De afgelopen maanden was er tussen de besmettingscijfers en discussies over de invloed van een lockdown op de economie nog een andere constante: it-problemen bij de GGD. Als systemen niet platgingen door overbelasting, dan was het wel dat de security niet op orde bleek. De GGD is daarmee de volgende in een lange rij overheidsorganisaties die met it-problemen kampt. En vooral ‘de volgende in een lange rij’ is kenmerkend. Hoe komt dit toch?
Dat de overheid keer op keer problemen ervaart, is niet zo gek als je kijkt naar hoe we de afgelopen jaren met de verschillende diensten zijn omgegaan. Bezuinigingen waren aan de orde van de dag, met als resultaat dat deze organisaties sterk kosten gedreven zijn. It is nooit gezien als business driver of facilitator voor het snel aanpassen van processen, maar altijd als kostenpost. Als je stuurt op kosten in plaats van snelle aanpasbaarheid en schaalbaarheid van processen, moet je niet verbaasd zijn dat systemen haperen als ze ineens wel op een veel grotere schaal of op andere manieren worden ingezet.
Centraal of decentraal
Een ander aspect waar vrijwel niet over wordt nagedacht, is de mate van centralisatie of decentralisatie. Vaak wordt gedacht dat het of-of is. Een gulden middenweg wordt zelden gevonden.
Neem de decentralisaties in het sociale domein (Wmo, jeugdzorg en participatie): niet alleen de zorg zelf is bij gemeenten neergelegd, maar ook de automatisering van die processen. Elke gemeente gebruikt andere systemen en legt data op een andere manier vast. Hetzelfde geldt overigens voor de GGD’s. Er is bewust voor gekozen om elke GGD-regio de regie te geven over zijn eigen automatisering, met als achterliggende idee dat er dan meer maatwerk mogelijk is. Het is geen wonder dat op het moment dat er centrale sturing is vereist, zoals nu met corona gebeurde, er een probleem ontstaat. Daar zijn de systemen gewoon helemaal niet voor ontwikkeld.
Een voorbeeld van juist weer ver doorgeslagen centralisatie is de Belastingdienst. De systemen zijn helemaal ingericht op de standaardprocessen, met als achterliggende idee dat je zonder standaardisering nooit de schaal aankan waarop de Belastingdienst opereert. Hoezeer dat misgaat in situaties die niet binnen de standaarden vallen, hebben we gezien met toeslagenaffaire.
Risico-inventarisatie
Een derde aspect dat opvalt bij de terugkerende automatiseringsproblemen is dat er vooraf vaak onvoldoende is nagedacht over risico’s die kunnen optreden. In de directiekamers wordt vooral gestuurd op kosten, niet op risicomitigatie. Dit is overigens geen specifiek it-probleem, maar een breed organisatieprobleem dat zich overal voordoet. Neem het tekort aan persoonlijke beschermingsmiddelen (mondkapjes, handschoenen) aan het begin van de coronacrisis. Virologen waarschuwden al jaren voor een wereldwijde pandemie. Ziekenhuizen hadden zelfs draaiboeken klaarliggen en er was een heus OMT, waar voor corona nog niemand van had gehoord. Virologen wisten dat Aziatische landen het grootste risico lopen op een virusmutatie waardoor het van dier op mens kan overspringen. Die mensen deelden hun kennis echter niet met de inkoopafdelingen van hun ziekenhuizen. Inkopers wisten uit ervaring wel dat bij een grote uitbraak van een infectieziekte in Azië de supply chains van persoonlijke beschermingsmiddelen in elkaar klappen. Dat gebeurde immers eerder ook al bij SARS en MERS. Toch kochten ze die producten vrijwel uitsluitend in Azië in vanwege de lage kostprijs. Helaas realiseerden ze zich niet welk risico ze daarmee liepen.
Mitigeer bewust
Kun je alle risico’s altijd uitsluiten? Nee. Een quote die in dit verband past, komt van Winston Churchill: ‘In challenging times one must question the accepted reality because things are going wrong, rapid answers are needed and the solution may well be found outside the usual compass.’
Moet je dan maar gewoon blijven doen wat je altijd deed en die ‘challenging times’ afwachten? Nee, je kunt je er wel degelijk op voorbereiden. Sterker, in elke organisatie lopen mensen rond die alles weten van risico-inventarisatie en -mitigatie. Je vindt ze op je financiële afdeling, je bedrijf huurt waarschijnlijk beveiligingsdiensten in, en natuurlijk heb je een ciso wiens vakgebied dit is. Ga nu eens samen met collega’s van verschillende afdelingen om de tafel zitten om te bekijken welke risico’s kunnen ontstaan. Dan is daarna te beslissen welke van die risico’s acceptabel zijn en welke je koste wat kost moet mitigeren. Waarschijnlijk kom je dan tot andere inzichten en neem je andere beslissingen als het gaat om functionaliteit, schaalbaarheid en security van softwaresystemen.
Uitersten
De problemen bij de GGD passen in een patroon dat alsmaar niet doorbroken wordt. Er wordt te weinig naar de risico’s gekeken, te weinig kennis gedeeld en gedacht in uitersten. Om een andere quote van Winston Chruchill aan te halen: ‘Never waste a good crisis.’ Misschien dat de crisis nu duidelijk maakt dat it-kennis op alle niveaus in de organisatie (en in de politiek) onontbeerlijk is.
Goed beschreven Hans!
Hans,
Ik heb het idee dat je opinie ingegeven werd door de reacties op een discussie over het vernieuwen van GGD systemen of niet. Ik kom tot deze aanname doordat je wijst op een quote van Winston Churchill welke om het denken buiten de gebaande paden gaat. Nu blijkt het doorbreken van patronen in organisaties waar een cultuur van macht en angst heerst telkens lastig als er geen leiderschap is maar mogelijk veranderd dit met de aanstelling van een CIO.
Opdracht aan Diederik van Leeuwen is een passende regiestructuur opzetten waarmee dsturing aan de ICT gegeven moet gaan worden. Of dat een sturing op risico’s, kosten of kansen wordt zullen we af moeten wachten maar in eerder schrijven van Diederik van Leeuwen voor iBestuur wijst hij op eenoude indiane wijsheid:
“Man cannot have both head in the cloud and feet on the ground at the same time – unless very big man.”