uitgave oktober 2018
Continu verbeteren
digitale innovatie bij corporaties AVG
en informatie beveiliging
Goed leiderschap is gĂŠĂŠn sprookje
verder in deze uitgave o.a.
Waarom zit ik niet in Oranje? Samenwerking kleine corporaties Sourcing strategie
GRIP HC&H Consultants
Voorwoord Voor u ligt het nieuwe magazine van HC&H met een nieuwe naam: GRIP. U treft zoals u van ons gewend bent interessante artikelen en interviews aan om meer GRIP te krijgen op de volgende onderwerpen.
Annelies van den Berg Directeur HC&H Consultants
Veel corporaties hebben samen met ons de nodige maatregelen getroffen om te kunnen voldoen aan de AVG. Onze aanpak en ervaringen van corporaties leest u in het artikel over informatiebeveiliging. Steeds meer kleine corporaties gaan een samenwerking met elkaar aan om de ingewikkelde digitale transitieopgave haalbaar te maken. Een artikel over de samenwerking tussen een aantal kleine NCCW corporaties. Steeds meer corporaties hebben hun IT uitbesteed. Applicaties worden steeds meer via de Cloud aangeboden waardoor de noodzaak van een eigen infrastructuur minder groot wordt. In het artikel over sourcing strategie wordt ingegaan op de strategische, tactische en operationele activiteiten die nodig zijn om de juiste keuzes te kunnen maken.
Dit jaar is HC&H gestart met het Innovatielab voor corporaties. Een mooi initiatief waarmee wij een bijdrage leveren aan innovatieversnelling binnen de sector. Naast innoveren en continu verbeteren komt ook het belang van een goede informatievoorziening aan bod in deze uitgave. Onder ons motto ‘samen denken & samen doen!’ delen wij onze kennis en gaan wij graag met u in gesprek. Heeft u opmerkingen of vragen naar aanleiding van onze artikelen, neem dan gerust contact met ons op. Onder ‘onze medewerkers’ op www.hcenh.nl vindt u de directe contactgegevens en expertises van alle medewerkers. Maar voor nu, wens ik u alvast veel leesplezier toe.
GRIP HC&H Consultants
Inhoudsopgave 01 Voorwoord ................................................................................................................................................ 3 02 Waarom zit ik niet in Oranje ................................................................................................................. 5 03 Samenwerking tussen kleine NCCW corporaties..........................................................................10 04 Daar komt innovatie om de hoek kijken .........................................................................................14 05 Column.....................................................................................................................................................19 06 AVG en Informatiebeveiliging.............................................................................................................20 Informatiebeveiliging bij Mitros ........................................................................................................24 Informatiebeveiliging bij Patrimonium Woonservice .................................................................26 Informatiebeveiliging bij Woningbouw vereniging Reeuwijk ...................................................27 Bewustwording informatiebeveiliging ............................................................................................28 07 Goed leiderschap is gĂŠĂŠn sprookje ..................................................................................................30 08 HC&H Connect en Functioneel beheer ............................................................................................32 09 HC&H medewerkers stellen zich voor .............................................................................................34 10 Sourcing strategie .................................................................................................................................36
colofon Uitgave HC&H Consultants Redactie Annelies van den Berg Jurelyn van Kapel Tekst HC&H Consultants Vormgeving Reclameloods Rotterdam BV Fotografie HC&H, Friszbee fotografie en Shutterstock.com HC&H Consultants Telefoon: 078 - 681 08 00 E-mail: info@hcenh.nl www.hcenh.nl Editie oktober 2018 Volg HC&H ook op:
Jij
Oranje
Waarom zit ik niet in Oranje? Informatievoorziening naar een hoger plan In het boekje “Waarom zit ik niet in Oranje?” legt Rob Urgert haarfijn uit welke redenen er zijn waardoor hij het Oranje elftal (net) niet heeft gehaald. Het spreekt voor zich dat bij Rob eigenlijk alles wel aanwezig was om Oranje te halen, maar door gerede oorzaken en omstandigheden … Tja.
Ook in jouw organisatie is al heel veel aanwezig om de informatievoorziening naar een hoger plan te kunnen tillen. Het gewenste resultaat kun je echter vaak pas behalen wanneer aan een onderliggende voorwaarde is voldaan. En dan blijft ook nog de afweging van kosten, baten en ambitieniveau. Wil je wel altijd in Oranje? Eerst maar eens naar die gerede oorzaken en omstandigheden kijken.
GRIP HC&H Consultants
Informatie begint bij data, of bij de vraag, of toch bij data? Voor de wedstrijd geeft een bondscoach natuurlijk weinig inzicht in wat het team precies gaat doen, maar achteraf wordt er altijd stevig geanalyseerd. En achteraf heeft de coach antwoord op alle vragen, was er natuurlijk altijd een goed plan, of kende hij de omstandigheden en voorwaarden waaraan niet was voldaan. Geen goed antwoord zonder goede vraag, vooraf of achteraf. Een goede beschrijving van de informatie waar je naar op zoek bent, is belangrijk om te bepalen welke data je op welke manier moet verzamelen. Dat is waar. Maar wat als je nu op zoek gaat naar nieuwe informatie? Dat is immers wat je met analyse en big-data kunt doen. Je legt verbanden, vergelijkt, combineert, denkt door, trekt conclusies of ontkomt er niet aan dankzij statistische analyse en zoekt naar bewijzen. Alles aan de hand van data die eerder verzameld is, lang voordat je die vraag ooit hebt kunnen definiëren. Je moet natuurlijk wel weten wat je vergelijkt, dus definities en kennis van de betekenis en herkomst van de data is belangrijk. Maar je vraag wist je vooraf echt nog niet precies. Hoe verzamel je dan juiste data? Wanneer je even doordenkt kun je per aandachtsgebied je toch best een beeld vormen van de belangrijkste dataonderdelen. Welke informatie moet je bijvoorbeeld nu echt hebben van je klant? Zo kun je per onderdeel, klant, woning, betalingen, onderhoud, etc., een “gouden standaard” bepalen van die data die altijd weer nodig is. Juist die data zul je dus goed op orde en gedefinieerd moeten krijgen. Laat je data dus niet alleen bepalen op wat er eerder is gevraagd, maar bepaal een “gouden standaard” van data die het aandachtsgebied bepaalt.
Klopt het nou? Wie bepaalt of je data nu echt juist is? Voor het proces binnen een afdeling kan vastlegging in een memoblok prima volstaan. Voor samenwerking met andere afdelingen wordt een apart en gedeeld veld al eenvoudiger. De groep die analyseert of de DVI opstelt wil graag dat het ook in het ‘datawarehouse’ wordt vastgelegd volgens een vaste vorm en definitie. De eisen aan dezelfde data verschillen dus. De beste omschrijving voor data-kwaliteit is dan ook “fitfor-purpose”; geschikt voor het doel waar je het voor bedacht hebt. Dat is op het eerste oog een definitie waar je nog steeds alle kanten mee op kunt; “je stelt het team op wat past bij de wedstrijd die je moet spelen”. Voor sommige data is de “purpose” procesvoering binnen de afdeling voldoende, maar voor andere data zoals je primaire klantdata stel je echt andere eisen. Eisen waaraan bij bedrijfsbrede vastlegging en definitie moet worden voldaan. Soms weet je de “purpose” voor je informatievoorziening perfect, soms hoort de data bij je “gouden standaard” of is de “purpose” voorgeschreven door een beoordelende instantie. Maar heel vaak is het allemaal toch niet zo duidelijk en weet je niet wie de data gebruikt, wie het beheert of zelfs niet wat het precies is, hoe het werkt, waar het mee samen hangt en waar het vandaan komt. Werk aan de winkel dus. Ga dus niet in de breedte de kwaliteit van je data meten en verbeteren, maar beoordeel - naast je “gouden standaard” - je data dus ook op ”purpose”. Leer die kennen, leid daar de gewenste kwaliteit van af en verbeter juist die gericht.
Vereenvoudigen met modellen Waarom ik niet in Oranje zit is mij wel duidelijk, een gewicht van minstens tweemaal Kluivert en minimale voetbalkennis en spelervaring. Het is mij al niet duidelijk wat een “3-4-5” of een “4-3-4” systeem is. En dat terwijl zulke modellen zo veel kunnen helpen om zaken begrijpelijker, overzichtelijker en beheersbaarder te maken. Een procesmodel maakte eerder je proces bijvoorbeeld al een stuk helderder, de zwembanen-analyse geeft een beeld wie wat doet en mag en een simpel tijdlijntje brengt ineens de belangrijkste momenten in een complex project in beeld.
Het zijn allemaal modellen, vereenvoudigingen van de werkelijkheid, die je helpen om grip te krijgen op complexe zaken. Wanneer ik weet wat mijn belangrijkste data (ongeveer) is, dan wil ik ook weten waar en door wie die wordt beheerd en hoe die met elkaar samen hangt. Wanneer je dat in beeld kunt brengen, dan wordt het sturen op de passende datakwaliteit pas echt mogelijk. Zonder dat inzicht corrigeer je de data om er later achter te komen dat de opzet toch handiger had gekund en de data inmiddels al weer vervuild is. De rest van de organisatie weet misschien niet eens dat die data er is en verzamelt het weer opnieuw, en natuurlijk anders. Teken dus wat vaker, maak een plaatje, een model van het proces, de data, de betrokken rollen of de aandachtsgebieden in je data en zoek daarin naar samenhang. Bewaar en deel je modellen voor later gebruik. Verlies je er niet in, fraaie architectuurmodellen kunnen altijd nog, je moet eerst aan de gang.
Standaarden “Scoren uit standaardsituaties, dat is pas efficiënt voetbal”, hoorde ik tijdens het WK. Je kent de corporatiestandaarden wel, CORA, VERA, ... En terecht, maar er is veel meer. Je kunt gebruik maken van heel veel kennis die er al ligt en je kunt beter aansluiten op je eigen omgeving en die van anderen. Hoe
handig is het om de definities waarop je verantwoordt al goed in je systemen te hebben. Natuurlijk volgens heldere definities die je uit eerder genoemde modellen kunt “lenen” en waarmee je aan kunt sluiten bij bewezen practices. Juist dan kun je echt aandacht besteden aan wat je organisatie daarbovenop goed en sterk maakt. Ook in methodieken is een schat aan standaarden en practices te vinden, dus ook op het gebied van het omgaan met je data. Kijk daarvoor eens naar het kennisplatform DAMA-DMBOK.
Data Volwassenheid Wanneer je aan de slag gaat met analyse en big-data en conclusies gaat trekken op basis van statistische verbanden, terwijl niet duidelijk is wat de data precies betekent en of deze juist is, dan voel je al wel aan dat kritische vragen over de resultaten lastig te beantwoorden zijn. En wanneer die kritische vragen nog niet worden gesteld, dan neem je mogelijk de verkeerde besluiten op onjuiste conclusies. Dan eindigt de wens om met informatie problemen voor te zijn juist in het achteraf dichten van gaten. Er zijn dus voorwaarden in te vullen voor resultaten die je met data en informatie wilt behalen. Welke voorwaarden zijn ingevuld en hoe zich dat laat merken in je organisatie kun je uitbeelden in zogenaamde volwassenheidsfasen. In elke fase vul je specifieke voorwaarden in met passende activiteiten die horen bij de resultaten die je wilt behalen. Ook de spelers van het Nederlands Elftal zijn gestart bij de F’jes en staan nu … Juist, groei is mogelijk. Wil je weten wat de Data Volwassenheid van de onderdelen van je organisatie is, dan kun je die meten. Een beeld van de
5. Optimised (nirwana)
Data Volwassenheid 4. Measurable (meetbaar) 3. Defined (gedefinieerd) 2. Managed (beheerst) 1. Performed (initieel) 0. Presumed (vermoed) Data heeft geen aandacht maar er is een vermoeden van oorzaken.
Het gaat per ongeluk goed dankzij “helden”.
We hebben dma-ervaring en dit vastgelegd in processen.
We gebruiken de dma-processen (best vaak) en hebben best practises. Het past bij de business.
We passen dma consequent toe in het hele bedrijf en met onze partners.
We verbeteren continu, we zijn leider.
DAMA/DMBOK
GRIP HC&H Consultants
DAMA DMBOK De DAta MAnagement Body Of Knowledge is een organisatie die zich ten doel stelt kennis op het gebied van datamanagement te vergroten en te verspreiden. Een van de gebruikte modellen geeft een beeld van de aandachtsgebieden die geraakt worden binnen datamanagement. Wanneer je aandacht besteedt aan je datakwaliteit kun je gebruik maken van de kennis van data- en architectuurmodellen om het overzicht te behouden en helpen de ideeën achter master- en meta-data je om scherpe definities over de data en de context te krijgen. De rollen en samenwerkingen die je in kunt zetten om datamanagement goed te laten functioneren, zoals een data-steward en de afspraken in de organisatie vind je in het onderdeel data governance en bindt de verschillende aandachtsgebieden met elkaar.
volwassenheid en de achtergronden is vaak een eye-opener en kan verklaren waarom bepaalde zaken in de afgelopen periode nu juist wel of niet slaagden. En geeft richting aan wat je moet doen om het te verbeteren.
Aanpak: van “data op orde” naar “data aan de orde”; datamanagement en data governance Op dit moment zie ik veel corporaties druk in de weer met het corrigeren van “foute” data in het kader van “data op orde”. Soms gericht en klein om een concreet probleem op te lossen, soms breed en ambitieus en met een groot afbreukrisico en beperkte houdbaarheid. Hoe nodig dat vaak ook is, het is echter maar 1 aspect van het managen van je data. Het streven naar een kwaliteit die je niet nodig hebt, het eenmalig op orde brengen terwijl je het beheer niet inzichtelijk of geregeld hebt of het vergeten van je gouden standaarden brengt je niet zo ver als je had gewild.
Data Architecture
Data Modeling & Design Data Storage & Operations
Data Quality
Data Governance
Metadata
Data Warehousing & Business Intelligence Reference & Master Data
Data Security
Data Integration & Interoperability Document & Content Management
Het bevat een schat aan informatie, tools en practices die met de dag groeit. Het is de kunst die “fit” te maken op je eigen organisatie.
Elke vraag naar informatie roept immers nieuwe vragen op: we twijfelen over de kwaliteit van de data en stellen zo vanzelf vragen over wat die data eigenlijk betekent, of we het zo wel goed vastleggen, altijd en overal en wie daar achteraan zit en weet? Vragen die vaak als gepingel op het middenveld van speler naar speler worden doorgegeven zonder echt ergens te komen. Wacht je tot de data op orde is, of stel je het belang van en verantwoordelijkheid voor je data zelf ook echt breder aan de orde? Want het beperkt zich echt niet tot die rapportagebouwer en je zult echt iets moeten doen aan het gepingel.
Datamanagement plan; bezinnen is beginnen Is er dan een aanpak om grip te krijgen op de data en informatie en je data ook echt aan de orde te stellen en die op waarde te brengen en te houden? Natuurlijk is die er, en die verschilt niet wezenlijk van hoe je dit doet met je personeel, je financiën of je bezit; je ziet kansen of risico’s, vormt een beeld van oorzaken en gevolgen, stelt een doel, ontwerpt maatregelen voor lange en korte termijn, zorgt voor middelen, bewaakt, evalueert en stelt bij. Kortom, het vraagt om het managen
“Want of je nu in Oranje wilt, of juist in het groen wilt blijven, een plan helpt maar zonder doen kom je nergens.” van je data. Daarbij gebruik je een set met afspraken die daarbij horen: governance. Datamanagement en data governance gaan je dus helpen. En wanneer je weet dat je een tamelijk universeel automatiseringsprobleem beet hebt, weet je ook dat je gebruik kunt maken van vele standaarden, practices, modellen, oplossingen en kennisbanken, zoals DAMA, die wij toepassen. We leggen je graag uit hoe je die kennis kunt gebruiken binnen corporaties.
onze ambitie, wat gaan we daarvoor concreet doen? We leggen in het plan ook vast wat we hebben afgesproken en welke kennis we hebben opgedaan. Zo groeit een datamanagementplan van probleemsignalering via actieplan naar een set afspraken hoe we in de organisatie met onze data om gaan. En ook hier geldt ”fit for purpose”; we besteden geen tijd aan papieren tijgers maar beginnen met een klein plan dat gebruik maakt van kennis van de standaarden die we kunnen hergebruiken en bouwen uit waar dat iets oplevert of een voorwaarde invult voor wat willen bereiken.
Het is verleidelijk te beginnen met “laaghangend fruit”; een snelle correctie van je adressen, of voorletters van je klanten bijvoorbeeld. Dat ga je zeker ook snel doen, maar het is niet de eerste stap. Correctie van adressen levert namelijk al direct de eerste vervolgvragen op: welke eerst, op welke manier, waar, etc.? Ja natuurlijk hanteer je daarbij de postcodetabel, vanzelfsprekend zoek je naar aansluiting bij de BAG, zijn actuele huurders en leveranciers in het ERP-systeem belangrijk. Er is blijkbaar een aantal uitgangspunten die we gezamenlijk zouden moeten hanteren. Het is belangrijk die te benoemen, met elkaar te delen en toe te passen. Die afspraken volg je niet alleen bij deze correctie, maar ook bij alle data die verder de systemen in gaat en wordt bewerkt. Dat betekent ook dat we moeten werken aan bewustwording van het belang van data, aan lijnen in de organisatie om elkaar aan te spreken en kennis te delen. Hoe houd je je anders aan die afspraken?
Want of je nu in Oranje wilt, of juist in het groen wilt blijven, een plan helpt maar zonder doen kom je nergens.
In een datamanagementplan schrijven we die zaken op. Wat is ons probleem en
Wilt u meer grip krijgen op uw data en op uw Informatievoorziening? Neem dan contact op met Feike Verweij via feike.verweij@hcenh.nl.
Feike Verweij Business Consultant HC&H
GRIP HC&H Consultants
Samenwerking tussen kleine NCCW corporaties De digitale transitieopgave voor de kleine corporaties is ingewikkeld maar haalbaar. Corporaties willen voor haar huurders stappen vooruit zetten in het digitaliseren van haar klantprocessen, kosten besparen door digitalisering, maar worden door bijvoorbeeld de privacy wetgeving verplicht tot lastige digitaliseringsvraagstukken.
Het dilemma voor kleine corporaties is dat, in verhouding tot de grote corporaties, de ICT-kosten substantieel stijgen en haast niet meer te dragen zijn. In dit artikel gaan we in op de samenwerking tussen een aantal kleine NCCW corporaties. En HC&H gaat in gesprek met Daphne Pieters, Directeurbestuurder bij Wonen Midden-Delfland.
Overeenkomsten in digitaliseringsambitie De kleine corporaties ervaren in toenemende mate de kwetsbaarheid van de continuĂŻteit en kwaliteit van haar ICT-dienstverlening. HC&H is ervan overtuigd dat alleen via samenwerking kleinere corporaties een
toekomstbestendige ICT digitalisering kunnen realiseren. Door de doelstellingen van corporaties bij elkaar te brengen kun je een collectieve stap vooruit zetten. We zien dit bij een aantal kleine NCCW corporaties zoals Wonen MiddenDelfland, Woningbouwvereniging Hoek van Holland, Stichting Wonen Wateringen, Woningstichting Ressort Wonen, Patrimonium Barendrecht en Woningstichting Nieuwkoop die zich, met ondersteuning van HC&H, oriĂŤnteren op een samenwerking.
Beleid corporatie Informatie & Automatisering Samen met de managementteams van een aantal van de hiervoor genoemde corporaties is, vanuit de ondernemingsstrategie, de Informatisering- & Automatiseringsstrategie opgesteld. Hiermee is in beeld
gebracht welke stappen vanuit Informatisering en Automatisering de komende jaren nodig zijn om de ondernemingsstrategie waar te maken. Er is gekeken naar: 1. Klant: online dienstverlening; 2. Processen: digitaal en standaard; 3. Informatievoorziening; 4. Informatiebeveiliging; 5. Van ICT naar Informatie & Automatiseringsafdeling.
We doen het er een beetje bij HC&H komt bij veel kleinere corporaties over de vloer. Opvallend hierbij is dat de ambitie in digitaliseringsprojecten van kleine corporaties vaak overeenkomen met elkaar. Er is bijvoorbeeld behoefte aan een klantportaal met een aantal self-services waarmee de huurder zelf haar klantvraag kan afhandelen. Of een documentmanagementsysteem dat voldoet aan de AVG-wetgeving. En het ‘lean’ organiseren van de klantprocessen. Daarnaast is het beheren van de ICT omgeving en optreden als professioneel opdrachtgever lastig zonder een ICT afdeling. Het dilemma waar kleinere corporaties tegenaan lopen, is dat het ontbreekt aan een ICT functionaris met kennis van de leveranciersmarkt, professioneel opdrachtgeverschap naar leveranciers toe en het vertegenwoordigen van de klantwens vanuit de corporatie. Meestal doen een aantal functionarissen in een corporatie deze rol er een beetje bij. En dit brengt risico’s met zich mee in ontevredenheid na implementatie van ICT systemen als het gaat om de verwachtingen van de corporatie ten opzichte van het product en de leverancier. Kies daarom vanuit de samenwerkende corporaties voor het bundelen van de kracht in het begeleiden van projecten.
Daphne Pieters Directeur-bestuurder Wonen Midden-Delfland
Waarom samenwerken? In het algemeen liggen de volgende motieven ten grondslag aan de samenwerking op het terrein van ICT: 3 V erbetering van de dienstverlening: door betere digitale ondersteuning van klantprocessen kan het serviceniveau omhoog; 3 Vermindering van kwetsbaarheid doordat kennis of capaciteit ontbreekt: ICT is een vak en dat doe je er niet eventjes bij. Goed opdrachtgeverschap en klantvertegenwoordiging naar de leveranciers is steeds belangrijker voor een corporatie; 3 Innovatie in ICT-toepassingen: weten wat er op het gebied van automatisering speelt; 3 Kostenreductie: er kunnen besparingen bereikt worden doordat kosten verdeeld worden over meerdere corporaties en aanbestedingsvoordelen kunnen door samenwerking worden gerealiseerd.
GRIP HC&H Consultants
Welke vormen van samenwerking zijn er? Overlap in individuele projectenplanning
Samen verkennen van één ICT landschap (Enterprise Service Bus)
Scenario 1
Scenario 2
Scenario 3
Scenario 4
Scenario 5
Corporatie Individueel
Delen kennis over corporaties
Partners in Projecten
Samenwerkings verband
Fusie
Wat zijn de succes-voorwaarden voor een goede samenwerking? Het is onze ervaring dat er bij samenwerking tussen corporaties geïnvesteerd moet worden in het komen tot gedeelde beelden. Het succes van de samenwerking zit aan de voorkant: het komen tot een goede samenwerkingsrelatie, waarbij openheid wordt gegeven waar je staat en het loslaten van de individuele autonomie. Dit betekent dat je als bestuurder bereid moet zijn je kwetsbaar op te stellen en af en toe je eigen idealen los moet laten. Voordat corporaties aan een samenwerking beginnen, beschrijf je met de bestuurders de motieven en verwachtingen naar elkaar toe. De bestuurders zullen daarna ‘gelijk optrekken’ en overeenstemming bereiken over de rollen, de vorm van samenwerking en prioritering van de gezamenlijke projectenkalender. Deze fase kan in de praktijk lang duren waardoor het momentum verdwijnt en het vertrouwen over de meerwaarde van samenwerking afneemt.
Waar begin je? Een vraag die vaak gesteld wordt is: ‘Waar begin je met het digitaliseren en hoe weet je dat je de juiste keuzes hebt gemaakt?’ Als je begint met een klantportaal, hoe zit het dan met je documenten die nog niet gedigitaliseerd zijn? En als je processen nog niet geheel op orde zijn, hoe kan je dit dan borgen in een klantportaal? Tamara van Kuijk Business Consultant HC&H
Samenwerkende Experts Ons advies is om te beginnen met het beschrijven van de ICT-uitgangspunten voor het bedrijfs-, informatieen technologiedomein. Een voorbeeld kan zijn dat ICT eenvoud moet bieden. Bij keuze voor systemen, implementatie en optimalisatie wordt gestreefd naar zo eenvoudig mogelijke inrichting zodat 80% van de werkzaamheden via Best Practices kan worden afgehandeld en niet gericht wordt op de uitzonderingen. De ICT-uitgangspunten zijn een toetsingskader om de te starten digitaliseringsprojecten tegen af te zetten. Daarbij kijk je naar de vraagkant vanuit de huurder: welk proces is voor de huurder belangrijk om te automatiseren? Waar krijgen we als organisatie de meeste klantvragen over? En dit zet je af tegen het proces waar jouw medewerkers het meest ‘last’ van hebben als het gaat om verstoringen en verspillingen in efficiëntie van een proces. Dat zijn meestal de onderwerpen die in prioritering bovenaan staan om te gaan digitaliseren.
Itris levert ViewPoint, de best of suite oplossing, voor alle primaire processen van woningcorporaties,
ViewPoint: • Software for life • Dé centrale bron van informatie • Volgt de ontwikkelingen in de sector • Compleet, betrouwbaar en innovatief
voor nu en de toekomst.
Nieuwsgierig naar praktijkvoorbeelden? Neem dan vrijblijvend contact met ons op, wij helpen u graag! E-mail naar verkoop@itris.nl of bel en vraag naar Silvia Vernooij of Rick de Krom.
Itris BV Nevelgaarde 46 3436 ZZ Nieuwegein T 088 - 0902100 info@itris.nl
www.itris.nl
Wilt u ook stappen maken in de samenwerking? Neem dan contact op met Tamara van Kuijk via tamara.vankuijk@hcenh.nl of Marnix Ferwerda via marnix.ferwerda@hcenh.nl.
“Waar begin je met het digitaliseren en hoe weet je dat je de juiste keuzes hebt gemaakt?”
Van dichtbij meemaken Software voor vastgoed
www.cegeka-dsa.nl
GRIP HC&H Consultants
Over continu verbeteren en digitale innovatie bij corporaties
Daar komt innovatie om de hoek kijken
In de discussie bij corporaties over de mate van digitalisering en innovatie hoor ik vaak uitspraken als ‘wij willen niet voorop lopen’ en ‘wij gaan niet het wiel opnieuw uitvinden’. Het wordt echter voor toekomstbestendige corporaties steeds noodzakelijker om flexibel in te kunnen spelen op de dynamiek in de omgeving veroorzaakt door wet- en regelgeving, veranderende behoeften van klanten en technologische ontwikkelingen. Daar komt innovatie om de hoek kijken. In dit artikel wil ik mijn inzichten delen op digitale innovatie bij corporaties. Dat doe ik door een parallel te trekken met de uitvinding van het wiel, dat terug gaat tot ca. 3500 v.Chr.
Corporaties hebben het te druk om tijd te besteden aan de uitvinding van het wiel Corporaties waren traditioneel voor wat betreft hun informatievoorziening en automatisering gericht op beheren en ‘zorgen dat het blijft werken’. Onder invloed van meer mogelijkheden voor digitalisering zien we dat het accent is verschoven naar (continue) verbetering met de focus op digitalisering van dienstverlening en (keten)processen, de basis informatievoorziening (op orde, gestandaardiseerd en beveiligd) en medewerkers die de kennis en vaardigheden hebben om goed hun werk te kunnen doen. Daar is ook innoveren bijgekomen.
Mijn visie is dat organisaties - en dus ook corporaties - al dan niet gedwongen door externe (digitale) ontwikkelingen, zich meer moeten gaan richten op continu verbeteren én innoveren. Dit om flexibel in te kunnen spelen op de omgevingsdynamiek. Ik maak hierbij bewust onderscheid tussen continu verbeteren en innoveren. Continu verbeteren borduurt namelijk voort op het bestaande en is er op gericht om incrementeel te verbeteren: ‘making things better’. Voorbeelden zijn: het implementeren van een nieuwe module van je ERP leverancier of handmatige stappen in een (keten)proces digitaliseren. Bij innoveren gaat het om nieuwe ideeën al dan niet gebaseerd op het toepassen van nieuwe technologie. Dat kan zowel incrementeel als radicaal zijn. Voorbeelden zijn corporaties die met Data Analytics / Big Data aan de gang zijn of de mogelijkheden van Internet of Things toepassen. Een meer radicale vorm is het Qlinker initiatief van Mitros. In onderstaande tabel is een aantal thema’s weergegeven onderverdeeld naar of deze beter bij continu verbeteren of bij innoveren passen.
Corporaties moeten bewust hun tijd verdelen tussen beheren, continu verbeteren en innoveren. Helaas kost het beheren vaak al zoveel tijd dat dit ook als excuus wordt gebruikt om niet te hoeven/kunnen verbeteren en dat geldt zeker m.b.t. innoveren. Dit moet worden doorbroken: er moet tijd vrij gemaakt worden om te kunnen innoveren. Of anders gezegd: Tijd om het wiel uit te kunnen vinden!
Het wiel is vaak al uitgevonden. Of toch niet? Voor de corporatiesector geldt dat veel technologische innovatie niet zijn oorsprong vindt binnen de sector zelf. Het wiel is dus vaak al uitgevonden omdat technologie eerst in andere sectoren wordt toegepast. Dat is op zich dus mooi, maar de technologische mogelijkheden moeten nog wel vertaald worden naar daadwerkelijke toepassingen voor corporaties. Gelukkig is er een aantal innovators binnen de branche, dat zijn veelal de grote corporaties. Van disruptie in de zin van verandering van de structuur van de sector, zoals bijvoorbeeld zichtbaar bij hotels (Airbnb) en taxi’s (Uber) is tot op heden ook (nog) geen sprake. Ik zie de overheid daarbij als mogelijke grootste disruptor, maar je zou ook kunnen denken aan ontwikkelingen als één landelijk woonruimte-aanbod. Verder kan disruptie komen van andere spelers als commerciële vastgoedbedrijven, grote bedrijven die (om personeel aan zich te binden) weer ‘arbeidswoningen’ aan gaan bieden of organisaties als IKEA die net als in Noord Europa niet alleen Billy boekenkasten leveren
Innoveren
Continu verbeteren
Internet of Things Big data, data analytics, Artificial Intelligence, machine learning Virtual, augmented en mixed reality Robotics, drones Blockchain 3D-Printing Standaarden: BIM, SBR Appificatie Deeleconomie, crowd funding crowdsourcing Gamification
Outsourcing (ICT), nieuwe taken / functies Informatiebeveiliging, privacy, AVG Digitalisering van processen, zaakgericht werken Informatiemanagement, informatiebehoefte, datakwaliteit Cloud, SaaS, ERP platformen Online dienstverlening, self-service, online profilering Digitale platformen, social media, communities Samenwerken (keten), regiecorporatie, co-creatie, ambassadeurs, benchmarking
GRIP HC&H Consultants
Disruptie kan echter ook van corporaties zelf komen. De wooncoöperatie is hier een goed voorbeeld van. Ik ben er van overtuigd dat er ook andere ideeën gerealiseerd kunnen worden die op andere manieren kunnen voorzien in het huisvesten van specifieke doelgroepen, wellicht zonder de bezitsgerichte levenscyclus van bouwen, beheren en verhuren. Hierbij is het goed om in ogenschouw te nemen dat de essentie van disruptie gelegen is in het bieden van een betere klantervaring. Ook al lijkt veel disruptie uit technologie voort te komen.
Met de uitvinding van het wiel ben je er nog niet Als we ons weer even richten op digitale innovatie gaf ik al aan dat een aantal corporaties als innovator kan worden aangemerkt. Het is echter een verkeerd beeld om te veronderstellen dat hiermee innovatie voor de sector is ‘geregeld’. We moeten blijven schaven aan de toepasbaarheid voor corporaties, omdat technologische ontwikkelingen ook doorgaan. Het wiel is bijvoorbeeld ook verbeterd door het toevoegen van spaken, door te werken aan de aerodynamica en de toevoeging van luchtbanden. Zonder grammofoonplaat (ook een wiel) en CD’s hadden we ook geen Spotify gehad. Het is dus belangrijk dat corporaties kennis delen over hoe zij nieuwe technologie toepassen zodat andere corporaties op basis van deze kennis niet alleen kunnen kopiëren, maar ook kunnen verbeteren. Het mooie is dat innovatie vaak weer leidt tot nieuwe innovatie: het vliegwiel effect. Zo is de uitvinding van het wiel gepaard gegaan met de aanleg van wegen, waardoor handel en reizen werden bevorderd.
Innovatie komt van links De Product Adoption Curve (Rogers) is een mooi model om digitale innovatie bij corporaties toe te lichten. In dit model zijn de verschillende fasen te zien die een innovatie doorloopt (van links naar rechts). Hierbij is weergegeven welke technologie in welke fase kan worden gepositioneerd. Dit laatste is overigens niet met onderzoek onderbouwd (daar zou ik nog wel tijd in willen investeren) maar gebaseerd op mijn kennis van de markt. Voor de beeldvorming is het voldoende om te weten dat: 1. Bepaalde technologie wel beschikbaar is, maar nog niet wordt toegepast door corporaties; 2. Bepaalde technologie al door innovators en early adopters wordt toegepast; 3. Bepaalde technologie breed wordt toegepast (is over de top van de figuur en heeft meer dan 50% acceptatie), waarbij de kloof, die zichtbaar is in de figuur, de overgang naar volwassenheid aangeeft;
Olke Jan van der Meer Managing Partner HC&H
Bouwplaat©Vught
maar complete ‘betaalbare woningen voor normale mensen’ (BoKlok concept).
Product Adoption Curve (Rogers) Robotics Appificatie Cloud Crowdfunding, Crowdsourcing
Gamification
Blockchain
BIM
ERP
Internet of Things 3D-Printing
SaaS
Robotics Process Automation
Virtual, Augmented & Mixed Reality
Data Analytics / Bigdata
Innovators
Early Adopters
Early Majority
Late Majority
Laggards
Risiconemers
Nieuw uitdaging Hoge acceptatiegraad
Voorlopers Moeten voordelen begrijpen
Achterlopers Moet noodzaak zijn Lage acceptatiegraad
Achterblijvers Moet gemeengoed zijn Positieve ervaringen Belangrijk
Bijschrift: Als je de percentages zou willen toepassen op de corporatiesector dan zijn er ongeveer 7 innovators, 38 early adopters, 95 early majority, 95 late majority en 45 laggards (bron: AW 2015, 280 van de 350 corporaties met meer dan 1.000 vhe’s).
4. Als technologie eenmaal is geĂŻmplementeerd binnen een corporatie, leidt dit daarna weer tot (extra) beheer en continue verbetering. Innovators kijken met name naar technologische ontwikkelingen buiten de corporatiesector. Creativiteit (voor het creĂŤren van ideeĂŤn) en experimenteren zijn hierbij belangrijk in het vinden van toepassingen voor corporaties. Zij nemen hier bewust risico en calculeren in dat niet alle experimenten zullen slagen. Early adopters adopteren deze technologie daarna. Zij kijken ook naar links, maar dus met name bij wat er bij de innovators gebeurt. De early majority zijn dan de voorlopers (hierna is de acceptatiegraad 50%) voordat de late majority (de achterlopers) er vanuit noodzaak mee aan de slag gaan en tenslotte de laggards (achterblijvers).
Inzichten op innovatieversnelling Er moeten voldoende corporaties zijn die innovator of early adopter willen zijn. Anders gaat innovatie binnen de sector te langzaam. Hierbij hoort ook de stap om te leren innoveren. Innovatie kan worden gezien als een proces met een aantal stappen en vraagt creativiteit om ideeĂŤn te bedenken. Omdat corporaties niet concurrerend zijn aan elkaar, biedt dit ook veel ruimte om kennis en ervaring te delen. Niet alleen over een nieuwe technologie, maar ook over innoveren en bijvoorbeeld de weerstand tegen verandering die dit op kan roepen binnen de eigen organisatie.
Data Analytics / Big data is een voorbeeld van een technologie die door innovators al in die mate is omarmd, al dan niet ondersteund door leveranciers, om de early adopters aan te laten haken. HĂŠt ideale moment om deze kennis bij elkaar te brengen en breder te delen! Dit is niet alleen nuttig voor de early adopters maar dus ook voor de innovators zelf. Appificatie is een voorbeeld van een ontwikkeling die al breder wordt toegepast. Er ontstaan ook allerlei verschillende apps (die je ook individueel op de Adoption Curve zou kunnen tekenen) zoals een inspectie app, een reparatie app, de woco app, een betaal app (Tikkie), een woningruil app, renovatie app of een parkeerplaatsen app. Niet al deze apps zullen succesvol zijn of blijven maar dat is inherent aan het toepassen van experimenteren en het toepassen van nieuwe technologie.
GRIP HC&H Consultants
Innovatielab voor corporaties Via het door HC&H geïntroduceerde Innovatielab voor corporaties leveren wij ook graag een bijdrage aan innovatieversnelling binnen de sector. Innovatielab brengt corporaties die willen experimenteren met nieuwe technologie samen met andere corporaties en technische experts, om met elkaar een Innovatieroute te doorlopen. Voor meer informatie, kijk op www.innovatielabcorporaties.nl.
Wilt u meer weten over innoveren, continu verbeteren of over het Innovatielab? Neem dan contact op met Olke Jan van der Meer via olkejan.vandermeer@hcenh.nl
“Als niemand het wiel twee keer wil uitvinden, dan was het nooit uitgevonden.”
Doelen innovatielab
1. Ontdekken 2. Ideeën bedenken 3. Experimenteren 4. Leren innoveren 5. Kennis delen
COLUMN
Corporaties zoeken elkaar steeds meer op! In het verleden zagen corporaties zichzelf als unieke organisaties die hun processen op verschillende wijze uitvoerden en daar ook verschillende ICT ondersteuning bij zochten. Verregaande samenwerking werd hierdoor bemoeilijkt en corporaties besteedden veel tijd aan het optimaliseren van de eigen werkwijze en het zoeken van de juiste ondersteuning daarbij.
Marnix Ferwerda Managing Partner HC&H
In het tijdperk waar digitalisering en standaardisatie steeds belangrijker wordt, zien we dat de wens om uniek te zijn verdwijnt. Door werkzaamheden steeds meer op dezelfde manier uit te voeren en de ICT op dezelfde wijze in te richten, wordt samenwerking tussen corporaties meer mogelijk. Verder zien we dat er steeds meer marktstandaarden ontstaan om gegevensuitwisseling en dus samenwerking - te ondersteunen. Zeker op ICT gebied zien we dan ook steeds meer samenwerkingen ontstaan om de digitale transitie opgave, zonder fors stijgende ICT kosten, vorm te geven. Voor kleine corporaties is het bijna noodzaak om samen te werken gezien de kwetsbaarheid en het belang van ICT voor de continuĂŻteit en kwaliteit van de dienstverlening. In het magazine wordt daar een mooi voorbeeld van gegeven bij het artikel over de 5 samenwerkende NCCW corporaties in de regio Rotterdam en Den Haag. Ook grote corporaties zien steeds meer het belang van samenwerking en standaardisatie. Initiatieven als SWEMP zijn daar een mooi voorbeeld van. Maar samenwerking heeft ook een keerzijde. De business case is weliswaar eenvoudig op te stellen, maar het opgeven van de zelfstandigheid levert in de praktijk nog problemen op. Toch zien we dat steeds meer corporaties leren samenwerken met vallen en opstaan. Er is nog een lange weg te gaan, maar de eerste successen zijn wel zichtbaar!
GRIP HC&H Consultants
AVG en Informatiebeveiliging Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze nieuwe privacywetgeving geldt ook voor corporaties. HC&H heeft meerdere corporaties geholpen om aan de nieuwe wetgeving te kunnen voldoen. Wat HC&H bij deze corporaties gedaan heeft, is in dit artikel te lezen.
AVG en Informatiebeveiliging De AVG zorgt ervoor dat organisaties alleen die gegevens verwerken waar een grondslag voor is. Tevens hebben de betrokkenen meer rechten gekregen en organisaties dienen ervoor te zorgen dat de betrokkenen deze rechten kunnen uitoefenen. Maar naast het opstellen van privacybeleid, de procedures en de registraties om dit te kunnen waarborgen, is het ook nodig om de persoonsgegevens te beveiligen. In de AVG-wettekst staat dat persoonsgegevens beveiligd moeten worden met passende technische en organisatorische maatregelen. HC&H heeft, in de aanloop naar 25 mei, meerdere corporaties geholpen met het op niveau brengen van de informatiebeveiliging.
Passende technische en organisatorische maatregelen Wat zijn passende technische en organisatorische maatregelen? In de AVG zelf staat niet wat hieronder verstaan wordt. Hoe bepaal je als organisatie wat het gewenste beveiligingsniveau is? HC&H heeft ervoor gekozen om advies te geven op basis van een internationale beveiligingsnorm (ISO 27001). Deze norm is door CorpoNet vertaald naar de corporatiesector. Dit is de Baseline Informatiebeveiliging Corporaties (BIC). Voldoen aan de BIC betekent dat persoonsgegevens (maar ook andere bedrijfsinformatie) goed beveiligd zijn. Beveiliging richt zich niet alleen op zorgen dat persoonsgegevens voldoende afgeschermd zijn, maar zorgt er ook voor dat de gevraagde informatie beschikbaar en integer is. Binnen de BIC wordt dit beschikbaar, integer en vertrouwelijk (oftewel BIV) genoemd.
Aanpak informatiebeveiliging Het inrichten van informatiebeveiliging is geen eenmalige actie. Om de informatiebeveiliging op niveau te brengen, maar zeker om het op niveau te houden, is het noodzakelijk dat dit onderwerp onderdeel wordt van de reguliere bedrijfsvoering.
HC&H richt om die reden een ISMS (Information Security Management System) in, die bestaat uit een Plan-, Do-, Check- en Act-cyclus (PDCA). Het inrichten van het ISMS doet HC&H samen met de klant, want de corporatie gaat na het project met het ISMS werken. De activiteiten die noodzakelijk zijn om het ISMS in te richten, worden in workshopvorm uitgevoerd. Het is de bedoeling dat alle afdelingen van de corporatie hierbij vertegenwoordigd zijn. Alle afdelingen werken met (persoons)gegevens en aanwezigheid in een sessie zorgt voor bewustwording.
Plan Do Check Act (PDCA) Planfase Het doel van de Planfase is om het huidige beveiligingsniveau te bepalen en te inventariseren welke acties nodig zijn om aan de norm te voldoen. De Planfase bestaat uit de volgende activiteiten: Kick-off De kick-off is het startpunt van het traject. Alle betrokkenen (HC&H, Advocatenkantoor Verhelst en Smarts IT / Security) laten zien wat het project inhoudt en hoe het uitgevoerd wordt. Van de corporatie zijn alle belanghebbenden uitgenodigd. Van Directeur-bestuurder tot onderhoudsmedewerker. Strategisch beleid Als eerste wordt het strategisch beleid opgeleverd. Middels een workshop worden de rollen, verantwoordelijkheden, scope en belanghebbenden in kaart gebracht en vastgesteld. Belangrijke rollen zijn hier de Security Officer en Privacy Officer. Afhankelijkheidsanalyse en Business Impact Analyse (BIA) In een werksessie worden door middel van een afhankelijkheidsanalyse de IT-middelen, hun onderlinge relatie en het belang in kaart gebracht. Dit zorgt er in een later stadium voor dat de juiste beveiligingsmaatregelen per IT-middel genomen worden. Bij IT-middelen kan je denken aan applicaties, mobiele apparaten, maar ook aan servers. Bij het uitvoeren van een BIA worden calamiteiten en de gevolgen in kaart gebracht. Ook wordt bepaald in hoeverre er maatregelen nodig zijn om de gevolgen van een calamiteit te verkleinen.
GRIP HC&H Consultants
Informatierisicomanagement en risicoanalyse Informatierisicomanagement wordt opgezet. Dit is een jaarlijks terugkerend item. In diverse werksessies worden alle geledingen van de corporatie gevraagd welke risico’s er zijn op het gebied van informatiebeveiliging. De sessies geven een goed beeld van de specifieke corporatierisico’s. Immers, ieder ITlandschap en ieder kantoor is anders, met andere risico’s. Maar dit is ook al een eerste slag in het kader van bewustwording. Medewerkers denken actief na over risico’s en nemen dit mee naar hun werkplek.
Opstellen actieplan Vanuit de risicoanalyse, de technische nulmeting en de nulmeting bewustwording komen rapporten met aanbevelingen. Deze worden gebundeld in een actieplan met prioriteit en planning.
Nulmeting Bewustwording De nulmeting bewustwording wordt middels de ‘Serious Game Alcatraz’ gespeeld. De ‘Serious Game Alcatraz’ is een effectief instrument om de bewustwording op informatiebeveiliging binnen de organisatie te versterken. Deelnemers worden uitgedaagd om zich uit te spreken over de staat van informatiebeveiliging binnen hun organisatie. De nulmeting zorgt voor een rapport met geprioriteerde aanbevelingen.
Beveiligingsrollen binnen de corporatie
Nulmeting Techniek Smarts IT / Security voert een nulmeting uit op de technische infrastructuur van de corporatie. Deze richt zich o.a. op het datacenter, het netwerk en externe toegang. De uitkomst van de nulmeting is een rapport met risico’s en aanbevelingen. Uitvoeren tactisch beleid Vanuit het strategisch beleid wordt het tactisch beleid opgesteld. Dit bestaat uit beleid, gebaseerd op de BIC, op het gebied van encryptie, continuïteit, logging, maar ook fysieke toegang, in- en uitdienst procedures en audits.
Do-fase In de Do-fase worden procedures en registraties, volgend uit het tactisch beleid, ingeregeld. Tevens worden de acties die vastgesteld zijn in het actieplan, uitgevoerd. Check- en Act-fase In de Check- en Act-fase worden bepaald of de uitgevoerde acties het gewenste effect hebben. Indien nodig worden de plannen bijgesteld.
In het strategisch beleid worden de rollen binnen het ISMS vastgelegd. Iedereen binnen de organisatie krijgt met het ISMS te maken. Van directie tot en met de individuele medewerker. Iedere medewerker werkt namelijk met informatie. En hier dient men zorgvuldig mee om te gaan. Een belangrijke rol is weggelegd voor de Security Officer. De Security Officer is er verantwoordelijk voor dat de PDCA-cyclus gevolgd wordt. En is het aanspreekpunt voor de organisatie als het om informatiebeveiligingsvragen gaat. De Privacy Officer is er verantwoordelijk voor dat de corporatie goed omgaat met persoonsgegevens. De Privacy Officer kan om die reden adviseren over wat het gewenste beveiligingsniveau dient te zijn. Dit dient de Privacy Officer onafhankelijk te kunnen doen. Het samenvoegen van de rollen Privacy Officer en Security Officer raadt HC&H dan ook af. Corporaties gaan verschillend om met de invulling van de rol van Security Officer. De rol kan intern benoemd worden, bijvoorbeeld bij de afdeling control. Ook kan ervoor worden gekozen een externe Security Officer aan te stellen als er bijvoorbeeld geen expertise of capaciteit is voor deze rol. Bij een aantal corporaties bekleden consultants van HC&H deze rol.
Project en overdracht aan organisatie Het inrichten van het ISMS wordt gestart als een project. De consultant van HC&H is in de Plan-fase ‘in the lead’. De consultant plant de werksessies en neemt de beoogde Security Officer hierin mee. De resultaten vanuit de sessies worden besproken met de corporatie en vastgesteld door de directie. Hierna wordt het ISMS overgedragen aan de corporatie (Security Officer). In de Do-fase helpt de consultant de Security Officer met het inrichten van de procedures en richtlijnen en begeleidt de consultant de organisatie met de uitvoering van de actielijst.
Conclusie HC&H heeft er, met haar partners Advocatenkantoor Verhelst en Smarts IT / Security, binnen de informatiebeveiligingstrajecten voor gezorgd dat de corporaties AVG-compliant zijn. Het beleid en de maatregelen zijn opgesteld en ingevoerd. Echter, hiermee is de corporatie nog niet klaar. De PDCAcyclus is ingeregeld, maar dient te blijven draaien om ervoor te zorgen dat het beveiligingsniveau op het gewenste niveau blijft en de organisatie AVG-compliant blijft. Ook op informatiebeveiligingsgebied dient er continu verbeterd te worden.
Wilt u meer weten over Informatiebeveiliging? Neem dan contact op met Martijn Goudriaan via martijn.goudriaan@hcenh.nl.
In de Check-fase helpt de consultant met het inrichten van het ISMS en de uitvoering van de audit hierop. De vraag die hier beantwoord moet worden is of de procedures en richtlijnen, zoals ze opgesteld zijn, werken en het gewenste effect hebben.
Hulpmiddelen Om het traject snel en eenvoudig te laten verlopen gebruikt HC&H hulpmiddelen. HC&H beschikt over templates voor beleidsstukken, op basis van de BIC. Voor zowel het strategisch beleid als het tactisch beleid zijn sjablonen beschikbaar die passend worden gemaakt op de corporatie. Op deze manier hoeft de corporatie niet zelf het wiel uit te vinden. Daarnaast is er een digitale tool beschikbaar. In deze tool worden de resultaten van de risicoanalyse, de afhankelijkheidsanalyse en de Business Impact Analyse ingevoerd. Vanuit de tool is de status van de diverse maatregelen eenvoudig te volgen en zijn rapporten te genereren die als basis dienen voor verantwoording aan directie en toezichthouders.
Martijn Goudriaan Business Consultant HC&H
INTERVIEW
GRIP HC&H Consultants
Informatiebeveiliging bij
Mitros
Wat was de aanleiding om dit project te starten? Bij Mitros hadden we al veel op orde als het gaat om informatiebeveiliging. De aandacht was echter vooral gericht op het beschermen van toegang van “buiten”. Daarnaast was er nog best wat te doen aan de bewustwording bij onze medewerkers en natuurlijk was er een aantal zaken die voor de AVG voor 25 mei geregeld moesten zijn. Om al deze zaken integraal aan te pakken en op die wijze klaar te zijn voor de AVG, zijn we dit project gestart. Waarom hebben jullie voor HC&H gekozen? Voor de ondersteuning van de implementatie van de AVG wetgeving, heeft Mitros voor HC&H gekozen omdat zij gedreven consultants hebben die de corporatiewereld van binnen en van buiten heel goed kennen. Dat combineren zij met een integrale aanpak door een goede koppeling van het Privacy-deel met de Informatiebeveiliging te leggen. Hierbij is gebruik gemaakt van de projectfasering volgens de PDCA cyclus. Wat onderscheidend is, is dat in de HC&H aanpak extra aandacht voor de bewustwording en ‘soft controls’ is besteed door het spelen van het spel ‘Serious Game Alcatraz’. Zo kregen we snel een beeld van het niveau van de bewustwording van de organisatie en konden we onze bewustwordingscampagne daarop aansluiten. Naar onze mening ‘de succesfactor’ voor het verder verhogen van het niveau van informatiebeveiliging. Hoe is het traject verlopen? We hebben het project verdeeld in een aantal categorieën:
Gert Roelofsen Manager Verkoop & Zakelijke Verhuur, Mitros
“Extra aandacht voor bewustwording en soft controls”
“Gedreven HC&H consultants die corporatiewereld van binnen en buiten kennen” Informatiebeveiliging We zijn begonnen met een nulmeting. Daaruit bleek dat aanscherping van beveiligingsmaatregelen voor de binnenkant noodzakelijk was. Met de grote risico’s en het laaghangend fruit zijn we direct aan de slag gegaan. De rest is samengevat in een actieplan. Deze acties worden ingepland en uitgevoerd. Daarnaast zijn er de nodige strategische en tactische beleidstukken geschreven en vastgesteld door de directie. Dit, omdat er veel in hoofden van mensen zat, maar onvoldoende was vastgelegd. Bewustwording Door middel van het spel ‘Serious Game Alcatraz’ kregen we snel een beeld over de bewustwording. Daar bleek dat het niveau te laag was. Ook hier zijn de nodige acties ingepland en/of uitgevoerd.
Kunnen jullie voorbeelden geven van maatregelen die genomen zijn/worden om de privacy van huurders, leveranciers en medewerkers te waarborgen? Vooral op de bewustwording hebben we zwaar ingezet. Onze medewerkers gaan nu veel bewuster om met de privacy van huurders, leveranciers en medewerkers. Dit blijkt uit de hulpvragen die we op dit gebied vanuit de organisatie krijgen. Hebben jullie nog tips voor andere corporaties om ervoor te zorgen dat informatie goed beveiligd is/ wordt? Als de focus niet is gericht op bewustwording, dan zijn alle maatregelen die men neemt op het gebied van informatiebeveiliging, vergeefse moeite.
Privacy De AVG schrijft voor dat een aantal producten voor 25 mei gereed moesten zijn. Denk daarbij aan de privacyverklaring, het cookiebeleid en het verwerkingsregister. Deze producten zijn in het project afgerond en geïmplementeerd. Zijn jullie tevreden met het resultaat tot nu toe? Wat heeft het project tot nu toe opgeleverd? We hebben flinke stappen gemaakt in de eerder genoemde categorieën. Daarnaast hebben we, door het actieplan, een duidelijk beeld van wat we nog moeten doen. Verder zijn we er in geslaagd om het proces van informatiebeveiliging en privacybeleid, te borgen in de organisatie.
Remko Oosenbrug Teammanager ICT, Mitros
INTERVIEW
GRIP HC&H Consultants
Informatiebeveiliging bij
Patrimonium Woonservice Wat was de aanleiding om dit project te starten? De aangekondigde ingangsdatum van de AVG is de trigger geweest voor het project. Patrimonium heeft veel persoonsgegevens opgeslagen en de privacy van de betrokkenen dient goed geborgd te zijn. We zijn al in 2017 begonnen met dit project. Ook wilden we graag de eigen kennis en expertise op het gebied van AVG en Informatiebeveiliging vergroten. Waarom hebben jullie voor HC&H gekozen? Patrimonium heeft voor HC&H gekozen vanuit een korte selectie. Meerdere partijen zijn uitgenodigd voor een presentatie en hebben een offerte uitgebracht. De kennis van HC&H binnen de sector, de aansprekende presentatie en de prijs waren de redenen om voor HC&H te kiezen. Hoe is het traject verlopen? Het traject is goed verlopen. De doelen zijn binnen tijd en budget behaald. Om het verwerkingsregister op tijd af te krijgen is een consultant van HC&H een paar dagen extra ingehuurd. Met zijn ervaring zorgde hij voor een versnelling en een oplevering op tijd. De samenwerking tussen Eric Verhelst van Advocatenkantoor Verhelst, Wouter Arts van Smarts IT / Security, HC&H en Patrimonium zijn goed verlopen. Ruim voor 25 mei zijn de Planfase van Informatiebeveiliging en de Plan- en Do-fase van het AVG-deel afgerond. De Do-fase binnen het ISMS is ondertussen ook aardig op dreef. Zijn jullie tevreden met het resultaat tot nu toe? Wat heeft het project tot nu toe opgeleverd? Ja, wij zijn tevreden met het resultaat. Maar Patrimonium beseft ook dat het project nog niet klaar is. De actielijst vanuit de Planfase is nog niet gereed, maar de belangrijkste zaken zijn geregeld. Daarnaast vraagt ‘compliant zijn aan de AVG’ continu aandacht. Kunnen jullie voorbeelden geven van maatregelen die genomen zijn/worden om de privacy van huurders, leveranciers en medewerkers te waarborgen? De belangrijkste maatregelen hebben te maken met bewustwording. Vanuit het project zijn hier al diverse acties op uitgevoerd, zoals ‘Serious Game Alcatraz’, presentaties op personeelsbijeenkomsten en informatie via intranet. Er ligt minder papier op bureaus en bij iedere vraag vanuit het netwerk
Robert Gerritsen Teamleider Wonen, Patrimonium
wordt nagedacht over de mogelijke privacy risico’s. Dit leidt tot een ‘automatische bewustwording’. Op technisch vlak is een sprekend voorbeeld het verbod op het gebruik van USBsticks. Deze worden niet meer gebruikt, behalve enkele versleutelde USB-sticks die aangeleverd worden door IT. Hebben jullie nog tips voor andere corporaties om ervoor te zorgen dat informatie goed beveiligd is/wordt? Het belangrijkste is maximaal inzetten op bewustwording. Dit is belangrijker dan ‘beleid op orde’. Dit is een continu proces. Patrimonium speelt met het idee om een privacy incident te oefenen. Tevens is het belangrijk om één aanspreekpunt te hebben voor privacy. Patrimonium heeft daarom een Privacy Officer aangesteld. Deze persoon dient niet in een hoekje weggestopt te worden, maar dient toegankelijk te zijn zodat medewerkers altijd terecht kunnen voor hun privacy vragen.
INTERVIEW
Informatiebeveiliging bij
Woningbouwvereniging Reeuwijk Wat was de aanleiding om dit project te starten? De invoering van de AVG is de directe aanleiding geweest. Maar de reden waarom ook gekozen is voor de implementatie van een ISMS, heeft te maken met de borging van de privacy, de borging van de kwaliteit en aantoonbaarheid naar de Autoriteit Persoonsgegevens. Waarom hebben jullie voor HC&H gekozen? De keuze is op HC&H gevallen vanwege de expertise van HC&H binnen de sector, de expertise rondom AVG (privacy & informatiebeveiliging) en de klik met de betrokken HC&H consultant. Hoe is het traject verlopen? Wbv Reeuwijk is één van de eerste corporaties die gestart is met het inrichten van een ISMS en de implementatie van de BIC. In het project zijn veel voorbereidende werkzaamheden uitgevoerd om de procedures te ontwikkelen. Begin 2018 is de Plan-fase gestart voor zowel het privacy- als het informatiebeveiligingsdeel. Wbv Reeuwijk had op 25 mei 2018 de noodzakelijke onderdelen op orde en er is een planning gemaakt voor verdere uitvoering.
Kunnen jullie voorbeelden geven van maatregelen die genomen zijn/worden om de privacy van huurders, leveranciers en medewerkers te waarborgen? Er is invulling gegeven aan de rol van Security Officer om compliant aan de AVG te blijven. Vanuit de Do-fase (uitvoering na Plan-fase ISMS) is o.a. het werken in de cloud, veilig werken vanaf kantoor en bewustwording op de agenda gezet om de kennis van de medewerkers te verbeteren. Op onze website is het privacy statement geplaatst, het verwerkingsregister is opgesteld en de procedures vanuit de rechten van de huurder en plichten van de corporatie zijn in gebruik genomen. Hebben jullie nog tips voor andere corporaties om ervoor te zorgen dat informatie goed beveiligd is/wordt? Corporaties die veelal zelf aan de slag zijn gegaan, hebben vaak alleen aandacht geschonken aan het privacydeel. De meeste corporaties denken dat privacy voldoende is om AVG-proof te zijn. Vanuit de wetgeving is echter benoemd dat organisaties (technische en organisatorische) maatregelen dienen te nemen rondom de borging van de privacy en veilig werken. Om deze reden is het verstandig om een onafhankelijk adviesbureau in te schakelen om een Quick-Scan te doen op het vlak van informatiebeveiliging.
Zijn jullie tevreden met het resultaat tot nu toe? Wat heeft het project tot nu toe opgeleverd? Wbv Reeuwijk is tevreden met waar we nu staan. De nulmetingen Bewustwording en Techniek, de Plan-fase Informatiebeveiliging en de Plan- en Do-fase Privacy zijn gerealiseerd. Vanaf juni 2018 zijn we gestart met de Do-fase Informatiebeveiliging en hebben we een planning met activiteiten opgesteld om het veilig werken te bewerkstelligen en de werkwijze(n) en processen rondom privacy te borgen. Ook hebben we bewustwording maandelijks terug laten keren op de agenda, zodat de AVG procedures en veilig werken in het DNA komt van de medewerkers van Wbv Reeuwijk. Gert-Jan van de Aast Coördinator Financiën & projectleider AVG, Wbv Reeuwijk
GRIP HC&H Consultants
Bewustwording informatiebeveiliging Stel u heeft voor de AVG op 25 mei 2018 uw ICT op orde. Ook vanuit het oogpunt van informatiebeveiliging zijn alle risico’s voor de ICTsystemen van uw organisatie in kaart gebracht en afgeschermd in een ISMS. Bent u dan waar u zijn moet? Dat hangt ervan af. Vaak wordt informatiebeveiliging gezien als een ICT-feestje. Toch ontstaat ongeveer 70% van alle incidenten, waaronder datalekken, door menselijk handelen. Dit komt simpelweg doordat mensen zich vaak niet bewust zijn van de gevaren die op de loer liggen. Wilt u de risico’s op incidenten tot een acceptabel minimum beperken? Dan is bewustwording over een “saai” onderwerp als informatiebeveiliging nou net waar het om draait. Wij zetten bij onze klanten de Serious Game Alcatraz in om
bewustwording op het gebied van informatieveilig werken naar een hoger plan te krijgen. Dit spel is als werkvorm ontwikkeld om deelnemers actief te betrekken bij het thema informatiebeveiliging om zo hun bewustzijn over dit onderwerp verder te verhogen. In een spelsituatie op het gevangeniseiland Alcatraz worden de deelnemers uitgedaagd om kleur te bekennen aan de hand van stellingen over het niveau van informatiebeveiliging binnen hun organisatie. Tijdens het spel wordt gewerkt aan het herkennen van risico’s en bedenken van mogelijke oplossingen hiervoor. De interactieve speelwijze waarop deelnemers worden betrokken bij informatiebeveiliging creëert draagvlak voor veranderingen, die bijdragen aan informatieveilig werken.
Wij hebben op het moment van schrijven van dit artikel voor de Serious Game Alcatraz al ruim 150 mensen in diverse functies en van verschillende afdelingen aan tafel gehad. Bijzonder is het groot aantal positieve reacties dat wij van deelnemers krijgen. Door het spel gaat informatiebeveiliging bij de mensen leven. Wat ons opvalt tijdens het spelen, is de bevlogenheid waarmee de deelnemers met elkaar discussiëren over de huidige en gewenste situatie en de betrokkenheid om informatiebeveiliging serieus naar een hoger niveau te trekken.
“Serious Game Alactraz: leuk en leerzaam!” De meest gehoorde reactie, die wij krijgen als het gaat om bewustwording is: op een leuke en leerzame manier worden deelnemers geprikkeld om na te denken over informatiebeveiliging en betere manieren om dagelijks informatieveilig te werken. Elkaar aanspreken op gemaakte afspraken speelt daarbij een belangrijke rol.
gezet, maar dat nog veel te winnen is op het terrein van informatiebeveiliging. Veel adviezen aan directie en MT zeggen: gewoon doen, direct starten met praktische en simpele maatregelen, elkaar aanspreken, beleid in heldere taal ontwikkelen en informatiebeveiliging met regelmaat op de agenda zetten. Het is belangrijk nadat bewustwording binnen uw organisatie op een hoger plan is gekomen om dit met elkaar vast te houden. Veranker informatieveilig werken met een bewustwordingscampagne en meet periodiek waar u staat. Vanuit “samen denken & samen doen!” kan HC&H u helpen bij het opstellen van een bewustwordingscampagne en het toetsen of u de gewenste koers volgt.
U neemt bewustwording over informatiebeveiliging serieus en bent benieuwd hoe u dit kunt aanpakken? Neem dan contact op met Brian Walsh via brian.walsh@hcenh.nl.
“We hebben wel een visie, maar die is niet vindbaar.” Regelmatig geven mensen aan dat de organisatie wel een vorm van beleid heeft ontwikkeld, maar dat deze onvoldoende bekend is bij iedereen en dat de vertaling naar passende werkafspraken beter kan. Het spel reikt handvatten aan om concrete maatregelen te benoemen. Je pc vergrendelen wordt vaak herkend als een simpele verbetering. De discipline om jezelf dit aan te leren, kost iets meer energie.
“Er is nog genoeg te doen. Aan de slag!” De gemeenschappelijke constatering van deelnemers is dat hun organisaties al stappen in de juiste richting hebben
Brian Walsh Business Consultant HC&H
GRIP HC&H Consultants
Anil Ishwardat Lean Business Consultant HC&H
Goed leiderschap is géén sprookje Lean leiderschap is net wat anders dan het traditionele leiderschap. Maar wanneer spreekt men van goed Lean leiderschap? Hoe kom je tot de beste beslissingen? Ben je je bewust van je impact? Het sprookje “De nieuwe kleren van de keizer” van Hans Christian Andersen vertelt hier alles over.
Er was eens… Er was eens een keizer die zo erg op zijn uiterlijk was gesteld dat hij zijn kleermakers gebood iets heel bijzonders te maken van “de stof die niet bestaat”. Twee rondreizende kleermakers kwamen aan het hof en beweerden een stof te kunnen maken, die alleen zichtbaar was voor slimme mensen. Dagenlang gingen ze aan het ‘werk’, overladen met weelde en goud. Na een presentatie, met veel flauwekul, deden ze alsof ze een heel bijzonder kleed in hun handen hadden. De keizer aarzelt even, want hij zag zijn eigen kleed niet. Maar door het overtuigende betoog van de kleermakers geloofde hij erin. Zeker toen ook zijn rechterhand zei dat het kleed prachtig was! De keizer
waande zich in peperdure kleren en hij wilde niet dat mensen dachten dat hij dom was. Hij vertoonde zich aan zijn hovelingen. Ook zij, uit angst voor zijn woede-uitbarstingen, prezen zijn nieuwe kleren de hemel in. Het volk viel om van verbazing, angst en plaatsvervangende schaamte. Uiteindelijk zei een klein jongetje, dat nog niet gevangen was door het systeem, de waarheid en doorbrak het patroon. De keizer werd door het hele volk uitgelachen, maar gaf zijn ongelijk niet toe. Stoïcijns bleef hij naakt doorlopen, maar van binnen wist hij dat hij zich had laten beetnemen door die twee bedrieglijke kleermakers… en dat juist hij, niet slim is geweest!
Leidinggeven alsof je géén macht hebt Iedereen ziet dat het tijdperk van de autoritaire, hiërarchische leider ten einde is. Een te dominante leider, die weinig ruimte geeft aan anderen, smoort creativiteit van medewerkers in de kiem. Vaak zelfs onbewust als de leidinggevende te veel zelf wil doen en verantwoordelijkheden alleen bij zichzelf houdt. Vertrouwen hebben in je team en loslaten is het sleutelwoord. Lean leiderschap heeft de toekomst. Van een leider verwacht je dat hij of zij doortastend en wilskrachtig is, moed toont en zijn team scherp en op koers houdt door richting en duidelijke kaders te geven. Dit gedrag vertonen Lean leiders ook, maar met een aanvullende karaktereigenschap. Deze leiders zijn, op de werkvloer, in een coachende rol in plaats van belerende rol. De dominante houding van de keizer zorgde ervoor dat niemand iets durfde te zeggen. Hierdoor kreeg de keizer niet in de gaten dat het goed mis zat. Lean leiders delegeren verantwoordelijkheden, maar nemen elk geopperd probleem serieus. Ze durven fouten toe te geven en zich kwetsbaar op te stellen. Ook zij moeten
leren. Als de keizer had toegegeven dat hij een fout had gemaakt, hadden zijn onderdanen meer respect voor hem gehad en hem kunnen helpen. Lean leiders nemen actief en resultaatgericht leiding, maar vanuit de gedachte om te dienen, te ontwikkelen en continu te verbeteren. Ze leiden de organisatie alsof ze géén macht hebben.
De mug die zoemt en af en toe prikt Hoe zou de keizer zich gevoeld hebben, terwijl hij poedelnaakt over straat liep en nadat iedereen hem had geprezen over zijn prachtige kledij? Was hij zich bewust van zijn invloed op zijn mensen? Een Lean leider haalt het beste uit zijn mensen door ze te inspireren en uit te dagen. Dat klinkt mooi, maar hoe ziet dat er uit in de praktijk? Lean zegt dat een leider minimaal 50% van zijn tijd bij zijn mensen doorbrengt. De tijd van de eigen kamers van de managers is voorbij. Managers zitten op de werkvloer tussen de mensen. Er wordt geobserveerd, gewaardeerd, gefaciliteerd, dialoog gevoerd over de prestaties en duidelijke keuzes gemaakt. Hiermee krijgt de leider een actievere rol in het dagelijks verantwoordingsproces. Dit is nogal wat en vergt tijd, kostbare tijd die weer vrijgemaakt kan worden door medewerkers ruimte te geven en verantwoordelijkheden lager in de organisatie te beleggen.
De moraal van het verhaal Koester de mensen in je organisatie die het hoofd boven het maaiveld durven uit te steken. Geef de medewerkers ruimte door te zeggen dat fouten gemaakt mogen worden, zolang je er maar van leert. Dit zal de kwaliteit van je beleid alleen maar (verder) verbeteren.
Heeft uw management team ook behoefte aan een kritische blik? Durft u met ons het lastige gesprek aan te gaan? Neem dan contact op met Anil Ishwardat via anil.ishwardat@hcenh.nl.
GRIP HC&H Consultants
HC&H Connect en Functioneel beheer Van reactief naar vernieuwend Bij veel corporaties is er de afgelopen jaren geĂŻnvesteerd in de implementatie van een ERP-systeem. Deze implementaties zijn niet zonder slag of stoot gegaan. De opluchting is dan ook vaak groot als de implementatie afgerond is. Bij veel corporaties blijft vervolgens het gevoel achter dat het rendement van deze ERP-systemen hoger kan. Het gevoel dat er meer in zit. Dit heeft een aantal redenen.
Veel functionaliteit wordt nog niet benut. Een ERP-systeem biedt vaak een groot scala aan mogelijkheden. Om te ontdekken waar deze functionaliteit waarde kan toevoegen, is er veel inzicht nodig in zowel het systeem als in het bedrijfsproces. Daarnaast vergt het gebruik van additionele functionaliteit, investering in implementatie. Kennis en investeringsruimte zijn niet altijd voldoende aanwezig. en tweede reden is de inrichting van E functioneel beheer. Bij veel corporaties ligt de focus van functioneel beheer op het in stand houden van het systeem. Het afhandelen van incidenten, installeren van patches en implementeren van nieuwe releases slokt vaak alle aanwezige resources op. Een continue dialoog met de organisatie, om te bepalen waar nieuwe wensen en mogelijkheden liggen op het gebied van informatievoorziening, ontbreekt. Naar aanleiding van deze trend biedt HC&H Connect nieuwe mogelijkheden voor functioneel beheer.
Samenwerken als basis HC&H Connect wil graag corporaties begeleiden bij het verbeteren van functioneel beheer en richt zich voornamelijk op corporaties met de wil tot samenwerken. Het doel hierbij is een samenwerking te creĂŤren tussen gelijkvormige corporaties om samen schaalgrote, kennis en middelen te gebruiken om het rendement van systemen substantieel te verhogen. Uiteindelijk vormen deze gelijkgestemde corporaties samen een community die kennis en ervaringen met elkaar deelt, samen Best Practices en standaarden ontwerpt en resources deelt. HC&H Connect faciliteert deze samenwerking en adviseert daar waar nodig.
Flexibele invulling en taakverdeling HC&H Connect biedt functioneel beheer als dienst door een pool van functioneel beheerders te vormen, waar corporaties gebruik van kunnen maken. Belangrijk daarbij is dat HC&H Connect meedenkt met samenwerkende corporaties en diensten biedt die passend zijn binnen de samenwerking. Dus geen standaard dienst, maar maatwerk invulling van de behoefte van samenwerkende partners. De regie van de informatievoorziening blijft bij de corporaties die, indien gewenst, gebruik maken van functioneel beheerders met de juiste kennis van het systeem. Het uiteindelijke doel is dat functioneel beheer leidt tot een betere ondersteuning van de bedrijfsvoering. Daarnaast kan het slim samenwerken tussen corporaties enerzijds en HC&H anderzijds, leiden tot een kosten efficiĂŤnte oplossing.
Waarom HC&H Connect? HC&H Connect is onafhankelijk van de ERP-leverancier en heeft een brede kennis van het corporatieproces en de dynamiek in de sector. Verder kunnen de medewerkers van HC&H als geen ander de match maken tussen systeem en bedrijfsvoering. HC&H hanteert daarbij marktconforme tarieven.
Wilt u meer weten over Functioneel Beheer of over HC&H Connect? Neem dan contact op met Bert Ramackers via bert.ramackers@hcenh.nl.
Bert Ramackers Sales Manager, HC&H Connect Janette ten Klooster Functioneel Beheerder, HC&H Connect
GRIP HC&H Consultants
HC&H medewerkers Wat was je eerste baan? Tamara: Ik ben ooit begonnen als caissière. Bleek niet echt mijn ding, gezien het regelmatige kassaverschil. Daarna heb ik een tijdje gewerkt op de snoepjesafdeling, mijn eigen winkeltje. Match made in heaven! Martijn: Op mijn 16e ben ik bij Albert Heijn gaan werken als vakkenvuller. Dat heb ik, mede vanwege het gezellige team, bijna 10 jaar gedaan totdat ik klaar was met studeren. Toen was ik gelukkig inmiddels wel vulploegleider.
Welke gebeurtenis gaf je carrière een belangrijke wending?
Tamara van Kuijk Business Consultant HC&H
Functie
Business Consultant bij HC&H, gericht op verander- en verbetermanagement
Burgerlijke Staat
Ik ben ongetrouwd en heb een super lieve vriend. Mijn grote trots is mijn puberzoon van 15 jaar.
Hobby’s
Naast lekker uit eten, wandelen en koken, spreek ik graag af met vrienden om, onder genot van een hapje en een drankje, gezellig bij te kletsen. Daarnaast ben ik ook de Personal Assistant van mijn zoon.
Favoriete vakantieland
Ik ga graag naar Italië. Maar ook Kenia heeft mijn hart gestolen.
Hekel aan
Chaos! Ik ga dan alles ordenen. Ik hou van overzicht, structuur en een opgeruimd hoofd. En torren ….ieks.
Mooiste liedje ooit
Ik luister graag naar echte rockbitches. Skunk Anansie en Anouk zijn mijn favoriet.
Tamara: Het behalen van mijn MBA diploma, dit was echt op mijn lijf geschreven. Martijn: Bij mijn vorige werkgever werd het ERP pakket vervangen. Ik ben gevraagd om inhoudelijk projectleider te zijn binnen dit project. De dynamiek van zo’n groot project heeft me doen beseffen dat ik hier energie van krijg. Dit is dan ook de trigger geweest om de overstap naar HC&H te maken.
Wat zeggen collega’s over jou? Tamara: Tja,... dat weet ik nog niet bij HC&H. Ik denk vooral duidelijk, streng, betrouwbaar en deskundig. Martijn: Ik weet niet wat mijn collega’s over me zeggen eigenlijk. Ik hoop dat ze zeggen dat ik serieus en resultaatgericht werk, maar ook zaken kan relativeren met een grap.
Wat maakt het werken bij HC&H zo leuk? Tamara: Het mogen werken voor corporaties en daar vrij snel kunnen adviseren en helpen. Martijn: Het is leuk om verschillende projecten bij verschillende organisaties te doen. Op dit moment heb ik projecten die te maken hebben met softwareimplementaties, opzetten van functioneel beheer en Informatiebeveiliging. Dit gebeurt bij corporaties in het zuiden, midden
stellen zich voor en westen van het land. Allemaal met verschillende culturen. Vooral de afwisseling maakt het leuk. En de samenwerking met de collega’s van HC&H is ook goed en leuk. Iedereen staat voor elkaar klaar en ervaringen worden goed uitgewisseld.
Wat zijn je ambities? Tamara: Ik doe precies wat ik wil, dus ik ben helemaal content. Ik wil vooral kennis op blijven doen en mezelf ontwikkelen. Martijn: Ik wil zo breed mogelijk ingezet kunnen worden bij corporaties. Ik wil dit bereiken door opleidingen te blijven volgen en mooie projecten te doen. Bij kleine, middelgrote en grote corporaties.
Maak af: over 10 jaar dan…. Tamara: Dan doe ik nog steeds de dingen waar ik heel blij van word. Martijn: Aansluitend op wat hierboven staat. Over tien jaar wil ik breed inzetbaar zijn en mooie en uitdagende projecten doen.
Wat weten de lezers nog niet van jou? Tamara: Dat ik heel sensitief ben en daar vaker naar wil/ga luisteren... Martijn: Er is denk ik genoeg wat lezers niet weten van mij. Maar om één ding te noemen. Ik denk dat lezers niet weten dat ik Geschiedenis heb gestudeerd met als specialisatie Oudheid en Antieke Cultuur. Mijn eindscriptie ging over ordehandhaving in Romeins Egypte. Met de opgedane kennis doe ik niet veel meer in mijn werk, maar ik heb wel leren onderzoeken, schrijven en presenteren. Dat kan ik dan weer wel gebruiken in mijn functie als Business Consultant.
Martijn Goudriaan Business Consultant HC&H
Functie
Business Consultant bij HC&H, gericht op Informatiebeveiliging
Burgerlijke Staat
Ongehuwd
Hobby’s
Sporten: hardlopen en fietsen (mountainbike en wielrennen) en reizen. Van korte citytrips tot lange rondreizen!
Favoriete vakantieland
Italië. Prachtig landschap (o.a. om te fietsen) en heerlijk eten.
Hekel aan
Ik kan slecht tegen opschepperij.
Mooiste liedje ooit
Een mooiste liedje ooit heb ik niet. Ik houd van veel soorten muziek en kan daarom niet één liedje kiezen.
GRIP HC&H Consultants
Sourcing strategie Een aantal jaar geleden is de gang naar de Cloud ingezet en hebben steeds meer corporaties hun IT uitbesteed. Het lijkt geen hype, maar een ontwikkeling die elk jaar meer vorm krijgt. Het is de verwachting dat de applicaties die de corporaties gebruiken, over een paar jaar grotendeels via de Cloud worden aangeboden en de noodzaak voor het hebben van een eigen infrastructuur waar de applicaties op draaien (of bij een IT-dienstverlener) minder groot wordt.
Trends en ontwikkelingen m.b.t. sourcing en de Cloud • De corporaties die het nieuwe werken omarmen, zie je steeds meer gebruik maken van mobiele devices en het online-werken. De applicaties draaien deels weer lokaal en de rekenkracht van de tablet wordt gebruikt voor de verwerking. Office 365 staat op de wensenlijstjes van de corporaties. Voor opslag wordt er meer gebruik gemaakt van OneDrive en SharePoint; • Microsoft zet hard in op de uitbreiding van hun Office 365 platform. De online functionaliteit wordt continue verbeterd en zal op termijn niet meer onder doen voor de versies die lokaal of op een ServerBased Computing omgeving worden geïnstalleerd; • Daarnaast worden de online / cloud platformen voor de ERP-pakketten, zoals Microsoft Dynamics 365 Business Central en Microsoft Dynamics 365 for Finance & Operations, ook steeds meer uitgebreid met functionaliteit. Denk aan field service toepassingen, Sales / CRM, Microsoft Flow en Microsoft Power BI. Binnen afzienbare tijd zullen de ERP Pakketten ook als SAAS (Software As A Service) oplossing via de Cloud af te nemen zijn, en zullen grotere delen van het beheer door de IT-dienstverlener worden uitgevoerd; • Leveranciers van applicaties (bijvoorbeeld van Document Management Systemen, HRM- of Management informatie systemen) bieden hun applicatie ook steeds meer aan in de Cloud; • Beveiliging van de Cloud is steeds beter geregeld en de integratie tussen applicaties wordt ook steeds eenvoudiger gerealiseerd met bijvoorbeeld een Enterprise Service Bus; • In de online omgeving dwingt Microsoft steeds meer standaardisatie af; • Een groot aantal IT-afdelingen van de corporaties is aan het afslanken en de nadruk komt meer te liggen op de regie naar IT-dienstverleners dan het zelf operationeel houden van de ICT-omgeving.
Wanneer de corporatie heeft besloten om te gaan uitbesteden, of toepassingen af te nemen uit de Cloud en voor de keuze staat te bepalen in welke vorm dit te gaan doen, is het raadzaam om goed naar trends en ontwikkelingen te kijken en de juiste keuzes op het juiste moment te maken: 3 Hoe organiseren we de IT-afdeling binnen de corporatie? 3 Welke eisen worden er aan de IT dienstverlener gesteld? 3 Welke principes zijn leidend voor de uitbesteding en de inrichting van de samenwerking met de IT-dienstverlener? 3 Hoe organiseren we de IT-afdeling binnen de corporatie? 3 Wat zijn de tijdslijnen voor de sourcing en doen we het in één keer of gefaseerd?
Sourcing strategie Deze keuzes onderbouw je met een sourcing strategie. Sourcing heeft betrekking op de strategische, tactische en operationele activiteiten die nodig zijn voor selecteren, contracteren en evalueren van de juiste IT-dienstverlener voor de gewenste IT-dienstverlening. Het vooraf goed definiëren van de ‘vraag’, schept duidelijkheid over de verwachtingen en voorkomt teleurstellingen achteraf!
Waarom een sourcing strategie? Een sourcing strategie dient als leidraad bij het nemen van beslissingen en voorkomt dat er keuzes worden gemaakt die niet in lijn zijn met toekomstige ontwikkelingen in de markt en met de ontwikkelingen binnen de eigen corporatie: 3 Je wilt als corporatie niet dat de knip in het IT-beheer verkeerd is gelegd;
GRIP HC&H Consultants
3 Of dat de timing van de overgang naar een IT-dienstverlener verkeerd is, waardoor bijvoorbeeld een migratie van het ERP systeem twee keer moet gebeuren (eerst naar een extern datacenter en daarna naar de Cloud); 3 Je komt er te laat achter dat de IT dienstverlener bepaalde ondersteuning niet levert, waarvan je het wel had verwacht, bijvoorbeeld het technisch applicatiebeheer van het ERP-systeem; 3 Je hebt net geïnvesteerd in nieuwe hardware of licenties, die niet worden overgenomen door de IT-dienstverlener; 3 Je hebt net de uitbesteding gerealiseerd, maar de verwachtingen die je had over de IT-dienstverlener vallen in de praktijk tegen. De “totale ontzorging” die je verwachtte, blijft uit.
5. Welke sourcingscriteria worden er gehanteerd: schaalbaarheid, betrouwbaarheid, kosten, kennis van de corporatie sector? 6. Hoe gaan we de IT-dienstverlener aansturen: contractmanagement, leveranciers management, changemanagement? 7. Hoe zorgen we ervoor dat we grip houden op het ITlandschap, gaan we werken onder architectuur en welke richtinggevende principes en uitspraken hanteren we?
Het hebben van een sourcing strategie, waarin vooraf aandacht is besteed aan de uitgangspunten, de richtinggevende principes en sourcing criteria, reduceert de risico’s die de sourcing mogelijk met zich meebrengt.
HC&H kan ondersteunen bij het formuleren van een sourcing strategie en het vormgegeven van de eigen ITorganisatie die past bij de gewenste sourcingsvorm.
Welke elementen zitten er in de sourcing strategie?
Vanuit de sourcing strategie is het eenvoudiger om het pakket van eisen samen te stellen voor de selectie van de IT-dienstverlener. De kaders waarbinnen het pakket van eisen valt, zijn in de sourcing strategie goed beschreven. De IT-dienstverlener levert in de selectiefase al vaak een modelcontract mee met de overige stukken. De sourcing strategie fungeert dan als een checklist waarmee de corporatie kan sturen op de zaken die zij belangrijk vindt en ook in de contractuele afspraken thuishoren.
Wilt u meer weten over Sourcing Strategie? Neem dan contact op met Patrick van Lingen via patrick.vanlingen@hcenh.nl.
In een sourcing strategie vind je o.a. de volgende elementen terug: 1. Hoe ziet de huidige situatie eruit: wat willen we behouden, welke problemen willen we oplossen? 2. Hoe ziet de gewenste situatie eruit: wat is het ideaalplaatje, de stip op de horizon? 3. Wat zijn de doelen die behaald moeten worden met de sourcing: flexibiliteit, kennisborging, kostenbesparing, innovatie? 4. Welke sourcingsvorm past het beste: outsourcen, insourcen, shared service center?
Patrick van Lingen Business Consultant HC&H