Artificial intelligence, augmented reality, blockchain, robotisering, analytics, big data, cloud: het aantal interessante toepassingen is legio en groeit gestaag. Tegelijkertijd is er ook nog wetgeving die over ons wordt uitgestrooid: de GDPR (AVG), PSD2, Mifid en Basel IV waar organisaties ook mee aan de slag moeten. De mogelijkheden én uitdagingen lijken over elkaar heen te duikelen.

De kern van de digitale organisatie is dat data (en niet de applicaties) centraal staan. Data is de basis waarvan verschillende toepassingen gebruikmaken. Dat betekent dat die data van voldoende kwaliteit moet zijn. Maar natuurlijk ook dat duidelijk is over welke data je beschikt, waar die zich bevindt (systemen), in welke processen die wordt gebruikt, en uiteraard wat de data betekent. Iedereen zal het hiermee eens zijn.

Aan de andere kant zijn er weinig organisaties aan te wijzen die enterprise-wide dit inzicht hebben. Veel wetgeving, zoals bijvoorbeeld GDPR (General Data Protection Regulation), verplicht organisaties om toepassingen (rechten van datasubjects – klanten, werknemers, et cetera), consentmanagement en data breach handling in te passen die gebruikmaken van een solide datafundatie.

De digitale organisatie

Wie een digitale organisatie opbouwt en vanuit een dataoogpunt daarnaar kijkt, zal dan ook met name aandacht willen besteden aan die datafundatie, of met andere woorden: de masterdata. In die categorie data vallen klantdata, productdata, leveranciersdata, materiaaldata, et cetera. Hiertoe wordt ook de categorie referentiedata gerekend: tabellen met landencodes, adressen, valuta’s, allerlei types en codes waarop de masterdata wordt gebouwd. Wat dat betreft is de basis van de data de referentiedata, gevolgd door de masterdata en als top de transactiedata (toepassingen). Het spreekt voor zich dat investeringen hierin een substantiële bijdrage leveren aan de digitale organisatie.

Nu leiden dit soort fundamentele inspanningen (masterdata, datagovernance) over het algemeen niet tot luid gejuich omdat het vaak als saai of zelfs als CIO (‘career is over’) wordt gezien. In het digitale tijdperk is een solide databasis echter wel een eerste vereiste. En wie daar nog steeds niet aan wil, krijgt met de GDPR hulp van buiten: de verplichting om die basis ten minste voor persoonlijke data op orde te hebben.

Strategieverandering in de fysieke wereld

Als het doel is om te transformeren naar een digitale organisatie die waarde haalt uit data, snel en flexibel inspringt op kansen, en reageert op bedreigingen, is de vraag – gezien het eerder genoemde, uitgebreide aanbod aan mogelijke toepassingen en verplichtingen – hoe dit het beste bereikt kan worden. Met name in een omgeving die steeds minder planbaar is.

In de fysieke wereld is jaren geleden al het besef doorgedrongen dat grote, allesomvattende plannen steeds minder vaak succesvol zijn. Stedenbouwkundigen en architecten moeten bij het doel om steden optimaal in te richten steeds vaker rekening houden met allerlei onzekerheden. Deze ontwikkeling heeft geleid tot een zoektocht naar nieuwe strategieën om een stad te maken.

Zo heeft Urhahn (stedenbouwkundigen en architecten) een strategiewijzer voor binnenstedelijke transformatie gedefinieerd. De strategie die het beste past, hangt af van potentie, urgentie en invloed (zie ook figuur 1). Veel potentie en geringe invloed leiden tot improvisatie als de voor de hand liggende strategie. Bij hogere urgentie zijn spelregels een goede strategie. Waar een strategie van controle de strategie is met de meeste sturing, is de benadering van de kwartiermaker de strategie die past bij weinig controle en potentie en een geringe urgentie.

Figuur 1: Welke strategie past bij mijn opgave?

De trend is dat steeds vaker gekozen moet worden voor strategieën die passen bij minder sturing. Een aanpak waarbij geleidelijk en procesmatig te werk wordt gegaan, lijkt beter aan te sluiten bij de vele en frequente veranderingen. Hierbij gaat het minder om een eindbeeld, en meer over een strategische intentie.

Uiteraard bestaan er verschillen tussen de fysieke wereld en de ontwikkelingen in de IT. Maar waar het om strategie gaat, zijn de geschetste omstandigheden en uitdagingen vergelijkbaar. De strategiewijzer kan dan ook een goed instrument zijn om te bepalen hoe geformuleerde doelen het best nagestreefd kunnen worden.

Integrale benadering

De beste strategie bepalen per opgave aan de hand van een inschatting van potentie, urgentie en invloed is ook een inschatting van de omgeving waarin dingen moeten gebeuren, hoe aantrekkelijk de opgave is en hoeveel invloed partijen hebben om het tot een goed einde te brengen.

Een voorbeeld van een opgave waarmee de meeste organisaties momenteel te maken hebben, is de eerder genoemde GDPR. Die verplicht organisaties om verschillende rechten (zoals right to erasure, right to object, right to data portability) voor datasubjects in te voeren, geeft regels voor het correct verzamelen van toestemming om data te mogen gebruiken (consentmanagement), regels voor het omgaan met databreaches en veronderstelt datamanagement dat kan ophoesten over welke persoonlijke data wordt beschikt, waar die data is opgeslagen, in welke processen deze data wordt gebruikt en welke geldige redenen (legal grounds) de organisaties heeft om hierover te beschikken.

Het merendeel van de organisaties staat niet te juichen om de vereisten hiervan te implementeren (omvangrijk en complex), de urgentie is hoog (deadline 25 mei 2018) en de invloed wordt vaak gepercipieerd als laag.

Voor banken komt daar nog bij dat de Payment Service Directive (PSD2) op 13 januari5 van dit jaar van kracht is geworden. Onderdeel van PSD2 is dat consumenten toestemming moeten geven voordat hun accountgegevens of betaalgegevens gedeeld mogen worden met derde partijen, die op basis daarvan weer nieuwe en nuttige diensten kunnen aanbieden (denk bijvoorbeeld aan een huishoudboekje).

“Wie er niet aan wil, krijgt met de GDPR nu hulp van buiten”

Waar het gaat om toestemming (consent) bestaat een overlap (of afhankelijkheid) met GDPR. Geef ik als consument toestemming om mijn betaaltransacties ter beschikking te stellen van derde partijen, dan ontstaat de situatie dat de betaaltransactie niet alleen mijn gegevens laat zien (welk bedrag ik wanneer heb betaald voor welke aankoop), maar ook de gegevens van de tegenpartij/verkoper. En die heeft geen toestemming gegeven voor het delen van zijn gegevens. Wie PSD2-compliant is, heeft daarmee nog geen garantie dat hij daarmee ook GDPR-compliant is.

Het voorbeeld van GDPR en PSD2 laat zien dat het zinnig is om op een niveau boven projecten (en applicaties) te begrijpen wat de vereisten zijn waarmee de organisatie te maken heeft. Wie aparte teams opzet voor GDPR en PSD2 doet deels dubbel werk en, worst case, komt te laat achter afhankelijkheden en verbanden. Een integrale benadering kan dit soort thema’s tijdig signaleren en geeft gelegenheid om bij het vaststellen van de strategie daar rekening mee te houden.

Terug naar GDPR. Het goede nieuws is dat GDPR gaat helpen om het ideaalplaatje van de digitale organisatie in te vullen. Het vereist dat we onze data (ten minste de persoonlijke data) op orde hebben. Lessons learned van de SOX-wetgeving (Sarbanes-Oxley Act, gericht op verbetering van financiële rapportages) in de VS laat zien dat organisaties vanaf jaar twee na de invoering van SOX onder andere de volgende voordelen hebben gerealiseerd: een versterking van de beheeromgeving, standaardisatie van processen en minder complexiteit, alsmede een hogere datakwaliteit. Dat laatste leidt tot betere en rijkere inzichten door daar analyse op los te laten. Als we vervolgens hiermee aan de slag gaan, is de digitale organisatie een feit.

Daarnaast zijn er ook organisaties zoals het Zweedse Telia, die GDPR heeft aangegrepen om dataprivacy-champion te worden. Analytics op hun data wijst uit dat klanten die worden meegenomen in een marketingcampagne substantieel meer besteden bij het telecombedrijf. Een solide businesscase waardoor het interessant wordt om zoveel mogelijk consents (toestemmingen) te verzamelen. En dat lukt uiteraard beter als je bekend staat als dataprivacy-champion – ook een manier om met GDPR om te gaan en een volgende stap richting digitale organisatie te maken. Waarbij Telia potentie en invloed waarschijnlijker hoger heeft ingeschaald dan de concurrentie.

Conclusie

De digitale organisatie beschikt over een solide datafundatie die op verschillende manieren (door toepassingen) kan worden aangeboord en ingezet (zie figuur 2). Organisaties die het op orde krijgen van die basis nog steeds vervelend vinden en het liefst links laten liggen, snijden zichzelf in de vingers. Er is echter hulp. De GDPR-regelgeving verplicht organisaties om er ten minste voor te zorgen dat de fundatie voor persoonlijke data voldoende is geregeld om rechten, consent en data breaches correct af te handelen.

Figuur 2: De digitale organisatie beschikt over een solide datafundering

Een tweede kenmerk van de digitale wereld is de voortdurende dynamiek. Artificial intelligence, augmented reality, blockchain en robotisering zijn maar enkele van de technologieën die beschikbaar zijn. Tegelijkertijd worden organisaties met regelgeving zoals GDPR geconfronteerd. Voor organisaties betekent dit dat goed moet worden nagedacht over de strategie die men wil toepassen.

De algemene tendens is dat een organisatie veel minder dan vroeger dingen naar haar hand kan zetten. Er moet veel meer dan vroeger worden samengewerkt met andere, en vaak ook wisselende partijen. Grote plannen hebben minder dan voorheen kans om ook de eindstreep te halen vanwege de toegenomen dynamiek. Een strategiewijzer, zoals die van Urhahn, waarbij gekeken wordt naar de aspecten potentie, urgentie en invloed, kan helpen om voor een opdracht de juiste strategie te kiezen.

Een passende strategie kiezen per opdracht moet worden gecomplementeerd met een integrale benadering. Hier wordt gekeken naar overlap en afhankelijkheden tussen opdrachten. De zo verkregen inzichten kunnen dan weer als input gelden bij het bijstellen van de eerder gekozen strategie. Een goed voorbeeld daarvan zijn GDPR en PSD2, twee stukken wetgeving die beide onder andere over consent (toestemming) gaan, maar niet noodzakelijkerwijs bij elkaar aansluiten.