Het beheren en beheersen van de moderne informatievoorziening

Door IB4-2023 Adrik Schmid 12 okt 2023

Auteur: Adrik Schmid is na zijn studie Sociologie in de afgelopen twintig jaar bij verscheidene overheidsorganisaties actief geweest in diverse (leidinggevende) rollen binnen de informatievoorziening. In 2022 is hij voor zichzelf begonnen als interim-directeur, -manager en strategisch adviseur bij veranderingstrajecten binnen dit vakgebied. Adrik is bereikbaar via https://www.linkedin.com/adrikschmid/

Overheden, waaronder gemeenten, worstelen massaal met vragen rond het thema informatievoorziening. Van de transitie naar de cloud tot het absorberen en implementeren van nieuwe wetgeving en van het slim benutten van nieuwe mogelijkheden zoals AI tot vraagstukken rond informatieveiligheid, privacy en ethiek. Ik zie hierin heel duidelijk twee ontwikkelingen die paradoxaal lijken.

De eerste ontwikkeling is dat alles wat informatievoorziening is als het ware samensmelt in kant-en-klare oplossingen. In veel gevallen zelfs oplossingen die medewerkers of klanten vrijwel letterlijk overal uit de lucht plukken. Hierbij valt te denken aan Google-Streetviewachtige oplossingen die worden gebruikt als fysieke controleur van de omgeving, maar bijvoorbeeld ook Slack of Teams als projectondersteuning of ChatGPT als producent van teksten.

Eenvoud
Bij het gebruiken van dit soort applicaties is steeds minder onderscheid te maken tussen het gebruiken van de informatie, het beheren van de informatie en de systemen waarmee de informatie beschikbaar wordt gemaakt. Niet voor niets staat het aloude 9-vlaksmodel van onder meer Rick Maes onder druk. Het is immers oud denken om de Techniekkolom los te zien van de informatie die erop staat en deze Informatiekolom weer los te zien van de Businesskolom waarin de gebruikers zijn vertegenwoordigd. Informatie is overal en altijd beschikbaar via oplossingen die je als klant simpelweg aan of uit kan zetten. De informatie en techniek vormen slechts een onderlaag die aanwezig is om de business (de operatie) van dienst te zijn (zie afbeelding 1).

Complexiteit
Het verhaal van de toegenomen eenvoud is vooral vanuit de operatie bezien. Dit zegt niets over de moeite die het kost om daadwerkelijk een passende informatieomgeving aan te bieden en te onderhouden. Van oudsher beheert de afdeling automatisering de systemen voor het aanbieden van deze informatievoorziening. Dat gebeurt binnen het technisch beheer aan de rechterkant van het 9-vlaksmodel (Techniek).
Applicatiebeheer zorgt voor up-to-date applicaties conform afspraken met de eigen organisatie en beweegt zich tussen de midden- en de rechterkolom. Functioneel beheer zorgt voor onder andere de inrichting van de systemen, toegang en verantwoord gebruik. Functioneel beheer bemenst daarmee de middenkolom (Data/informatie), maar maakt een verschuiving door naar de linkerkolom (Operatie): de moderne functioneel beheerder zit niet meer in zijn kamer, maar is aanwezig op de werkvloer om waar te nemen en te helpen. De positionering en samenwerking tussen deze en alle andere rollen was nooit helemaal vanzelfsprekend, maar we hadden in elk geval alle rollen en posities in eigen huis. We wisten grofweg wie de complimenten kreeg als het goed ging, maar ook waar we moesten zijn als de informatievoorziening ons in de steek liet.

Regie
Inmiddels is dit een sterk vereenvoudigde weergave van de werkelijkheid. Immers, meestal is de automatisering nog wel (deels) in huis, maar wordt deze vergezeld door een breed scala aan externe dienstverlening. Deze dienstverlening komt in allerlei soorten en maten en vergt specifieke afspraken per leverancier. Enkele voorbeelden zijn afspraken over beschikbaarheid van de omgeving, de snelheid van de systemen, de omgang met updates, de bereikbaarheid van de servicedesk bij calamiteiten en de borging van de onderlinge connectiviteit met andere gebruikte applicaties.
We zien als het ware een aparte kolom in het 9-vlaksmodel ontstaan waarin alle werkzaamheden die de afdeling automatisering en de beheerders niet meer verrichten, in regie moeten worden genomen. Dit gebeurt door tientallen leveranciers met een eigen technische omgeving als cruciaal serviceonderdeel van de bedrijfsvoering. Op iedere omgeving zijn maatwerkafspraken van toepassing en is monitoring op zijn plaats. Over het opzetten van deze regie valt veel te zeggen, maar dat gaat dit artikel te buiten. In zijn algemeenheid zie ik vaak dat veel verschillende expertises betrokken zijn, maar gezamenlijk niet in staat zijn om scherp en effectief de regie in te richten en bijbehorend contract- en leveranciersmanagement op te zetten. De servicekolom wordt door versnippering onvoldoende ingericht zodat organisaties zichzelf tekortdoen.

Afbeelding 2: Beheerkader voor implementatie en uitvoering informatiebeveiliging

Governance
Naast het ontstaan van een nieuwe kolom in het 9-vlaks model gericht op service en regie, is er nog een andere belangrijke toevoeging in de moderne informatievoorziening. Deze ontstaat als gevolg van de enorm toegenomen zwaarte waarmee we als samenleving leunen op onze informatievoorziening. De grootste bedrijven van de wereld, maar ook bijvoorbeeld overheden, zijn informatieverwerkende fabrieken geworden van digitaal opgeslagen gegevens. Rond het beheren en beheersen van al deze gegevens is een hele nieuwe vorm van dienstverlening en mogelijkheden ontstaan, en daarmee ook nieuwe vormenvan misbruik en criminaliteit.
Om dit tegen te gaan is het verantwoordingsproces over de informatieveiligheid bij de overheid verder geprofessionaliseerd (ENSIA, 2017). Daarnaast is er met de AVG nieuwe Europese wetgeving gekomen met betrekking tot de bescherming van gegevens en de hieraan gelieerde verplichte toezichthoudende functie van de Functionaris Gegevensbescherming (2018). Ook is er met de BIO (2018) een specifieke norm voor informatiebeveiliging voor overheidsinstanties vastgesteld en is het voor overheidsinstanties sinds 2020 verplicht een CISO te hebben en de verantwoordelijkheden ten aanzien van informatiebeveiliging te beleggen [zie afbeelding 2]. Dit nieuwe kader van privacy, informatieveiligheid en ook ethisch gebruik van informatie is van toepassing op alle kolommen in het 9-vlaksmodel inclusief de toegevoegde servicekolom. Alle organisatieonderdelen moeten tenslotte netjes omgaan met informatie en deze omgang kunnen verantwoorden.

Van 9 naar 16 vlakken
De conclusie van bovenstaand betoog kan onmogelijk een vereenvoudiging van het 9-vlaksmodel tot gevolg hebben. Immers, vanuit klantperspectief mag de organisatie dan wel volledig zijn versmolten met de informatie die ze gebruikt en beheert, maar in de praktijk moeten alle basiswerkzaamheden om dit mogelijk te maken nog gewoon worden uitgevoerd. Daarbij zijn hier een heel aantal werkzaamheden bijgekomen.

Afbeelding 3: het 16-vlaksmodel van de moderne informatievoorziening.

Service
Zoals hierboven al besproken nemen we steeds meer onderdelen van de informatievoorziening af als dienstverlening. Dienstverlening die moet worden ingericht (Service operation) en moet worden beheerd en verbeterd (Service improvement). Het is ook van belang om deze dienstverlening niet als nieuwe waarheid aan te nemen, maar om er strategisch naar te blijven kijken ten opzichte van bijvoorbeeld de kosten, de eigen informatie-omgeving en de capaciteit en kwaliteit van de eigen medewerkers (Service strategy). Het opzetten en inrichten van deze servicekolom gaat in de praktijk moeizaam, mede omdat dit veelal niet als zelfstandige kolom wordt gezien en ingevuld.
In de praktijk zie ik vaak dat de vakafdeling leidend is om, al dan niet via een aanbesteding, de service af te nemen. In veel gevallen is er onvoldoende over nagedacht wat de leverancier exact moet inrichten en wát er nodig is om deze inrichting effectief te kunnen beheren. Contract- en leveranciersmanagement probeert grip te krijgen op alles wat er gebeurt terwijl de afdeling automatisering poogt de effecten in kaart te brengen van de nieuwe omgevingen die erbij komen: vaak heeft het onvoorziene consequenties op de architectuur van bestaande gegevensverwerkingen en koppelingen. Het applicatiebeheer vervalt, ten minste ten dele, en de werkzaamheden van functioneel beheer verschuiven idealiter naar de voorkant van de organisatie, maar vaak zonder dat hier echt aandacht voor is. Kortom: het invullen van de servicekolom en de consequenties die het heeft voor de overige kolommen verdient veel meer aandacht dan organisaties er nu vaak aan geven.

Governance
Met het toevoegen van de servicekolom bestaat het 9-vlaksmodel
inmiddels uit 12 vlakken. Binnen al deze vlakken is er
sprake van het omgaan met gegevens. En op die gegevens
zijn - via wetten, normen en verantwoording - uitdijende eisen
van toepassing. Er is toezicht nodig op de organisatie die
iedere dag informatie gebruikt en bewerkt (business governance),
op de data zelf, de processen, autorisaties en het
ethisch gebruik (data governance), maar ook op alle
leveranciers, hun dienstverlening en de wijze waarop ze
zeggen met onze informatie om te gaan (service governance).
Tot slot is er ook steeds meer toezicht nodig op de
techniek zelf, de fysieke beveiliging van datacentra en
bijvoorbeeld de locatie waar deze is gehuisvest (technology
governance). In alle organisaties is aandacht voor de
volledige rij van gewenste en veelal ook verplichte governance,
maar in weinig organisaties wordt de benodigde
governance in zijn geheel op structurele wijze overzien. Het
inzicht om over iedere kolom direct een laag van eisen,
toezicht en controle te organiseren, kan organisaties helpen
om de veranderingen fundamenteel te verankeren.

Tot slot
In de toekomst besteden organisaties steeds meer onderdelen van de Technology-kolom uit aan externe leveranciers. Dit totdat deze uiteindelijk volledig zal wegvallen. Zodoende bewegen we alsnog toe naar een model met minder dan 16 vlakken, zij het met een andere invulling. In de tussentijd voldoet het 16-vlaksmodel erg goed om de informatievoorziening als geheel te beschouwen en te bekijken of alle onderdelen zijn ingevuld. Ook helpt het om de veranderingen die er gaande zijn van oud naar nieuw te duiden en te begrijpen.Overigens is de exacte positie van de blokken niet in beton gegoten. In sommige gevallen ontstaat de servicekolom voornamelijk achter de techniekkolom. Ook kan ‘governance’ bijvoorbeeld als fundament worden beschouwd en daarmee als onderlaag worden neergezet in tegenstelling tot een bovenliggende laag. De exacte positie van de blokken is ook niet het belangrijkste; veel belangrijker is dat organisaties in transitie bewust omgaan met alle taken en verantwoordelijkheden. Het model helpt met de inrichting en geeft inzicht in alle ‘nieuwe’ taken die erbij komen, totdat er uiteindelijk daadwerkelijk wordt vereenvoudigd. Voorlopig is daar echter bij de meeste organisaties nog helemaal geen sprake van.