Blog Veiligheid en Crisismanagement


Welkom bij de blog van Veiligheid en Crisismanagement. Op deze blog geven de specialisten van Berenschot op het gebied van veiligheid en crisismanagement hun visie op alles wat te maken heeft met de wijze waarop bedrijven kunnen inspelen op de ontwikkelingen.

Voorbereiding op stroomstoring

Annette de Boer, Pepijn van den Broek, Eric Warners en Jerome Donk - 30 april 2015 om 14:46

Op 27 maart 2015 was er een grote stroomstoring in een deel van Noord-Holland en Flevoland. Vanuit onze ervaring met continuïteitsmanagement geven we een reflectie op de gevolgen voor gemeenten: meer voorbereiding is nodig.

Wat was het geval? Door de elektriciteitsuitval functioneerden ICT-systemen niet naar behoren. Veel gemeenten konden daardoor de dienstverlening door bijvoorbeeld burgerzaken niet continueren of waren telefonisch slecht bereikbaar. In de gemeente Alkmaar werd het gemeentehuis zelfs gesloten.

Bij de bevolking gaf de stroomstoring aanleiding tot veel vragen. Klachten en problemen van de burger ten gevolge van de stroomstoring zijn echter alleen in de gemeente Uithoorn opgepikt door lokale politici, zo bleek uit navraag en archiefonderzoek bij 16 gemeenten in het getroffen gebied. de overige gemeenten kwamen de stroomstoring of de consequenties ervan in geen enkele raads- of commissievergadering aan de orde.

GRIP 4

Vier veiligheidsregio’s in het getroffen gebied schaalden op naar GRIP 4. Daardoor lag de bestuurlijke verantwoordelijkheid bij de voorzitter van de veiligheidsregio. Uiteraard bleven de burgemeesters verantwoordelijk voor de voorlichting aan burgers en het bewaken van de openbare orde. De meeste gemeenten informeerden hun burgers via sociale media en internet.

Wij constateren dat de meeste gemeenten tijdens de stroomstoring geen noodvoorzieningen hebben ingezet voor de dienstverlening naar de burger. Daar ligt een vraag onder: hoe is de gemeente voorbereid? Een continuïteitsplan zou maatregelen moeten bevatten voor noodvoorzieningen bij stroomuitval. Deze noodvoorzieningen moeten het functioneren van de kritieke processen van de gemeente in geval van uitval tijdelijk opvangen.

Kritieke processen

Continuïteit van dienstverlening en voorlichting naar de burger mogen dan voor gemeenten kritieke processen zijn, in de gemeentelijke politiek lijkt er weinig aandacht voor te zijn. Dat roept vragen op, bijvoorbeeld over het ‘wegorganiseren’ van verantwoordelijkheden naar een gemeenschappelijke regeling.

Gemeenten bleken vooral in te zetten op het kritieke proces: communicatie naar de burger. Dit verliep vooral via sociale media en internet. Echter, het bereik van deze kanalen beperkt. Een klein percentage van de burgers volgt de gemeentelijke twitteraccounts en onderzoek van Bos et al (2010) liet zien dat de meeste berichten nooit worden doorgestuurd door anderen en dus alleen het eerste orde netwerk bereiken. Ook opmerkelijk was dat die communicatie afhankelijk was van elektriciteit. Voor een kortdurende stroomstoring is dat nog wel mogelijk – dan zijn telefoons en laptops nog wel opgeladen. Maar hoe is de gemeente voorbereid op een storing die langer duurt?

Kortom, het gebrek aan ICT-continuïteitsmanagement trof gemeenten in het hart van de dienstverlening. Voorbereid zijn op uitval ICT en/of elektriciteit is essentieel voor de gemeentelijke organisatie. Communicatie is daarin een belangrijk onderdeel. Ongeacht welk scenario voorligt, een gemeentelijke organisatie zal de burgers beter kunnen bedienen als er een plan voor ICT-continuïteit tijdens crises ligt en de crisisteams zijn getraind en geoefend. En daar kan dan ook verantwoording over worden afgelegd.

De (on)zin van een crisisoefening: de lerende organisatie bestaat niet

Margreeth van Dorssen - 11 oktober 2014 om 18:34

Oefenen, oefenen, oefenen. Dat is terecht het antwoord als gevraagd wordt hoe men zich het beste kan voorbereiden op crises. Maar in praktijk blijkt dat makkelijker gezegd dan gedaan. Sterker nog, we zien dat crisisoefeningen soms zelfs een allesbehalve positief effect hebben op de voorbereiding op crisis.

Hoe kan dat? Dat kan doordat een crisisoefening vaak meerdere doelen dient. Dat betekent dat een crisisoefening niet alleen tot doel heeft ‘om te leren’. Dikwijls wordt een oefening óók aangegrepen als demonstratie om te laten zien: zo werken wij in tijden van crises. Tegelijkertijd wordt een crisisoefening niet zelden gezien als een (systeem)test, waaruit moet blijken dat de betreffende organisatie ‘crisisproof’ is. Bovendien wordt een crisisoefening geregeld ingezet als middel om samenwerking tussen crisisteams of crisispartners te versterken. En tot slot dient een crisisoefening ook ter verantwoording om eventuele verwijten na afloop van een crisis te dempen.

Het ligt voor de hand dat de vele doelen van een crisisoefening ongewenste effecten hebben. In het beste geval - maar in praktijk een zeldzaamheid -  wordt de crisisoefening grotendeels in scène gezet. Maar het leereffect en de toegevoegde waarde van de crisisoefening op de daadwerkelijke voorbereiding op crises is dan uiteraard beperkt.

In het slechtste geval, en veelvoorkomend, wordt van deelnemers verwacht dat zij tijdens de crisisoefening uitmuntend crisismanagement laten zien (terwijl échte crisisbeheersing per definitie suboptimaal is). Na afloop van de crisisoefening moet immers gezegd kunnen worden dat het ‘goed is gegaan’. Met als gevolg dat de deelnemers gefixeerd zijn op presteren, in plaats van op het leren, en dikwijls gefrustreerd of zelfs beschadigd uit een crisisoefening komen. Des te wranger is het dat de organisatoren van de oefening wél veel leren over crisisbeheersing. Zij weten door alle voorbereiding op de crisisoefening van de hoed en de rand. Tegelijkertijd zullen zij deze (theoretische) kennis vanuit hun functie nooit in praktijk brengen.

Kortom, dergelijke ervaringen dragen begrijpelijkerwijs niet bij aan de goede voorbereiding op crisis. Maar hoe dan wel oefenen? Een crisisoefening vraagt een principiële afbakening van de doelstelling: óf leren, óf demonstreren, óf testen, óf verbinden. Het kan niet allemaal tegelijkertijd in één oefening. En bovenal geldt dat een goede crisisoefening betrokkenheid vraagt van de deelnemers. Immers: organisaties en systemen leren niet, maar de mensen wel. Een goede crisisoefening heeft daarom een persoonlijke impact op elk van de deelnemers; zij staan immers aan de lat bij een échte crisis en moeten kunnen handelen op basis van zij in het verleden hebben geleerd.

Incidentevaluaties: Wachtgeld of een lintje

Margreeth van Dorssen - 14 juli 2014 om 15:33

Stel een crisis raakt uw organisatie, een crisis met grote impact op uw organisatie. Om de situatie het hoofd te bieden komt uw crisisorganisatie in actie, komt het crisisteam bijeen en volgen intensieve crisisvergaderingen. Al uw aandacht is gericht op het treffen van maatregelen, het beperken van de schade, het informeren van burgers en de reacties richting media. En met resultaat: na verloop van tijd krijgt u grip op de situatie en uw aandacht kan zich verleggen naar de ‘normale’ situatie. En net als u denkt dat u het ergste hebt gehad, krijgt u te maken met de spreekwoordelijke ‘ramp na de ramp’: de fase van verantwoording en evaluatieonderzoek, met de kenmerkende ondertoon ‘dit nooit weer’ en ‘wie kan verantwoordelijk gehouden worden?’

Hoe gaat u om met een interne audit, een quick-scan door een onderzoeksbureau, een politiek bestuurlijk evaluatie onder leiding van commissie, een inspectieonderzoek, een evaluatie door de Onderzoeksraad voor Veiligheid en het strafrechtelijk onderzoek door OM? Elk onderzoek kent een eigen focus en dynamiek en elk onderzoek kan zich manifesteren als valkuil voor elke bij de crisis betrokken sleutelfunctionaris. Hoe voorkomt u dat u speelbal wordt van de intern en extern geleide evaluatieonderzoeken?

Het goede nieuws is dat de ‘de ramp na de ramp’ zich procesmatig beter laat voorspellen dan een crisis. Elke evaluatie kent een eigen procedé en daarin is op voorhand een aantal momenten aan te wijzen waarop extra alertheid van u wordt gevraagd. Bijvoorbeeld bij het formuleren van de onderzoeksopdracht, het organiseren van de interactie tussen uw organisatie en de onderzoeker en de hoor en wederhoor op de tijdslijn of de feitenreconstructie.

Het slechte nieuws  is: denk niet dat het voorbij is na een crisis. Zorg dat u dat goed regelt , want de fase waarin hulpverleningsdiensten zijn vertrokken en de crisisorganisatie nagenoeg is afgeschaald kent grote (bestuurlijke) risico’s op imagoverlies maar biedt ook kansen.

Er zijn maar weinig écht kritieke processen

Margreeth van Dorssen - 7 mei 2014 om 13:32

Vraag een gemiddelde manager wat binnen zijn organisatie bedrijfskritieke processen zijn: álles mag omvallen, behalve dát. Het ‘stukje’ dienstverlening dus dat de organisatie no matter what wil blijven uitvoeren. Oók als plotsklaps de stroom uitvalt, er een pandemie uitbreekt of een vestiging door noodweer onbereikbaar is. De gemiddelde manager komt na enig nadenken met een waslijst aan producten, diensten en processen.

Maar zo complex is continuïteitsmanagement helemaal niet; op de keper beschouwd zijn er maar heel weinig écht kritieke processen. Als huisarts wilt u hoe dan ook bereikbaar zijn, als burgemeester wilt u uw burgers kunnen informeren over de noodsituatie en als waterbeheerder wilt u de gemalen kunnen openzetten (of juist dicht). De overige processen doen er zeker ook  toe, maar zij kunnen enig uitstel verdragen.

Dit is dan ook waar goed continuïteitsmanagement om draait; bepalen welke processen zo belangrijk én urgent zijn dat zij geen minuut uitstel kunnen verdragen. Dit hoeft geen zwaarbeladen en moeizaam traject te zijn. De benodigde kennis is in uw organisatie aanwezig; het gaat erom deze zo efficiënt mogelijk te verzamelen, te selecteren en te bundelen. Meestal wordt begonnen met een groslijst, met daarop vaak allerlei processen, zoals ‘communicatie’ en ‘salarisadministratie’. Prioritering levert u de enkele kritieke processen binnen uw organisatie. En daarmee kunt u aan de slag: Van welke ICT-componenten, medewerkers en hulpmiddelen zijn deze processen afhankelijk? Hoe zit het met de stroomvoorziening? Wat kunt u doen om ‘uitval’ te voorkomen? En, wat is uw plan als dat toch gebeurt?

Continuïteitsmanagement? Eerst de taalbarrière slechten!

Margreeth van Dorssen - 1 februari 2014 om 09:31

Steeds vaker krijgen wij de vraag organisaties te helpen bij het vormgeven van continuïteitsmanagement, zodat zij bij eventuele uitval van ICT ‘in de lucht’ blijven.

Wat denkt u dat de eerste uitdaging is bij het vormgeven hiervan? Het in kaart brengen van alle afhankelijkheden tussen systemen en applicaties? Het beleggen van rollen en verantwoordelijkheden? Het veiligstellen van de servicelevels met leveranciers? Nee, taal.

Continuïteitsmanagement wordt vaak gebruikt als containerbegrip en kent vele verschijningsvormen. Stel, u gaat op zoek naar een heldere definitie op internet. Dan belandt u waarschijnlijk bij het dossier business continuity en risk management control, compleet met impact-analyses en technischerequirements. Mogelijkerwijs raakt u daarna met één click verzeild in de wereld van ICT-componenten, switches, serverparken, hubs en fiber rings. Ofkomt u toevallig terecht bij de ins en outs van cybersecurity, informatieveiligheid en beveiliging van vitale structuren. Maar met hetzelfde gemak stuit u op de benodigde ‘bewustwording’, ‘samenwerking’ en ‘strategische baseline’ om continuïteit te garanderen, of raakt u verwikkeld in de gespannen relatie tussen continuïteit en crisismanagement bij kleinschalige uitval of een grootschaligeblack-out. Hoe dan ook, begrijpelijkerwijs bent u de draad volledig kwijt.

Maar niet alleen het begrip continuïteitsmanagement is een Babylonische puzzel. Ook degenen die met continuïteitsmanagement aan de slag moeten, lopen tegen de talige kwestie aan. Continuïteitsmanagement valt en staat met de betrokkenheid van bestuurders, lijnmanagers, beleidsvormers, plannenmakers, productiemedewerkers en de collega’s van ICT, en zij houden er allemaal een ander vocabulaire op na. Wat de één onder ICT verstaat, noemt de ander telecom, waar de één over redundant spreekt, ziet een ander een risico, en wat kritiek is voor de één, is bijzaak voor een ander. Het is daarom niet verwonderlijk dat het dossier continuïteit dikwijls blijft liggen ‘tot het duidelijk wordt wat precies de bedoeling is’.

Zijn deze obstakels te slechten? Ja. Continuïteitsmanagement is gebaat bij een heldere definitie en afbakening, én het vraagt om een gemeenschappelijke taal. Het heeft echter weinig zin de containerbegrippen over te nemen of mainstream definities te dicteren - omdat elk begrip of definitie toch weer op verschillende (persoonlijke) interpretaties en associaties kan rekenen. Het heeft wel zin om een gemeenschappelijke woordenschat te creëren, die door alle lagen van de organisatie in kwestie wordt begrepen. Het samen afbakenen van de begrippen (‘kritiek proces’, ‘afhankelijkheid’, ‘middelen’, ‘ICT’) is bij het vormgeven van continuïteitsmanagement de eerste (en meest omvangrijke) stap. Als men elkaar eenmaal verstaat vallen de verschillende puzzelstukjes van continuïteitsmanagement op hun plek en wordt het een vrij overzichtelijke opgave.

Voorbereiding op crisis: onbegonnen werk!?

Margreeth van Dorssen - 1 januari 2014 om 10:30

In onze adviespraktijk zien we dat organisaties veel tijd en geld steken in de voorbereiding op crises. Organisaties stellen handboeken op, formaliseren procedures en denken crisisstructuren uit. Bij voortschrijdende inzichten worden deze handboeken nog vollediger, procedures een tikje preciezer en structuren wéér wat massiever.

Alleen: als puntje bij paaltje komt, én die crisis overvalt de organisatie, dan blijken de getroffen voorbereidingen ofwel onbekend en onbenut, ofwel tekortschietend. Ze sluiten niet aan op de onvoorziene omstandigheden die juist zo typerend zijn voor rampen en crises. Ondanks investeringen in tijd, energie en geld, lijkt het daardoor bijkans onmogelijk om bij een crises écht beslagen ten ijs te komen.

Het is dan ook de kunst - al was het maar vanuit kostenefficiëntie - je energie (alleen) te steken in datgene wat je daadwerkelijk gaat helpen in een crisissituatie. Kort en goed komt dat neer op: crisiscompetente mensen, met een ijzersterk netwerk en een ‘snufje’ organisatie.

Eerst het organisatorische: zorg voor een wendbare crisisbeheersingsorganisatie. Niet te veel lagen, zeg maximaal twee: een crisisteam om informatie te veredelen en te adviseren en een crisisteam om alles overziend afwegingen te maken en te besluiten. Werk bovendien met een flexibele opschalingssystematiek. Breng alleen diegenen bij elkaar die ertoe doen en voorkom niet alleen de spreekwoordelijke Poolse landdag maar ook dethrillseekers (onder de zinspreuk een crisisvergadering: ‘daar moet je bij zijn’). Maak bovendien de drempel om op te schalen laag zodat vlieguren gemaakt worden - een crisisorganisatie als zeldzame gelegenheidsorganisatie zal nimmer als een geoliede machine kunnen werken.

Dan het onmisbare: de mensen die het moeten doen. Crisismanagement is tenslotte mensenwerk. En sommigen zijn daar van nature beter op toegerust dan anderen. Zorg dus dat je je mensen kent en selecteer een succesvolle combinatie van competenties en persoonlijkheden, die elk beroep kunnen doen op een sterk netwerk. Daarnaast helpt het  te werken met duidelijke crisisrollen. De klus moet worden geklaard, maar wie doet wat? Crisisrollen lenen zich bij uitstek om helderheid te scheppen tussen de beslisser (voorzitter), de adviseur (inhoudelijk, communicatie, liaison) en ondersteuner (onder andere secretaris, facility manager).

Kortom, voorbereiding op crisis is zeker geen onbegonnen werk, het is do-ableén zinvol. Zolang je slimme keuzes maakt en concreet durft te zijn over functionarissen en organisatie: een wendbare crisisbeheersingsorganisatie, een flexibele opschalingssystematiek, vlieguren maken en tot slot: crisiscompetente mensen met een ijzersterk netwerk.