De hele zorgsector staat op een breukvlak in de tijd als gevolg van een cocktail aan ontwikkelingen, variërend van vergrijzing en kostenbeheersing tot aan technologische innovaties. Ook ziekenhuizen staan voor een transitie die in veel gevallen al in gang is gezet. Daarbij spelen drie factoren een rol. Ten eerste nemen zorgverzekeraars een stevige regierol door scherp in te kopen en de kwaliteitseisen van de beroepsverenigingen te volgen. Ten tweede is het uit het oogpunt van een houdbare kostenstructuur onvermijdelijk dat ziekenhuizen afdoende schaalgrootte hebben – of creëren – in de behandelingen die zij verzorgen. En ten derde drukt de vergrijzing een stempel op elk ziekenhuis. De aard van de marktvraag verandert daardoor omdat er steeds meer sprake is van meervoudige zorg.

De toekomst mag dan nog niet helemaal helder zijn, het is duidelijk dat er een nieuwe realiteit ontstaat voor ziekenhuizen. Ziekenhuizen moeten hun aanbod op die nieuwe realiteit afstemmen en daarbij is het soms onontkoombaar dat er behandelingen of complete afdelingen worden verplaatst naar een andere ziekenhuislocatie. Dat is uiteraard even wennen, zowel voor ziekenhuisbestuurders, medisch specialisten als lokale politici.

In het oude denken is een ziekenhuis een imposant gebouw dat een volledige range van behandelingen aanbiedt. In het nieuwe denken moet meer worden ingespeeld op de vraag vanuit burgers en moet deze vraag in samenhang met andere ketenpartijen of ziekenhuizen in de regio worden ingevuld. Als we denken aan de zorg moeten we dus niet langer denken in stenen, maar in geïntegreerde zorgsystemen.

Bestuurders staan steeds meer voor de taak om het portfoliomanagement proactief vorm te geven. Daardoor verandert het karakter van een ziekenhuis maar ontstaat wel meerwaarde voor de patiënt. Hoog-complexe zorg wordt dan bijvoorbeeld optimaal verzorgd in regionale topklinische interventiecentra. Laag-complexe zorg wordt juist weer in naadloze samenwerking met de eerstelijnshulp verzorgd. En electieve zorg wordt in focus factories (gespecialiseerde centra) aangeboden. De traditionele kolommen in de zorg mogen niet leidend zijn in de discussie, want de keten moet juist optimaal samenwerken om in te spelen op de uitdagingen van de toekomst.

Bestuurders ontkomen dan ook niet aan heldere keuzes ten aanzien van hun portfolio. Dat heeft gevolgen op tal van terreinen, van huisvesting en governance tot financiering en personele bezetting. In veel gevallen zullen ook lokale politici hun stem laten horen. Er zal druk ontstaan om keuzes af te zwakken en het vergt dan ook lef om duidelijke keuzes te maken. De status noch het verleden van het ziekenhuis mag daarbij een stempel drukken op deze keuze. De discussie moet gaan over de inhoud: een krachtig antwoord op de eisen – ten aanzien van kosten en kwaliteit – van de nieuwe realiteit. Wie daarin halfslachtige keuzes maakt legt geen stevig fundament onder de toekomst van de instelling. Niet kiezen is ook een keuze. Maar vrijwel zeker de verkeerde keuze.

De laatste tijd is het raak met politici die vanwege integriteit in opspraak komen. Burgemeester De Vries van Lingewaard om foutieve declaraties, wethouder Van Rey vanwege het lekken van vertrouwelijke informatie en staatssecretaris Verdaas vanwege onterechte declaraties. Onlangs nog kreeg een raadslid uit Gemert-Bakel een taakstraf opgelegd voor liegen en bleek dat de burgemeester van Neerijnen de indruk van fraude had gewekt.

Onderzoek toont echter aan dat dit niet alleen van de laatste tijd is. De afgelopen tien jaar zijn er maar liefst 175 Nederlandse politici in opspraak gekomen vanwege hun integriteit. Een voor de hand liggende conclusie is dat het slecht is gesteld met de integriteit binnen het openbaar bestuur. Inderdaad is iedere schending van integriteit er één te veel. Als een politicus hiervoor moet opstappen, dan geeft dit aan dat deze persoon de eigen verantwoordelijkheden niet heeft waargemaakt. Sterker nog, heeft verkwanseld.

Want iedere schending is een minachting van het volk. Politici zijn namelijk dienaren van het volk. Als ze andere belangen dienen dan het volk, dan verspelen ze hun integriteit en daarmee hun legitimiteit. Het is dan ook een goed initiatief dat de Tweede Kamer onlangs besloot de eigen integriteit tegen het licht te houden.

De hoeveelheid affaires laat ook zien dat er met integriteit niet valt te marchanderen. De affaires tonen aan dat integriteit zijn werk doet. Het toont aan dat vele misstappen niet verborgen blijven, maar in de openbaarheid komen. Eveneens toont het aan dat deze misstappen worden afgekeurd en dat er negatieve consequenties aan worden verbonden.

Een politicus die demotie krijgt, geld moet terugbetalen, moet opstappen of niet wordt herkozen, is een overwinning van de integriteit. In dat opzicht gaat het goed met integriteit.

Politici dienen zich daarom te realiseren dat de macht van integriteit groot is. De kans dat gedrag geheim blijft en niet wordt opgemerkt, is erg klein. Alleen al de opkomst van smartphones maakt dat zij 24 uur per dag in een glazen huis leven. Prins Harry kan erover meepraten toen hij tijdens een ‘besloten’ feest naakt werd gefotografeerd en dit wereldnieuws werd. Denken dat niemand erachter komt, ook al is het nog zo lang geleden, is naïef en politici onwaardig. Zo heeft menig Duitse politicus moeten opstappen vanwege jaren eerder verrichte fraude in hun proefschrift.

Politici dienen ook de regels en de moraal als geen ander te kennen. Overtreding van één regel kan al hun integriteit aantasten. Terecht, omdat regels er niet voor niets zijn. Bovendien hebben zij een voorbeeldfunctie en verwacht de samenleving een hogere moraal. Als politici al niet het voorbeeld geven, wie dan wel? De huidige discussie over de vele nevenfuncties van sommige politici laat zien dat burgers geen genoegen nemen met deze verstrengeling van belangen, maar dat zij zuivere politiek en politici willen.

Eveneens dienen politici de consequenties van misstappen niet te onderschatten. Eén misstap kan al fataal zijn. Een argument als ‘het zal zo’n vaart niet lopen’ is spelen met vuur. Zo liet minister Opstelten vorige maand nog weten zich te gaan inzetten voor zero tolerance in het bestuur. Eenmaal ook in opspraak, willen anderen gerechtigheid en lopen politieke vrienden hard weg. Politici die in opspraak raken, kunnen daarom het beste maar openheid van zaken geven en meewerken aan het eventuele onderzoek. Want met ontwijken, duiken, liegen of zelfs meineed wordt het integriteitsprobleem alleen maar groter. Daar zijn politici niet bij gebaat – en de samenleving al helemaal niet.

Dit artikel verscheen op 6 mei 2013 in Trouw.

Er zijn oneindig veel meer combinaties mogelijk dan dat er originele ideeën zijn; er is dus een soort marktwerking nodig als selectie. Succesvolle combinaties van ideeën noemen we innovaties, niet-succesvolle ideeën noemen we niet en die sterven dus uit omdat ze niet doorverteld worden. Onze ruimte voor ideeën – Dawkins noemt deze ‘brain space’ – is immers beperkt.

Wordt dit nu een betoog voor het schaamteloos kopiëren van andermans ideeën, in de geest van ”beter goed gejat dan slecht bedacht”? Nee, juist het tegendeel: er is heel wat creativiteit nodig om de juiste ideeën op een goede manier te combineren. Daarom wordt in innovatieworkshops zo veel aandacht besteed aan ‘out of the box’ denken, laterale verbanden leggen en noem zo nog maar een paar hippe termen voor het combineren van verschillende ideeën.

Wat is dan nog het nieuwe (nova) in innovatie? Het nieuwe is dat je eerder met je (combinatie van) idee(ën) op de proppen komt dan de rest. Het is de enige voorsprong die je als bedrijf hebt, want een innovatie verspreidt zich als een lopend vuurtje. Na een paar jaar is het nieuwe eraf en heeft iedereen het idee toegepast. Op je lauweren rusten is er dus niet bij. Zo was dat ook met Darwin: de ideeën die ten grondslag liggen aan de evolutieleer waren niet nieuw, maar Darwin was wel de eerste die ze samengesmeed tot één theorie publiceerde.

‘On the Origin of Species’ was nog niet van de pers gerold of mensen gingen ermee aan de haal. Ook dat is innovatie: je combineert verschillende ideeën en komt zo tot een innovatie. Maar vanaf het moment dat een innovatie wereldkundig is gemaakt, staat het de wereld vrij om haar uit elkaar te halen, over te nemen, of te combineren met andere ideeën om tot nieuwe innovaties te komen.

Wie wint er uiteindelijk? Dat zullen de meest aansprekende ideeën zijn, niet per se de beste, meest winstgevende of minst schadelijke. Volgens Dawkins is dat ook de drijvende kracht achter bijvoorbeeld complottheorieën en het succes van innovaties. De innovaties zelf winnen dus, en bedrijven surfen mee op het succes van innovaties die binnen de ‘brain space’ van hun medewerkers en business partners voet aan de grond krijgen. Survival of the fittest!

In het artikel wordt opgemerkt dat bij veel bestuurders na kort doorvragen al blijkt dat er onvoldoende grip op het onderwerp is. En eigenlijk is dat heel begrijpelijk. Niet goed, maar wel begrijpelijk, want effectieve cybersecurity vergt inzicht en sturing door de hele organisatie heen. Onderwerpen als strategie, beleid, awareness, opleiding, targetsetting en beloningsbeleid, ICT budgettering, technische maatregelen, monitoring, crisismanagement, productontwikkeling en outsourcing dienen de revue te passeren om een organisatie voldoende volwassen te maken. En dit op een wijze die past bij de specifieke organisatie en haar cultuur. Een goede aanpak voor cybersecurity vergt dus een maatwerkaanpak, te meer omdat dit een van de weinige onderwerpen is die over alle bedrijfsketens heen georganiseerd moeten worden. Alleen dit al is een reden dat de regie vanuit de bestuurskamer behoort te komen.

De vraag die een bestuurder veelal terecht stelt is “wat moet er voor mijn organisatie gebeuren en waar moet ik beginnen?”. In een recente publicatie van KPMG, met de titel “Vijf denkfouten over cybersecurity – Een bestuurdersperspectief op cybersecurity” worden de vragen beantwoordt die een bestuurders zich op zijn minst zou moeten stellen. Vragen als:

• Met welke dreigingen heeft mijn organisatie maken en voor wie ben ik een doelwit?
• Welke processen en systemen vertegenwoordigen de grootste waarde vanuit een cyber security perspectief?
• Hoe is de afhankelijkheid van mijn leveranciers en ketenpartners en hoe weet ik dat zij cyber security op orde hebben?
• Draagt onze organisatiecultuur bij aan cyber security of vormt het juist een belemmering?
• Hoe voorkomen we reputatieschade bij een cyberincident of crisis?
• Waar moet ik op sturen om de cyber risico’s in continuïteit te mitigeren?

De lesson learned is dat dergelijke vragen vaak niet of pas achteraf gesteld worden. Dit leidt tot organisaties die onvoldoende weerbaar zijn tegen de digitale dreigingen van vandaag de dag. De gevolgen zijn inmiddels bekend: Reputatieschade, aanzienlijke kostenposten en discontinuïteit. Reden te meer voor bestuurders om de regie op het dossier cyber stevig in handen te nemen.

Toen kwamen internet, blogs, tweets, e-mail, mobiele telefoons en alle mogelijke combinaties daarvan. De situatie was omgekeerd: het probleem bestond uit een overschot aan informatie. Veel opdrachten beginnen nu met een e-mail met daarin een reeks PowerPoints, PDF’s en Excelsheets – vaak gecomprimeerd omdat het anders niet meer in de mailbox past. Het maken van een PowerPointpresentatie wordt nu onderdeel van het probleem. Dit is het tijdperk van ‘cutting through complexity’ (=’vereenvoudiging’), maar hoe zou dat moeten werken?

De gereedschappen die we het meest gebruiken om informatie te verwerken en om te communiceren, zoals e-mails, spreadsheets en PowerPointpresentaties, zijn in de afgelopen vijftien jaar nauwelijks veranderd. Het is gereedschap dat uitnodigt tot meer complexiteit in plaats van eenvoud. Denk aan ‘copy to all’-e-mails, slidedecks van zestig pagina’s en spreadsheets met twintig tabs en formules die allemaal naar elkaar verwijzen. Wanneer de context waarin je werkt zoveel is veranderd, heb je een doorbraak nodig, geen efficiencyverbeteringen. Het heeft dus geen zin om te wachten op Office 2015.

Wat dan wel? “Vertel het me en ik vergeet; laat het me zien en ik onthoud; laat het me doen en ik begrijp” zei Confucius 2500 jaar geleden, en dat is een goed startpunt. Tijdwinst wordt bereikt door eenvoud, en dat wordt weer bereikt door visualisatie. Infographics zijn beter dan PowerPoints met blokken, pijlen en ‘stock photos’. Interactieve visualisatie is vervolgens beter dan statische infographics, omdat de gebruiker dan kan experimenteren met scenario’s. Het goede nieuws is dat het gereedschap voor dit alles beschikbaar is. Nu nog de brede toepassing!

Bouwopgaven kunnen vaker integraal op de markt worden gebracht, zodat ontwerp, bouw, en soms ook onderhoud, aan één consortium van partijen wordt gegund. Ook kan meer gewerkt worden met prestatiecontracten. De markt krijgt hierdoor veel meer vrijheid en verantwoordelijkheid. Daarnaast moeten opdrachtgevers niet langer vragen om gedetailleerde ontwerpen, maar helder omschrijven wat zij willen. Formuleer je behoefte, omschrijf welke functionele eisen je hebt en laat het vervolgens aan de markt om te bepalen wat hiervoor de meest praktische, duurzame, levensduurbestendige en goedkope oplossing is. Gun de opdracht vervolgens vooral op basis van deze criteria en geef voor de prijs alleen een plafondbedrag.

Ook kan de overheid zorgen voor veel kortere aanbestedingsperioden. Voor veel grote projecten geldt nu een acquisitieperiode van anderhalf jaar, die de meedingende consortia veel tijd en geld kost. Omdat er maar één partij kan winnen, gaan hiermee miljoenen aan maatschappelijke waarde verloren. Als de juridische vereisten en het drempelbedrag voor dit type aanbestedingen worden verlaagd, kunnen ook minder grote partijen in de sector meedingen.

De problemen van krimpregio’s en de leegstand zijn niet op te lossen als de pijn niet eerlijk wordt verdeeld. Sloop van een bedrijfsterrein komt niet van de grond als alleen het naastgelegen bedrijfsterrein profiteert van de waardestijging en niet degene die de kosten maakt. Veel waardevolle gebiedsontwikkeling stuit ook op tegengestelde deelbelangen van gemeenten. De bouw moet niet vragen om geld, maar om professioneler opdrachtgeverschap en regie. Zo kan de overheid een robuuste impuls aan de sector geven.

Complexiteit is een sign of the times in alle delen van de maatschappij. Ook in het kennis- en onderwijsdomein is dat evident, met onder meer een grote mate van overlap in activiteiten en verantwoordelijkheden van de verschillende organisaties. Het gevolg daarvan is dat organisaties steeds meer van elkaar afhankelijk zijn voor hun eigen succes. Dat vraagt om sturing vanuit een netwerkbenadering.

Tegelijkertijd heeft elke partij haar eigen autonome taken, verantwoordelijkheden en professionaliteit en hecht men ook – mede vanuit de eigen historie en identiteit – aan die autonomie. In zo’n ambigue omgeving zal samenwerking alleen succesvol zijn als er recht wordt gedaan aan de onderlinge verschillen. Het gaat om het vinden van de juiste balans tussen onderlinge afhankelijkheid en onafhankelijkheid en tussen samenwerken en competitie: ‘smart collaboration’. Zodanig dat er flexibiliteit blijft bestaan om ook op toekomstige ontwikkelingen in te kunnen spelen. Smart collaboration verbetert de prestaties in het kennisdomein en vermijdt inefficiëntie en overbodige overlap op netwerkniveau.
Er staat veel op het spel, want in de kenniseconomie is een netwerkbenadering geen luxe maar pure noodzaak om concurrerend te blijven.

We moeten dan ook juist nu vol in blijven zetten op samenwerkingsverbanden en leren van de ervaringen van de afgelopen jaren. Een van de leerpunten is dat we vanuit de inhoud moeten denken en de keuzes voor partners en partnerships goed onderbouwen. Dan hoeven we ook niet bang te zijn voor verschillende soorten publiek-private arrangementen of voor vergaande samenwerkingsvormen. En dan faciliteren we ook de benodigde flexibiliteit op de langere termijn.

Natuurlijk is er geen succesrecept voor samenwerking. Elke situatie vraagt immers om een maatwerkbenadering. Er zijn echter wel twee algemene uitgangspunten.

Ten eerste is het zaak om bij het aangaan van een samenwerking de doelen van de samenwerking goed te definiëren. Gaat het om gezamenlijke kennisontwikkeling? Of wordt er helemaal niet op inhoud samengewerkt en gaat het alleen maar om efficiency in de bedrijfsvoering? Hebben partijen daarbij hetzelfde ambitieniveau? En dezelfde tijdshorizon? Het lijken basale vragen die echter vaak onvoldoende aandacht krijgen.

Ten tweede moeten de randvoorwaarden helder in kaart worden gebracht. Welke praktische punten pleiten voor welke vorm van samenwerking? Passen de organisatieculturen wel bij elkaar? Welke risico’s brengt samenwerking met zich mee? Hoeveel kunnen partijen aan en willen zij dat ook? In het bedrijfsleven is het een goede gewoonte om deze factoren met een due diligence onderzoek boven water te krijgen. Het kennisveld besteedt er nog veel minder aandacht aan.

Door de genoemde twee punten vanaf het begin consistent voor ogen te houden bij het aangaan van samenwerking in welke vorm dan ook ontstaat een tweeledig effect. Partijen worden gedwongen over de inhoud te praten en niet (alleen maar) vanuit een bestuurlijk perspectief naar de zaak te kijken. En er ontstaat ruimte om over verschillende vormen van samenwerking te praten: de vorm van de samenwerking is een afgeleide van de doelstellingen en randvoorwaarden en niet andersom. In een ‘smart collaboration’-aanpak ontstaat ruimte om precies die samenwerkingsvorm te kiezen die is toegesneden op de specifieke situatie.

Tot slot. Vrijwel alle betrokken partijen zijn het erover eens dat goede samenwerking veel moois kan opleveren voor Nederland als geheel. Het onderwijs- en innovatiebeleid richt zich daar ook nadrukkelijk op. Om dat in de praktijk van de grond te laten komen en in stand te houden is het zaak om niet in te grijpen in de autonomie van instellingen door aanvullende wet- en regelgeving. Zij moeten juist het vertrouwen krijgen dat ze samen met private partijen tot goede dingen kunnen komen en zo samen flexibel inspelen op ontwikkelingen. Dat vergt politieke moed, maar is de beste – en waarschijnlijk ook de enige – manier om de ambities die in beleidsplannen zijn vervat ook om te zetten in klinkende resultaten.

Welke kansen liggen er? En wie kan de kansen pakken? Om die vragen goed te beantwoorden is het verstandig om de slimme meter in een iets breder perspectief te zien. Een van de grote trends is dat we steeds verder naar een samenleving gaan waarin alles met alles is verbonden, van smartphone tot wasmachine. Het ‘internet of things’ is voor een deel nog toekomstperspectief maar is in rap tempo aan het ontstaan nu steeds meer elektronische apparatuur is verbonden met het internet. Ook apparaten als CV-ketels, thermostaten, koelkasten, televisies, alarminstallaties en dergelijke zijn straks allemaal met elkaar verbonden. Juist dat biedt kansen. Het is immers niet de hoeveelheid data, maar vooral de combinatie van data, die nieuwe toepassingen mogelijk maakt. Toepassingen die nu voor een deel nog niet eens zijn te voorspellen.

Met de opkomst van zo’n wereld ontstaat er ruimte voor een partij die daarin de regie neemt en consumenten helpt om de apparaten aan elkaar te knopen en daarmee aantoonbare voordelen te realiseren. Het monitoren van het energieverbruik – desgewenst tot op apparaatniveau – legt onder meer mogelijkheden bloot voor energiebesparingen en is voor een deel van de consumenten zeker een aantrekkelijke propositie. In de markt zijn nu diverse partijen actief om zich hiermee te profileren. Vooral energieleveranciers brengen toepassingen en apparaten op de markt die het energieverbruik monitoren, het mogelijk maken om apparaten op afstand te bedienen via een smartphone of verschillende apparaten in huis aan elkaar verbinden. Het is echter maar de vraag of energieleveranciers de meest voor de hand liggende partijen zijn om dit te doen. Er zit immers iets tegenstrijdigs in: een leverancier die zijn klant helpt energie te besparen snijdt daarmee in eigen vlees, want het verdienmodel van de leveranciers is immers niet gebaat bij energiebesparing. Zij hebben dan ook op zijn minst de schijn tegen. Het heeft er hier en daar dan ook veel van weg dat de aanbiedingen rondom de slimme meter meer een lokkertje zijn om nieuwe klanten te werven dan een goed doordacht hulpmiddel om energie te besparen

Het is veel logischer als netwerkbedrijven in deze nieuwe markt stappen, want zij hebben een onafhankelijke positie. Als de investering in de uitrol van de slimme meter – zeer kapitaalsintensief – toch al is gedaan, is de stap naar het ontwikkelen van toepassingen eromheen maar relatief klein. Het is dan verstandig – zeker in het licht van de hoog opgelopen privacydiscussie – om twee zaken goed te scheiden. Enerzijds voert de netbeheerder de wettelijke taak uit en leest 6 keer per jaar de meter uit. Anderzijds ontwikkelt men nieuwe toepassingen vanuit de mogelijkheden van de genetwerkte samenleving om daarmee de consument te stimuleren energie te besparen. Als deze toepassingen goed genoeg zijn, zullen veel consumenten graag de data willen verzamelen en ook de slimme meter daarin betrekken.
De uitdaging: toepassingen ontwikkelen die aantrekkelijk genoeg zijn voor consumenten. Die aantoonbaar leiden tot besparing of meer gemak en comfort. Wie ontwikkelt de slimste meter?

Dat levert veel kansen op. Nu al zien we verschillende Big Data concepten toegepast worden waarin door de combinatie van data uit verschillende bronnen – en de analyse ervan – mogelijkheden ontstaan die tot voor kort ondenkbaar waren. Dat is prachtig, maar leidt ook tot nieuwe vraagstukken op het gebied van informatiebeveiliging. De risico’s staan elke dag in de krant en variëren van diefstal van persoonsgegevens tot aan aanvallen op systemen voor internetbankieren. Het is glashelder dat het privacy-aspect maatschappelijk belangrijker is dan ooit tevoren. En het wordt ook steeds duidelijker dat in een wereld vol Big Data toepassingen juist het ketendenken over beveiliging van informatie steeds wezenlijker wordt. Organisaties raken immers steeds meer aan elkaar verknoopt.

Goede informatiebeveiliging is dan ook een keiharde noodzaak om de kansen van Big Data – of breder: de om zich heen grijpende digitalisering – te pakken.

Nu is informatiebeveiliging voor velen een weerbarstig aandachtsgebied. Wetgevers wereldwijd worstelen bijvoorbeeld al jaren om te komen tot uniforme, consistente privacy en opkomende cybersecurity wet- en regelgeving, hetgeen tot op heden nog niet gelukt is. Voor Big Data adapts is dit natuurlijk geen goed nieuws. Immers het internet stopt niet bij de landsgrenzen en zonder internationale consistente wetgeving op dit vlak wordt het toch wel moeilijk om optimaal gebruik te maken van grensoverschrijdende en organisatieoverschrijdende big data initiatieven.

Ook voor organisaties blijft informatiebeveiliging evenzo een moeilijk thema. Dit heeft onder meer te maken met het feit dat organisaties teveel focus leggen op technologie in hun beveiligingsaanpak. Informatiebeveiliging wordt vaak gezien als de verantwoordelijkheid van een afdeling gespecialiseerde professionals die met hoogwaardige tools de strijd aangaan met malafide personen en/of criminele groepen. Dat doet echter geen recht aan de uitdaging en heeft bovendien het risico van schijnzekerheden. Want de rest van de organisatie beschouwt informatiebeveiliging dan niet als hun probleem als er incidenten optreden en de reflex is dan vaak om te investeren in verdere versterking van die afdeling. Dat is een heilloze weg.

De mens is en blijft vaak de zwakste schakel als het gaat om veiligheid en investeren in de allerbeste tools is dan ook alleen maar zinvol als mensen hun verantwoordelijkheden op dit punt begrijpen. Social engineering – waarbij hackers het vertrouwen winnen van medewerkers door slim sociaal gedrag en daardoor toegangsrechten weten te krijgen tot systemen – blijft een van de belangrijkste risico’s. En daar is met technologie weinig tegen te doen.

De echte uitdaging zit erin om informatiebeveiliging te integreren in alles wat je doet. Dat betekent bijvoorbeeld dat informatiebeveiliging een onderdeel is van het HR-beleid – met in sommige gevallen zelfs een koppeling met het beloningsbeleid. Het betekent ook dat informatiebeveiliging een centrale plaats moet krijgen bij de ontwikkeling van nieuwe IT-systemen en/of Big Data concepten en niet een sluitstuk van zo’n project mag zijn. En het betekent dat informatiebeveiliging vanuit een ketenbenadering moeten worden opgepakt. Informatiebeveiliging is dan ook geen afdeling. Het is een houding.

Kortom, werk aan de winkel!

AOL heeft in 2006 een lijst gepubliceerd met de zoekopdrachten van meer dan een half miljoen abonnees. De lijst bevat meer dan twintig miljoen zoekopdrachten die verzameld zijn over een periode van drie maanden. Om de privacy van de klanten van AOL te waarborgen, heeft AOL de lijst van zoekopdrachten geanonimiseerd door niet de naam van de persoon te vermelden, maar een willekeurig getal.

Van ‘No. 4417749’ was redelijk snel te achterhalen dat de persoon een interesse had in het gedrag van honden. Een nadere inspectie leerde dat de persoon ook interesse had in verschillende zaken in de stad Lilburn. Verder bleek dat er meerdere malen was gezocht naar personen met de achternaam Arnold.

Supercomputers hoefden er niet aan te pas te komen om te herleiden dat de persoon achter ‘No. 4417749’, Thelma Arnold is. Een 62 jarige weduwe uit de stad Lilburn.

Thelma werd geconfronteerd met de lijst met haar zoekopdrachten door een reporter en reageerde geschokt. Thelma was zich geen moment bewust van het feit dat al haar zoekresultaten werden bijgehouden en bewaard. AOL reageerde hierop door de lijst onmiddellijk van het Internet te halen en excuses aan te bieden voor de gemaakte fout. Het leed was echter al geschied. De lijst circuleerde al op het Internet en er werden zelfs wedstrijden op Internet forums gehouden wie de meeste personen achter de ‘anonieme’ zoeker kon vinden.

Zeven jaar later heeft de techniek van big data een vlucht genomen en is het makkelijker dan ooit om uit de oneindige hoeveelheid gegevens, waardevolle informatie te ontsluiten. Hierdoor is het met de techniek van nu, nog makkelijker om de personen te vinden achter de nummers van AOL. Hierin schuilt echter ook het gevaar. Hoe weten we zeker dat big data niet de privacy van de burger aantast? En als anonimisering wordt toegepast, hoe kunnen we garanderen dat de gegevens niet alsnog te herleiden zijn tot een identificeerbaar persoon?

Bij het beantwoorden van deze vragen wordt vaak heil gezocht in de toepassing van privacy wetgeving. In de afgelopen zeven jaar heeft ook de privacywetgeving niet stil gestaan. Momenteel wordt een laatste hand gelegd aan de Europese privacyverordening. Deze verordening zal de privacyrichtlijn uit 1995 opvolgen. De verordening stelt nog hogere eisen aan de omstandigheden waarin data wordt verwerkt. Door sommigen wordt al geoordeeld dat door de hoge eisen die gesteld worden aan voorafgaande toestemming van verwerking, de big data industrie een halt wordt toegeroepen. Door anderen wordt betoogd dat de wet niet ver genoeg gaat, omdat het nog steeds ruimte laat voor verwerking wanneer anonimisering wordt toegepast.

Middels wetgeving kan een eerste kader worden gecreëerd waarbinnen gegevensverzameling en –verwerking toegestaan is. Op welke wijze hier vervolgens mee moet worden omgegaan zal per geval moeten worden bekeken. Hierin zal wetgeving slechts beperkt steun bieden. Het zal te allen tijden belangrijk blijven dat de partij die de gegevens verwerkt, maar ook de personen die hun gegevens verstrekken bewust met privacy om gaan.

Wat het voorbeeld van AOL laat zien, is dat het privacygevaar niet zozeer ligt in het toepassen van big data technieken, maar in de verzameling van gegevens. Zonder geavanceerde technieken was het internetgebruikers namelijk gelukt om een groot deel van de lijst met nummers om te zetten in personen.

Zal een conclusie dan moeten zijn dat de bedrijven maar geen grote hoeveelheden gegevens meer moeten bewaren? Een positief antwoord op die vraag zal er toe leiden dat we afscheid zouden moeten nemen van de functionaliteiten en dienstenmodellen op het Internet zoals wij die nu kennen. De kracht van veel internetdiensten ligt in het feit dat gegevens verzameld worden gepresenteerd door en voor eindgebruiker.

Het verdienmodel van Facebook is gebaseerd op het slim analyseren van gebruikersvoorkeuren en het verkopen van die informatie aan advertentieleveranciers. Google doet hetzelfde met zoekresultaten en e-mails. Dit zorgt er enerzijds voor dat we als internetklant niet de ‘verkeerde’ advertenties te zien krijgen en anderzijds dat de internetaanbieders de advertenties voor hogere prijzen kunnen verkopen. Met de aanstaande privacyverordening is het de vraag of deze verdienmodellen nog toegestaan zijn.

Het beperken van gegevensverwerking door middel van wetgeving is naar mijn opinie dan ook niet de oplossing. De oplossing zou juist gezocht moeten worden in het vergroten van het privacybesef in alle stappen van dataverwerking en het goed toepassen van privacy enhancing technologies. Het zijn juist deze aspecten die slim vertaald moeten worden naar privacy wetgeving. Dit zou ruimte laten voor waardetoevoegende big data diensten in de toekomst en meer bescherming bieden voor consumenten.

Wij helpen nu al onze klanten om privacybesef te creëren en verantwoord met privacy van klanten om te gaan. Belangrijk is en blijft dat niet meer gegevens worden opgeslagen dan noodzakelijk en dat voldoende maatregelen zijn genomen om de gegevens veilig te stellen. Hiervoor zijn informatiebeveiligingsmaatregelen als juiste logische toegangsbeveiliging en goede anonimisering aan de bron essentieel. Alleen hiermee kan worden gepoogd privacyschandalen als die van AOL tot het verleden te laten behoren.