Na een uitgebreid juryproces waarin kandidaten onder meer een digitale dwarsdoorsnede van hun organisatie, de Digital Acceleration Index (DAI), moesten invullen, wist Perry van der Weyden vorig jaar de CIO of the Year Award in de wacht te slepen. CIO Magazine nam enkele opvallende scores uit de DAI van Rijkswaterstaat met hem door. “Ik ben allergisch voor bureaucratische processen.”

Rijkswaterstaat (RWS) behaalde een mooie score voor visie en visieontwikkeling. Hoe komt die visie binnen RWS tot stand?
“We hadden geen visie toen ik binnenkwam. Er moest nog wel iets gebeuren aan de positionering en de kwaliteit van de IT. Ik ben dus maar begonnen bij het begin: de visie schrijven. Als je die niet hebt, kun je je nergens op richten. Dan kun je er ook geen passie in stoppen of energie uit halen. Ik ben met mijn directieleden op de hei gaan zitten om ons af te vragen: wat komt er de komende jaren op ons af, waar moeten we iets van vinden? IoT kwam toen op en een onderwerp als smart mobility vroeg aandacht – wat zou dat voor ons werk gaan betekenen? Zo hebben we allerlei ontwikkelingen op een rij gezet.”

“Ik heb die onderwerpen ook besproken met analisten en belangrijke leveranciers. Ik heb ze aan bestuurders voorgelegd en ze meegenomen naar andere organisaties, masterclasses gegeven en wetenschapsinstituten bezocht, om ze de kans te bieden een visie op die ontwikkelingen te vormen. Mijn uitgangspunt daarbij was dat ik niet zou gaan vertellen wat goed voor hen was. Als ik als CIO ga vertellen hoe het zit, gaat het niet werken.”

“Het was duidelijk dat alle verantwoordelijken er iets van moesten vinden. Niet alleen om ontwikkelingen aan te kunnen, maar ook vanuit de ambitie om innovatief te zijn. Zo is de samenwerking op een aantal dossiers tot stand gekomen, zoals bij ons cybersecuritycenter, het SOC, waarmee we de cybersecurity in een breder perspectief bewaken. Dat wil zeggen: niet alleen onze eigen objecten, maar ook in samenwerking met de waterschappen. Vervolgens heb ik een strategie geschreven waarin concreet werd wat we dan gingen doen, wanneer en met wie.”

Ook de uitvoering van de strategie scoorde goed in de DAI.
“Zeker, mede door de steun van het bestuur van Rijkswaterstaat. We hebben veel schoenen versleten om alle betrokkenen uit te leggen wat de betekenis van de strategie is en wat de consequenties ervan zijn. Hier werken veel ingenieurs die graag willen weten hoe dingen werken. Het verhaal op papier zetten roept dan in eerste instantie vaak nog meer vragen op. Mijn benadering is om mensen uit te nodigen en te laten zien hoe iets werkt.”

“Incidenten helpen wel om te laten zien waarom cybersecurity geld kost”

“Toen ik bijvoorbeeld het cybersecuritycenter oprichtte, kon ik laten zien dat we hier duizenden aanvallen per dag hebben. Dan kun je laten zien waarom een bepaald beleid nodig is. Datzelfde geldt voor het datalab dat we met een klein aantal medewerkers zijn begonnen, om ontwikkelingen als IoT en AI te benutten. Ook daar lieten we zien hoe het werkt: welke inzichten kun je krijgen op basis van data, hoeveel betere informatie, welke voorspelbaarheid?”

In de DAI scoort de datastrategie van RWS heel goed. Dat is opmerkelijk, omdat de start van het datalab nog niet zo ver achter ons ligt. Hoe heeft de organisatie in zo’n korte tijd zo veel vooruitgang geboekt op datagebied?
“RWS is van oorsprong al vrij data-minded. Maar wel op een andere manier. Het kwam vaak neer op dingen signaleren en dan de data presenteren. Met de komst van AI konden we grote hoeveelheden data op een andere manier gaan analyseren. Dit hebben we onder de aandacht gebracht van de collega’s die al op een meer traditionele manier met data bezig waren, om ze inzicht in de nieuwe manier van het gebruik van data te geven.”

“Bij onze opleidingsafdeling heb ik om een aantal opleidingen gevraagd die de brug van oud naar nieuw slaan. Honderden mensen hebben die opleidingen gevolgd, zowel op het niveau van datascience als het niveau van met analytische software kunnen werken en zelf een analyse kunnen maken.”

Hoe is de datastrategie nu verankerd? Ben jij de eigenaar?
“Ja. We hebben inmiddels ook een nieuwe I-strategie die onlangs door het bestuur is goedgekeurd. Deze I-strategie 2.0 is de kapstok voor alle strategische data- en IV-ontwikkelingen. Op basis van deze I-strategie is een datastrategie in ontwikkeling. De I-strategie 2.0 gaat een stap verder: de IV- en data-ontwikkeling zal conform het platformconcept plaatsvinden.”

“We ontsluiten data via platformen die niet alleen voor RWS’ers maar voor alle betrokkenen in de keten toegankelijk zullen zijn. Dit vraagt om de verdere ontwikkeling en toepassing van datastandaarden, maar ook om de uniformering van werkwijzen en processen. Voor een belangrijk deel dus een organisatorische verandering, maar ook de medewerkers zullen zich verder moeten ontwikkelen als het om hun data- en IV-kennis gaat.”

Cybersecurity scoorde ook heel goed in de DAI. Geldt daarvoor hetzelfde als bij data, dat RWS altijd al security-minded is geweest?
“Vooral op fysieke veiligheid. Als het om het beheer van een brug, sluis of tunnel ging, was cybersecurity ongrijpbaar en stond het niet hoog op de agenda. Dat kun je niemand kwalijk nemen, want er gebeurde nooit wat. Toen er elders dingen fout gingen – denk aan de Diginotar-affaire – werden de ogen wel geopend. De Rekenkamer was destijds ook niet tevreden over de volwassenheid van onze cybersecurity. Die specifieke achterstand, waarvoor we een ‘rode kaart’ ontvingen, hebben we weggepoetst.”

“Vervolgens is het zaak het bewustzijn vast te houden. Dat is soms moeilijk als er langere tijd geen incidenten zijn – en dat kan ook komen doordat bepaalde collega’s hun werk heel goed doen!”

“Een belangrijk uitgangspunt voor mij was dat ik de security-afdeling niet aan een extern bedrijf wilde geven. Plaats je die buiten de deur, dan zie je niet wat er gebeurt en kun je dat ook niet aan collega’s laten zien in het kader van het vasthouden van de awareness.”

Je richtte het cybersecuritycenter op en vervolgens is er in korte tijd een volwassen securityfunctie ontstaan. Welke stappen heb je gezet?
“In de eerste plaats heb ik de juiste mensen geselecteerd. Daarnaast is de verbinding met de rest van de organisatie heel belangrijk. Veiligheid is niet alleen iets van cyberspecialisten.”

“Ik kan heel kriegelig worden als mensen zeggen ‘zo doen we het altijd’”

“Mijn huidig hoofd cybersecurity komt niet uit de cyberwereld, hij is secretaris van het bestuur geweest. We hadden namelijk iemand nodig die aan de slimme cyberspecialisten in het center kan overbrengen hoe je over cybersecurity communiceert met de omgeving en het bestuur. Iemand die kan uitleggen hoe beleidsmakers ernaar kijken, hoe je in dit opzicht met de financiën omgaat, et cetera. Toen ik hem twee jaar geleden vroeg voor deze functie viel hij bijna van zijn stoel van verbazing. Inmiddels legt hij aan iedereen uit wat en hoe belangrijk cybersecurity is.”

Over financiën gesproken: het is lastig om de ROI van cybersecurity te laten zien.
“Zeker, dat is lastig. Je kunt aan de hand van de actualiteit laten zien hoe belangrijk het is. Denk nog maar eens aan het incident bij Maersk. Overigens maakt het budget voor cybersecurity deel uit van het overkoepelende IT-budget, maar we hebben er wel een apart label aan gehangen. Het is belangrijk voor de bewustwording om een deelbudget te creëren en daar een label aan te hangen.”

“Je kunt je cybersecurity nog zo goed op orde hebben, je kunt niet alle incidenten voorkomen. Het draait er dus ook om hoe snel je kunt reageren en hoe snel je terug kunt naar ‘business as usual’. Ik kan tot op het niveau van een proces laten zien wat er gebeurt en ook snel ingrijpen als een proces iets doet wat we niet willen, dankzij goede architectuur en passende maatregelen. Dat leg ik uit en wijs er dan ook op dat daar geld mee gemoeid is. Daarvoor moet je wel je voet tussen de deur zetten, veel uitleggen en laten zien hoe het werkt.”

“Internationale dreigingen nemen toe, het gaat niet meer alleen om 15-jarigen met hackerstools. Kijk ook eens naar het recente gebeuren rond Citrix. Je denkt dat je veilig bent en twee weken later is dat niet meer zo. Het helpt allemaal wel om te laten zien waarom cybersecurity geld kost. En dan heb je nog de menselijke factor. Mensen zijn zeker bereid veilig te werken, maar gebeurt er een halfjaar niets, verslapt de aandacht heel makkelijk.”

De shared services hebben in de DAI niet een laag volwassenheidsniveau, maar wel een wat lager niveau dan de aspecten die ik eerder noemde. Herken je dat?
“Zeker, dat onderkennen we. In onze nieuwe i-Strategie geven we ook aan dat we op dit gebied iets te doen hebben. Vroeger was RWS decentraal georganiseerd en kon elke regio zijn eigen huishouding inrichten. Bepaalde systemen, die vaak kernprocessen van RWS ondersteunen, zijn nog steeds decentraal.”

“We zijn nu bezig een centrale voorziening in te richten. Hiervoor moeten we alle partijen, die soms al dertig jaar met een systeem werken, overtuigen zo’n systeem los te laten en met een centrale voorziening te gaan werken. Dat moet je heel goed uitleggen en begeleiden. Zo’n verandering kost tijd. Belangrijk is dat we de situatie onderkennen en ermee aan de slag zijn.”

Bij het aspect ‘customer-services’ zie je een vergelijkbaar beeld.
“Ik denk dat daarmee customer-intimacy bedoeld wordt. Wij beogen dat te bereiken op platforms waarmee we operational excellence realiseren. Dat betekent dat we altijd concessies aan een van beide kanten moeten doen. Wil je je customer-intimacy verbeteren, moet je rekening houden met de wensen van de klant, wat soms ten koste gaat van je operational excellence. Daar moet je balans in zien te krijgen.”

“De afgelopen jaren hebben we het accent gelegd op stabiliteit in de uitvoering. Nu gaan we kijken hoe we gecontroleerd en stap voor stap meer ruimte kunnen bieden aan de wensen van de gebruikers.”

“Ik wilde de security-afdeling niet aan een extern bedrijf geven”

Tijd voor een ander aspect uit de DAI: hoe ver is RWS met het opschalen van het agile werken? Dat is voor veel organisaties momenteel een uitdaging.
“We zitten er nu middenin en hebben nog wel wat werk te doen. Het is voor de business bijvoorbeeld een hele investering om iemand als product-owner in te zetten en die collega dan een halfjaar ‘kwijt’ te zijn. Een product-owner is wel degelijk met de business bezig – je bent hem dus niet kwijt – maar dat besef zit nog niet bij iedereen in het systeem.”

“In onze i-Strategie 2.0, die dit jaar van kracht is geworden, staat dat elke organisatie een business-architectuur moet hebben, inclusief een businessarchitect. Voor ons is het weleens lastig om iemand te vinden die ons kan vertellen hoe een bepaald systeem moet werken, wat de gewenste functionaliteit is. Met de invoering van businessarchitecturen denken we in die situatie verandering te kunnen brengen.”

Uit jouw persoonlijke assessment in het kader van de CIO of the Year Award komt naar voren dat je heel goed bent in het stimuleren van je collega’s en de organisatie. Heb je daar een aanpak voor of is het de aard van het beestje?
“Ik ben een positief iemand en zie altijd wel een oplossing. Ik gooi er altijd wel enthousiasme in. Ook durf ik wel een visie neer te zetten en daarvoor te gaan staan. Ik hoor wel dat ik iemand ben die niet snel opgeeft en consequent op dezelfde waardes blijft sturen. Ik denk dat mensen dat waarderen. Duidelijkheid is dan de basis voor gecontroleerd veranderen en innoveren.”

Je bent ook goed in het doorbreken van conventies. Heb je die eigenschap altijd gehad?
“Ik ben sterk resultaatgericht. Als een conventie mij niet helpt een doel te bereiken, waarom is die conventie dan goed? De wereld verandert, de mensen veranderen, het werk verandert… Dan moet een conventie op een bepaald moment ook ter discussie gesteld kunnen worden. Juist de IV-functie is een veranderaar voor organisaties. Ik ben allergisch voor bureaucratische processen en ik kan heel kriegelig worden als mensen zeggen ‘zo doen we het altijd’. Ja, en?”

Toch houd je het al een tijd vol bij de overheid.
“Omdat ik wel zie dat ik resultaten behaal. Als ik dat niet zou doen, zou ik mijn enthousiasme verliezen. Natuurlijk is ook de overheid gericht op resultaat en ervaar ik wel degelijk veel steun voor de manier van werken en veranderen. Dat dat niet makkelijk gaat, is op grond van het verleden logisch en verklaarbaar. Dat wil niet zeggen dat alles bij het oude moet blijven. Het is zelfs een uitdaging voor me. Ik ben zo ongeduldig als wat, terwijl er de afgelopen twee jaar hier toch zo veel veranderd is. Ik moet mijn ongeduld daarom wel een beetje managen.”

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam