Bestuurders kunnen niet alles weten. Dus hebben ze in grotere instellingen expertise in huis waarop ze een beroep doen om hen goed voor te lichten. Dat mag je ten minste hopen.
Goed voorlichten
Goed voorlichten is vooral objectief en deskundig informatie verschaffen. Passend binnen de missie en visie van de organisatie. Op basis van dat advies moeten immers besluiten worden genomen. Die kunnen verstrekkende gevolgen hebben.
Neem nu eens de aanschaf van een softwarepakket. Bijvoorbeeld om incidenten mee te melden. Je mag niet van de gemiddelde bestuurder verwachten dat hij weet of het beter is om een softwarepakket te laten draaien op de eigen servers van de instelling of op de servers van een leverancier. Dat laatste wordt ook wel ‘saas’ genoemd: software as a service.
Afgaan op experts
De bestuurder vraagt het advies aan zijn ict-afdeling. Daar zitten de experts. En als het hoofd van de ict-afdeling beweert dat het draaien van een pakket met gevoelige informatie het meest veilig is op de eigen servers, waarom zou de onwetende bestuurder aan dat advies twijfelen?
Deed hij dat maar, want het is namelijk een verkeerd advies: het extern hosten van software – ook wel ‘in the cloud’ genoemd – is objectief de meest veilige manier, vergelijkbaar met internetbankieren. Leveranciers nemen geen enkel risico en voldoen allemaal aan strenge internationale veiligheidseisen.
Verkeerd advies
Zo’n advies van eigen bodem deugt niet, daar zit dus iets anders achter. Bijvoorbeeld dat het om werkgelegenheid gaat. Dat de omvang van ict-afdeling mogelijk in gevaar komt. Uitbesteden van productie is doorgaans aanmerkelijk goedkoper, dat bewijst outsourcing al vele jaren. Ook voor softwarepakketten gaat dat vaak op. Interne hosting met eigen beheerslasten om die pakketten zelf draaiende te houden is veel duurder dan het extern hosten. Maar dan moet je wel goed worden voorgelicht.
Omslachtige aanbestedingstrajecten
Of neem de afdeling inkoop. Ook die roert zich nadrukkelijker de laatste jaren. Hoofden inkoop coördineren steeds vaker aanbestedingstrajecten voor de aanschaf van softwaresystemen. Ze nemen hun werk serieus. Ze stellen dikke boekwerken samen –Request For Proposal genoemd – met soms honderden eisen en wensen waaraan een systeem moet voldoen. Inclusief uitgebreide, in details uitgewerkte procedures die beslist gevolgd moeten worden, anders diskwalificeert de leverancier zich. Niet meedoen is voor de meeste aanbieders geen optie in deze tijd van economische malaise, dat kunnen zij zich niet veroorloven.
Het laat zich eenvoudig berekenen dat er vele tienduizenden euro’s zijn gemoeid met alle tijd die interne functionarissen bezig zijn met deze uitgebreide aanbestedingen. Want vergeet niet dat er nog allerlei inspraakrondes zijn met eindgebruikers. Ook de aanbieders zijn dagenlang bezig om hun offerte geheel in overeenstemming met alle regels aan te leveren.
Verhoudingen zoek
Als het nou zou gaan om een nieuw gebouw van tien miljoen euro, dan zijn al die inspanningen te begrijpen. Maar het betreft hier slechts een elektronisch meldsysteem voor incidenten met een eenmalige investering van misschien een kleine tienduizend euro en jaarlijks een paar duizend euro. Dat hele circus van aanbestedingen overstijgt dus ruimschoots de kosten van de aanschaf van een softwarepakket.
Gezond verstand
Het kan zo anders en zo simpel. Bestuurders, omschrijf je visie, je beleid, je doel. Maak daarin duidelijk hoe je de aandacht voor veiligheid in je instelling wil vergroten en hoe je risico’s wilt inventariseren en reduceren? Nodig drie leveranciers uit, praat een half uur met hen, hak een knoop door en vraag om een efficiënt voorstel met een aantrekkelijke prijs.
Bestuurders kunnen niet alles weten. Dat klopt. Maar als ook het gezonde verstand hen in de steek laat, is het einde zoek. Dan zijn de interne experts de baas.
Jacques de Bekker
Directeur van Triaspect, instituut voor veilig verbeteren