een ervaren partner met de kennis en een bewezen, succesvol ecosysteem die dit waar kan maken.Auteur: Fabrice de WindtMeer weten over digitale transformatie? Bekijk hier onze video over disruptie en transformatie."

Inhoud   Zoals iedereen die ooit een huis heeft gebouwd begrijpt, biedt een blauwdruk je de basis en beste kans op het succesvol bereiken van jouw doelstelling. Ook in de bedrijfswereld kan een blauwdruk een effectief instrument zijn. Een blauwdruk van je bedrijfsprocessen helpt jou en je collega's om inzicht te krijgen in het verloop en de duur.  In het boek getiteld “The Power of Business Process Improvement” reikt Susan Page tien eenvoudige stappen aan die je kunt gebruiken bij het maken van je eigen proces blauwdruk.   Maak een procesinventarisatie — De eerste stap is het inventariseren van al uw processen. Hoewel deze handeling misschien eenvoudig lijkt (wellicht denkt u alle processen al te kennen), helpt het vergaren van een visuele lijst om alvast na te denken over de prioriteit van elk proces. Leg het fundament — Stap twee helpt je bij het ontwikkelen van het toepassingsgebied. Op dezelfde manier waarop je aan een plan begint voor de verbouwing van jouw huis, moeten er voor een procesblauwdruk kaders worden vastgesteld. Teken de blauwdruk — Het maken van de blauwdruk impliceert begrip van waar overdrachten tussen afdelingen voorkomen. Bij deze stap moet je de informatie (output) uit de vorige stap toepassen door in kaart te brengen welke afdeling of individu verantwoordelijk is voor welk deel van het proces, van begin tot eind. Maak een schatting van tijd en kosten — Voordat doelen voor procesverbetering worden gesteld, is een nulmeting van cruciaal belang. Hoe lang duurt het verloop van processen en wat kost dit momenteel voor jouw organisatie? Deze stap definieert de parameters die worden gebruikt voor de verbetering van de doelstellingen. Controleer de proces blauwdruk — Vanaf dit punt is het waardevol om feedback te krijgen van betrokken collega's om ervoor te zorgen dat je nieuwe blauwdruk de realiteit weerspiegelt. Deze stap helpt ook om de nodige ondersteuning van belanghebbenden te verkrijgen. Pas verbetertechnieken toe — Een gestructureerde aanpak voor het verbeteren van bedrijfsprocessen met behulp van methoden zoals: afschaffing van de bureaucratie, evalueren van waarde toevoegende activiteiten, elimineren van overtolligheid, vereenvoudigen van rapporten en formulieren, verminderen van de cyclustijd en automatisering toe te passen. Door dergelijke verbetertechnieken nauwkeurig toe te passen op elk proces, zorg je ervoor dat al je processen bedrijfswaarde opleveren. Creëer interne controles en statistieken — De volgende stap is ontworpen om je te helpen de voortgang te monitoren. Het instellen van interne controles helpt om hulpmiddelen te creëren voor het verhogen van de effectiviteit, de efficiëntie en het aanpassingsvermogen van het bedrijfsproces. Bedrijfsprocessen zijn, zoals veel andere dingen, vaak onderwerp van menselijke fouten. Daarom is het essentieel om interne statistieken te ontleden en het proces zo veel als mogelijk te automatiseren. Doe een proeftest — Op dezelfde manier waarop een gratis 30-dagen test is bedacht om je kennis te laten maken met een product zonder hiervoor grote investeringen te doen, zal een proeftest voor jouw nieuw ontworpen bedrijfsprocessen helpen bugs op te lossen en ervoor zorgen dat het procesresultaat aan jouw vereisten voldoet, voordat je de voorgaande manier van werken overboord gooit. Voer de verandering door — In dit stadium worden de vernieuwde processen uitgerold. Deze stap vereist dat je de juiste informatie richting de juiste mensen communiceert. Zonder deze stap, is het nieuwe proces bijna gegarandeerd te mislukken. Streef naar continue verbetering — Dit is de onderhoudsfase. Hopelijk zijn de nieuwe processen succesvol ingevoerd. De laatste fase behelst het creëren van een mentaliteit waarbij procesverbetering als een doorlopend fenomeen wordt beschouwd, dat voortdurend evaluatie vereist om continue doeltreffendheid en efficiëntie voor de organisatie te garanderen. Hebt u ooit met succes een proces blauwdruk vastgelegd? Bekijk hier de praktijkcase van Kuwait Petroleum waarbij een complexe ERP-implementatie de aanleiding vormde voor het in kaart brengen van een procesblauwdruk

Inhoud   Voor de jaarwisseling is Alrijne Zorggroep overgestapt op een nieuw epd, HiX. Daarmee zijn in alle ziekenhuislocaties in Leiden, Leiderdorp, Alphen aan den Rijn, Katwijk en Sassenheim verschillende systemen vervangen door één geïntegreerd epd. Daarnaast zit de organisatie midden in een fusieproces. Dat maakt zo’n overstap complex, maar werken aan een gezamenlijk epd disciplineert en enthousiasmeert ook. Als je een nieuw informatiesysteem / epd / workflow-systeem wilt invoeren, gemodelleerd naar de nieuwe situatie, de fusie dus, loop je tegen een dilemma aan. Eigenlijk zou je het liefst alles geharmoniseerd willen hebben voordat je een epd uitrolt: het organisatiemodel, de processen, de IT, het applicatielandschap. Alleen, je kunt je processen en organisatie niet optimaal harmoniseren zonder te beschikken over een nieuw systeem. Uiteindelijk hebben wij als raad van bestuur de keuze gemaakt om eerst het nieuwe systeem in te voeren, mét standaardcontent. En dat heeft geholpen.   Ervaringen van veel ziekenhuizen Standaardcontent is alle denkbare inhoud voor een optimaal epd, samengesteld uit de ervaringen van veel ziekenhuizen. En dát gestandaardiseerd. Dit varieert van verslagleggingsmogelijkheden tot complete orderworkflows, specialistische vragenlijsten, scorelijsten, ingebouwde richtlijnen, beslisondersteuning, multimedia. Die inhoud krijgen wij gestructureerd aangereikt van onze leverancier, waardoor veel werk al voor ons is gedaan. Niet alleen met de inhoud zelf, maar ook op het gebied van onderhoud en implementatie.   Harmoniseren Een standaard-content-epd dwingt je als organisatie om processen te harmoniseren. De werkgroepen van onze verschillende locaties kwamen bij elkaar en overlegden over een eenduidige werkwijze binnen de standaardcontent. Dat maakt harmoniseren gemakkelijker, omdat de richting al is bepaald. Bovendien is het veel leuker om samen aan iets nieuws te werken dan met elkaar te touwtrekken over wiens aanpak leidend moet worden. Natuurlijk zijn er specialismen die door de invoer van het nieuwe epd in eerste instantie inhoudelijk een stapje terugdoen, omdat ze hun vorige epd zelf geoptimaliseerd hadden. Mede omdat in die gevallen de standaardcontent minder functionaliteiten biedt dan in de oude situatie, moesten er ook veel weerstanden overwonnen worden. Maar, ze zetten straks veel stappen vooruit door te profiteren van de inrichting van patiëntendossiers in andere ziekenhuizen.   Regionale samenwerking Op het gebied van regionale samenwerking gaat standaardcontent ons ook helpen. Wij wilden een epd waarmee onze partners in de regio ook (kunnen/gaan) werken. Denk aan huisartsen, laboratoria en thuiszorg, maar ook het Leids Universitair Medisch Centrum, dat al met HiX werkt. Dat is essentieel voor ons. Het nieuwe epd faciliteert optimale gegevensuitwisseling tussen samenwerkende ziekenhuizen. Wij zijn er niet per se op uit om zelf de innovator of pionier te zijn op dit gebied, liever de early adaptor. Op beperkte schaal experimenteren hoort daarbij.   Hartverwarmend Aan de overstap naar ons nieuwe epd hebben we met 70 werkgroepen en ruim 400 mensen keihard gewerkt en we hebben zo’n 3.000 medewerkers opgeleid. Dat is immens. Het zijn unieke ervaringen binnen een organisatie als de onze. Als je achteraf ziet hoe de medewerkers daarmee zijn omgegaan, kan ik alleen maar een diepe buiging maken. Het is hartverwarmend te zien hoe de saamhorigheid is vergroot.   Lessons learned Ten slotte wil ik wat tips delen met ziekenhuizen die aan de vooravond staan van een epd-overstap: onderschat het niet. Breng je hardware vroegtijdig op peil en start direct met onderdelen als portalen en zuilen. Voor een portaal moet je namelijk aan strenge beveiligingseisen voldoen. En wat betreft de zuilen: dat heeft veel impact op de logistiek in je hal en bij de inschrijfbalies. Stel jezelf de volgende vragen: waar komen de afsprakenbureaus en inschrijfbalies? Wat is er fysiek en wat niet? Hoe werkt dat samen? Wat moet er verbouwd worden? Als u op tijd begint én gaat voor standaardcontent, dan heb ik er alle vertrouwen in dat ook ú een succesvolle overstap maakt.Auteur: Mark de Jong, lid van de raad van bestuur van Alrijne Zorggroep en verantwoordelijk voor de portefeuille bedrijfsvoering.Benieuwd naar het praktijkverhaal van Leger des Heils? In deze video legt procesbeheerder, Irene de Jong, uit hoe het Leger des Heils hun EPD hebben geïmplementeerd.

Inhoud In relatief korte tijd zijn er allerlei nieuwe technologieën opgekomen die samen de aanjager vormen voor volledig nieuwe businessmodellen. Maar digitale transformatie is veel meer dan de introductie van technologie, zegt Maurice Herben, van IT-dienstverlener Experis Ciber. Organisaties hebben de mond vol van digitale transformatie. Maar in veel gevallen wordt eigenlijk gewoon digitalisatie bedoeld. Het is een misverstand waar Maurice Herben, Head of Biztech leads bij Experis Ciber, zich over verwondert, want voor een digitale transformatie is veel meer nodig dan dat.   Slechte digitale processen Hij haalt Arthur Docters van Leeuwen aan, voorzitter van een commissie die de ict van de overheid heeft doorgelicht. ‘Als je slechte processen digitaliseert of automatiseert, dan krijg je slechte digitale processen’, stelt Herben. ‘Als je nieuwe technologieën omarmt in bestaande processen, dan krijg je oude processen in een nieuw jasje. Je moet dus kritisch kijken naar hoe je de dingen nu doet.’   Nieuwe technologieën combineren Dat wil niet zeggen dat je digitaal kunt transformeren zonder digitalisering. ‘Uiteindelijk is digitale transformatie niets anders dan dat een bedrijf zichzelf opnieuw moet uitvinden om het businessmodel te veranderen’, zegt hij. ‘De laatste jaren zijn allerlei nieuwe technologieën beschikbaar gekomen, zoals API’s, Internet of Things, cloud en big data. Door deze technologieën te combineren ontstaan nieuwe businessmodellen. Een Uber is bijvoorbeeld in staat geweest om in twee of drie jaar tijd de taxiwereld op zijn kop te zetten.’   Generatiekloof dichten Bovendien verkleint digitale transformatie een generatiekloof. Generatie XYZ, of millennials, zijn immers gewend om op een hele andere manier met bedrijven te communiceren. ‘Als ik vroeger een klacht had, moest ik een brief schrijven’, zegt Herben. ‘Dan wisten misschien twee afdelingen van het bedrijf van die klacht, en wellicht enkele familieleden en kennissen. Maar mijn dochter hoeft nu maar een tweet te sturen dat een dienst ‘suckt’, en de hele wereld ziet het. Daar moet je als bedrijf op reageren.’   Verschuiving van macht Die verschuiving van de ‘macht’ van leverancier naar gebruiker heeft grote consequenties. Voorheen kon je als bedrijf nog wegkomen met het aanbieden van een standaarddienst. Wilde de klant meer, dan is dat vooral zijn probleem. ‘Maar nu accepteert een klant niet meer zomaar wat een organisatie aanbiedt’, zegt Herben. ‘Ze verwachten het andersom: ik heb dit nodig, en het is aan de leverancier om dat voor elkaar te krijgen. Kan de leverancier dat niet, dan gaan ze op zoek naar een alternatief.’   Stabiel en betrouwbaar Het is juist daardoor dat technologie zo belangrijk is. De traditionele omgevingen noemt Herben ‘zo flexibel als een looien deur.’ Ook al zijn ze stabiel en betrouwbaar, de klant kijkt ondertussen verder. ‘Grote traditionele omgevingen zijn monolitisch ontworpen, waarbij verondersteld is dat alle klantinfo erin zit’, zegt Herben. Het is de reden dat nieuwe partijen zich een weg weten te vinden in markten die voorheen potdicht zaten. ‘Zo dagen de fintechs de gevestigde orde in de bankenwereld uit. Ze zijn laagdrempeliger, online actiever en hebben minder overhead. Door nieuwe en efficiëntere technologie in te zetten kunnen ze sneller nieuwe proposities op de markt zetten.’   Succesvolle digitale transformatie Maar hoe zet je een succesvolle transformatie op touw? Wat zijn de randvoorwaarden?   #1. Duidelijke noodzaak Als eerste moet volgens Herben de noodzaak duidelijk zijn. ‘Het begint met een sense of urgency door de hele organisatie heen. In het verleden werd digitale transformatie aangezwengeld door de ict-afdeling. Die brachten dan bekende IT-kreten in: we moeten big data, Internet of Things en cloud doen. Dat zijn weliswaar enablers, maar het is niet de echte transformatie.’   Interne communicatie Probleem bij het duidelijk maken van de noodzaak ligt volgens Herben al vaak bij het gebrek aan interne communicatie en dat alleen het bestuur weet waarom de transformatie nou eigenlijk nodig is. ‘Je kunt je verhaal ook niet te vaak uitleggen’, zegt hij. ‘Hoe dieper je de organisatie in duikt, des te minder de sense of urgency wordt begrepen. Dat terwijl de digitale transformatie vaak grote impact heeft op de werkvloer, soms zelfs met banenverlies tot gevolg. Je wilt ook minder hiërarchie en kleine, zelfsturende teams die een eigen autonomie hebben om iets te doen. Je krijgt dan communities die samen aan hetzelfde doel werken in plaats van die hiërarchische boom.’   #2. Techniek implementeren De tweede stap is de techniek implementeren, waarbij volgens Herben een onderscheid moet worden gemaakt tussen adopteren en adapteren. ‘Wat je eigenlijk moet doen is eerst nieuwe technologieën adopteren; dus gebruikmaken van alle goede dingen die de technologie heeft. Dan kijk je hoe je het moet inzetten. Pas dan ben je met een digitale transformatie bezig.’ Te vaak wordt de technologie geadapteerd, dus aangewend om eigenlijk hetzelfde te doen. ‘Neem bijvoorbeeld de eerste auto. Dat was eigenlijk een huifkar zonder paard. Je bedenkt weliswaar iets nieuws, maar je giet het in het oude.’   Two-speed IT Een belangrijk hulpmiddel bij het adopteren van de technologie is volgens Herben two-speed IT. Het is vaak niet te doen om die robuuste ict-achterkant waar door de jaren veel in is geïnvesteerd zomaar weg te doen. De truc is om aan de voorkant een nieuwe IT-architectuur te bouwen die naar buiten is gericht en wel snel en flexibel is. Deze architectuur moet worden verbonden met die robuuste achterkant. Het is volgens Herben dan wel enorm oppassen dat die twee niet ontkoppeld raken en hun eigen leven gaan leiden. ‘Als Experis Ciber zeggen we dan ook dat je moet accepteren dat je die flexibele voorkant en robuuste achterkant hebt, en dat je een lijmlaag nodig hebt om dat bij elkaar te houden.’   #3. Manier van werken aanpassen De laatste, en belangrijkste, stap is dat de manier van werken aan de nieuwe omgeving wordt aangepast. ‘Dat is belangrijker dan vervanging van de systemen’, meent Herben. ‘Beheerders zijn behoudend en reactief, maar je moet naar open en proactief.’ Die tijd wordt ze gegund door de two-speed IT, maar het moet wel gebeuren. Dat vereist constante communicatie én betrekking van alle afdelingen. ‘Vaak wordt gedacht dat je tijd verliest door een partij te proberen te overtuigen die niet wil’, zegt Herben. ‘Maar je verliest juist tijd door die partij niet te betrekken en vlak voor de eindstreep erachter te komen dat ze niet aangehaakt zijn.’ Een digitale transformatie is dus misschien wel meer mensenwerk dan technologie.Auteur: Mchiel van Blommestein | MT.nlWeten wat er allemaal nog meer nodig is voor digitale transformatie? Bekijk hier hoe het Mavim Transformatie Platform u ondersteunt bij alle aspecten van digitale transformatie!

Inhoud De serviceverlening van de overheid richting de burger is voor verbetering vatbaar. Burgers verwachten anno 2017 dat ze als klant worden behandeld in plaats van als belastingplichtige. Dat is goed mogelijk, maar dan moet het roer wel om. Een digitale transformatie kan die dienstverlening moderniseren. Daarvoor zijn 3 maatregelen onvermijdelijk.   1. Herverdeling van taken Een organisatie die een digitale transformatie ingaat, moet eerst de bedrijfsstructuur op orde hebben. Eenvoud en centralisatie zijn dan toverwoorden. Welke afdelingen kunnen we clusteren, welke taken kunnen we centraliseren? Dat zou de overheid ook moeten doen. Een eerste stap is het centraliseren van ondersteunende taken in shared service centers. Denk aan taken als personeelszaken, boekhouding en inkoop. Door centralisatie van die ondersteuning bespaart de overheid op kosten en kan het efficiënter opereren. Nederland is wat dat betreft nog een ‘eiland’. Veel van de omringende landen werken al volgens dit principe. Hier is dat echter nog in eilanden vormgegeven (Inkoop apart, Personeel apart, en de boekhouding wordt langzamerhand steeds meer ‘shared’). Naast het centraliseren van ondersteunende taken moeten ook de verdeling van de primaire taken onder de loep. Zo is de Belastingdienst goed in het innen en uitkeren van gelden. Waarom zou bijvoorbeeld het UWV dit dan nog zelf doen en niet aan hen overlaten? Australië geeft hier een uitstekend voorbeeld. Zij hebben alle serviceverlening richting de burger ondergebracht in een centrale businessunit: Department of Human Services. Het bijbehorende digitale portaal blinkt bovendien uit in gebruiksvriendelijkheid en eenvoud. Het taalgebruik is helder, en je kunt zelfs de Nederlandse taal kiezen. Een uitstekend voorbeeld van een vernieuwende aanpak.   2. Uitbesteden van IT Een organisatie die wil transformeren, moet zich bezinnen op zijn takenpakket. Wie digitaliseert wat niet tot de kerncompetenties behoort, maakt het zichzelf enorm lastig. De overheid kan daar inmiddels over meepraten: de IT – beslist geen kerncompetentie – laat in veel gevallen te wensen over. Vervelend, want IT is wel chefsache. Overheidsprocessen zijn namelijk in toenemende mate IT-processen. Marktpartijen liggen ten opzichte van de overheid wat IT betreft ruimschoots voorop. De overheid zou zich moeten focussen op de taken waar ze goed in is. Laat alle IT – op zijn minst het beheer ervan - aan marktpartijen over. Zodat overheden handen vrij krijgen voor hun kerntaken. Veel van de huidige overheids-IT is toch end-of-life, dus een schone lei is goed mogelijk. Het outsourcen van (het beheer van) IT aan partijen voor wie dat core business is, heeft een aantal duidelijke voordelen:1) Het IT-beheer wordt goedkoper, want de overheid kan gebruik maken van Pay as They use en ik ga er vanuit dat gespecialiseerde partijen dit doelmatiger kunnen dan IT-afdelingen her en der verspreidt binnen de verschillende organisaties.2) IT kan doelmatiger worden ingezet, net zoals de betrokken ambtenaren: die kunnen zich verder specialiseren in de beleidsmatige aspecten van de organisatie.3) De overheid krijgt toegang tot up-to-date technologie en oplossingen4) De IT is beter beveiligd, want security komt in handen van gespecialiseerde partijen. Ik geef toe dat hier haken en ogen aan zitten. Want wat gebeurt er in zo’n geval met privacygevoelige burgerdata? Ik ben er echter van overtuigd dat hiervoor oplossingen en middenwegen voorhanden zijn. Maar dan moeten we wel in die richting durven denken. De overheid moet durven loslaten en uitbesteden.   3. Aanstelling van Digital Transformation Officer Een succesvolle digitale transformatie kan niet zonder sturing. Het is een goed idee om hier een apart instituut voor op te richten: een Digital Transformation Office, met aan het hoofd een Digital Transformation Officer. Op die manier voorkom je dat een digitale transformatie ‘bijzaak’ wordt en leg je bovendien duidelijke verantwoordelijkheid neer bij een aanwijsbare partij.  Ook hier is Australië een lichtend voorbeeld. Zij hebben voor hun digitale transformatie het Digital Transfomation Agency ingericht. Dat agentschap richt zich geheel op digitalisering. Niet zonder resultaat: de digitale transformatie is in Australië een succes. Burgers profiteren van moderne digitale dienstverlening, onder andere via apps. Met de groeiende onvrede verliest langzaam maar zeker legitimiteit die de basis vormt achter de gezagvoering. Actie is nodig, wil de kloof met de burger niet verder groeien. Ik hoop dat ze in 2017 het startschot geven voor een digitale transformatie. De burger verdient dat.Auteur: Hein Keijzer, Customer Solution Manager bij SAP NederlandMeer weten over digitale transformatie? Hier vind je alles wat je moet weten over digitale transformatie; van strategie tot uitvoering! Behoefte aan ondersteuning bij de implementatie van een SAP- of ander ERP-systeem? Lees hier hoe Mavim helpt de voorspelbaarheid van het verloop van het implementatietraject te vergroten!

Inhoud Voorheen betekende ‘technology push’ dat de techniek vooropliep en de klant of gebruiker het nauwelijks kon bijbenen: hij remde de snelheid van de ontwikkelingen omdat zijn adoptievermogen te gering was. Tegenwoordig is het omgekeerde aan de orde: nieuwe technologie maakt de klant of gebruiker nog hongeriger, hij adopteert snel en wakkert de push verder aan. Zie hier de uitdaging voor het management, dat moet acteren in deze dynamische context waarin snelheid en innovatie het verschil maken. Bovendien heeft het management intern te maken met de nodige uitdagingen (tijd, geld, bestaande infrastructuur, verandervermogen) die nopen tot het maken van keuzes en stellen van prioriteiten. Om aan te sluiten op almaar versnellende ontwikkelingen is het noodzakelijk de planningshorizon op strategisch niveau hierop aan te passen. Agile is het sleutelwoord. ICT speelt in de dynamiek een cruciale rol. Op het gebied van functionaliteit, snelheid en integriteit. Maar ook de ontwikkelingen voor de techniek onder de motorkap gaan snel en hebben veel impact (bijvoorbeeld cloudtechnologie of security). Genoeg reden om de besturing van groei en innovatie aan te laten sluiten bij de voorlopersrol die ICT hierin met agile voortbrengingsmethoden heeft opgeëist. Agile betekent wendbaar en deze duiding is de spijker op z’n kop. De meeste agile methoden zijn het bekendst vanwege hun toepassing binnen applicatieen softwareontwikkeling. Er wordt gewerkt met iteraties, kleine opzichzelfstaande projecten die steeds iets bruikbaars opleveren. Teams zijn multidisciplinair en het eigenaarschap is geborgd in de rol van de product owner. Voorbeelden van agile methoden zijn kanban, scrum en het Scaled Agile Framework.   ICT-besturing Veel organisaties hanteren – nog steeds – voor het besturen van ICT het robuuste negenvlaksmodel (van Rik Maes) of varianten daarop. Het model lijkt vanwege zijn eenvoud en praktische bruikbaarheid de tand des tijds glansrijk te doorstaan. Het kent drie lagen en drie kolommen waardoor negen vlakken ontstaan. De lagen betreffen strategie (richten, scope 3 tot 5 jaren), tactiek (inrichten, scope 1 tot 3 jaren) en operatie (verrichten, scope tot 1 jaar). De drie kolommen representeren het businessdomein, het informatievoorzieningsdomein en het technologiedomein. Maar hoe bruikbaar is het model nu nog, gelet op de eerder beschreven uitdagingen waar bedrijven voor staan? Past een strategische scope van 3 tot 5 jaar, of een tactische planningshorizon van 1 tot 3 jaar nog wel? De indeling in de drie genoemde horizontale lagen roept associaties op met de bekende watervalmethode. Op strategisch niveau worden voor een langere termijn domeinen benoemd, die ‘onomkeerbaar’ zijn en dus rigide worden doorgegeven aan het tactische niveau, de waterval volgend. Op dit niveau worden vervolgens nieuwe applicaties ontwikkeld die passen binnen de strategische domeinen. Ook applicatieontwikkeling zelf is veelal langs de route van de waterval gelopen. Als reactie op deze traagheid en onomkeerbaarheid zijn agile methoden zoals bekend tegenwoordig gemeengoed geworden.   Agile en het negenvlaksmodel Als we de agile methoden projecteren op het negenvlaksmodel dan zien we in eerste instantie toepassing binnen vlak 5, waar softwareontwikkeling plaatsvindt. De tactische planningshorizon verkleint hierdoor sterk: van 1 tot 3 jaar naar maximaal 3 maanden of zelfs 3 weken of 3 dagen! Multidisciplinaire teams met vertegenwoordigers uit de business, klanten en ICT-specialisten doen de agile-olievlek uitbreiden naar vakken 4 en 6 op tactisch niveau. Wie het boek The Phoenix project door Gene Kim, Kevin Behr en George Spafford heeft gelezen begrijpt dat iteraties ook direct en snel in productie genomen kunnen worden. Er zijn bedrijven die duizenden ‘deployments’ per dag realiseren. Vertaald naar het negenvlaksmodel betekent dit een uitbreiding van de agile-olievlek naar het operationele niveau, vlakken 7, 8 en 9. De agile-benadering neemt snel toe en werpt zijn vruchten af. Het lijkt erop dat alleen de strategische, richtende laag zich nog aan dit agile-geweld moet aanpassen.   Agile werken in de strategische, richtende laag De traditionele strategische planningscyclus voor bedrijfs-, informatievoorzieningsen ICT-strategie past niet meer bij de tijdshorizon op inrichtend en verrichtend niveau. Strategieontwikkeling wordt kortcyclischer: herijking en bijsturing eens per 3 maanden is eerder aan de orde. Natuurlijk is er een richtpunt op de meerjarenhorizon maar ook die is ernstig aan verandering onderhevig. Dit betekent een aanpassing in het strategisch planningsproces voor organisatie en instrumentarium. Een goede en bewezen aanpak om dit te organiseren is een of meerdere ‘radarteams’ te vormen. Radarteams zijn multidisciplinaire teams die voortdurend de markt van technologie-aanbod, de klantbehoeften en gedrag van concurrentie scannen. In ‘sprints’ van 3 maanden doen ze aanbevelingen over het implementeren van nieuwe toepassingen. Zowel waar het digitaliseren van het primaire en ondersteunende processen betreft, maar ook aangaande toepassing van nieuwe ICT-technologie onder de motorkap. Ook het instrumentarium op het strategisch kortcyclisch niveau zal veranderen. Zo bieden geavanceerde simulatietechnieken de mogelijkheid om effecten van toepassing van digitalisering te voorspellen en te kwantificeren. Bijvoorbeeld: hoeveel extra callcentercapaciteit is er nodig na de introductie van een app voor het afsluiten van een autoverzekering? Een ander instrument is het zogeheten digitaliseringsambitie-grid. Dit grid is het resultaat van een per sprint uit te voeren scan en is vooral bedoeld om de gehele organisatie betrokken te houden bij de ontwikkelingen. De scan speelt in op het feit dat, ingegeven door snelle ontwikkelingen, de digitaliseringsgraad en prioriteiten voortdurend verschuiven. In het grid worden, als uitkomst van interviews en workshops, alle primaire en ondersteunende processen geplot in een diagram met op de assen de digitaliseringsgraad en prioriteit. Idealiter zijn deze in lijn met elkaar op de diagonale as. Met name voor de processen in het vierde kwadrant rechtsonder (hoge prioriteit, lage digitaliseringsgraad) is er werk aan winkel. De resultaten uit de scan zijn dan richtinggevend voor de opdrachten aan product owners in het tactisch en operationele domein.   Van langetermijnbeleidsplan naar kwartaaldashboard Het negenvlaksmodel blijft als ordeningskader prima bruikbaar voor ICT-besturing. Door toepassing van agile methoden, in eerste instantie op de tactische en operationele lagen, wordt wel de cyclustijd drastisch verkort. Daarnaast is het traditionele onderscheid tussen business en IT aan het verdwijnen. Dit vereist vervolgens aanpassing van de werkwijze op strategisch niveau, door ook hier agility te introduceren. Door op dit niveau voortdurend de markt te scannen op de bruikbaarheid en toepasbaarheid van technologische ontwikkelingen en hierover met een kwartaalfrequentie aanbevelingen en implementatievoorstellen te doen wordt strategievorming agile. Het strategisch denken wordt sneller en kortcyclischer, maar ook spannender met een grotere kans op fouten of verkeerde inschattingen. Echter, waar staat geschreven dat management en directies geen fouten mogen maken? Drie jaren wachten tot een volgende strategische herorie?ntatie of een strategieontwikkeling met een doorlooptijd van 6 maanden zijn echt geen optie meer. Management zou zich daarmee loskoppelen van de tactische en operationele agile werkelijkheid. Bij dezen nemen we dus afscheid van documenten getiteld ‘Informatiebeleidsplan 2016 – 2019’ en omarmen het digitale en dynamische dashboard ‘Q3 -2016: implementatieaanbevelingen radarteam digitale trends en ontwikkelingen’.Auteurs: Henk Stienstra en Remko ZuidgeestMeer weten over agile werken? Lees hier meer over 'de weg naar continue verbetering'

Inhoud   Het is alweer ruim 20 jaar geleden dat de voorloper van de Code voor Informatiebeveiliging (CvI) werd geboren. Zover ik weet ontstond ze uit een vrijage van Shell met het Britse Ministry of the Interior als een antwoord op de uit de hand lopende automatisering. Tot dan toe was er vanzelfsprekende controle door de geslotenheid van de gebruikte systemen. Client-server brak met de regels en zorgde voor onduidelijke grenzen aan je systeem. Je moest met veel meer verschillende factoren rekening gaan houden. Bovendien was er een heel nieuwe groep IT’ers die zich met dataverwerking ging bezighouden die de oude beveiligingsparadigma’s niet had geleerd. Het antwoord op deze ontwikkelingen was een ‘best practice’. Zo’n verzameling handreikingen was handig als checklist en verschafte je als nieuweling gelijk een soort opleiding in de strijd voor de veiligheid.   Best practice Gaandeweg werd duidelijk dat het eenmalig afwerken van een lijst maar beperkt soelaas biedt. Continue beheersing is nodig, met een kwaliteits-‘proces’. De PDCA-toevoeging was geboren en kreeg later een ISO-jasje. Certificeren doen we nu al jaren op basis van die PDCA waarbij de best practice er is om vanuit de risico’s uit te kiezen, niet om blind uit te voeren.   Baseline Er is al jaren óók een beweging die daar dwars tegenin gaat, die zogenaamde ‘baselines’baart. Baselines zijn maatregelsets die een basisniveau aan beveiliging moeten opleveren en direct duidelijkheid geven over wat er moet worden gedaan. Een soort bevroren best practices, dus. Bijzondere systemen en processen die meer beveiliging behoeven krijgen extra maatwerkmaatregelen. Dat klink toch goed? Ja, best goed, maar er zijn nadelen, flinke nadelen. Om te beginnen bedenkt iedereen sector zijn eigen baseline, als uitdrukking van de eigenheid. Het heeft in dat geval niets met de inhoud te maken, maar is een poging de eigenheid als verleider te gebruiken om de boel in beweging te krijgen. Zo is er één voor de rijksoverheid (de BIR), voor de gemeenten (de BIG), de waterschappen (ja, de BIWA), voor woningbouwcoöperaties (de BIC) en een voor de Provincies (nee, niet de BIP, maar de Interprovinciale Baseline Informatiebeveiliging, de IBI). En ik mis er vast nog wel een paar. De centrale gedachte is dat binnen sectoren de organisaties risico’s en cultuur delen en daarom een eigen baseline verdienen. Mijn waarneming is dat de verschillen tússen sectoren vaak kleiner zijn dan tussen organisatie bínnen een sector.   Volwassenheid Al die baselines zijn (soms losjes) gebaseerd op de CvI (of nazaten daarvan) en vertonen nogal verschillende niveaus van volwassenheid. Vaak zie je het ontstaansproces erin weerspiegeld: iedere deelnemer in de werkgroep zijn zin of alleen dat waar we het over eens kunnen worden. De BIWA onderscheidt zo’n 280 maatregelen, de IBI 1.906. Dan is er het vraagstuk van het onderhoud. Goedwillende groepen mensen (zoals in elke vereniging getrokken door een paar bevlogen types) bouwen onvermoeibaar een versie 1. De eerst update wil dan ook nog wel lukken, maar dan is de energie er wel uit. Hoe moet het daarna verder, wie pakt het dan op?   Kwaliteitsproces Heb je je baseline al weten te beleggen bij alle uitvoerders in je organisatie, dan komt de vraag hoe je het kwaliteitsproces aan de gang houdt. Het ‘project’ is immers voltooid. Een kwaliteits-‘proces’ biedt een prima antwoord met zijn cyclische benadering, maar dát zit in zo’n baseline nou net niet mee verpakt.. Dan is er ook nog de afstemming met je leveranciers: ga je al die maatregelen stuk voor stuk met ze doornemen? We zijn in een wereld beland waarin we elkaar ISO-certificaten toesturen, of ISAE-rapporten. XL-sheets vol met sector-eigen maatregelen opsturen naar jecloud-suppliers is geen zeker succesrijke strategie. Dat levert een ingewikkeld gesprek of een heel hoge rekening op, geen directe bijdrage aan de veiligheid.   Beoordeling En last but not least is er de vraag van de beoordeling van het resultaat: krijgt iedere sectorale baseline een eigen beoordeling en certificaat? Dat levert allemaal oordelen van heel verschillende vorm en inhoud op, waarmee het slecht communiceren is naar je doelgroep of toezichthouder. We werken ondertussen steeds meer in ketens waar dat wél nodig is. Ik ken ondertussen een paar sectoren waar de baseline niet echt het verschil heeft gemaakt. De baseline heeft eerder geleid tot vragen als: moeten we dat allemaal wel toepassen? En in welke volgorde? Kan het niet wat minder? Dan worden er analyses en grootse plannen (documenten) tegenaan gegooid, wat al snel leidt tot stroperigheid. Na verloop van tijd (soms jaren) is de energie weg en een kans voor meer veiligheid verkeken.   ISO27001 Ondertussen wint de ISO27001 sterk aan reputatie en toepassing in de volle breedte. De certificaten verschaffen klanten en toezichthouders een genormeerd, uniform en dus te vertrouwen oordeel over hoe je organisatie -doorlopend- met informatiebeveiliging bezig is. De ISO-norm wordt ook inhoudelijk steeds volwassener, ook al is er kritiek mogelijk. Bijvoorbeeld dat deze internationale norm ruimte voor verschillende volwassenheidsniveaus toelaat. Het is immers primair een hulpmiddel voor toepassing door organisaties die aan veiligheid willen werken. Aanvullende transparantie over de volwassenheid van de maatregel-implementaties kan dat probleem verhelpen.   Aanvullen staat vrij Een verwijt dat ook gemaakt wordt is dat de IT-ontwikkelingen (met name bij cloudtoepassingen) sneller gaan dan deze best practice. Dat is waar, maar niets weerhoudt je ervan om een andere of aanvullende best practice te gebruiken om die tekortkoming te repareren, zoals de CloudControlsMatrix of de ENISA-checklist. Kortom de ISO27001 is het beste instrument voor interne en externe doelen. Dus wég met de baseline en húp met de ISO27001. Werk aan een volwassen beheersing op basis van je eigen risicobeoordeling, organisatiestijl en -cultuur en vraag dat ook van je leveranciers.    Er is hoop! Aan het begin van de zomer is bekend geworden dat in overheidsland (onder aanvoering van BZK) gewerkt gaat worden aan de BIO, de Baseline Informatiebeveiliging Overheid.. maar pas nádat eerst een update van de BIR is gedaan. Wordt de BIO nóg een baseline zult u zeggen, of is het doel opruimen van de wildgroei en streven naar uniformiteit? Het lijkt erop dat mijn bede -een beetje- verhoord wordt en de ISO27001+2 écht de kern gaan vormen. Er zal een ‘dun laagje’ omheen geschreven worden, verschillend per overheidslaag.. Maar of het PDCA-denken écht de kern wordt? We zullen zien, waar het toe leidt, hoopgevend is het zeker. Hoop hebben we ook nodig, want werken met baselines…. brrrrrr! Wég met de baseline!Door: André Beerten. Staat informatiebeveiliging ook bij uw organisatie hoog op de agenda? Bekijk hier hoe u eenvoudig grip krijgt op de beschikbaarheid, integriteit en vertrouwelijkheid van informatiestromen

Inhoud Terwijl veel organisaties momenteel nog bezig zijn met de Meldplicht Datalekken, die 1 Januari 2016 van start is gegaan, komt er alweer een nieuwe wet om de hoek kijken. In mei 2018 gaat de nieuwe Europese privacywetgeving in Nederland van kracht. Het niet naleven van deze wetgeving kan hoge sancties tot gevolg hebben.   Verwerking persoonsgegevens General Data Protection Regulation (GDPR) geldt voor alle organisaties die persoonsgegevens verwerken. Het ziet er naar uit dat de Europese wetgeving doorwerkt in de Nederlandse ‘Meldplicht Datalekken’ en de ‘Wet Bescherming Persoonsgegevens’.  Bij deze wetgeving gaat het niet alleen om bescherming van digitale gegevens, maar ook gegevens op papier. Opvallend is dat deze wetgeving veel middelgrote bedrijven raakt en ook verschillende lagen binnen een organisatie. De boetes liggen in de Europese privacywetgeving een stuk hoger. Dit kan zelfs 4% van de jaarlijkse wereldwijde omzet bedragen. Daarnaast kan geconcludeerd worden dat er inhoudelijk voor Nederland weinig gaat veranderen. Door de ‘Meldplicht Datalekken’ is Nederland goed voorbereid op de Europese wetgeving.    Interne organisatie Uit onderzoek blijkt dat 70% van alle beveiligingsincidenten worden veroorzaak vanuit de eigen interne organisatie. Dit komt doordat medewerkers niet bewust zijn van bepaalde richtlijnen, procedures en instructies die binnen de organisatie gevolgd moeten worden. Hierdoor worden risico’s vaak niet tijdig onderkent, door gebrek aan kennis en ervaring. Dit blijkt ook uit de uitzending van Zembla op 30 november 2016 waarin wordt ontdekt dat privacygevoelige informatie van particulieren maar ook zeer vertrouwelijke informatie over organisaties (als terrorismebestrijdingsorganisatie Europool) voor het grijpen ligt. In deze uitzending komt duidelijk naar voren dat vrijwel iedere organisatie te hacken is. Volgens de Europese Commissie zijn het aantal cyberincidenten vorig jaar gestegen met 38%. Zelfs 80% van alle Europese bedrijven heeft wel eens problemen met cybercriminaliteit ondervonden. Dit geeft aan dat de situatie zorgelijk is.    Webwinkels en digitale beveiliging Wanneer je als handelsorganisatie beschikt over vertrouwelijke bedrijfsinformatie evenals persoonlijke klantinformatie, zoals NAW-, bestel- en betalingsgegevens speelt informatiebeveiliging een grote rol. Uit onderzoek naar de veiligheid van webwinkels (consumentenbond, 2015) is gebleken dat tweederde van de top 100 webwinkels hun digitale beveiliging niet op orde heeft. In 38% van de onderzochte webwinkels ging het om een ernstige veiligheidslek, waarmee gegevens zoals e-mailadressen, bestelinformatie of wachtwoorden van consumenten werd bemachtigd.  Daarnaast hebben vele organisaties kennis over de klant op het gebied van koopgedrag en smaakvoorkeuren. Denk bijvoorbeeld aan de informatie die retailers bezitten door middel van een bonus- of klantenkaart over de smaakvoorkeuren en het koopgedrag van een klant.   Onveilige kanalen Ook maken medewerkers gebruik van redelijk onveilige kanalen als internet en e-mail. Dergelijke kanalen zijn zeer gevoelig voor digitale criminaliteit als phishing, hacking, et cetera. Medewerkers behoren beschermd te worden tegen deze digitale dreigingen van buitenaf. Wanneer gevoelige informatie zoals persoonsgegevens niet goed beveiligd zijn, kan dat leiden tot datalekken. Of een identiteitshack, waarbij iemands naam, profielfoto en andere persoonlijke informatie gekopieerd en misbruikt op internet. Dit kan ernstige gevolgen hebben. Het doel van de wetgeving is ervoor te zorgen dat ondernemers zorgvuldiger omgaan met deze persoonsgegevens en dat de beveiliging hiervan op orde is om uiteindelijk te voorkomen dat privacygevoelige informatie op straat belandt. Naast de enorme boetes die je kunt ontvangen bij het niet naleven van deze wetgeving, kan een datalek grote schade aanrichten aan het imago of reputatie van organisaties. De kosten om deze schade te herstellen kunnen daarbij aanzienlijk oplopen.   Veilig omgaan met informatie Maar hoe zorgt u er voor dat alle mensen in de organisatie weten hoe zij omgaan met het beveiligen van hun informatie? Met het Information Security Management System (ISMS) framework van Mavim kunnen processen, procedures, risico’s en wet- en regelgeving in kaart worden gebracht. Aan de hand van de gedefinieerde risico’s en bijhorende maatregelen wordt inzicht gegeven in de mate van risicobeheersing. Beveiligingsrisico’s kunnen eenvoudig geïdentificeerd worden. Het ISMS framework zorgt ervoor aantoonbaar in control te zijn conform het GDPR, ‘Meldplicht Datalekken’ en de ‘Wet Bescherming Persoonsgegevens’. het zorgt tevens voor kostenbesparingen als gevolg van verbeterde operationele controle en verliesbeheersing. 2018 lijkt misschien nog ver weg, maar het implementeren van informatiebeveiliging binnen uw organisatie is een zorgvuldig proces dat de nodige tijd vergt. Begin dus op tijd! Meld je dan nu aan voor de webinar ‘Expert College Informatiebeveiliging’ dat 17 januari 2017 vindt plaats. Of download de factsheet over het ‘ISMS framework’. Auteur: Annick van der NapWordt het voor uw organisatie ook de hoogste tijd om privacygevoelige informatie zorgvuldig te borgen en beveiligen? Zie hier welke stappen u kunt ondernemen in een eerste stap naar privacy compliancy. Benieuwd hoe u de risico’s van datalekken op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen.