#23 - Het belang van Business Continuity Management (met Bob Strookappe)
Ja, daar ben je dan toch maar mooi weer als luisteraar van Keep Talking. Welkom terug bij aflevering 23 waarin ik, Renco, in gesprek ga met een uiteraard weer een nieuwe gast. En dat is dit keer Bob. Bob werkt voor de gemeente Utrecht op het gebied van bedrijfscontinuïteit. En in het kader van de cyberbeveiligingswet, NIS 2, wordt continuïteit steeds belangrijker.
Speaker 1:Dus het leek me goed daar eens een keer een aflevering aan te wijden. Nou, volgens mij is dat best heel goed gelukt. Ik ben natuurlijk ook erg benieuwd hoe Bob zelf deze aflevering terug luistert en waarom ik daar zo benieuwd naar ben. Dat hoor je zo meteen. Ja, en als ik je dan toch nog even heb.
Speaker 1:Net als de vorige keer hebben we ook weer leuke filmpjes gemaakt van deze podcast opname. Ik zet ze op LinkedIn en je vindt ze op de Vimeo pagina. Ja, op het staartje van een prachtige dinsdag. Is het vandaag dinsdag? Ja, is vandaag dinsdag.
Speaker 1:Ik hier ik hier te podcast zoals je hoort met een nieuwe gast en ja, dat is niemand minder dan Bob Strokappen. Hallo. Welkom in de podcast.
Speaker 2:Dank je wel, Renco.
Speaker 1:Je hebt voordat we de record button indrukten al aan mij bekend dat je nog nooit een podcast geluisterd hebt.
Speaker 2:Nee, dat klopt.
Speaker 1:Dan is het des te sportiever dat je meedoet in deze podcast.
Speaker 2:En ik ben ook heel benieuwd want het wordt de eerste keer dat ik een podcast afluister.
Speaker 1:Ja, dus je doet het eigenlijk in 1 keer. De eerste podcast die je luistert wordt is ook de podcast waar je zelf inzit. Klopt. Ja, ik nodig andere mensen uit om dat ook te doen. Alleen de mensen tegen wie ik dat nu zeg die luisteren al deze podcast.
Speaker 2:Dat is waar.
Speaker 1:Dus dat, ja, oké. Hoe dan ook, heel leuk dat je dan ondanks dat je niet echt een fervent podcast luisteraar bent, meedoet. Kan je iets vertellen aan de luisteraars, want ik ken jou Bob, maar wie wie is Bob Strokappen en wat doe je en bij welke gemeente werk
Speaker 2:Zoals je meerdere keren gehoord hebt, ik ben Bob Strokappen. Ik werk bij de gemeente Utrecht. Ik ben een overheidsmens. Ik heb wel tussendoor 10 jaar bij een organisatie adviesbureau gewerkt, maar voor de rest van mijn hele leven bij de overheid. En daar ben ik eigenlijk vooral programmamanager en interimmer.
Speaker 2:Dat zijn de functies die ik doe. Allerlei verschillende projecten maar ook allerlei interim klussen. En op dit ogenblik ben ik interim hoofd CIO office, interim teamleider team realisatie en waar deze podcast natuurlijk over gaat, ik ben ook BCM coördinator bij de gemeente Utrecht.
Speaker 1:Maar daar zet je geen interim voor?
Speaker 2:Nee, want dat is eigenlijk de enige echte officiële functie die ik heb. Al 3 jaar.
Speaker 1:En als nou die andere 2 functies die je interim doet weer op een andere manier worden ingevuld, heb je dan nog wel genoeg te doen om je week te
Speaker 2:Nee, met BSN coördinator kan ik
Speaker 1:niet mijn week vullen. Maar is wel leuk? Maar niet niet 40 uur per week?
Speaker 2:Niet 40 uur per week,
Speaker 1:nee. Nee, oké. Oké, dus een man met meerdere petten. Ja. Nou, wij kennen mekaar omdat de luisteraar zal zal voor de luisteraar geen geheim zijn dat ik al wel eens voor de gemeente Utrecht gewerkt Klopt.
Speaker 1:Daar zo kennen wij mekaar ook en deze aflevering gaan we het hebben over business continuity management of zoals we het in Nederland ook wel noemen bedrijfscontinuïteitsbeheer. Wat is jouw voorkeur?
Speaker 2:Ik doe het in het Engels, business continuity management.
Speaker 1:Oké, dat voelt als een verhaspeling, business continuity management. Dat is een beetje zo hoog.
Speaker 2:Continuity Management, ja, nou ja goed, ik vind het woord business ook Nederlands.
Speaker 1:Ja, dat is waar. Dus deze aflevering BCM. Wat doet een Business Continuity Manager binnen de gemeente Utrecht? Wat behelst dat?
Speaker 2:De business continuits manager, dan doe ik het toch Nederlands, houdt zich vooral bezig met de business continuiteit van de gemeente Utrecht. En wel al in de vorm dat er iemand binnen de gemeente Utrecht al die verschillende organisatieonderdelen die we hebben en die allerlei business hebben, die allerlei processen hebben die moeten doorlopen, dat die organisatieonderdelen dat ook daadwerkelijk organiseren dat hun proces kan doorlopen op het moment dat er een calamiteit is. Ik coördineer dat. Ik doe dus zelf niet aan de inhoud mee. Ik coördineer dat de mensen van de inhoud dat ook doen.
Speaker 1:Dus jij schrijft geen business continuity plannen? Nee. Geen BCP's? Nee. Maar jij ziet er op toe dat de verantwoordelijke van die verschillende organisatie-onderdelen wel een BCP schrijven?
Speaker 2:Klopt, ja.
Speaker 1:Oké en wat is dan een typische verantwoordelijke binnen zo'n organisatieonderdeel die aan de lat staat voor zo'n BCP?
Speaker 2:Dat kan iedereen binnen een organisatieonderdeel.
Speaker 1:Dus die kunnen dat zelf beleggen, als ze maar iemand aanwijzen?
Speaker 2:Als ze maar iemand aanwijzen die een BCP maakt voor hun organisatieonderdeel voor de verschillende kritieke processen die ze hebben.
Speaker 1:Ja, oké dus dat dat verraadt meteen al een beetje wat die wat dat behelst, namelijk je moet je kritieke processen in beeld hebben. Ja. Dat is een randvoorwaarde anders kan je niet starten. Ja. En je moet nadenken over hé als deze processen onderbroken worden om wat voor reden dan ook of verstoord dreigen te raken, hoe kunnen we dan zo snel mogelijk of liefst zonder enige onderbreking toch die processen door laten gaan?
Speaker 2:Precies, precies en als de calamiteit afgelopen is, hoe komen we zo snel mogelijk weer terug naar de oorspronkelijke manier van een proces uitvoeren?
Speaker 1:Oké, is wel een interessante. Er is een oorspronkelijke manier en er is een tijdelijke BCM manier om het zo snel Kan je eens een voorbeeld geven?
Speaker 2:De oorspronkelijke manier kan zijn bijvoorbeeld gewoon met IT, dat alles in je PC in klopt en dat daar meteen geregistreerd wordt. Op het moment dat de IT uitvalt kan dat dus niet meer en dan doe je het op papier. Dat klinkt heel flauw, dan moet je wel papier in een pen klaar hebben liggen.
Speaker 1:Dus daar moet je van tevoren over nadenken?
Speaker 2:Daar moet je van tevoren over nadenken, ja.
Speaker 1:Als dan de calamiteiten of de onder, ja spreken van een calamiteit, is dat een gebruikelijke term?
Speaker 2:Dat is een gebruikelijke term, ja.
Speaker 1:Dus als de calamiteit voorbij is, moet er iemand zijn die die tijdelijke papieren registratie weer terug inklopt in het oorspronkelijke systeem waar het in hoort? Ja. Dus dat dat beschouwen we ook als onderdeel van business contimentary management? Ja, ja. Oké, dus het vak begint bij vooraf nadenken wat doe ik als er een calamiteit ontstaat en hoe kan ik dan toch door met mijn essentiële processen en het houdt op op het moment dat de calamiteit voorbij is en het proces weer op zijn oorspronkelijke wijze hervat is.
Speaker 2:Ja, Ja, dat is wat BCM bijhelst.
Speaker 1:En wat coördineer jij dan het meest? Waar ligt het accent in jouw coördinatie?
Speaker 2:Het begint eigenlijk helemaal aan het begin en dat is het ontdekken welke kritieke processen er zijn. Heel veel mensen die denken dat alles doorloopt. Dan hoef je
Speaker 1:het niet aan BCM te doen.
Speaker 2:Nee precies, dus die denken daar ook helemaal niet over na. ICT in zijn algemeenheid is een soort water uit de kraan, dat doet het altijd. Maar het doet het niet altijd. En wat gebeurt er dan? Hetzelfde geldt voor energie.
Speaker 2:Wat gebeurt er als er stroom uitvalt?
Speaker 1:Ook onderdeel van BCM?
Speaker 2:Ook onderdeel van BCM. BCM is dus wel breed. Het is eigenlijk alles wat met facilitaire zaken te maken heeft, met ICT zaken te maken heeft, met ook met personele zaken.
Speaker 1:Ik zat dus ook wel te denken van ik dacht aan een epidemie ofzo.
Speaker 2:Ja, op corona hebben wij de BCM in werking gesteld.
Speaker 1:En hoe stel je de BCM in werking dan? Hoe gaat dat?
Speaker 2:Op het moment dat je in coronatijd mensen niet meer op kantoor kan hebben, hoe kan je dan een paspoort uitreiken aan iemand want er is niemand op kantoor. Hoe doe je dat?
Speaker 1:Dus als we al in een ideale wereld is daar vooraf over nagedacht. Is ook geschreven in in dat business continuity plan.
Speaker 2:Ja.
Speaker 1:Jij zegt dan activeer je dat of zo, dan start je dat. Is er iemand die dan het sein geeft jongens, we activeren nu ons BCP? Hoe moet ik me dat voorstellen?
Speaker 2:Ja, daar komt het eigenlijk wel op neer en dat is dan de de calamiteiten manager en dat is in de algemeenheid directeur van een organisatieonderdeel, die zegt: 'hey, deze kritieke proces ligt stil omdat, en dat kan dan allerlei verschillende redenen zijn, deze kritieke proces ligt stil. Ik wil het BCP boven water halen en kijken wat ik dan moet doen om alsnog de kritiek proces voort te zetten.
Speaker 1:Dus welke alternatieve proces uitvoering heb ik tot mijn beschikking om toch al dan niet in een wat lichtere variant het proces zo goed en kwaad als het gaat doorgang te laten vinden.
Speaker 2:Precies, ja.
Speaker 1:Je gaf net toen ik vroeg van 'waar ligt het accent in jouw coördinerend woord?'
Speaker 2:Ik zei dat was het begin, dus dat is een kritiek proces, maar vervolgens ook dat je alle aspecten meeneemt in je probleem om ook daadwerkelijk een alternatief te hebben.
Speaker 1:Kan je dat eens illustreren met een voorbeeld?
Speaker 2:Bij wijze van spreken is bijvoorbeeld heel makkelijk. Ga weer de paspoorten erbij, want dat is altijd een
Speaker 1:fijn Het is een essentieel proces.
Speaker 2:Ook dat, maar het is ook makkelijk te beschrijven. Op het moment dat je paspoorten wil uitdelen, maken mensen bij de gemeente Utrecht een afspraak. Dus op het moment dat de ICT plat ligt, zul je de mensen moeten bellen: uw afspraak gaat niet door.
Speaker 1:Ja, want we kunnen u niet helpen.
Speaker 2:Want we kunnen niet helpen, want we kunnen niet bij de paspoorten. Wat vervelend dat die afspraken allemaal in de ICT-omgeving zitten.
Speaker 1:Ja, redelijk vervelend ja.
Speaker 2:Dat is redelijk vervelend, dus je kan niemand bellen, want je weet niet wie je moet bellen.
Speaker 1:Nee, of je weet ik heb geen contactgegevens. Precies.
Speaker 2:Dus wat er nou gebeurt op dit ogenblik, dat gebeurt ook daadwerkelijk hier bij burgerzaken waar de paspoort uitgedeeld worden. Er wordt elke avond aan het eind van de dag printje gemaakt van alle afspraken de volgende dag met de telefoonnummers en de personen. Dat betekent dus dat als in de tussentijd ICT uitvalt, dat je in ieder geval een lijst op papier hebt die je dus kan gaan bellen.
Speaker 1:De vraag die dat oproept bij mij is, hoe behoud je hier draagvlak voor? Want dit is 1 voorbeeld wat je noemt, elke avond printen we zo'n lijst en de volgende dag blijkt hopelijk hé dat dat die lijst niet nodig was. Ja. En dan gaat die lijst naar de, die wordt door de schredder gehaald.
Speaker 2:Die wordt gewoon door de schredder gehaald, ja.
Speaker 1:Zo kan je allerlei andere maatregelen in place hebben die je als het goed is, praktisch nooit nodig hebt. Ja. Maar die maatregelen kosten wel resources, tijd, geld, noem maar op. Is dat is hoe is dat een lastige kant? Dat is een beetje, ik bedoel het niet als een retorische vraag hoor, maar kan ik me voorstellen dat je eigenlijk wel dingen geld uitgeeft aan iets wat keer op keer toch niet meer niet nodig blijkt totdat het wel een keer nodig is, dat begrijp ik, maar wat als het nou heel lang niet nodig is?
Speaker 2:Dat is eigenlijk sowieso het probleem van BCM. Hoe krijg je nou iemand actief om dit soort plannen te maken vooraf?
Speaker 1:Lijkt me best lastig.
Speaker 2:Dat is echt heel lastig en we weten allemaal er komt wel eens een keertje klamiteit en als je er een keertje klamiteit hebt gehad dan is ineens de motivatie om het te doen. Ook op allerlei andere vlakken is er ineens.
Speaker 1:Ik zou je willen dat iedereen hem een keer heeft.
Speaker 2:'Never waste a good crisis' zeggen we dan met zijn allen. Dat is wel hoe het werkt. We hebben hier het tramincident gehad, werd het kantoor gesloten. Hoe doe je dat?
Speaker 1:Vrij heftig.
Speaker 2:Ja, dat is vrij heftig, maar hoe doe je dat? Hoe bel je nou de mensen die nog naar kantoor moeten komen?
Speaker 1:Op een gecontroleerde manier, je kunt natuurlijk wel door de omroep zeggen 'nou we gaan dicht' maar dan heb je ook chaos lijkt mij.
Speaker 2:Precies, we hebben corona gehad en ineens komt niemand uit kantoor. Hoe los je dat op? Dat soort dingen leiden ertoe dat mensen eerder geneigd zijn om een BCP te maken, een continuïteitsplan te maken.
Speaker 1:Nut in de noodzaak te maken.
Speaker 2:Maar de andere methode om het te doen, en dat is dan eigenlijk net iets verder, dat is een calamiteit is vaak 1 kritiek proces, maar de stap hoger is een crisis waar je eigenlijk meerdere kritieke processen raakt en meerdere zaken als domino's omvallen.
Speaker 1:Omdat er onderlinge afhankelijkheden zijn om
Speaker 2:in crisis te oefenen. Dan zet je de directeuren van de organisatieonderdelen gewoon om een tafel en je zegt: 'En nu is er geen kantoor meer of nu is er geen ict meer. Gebeurt er met die organisatie? Wat gebeurt er? En dan zie je mensen denken van ja maar dan maakt niet zoveel uit want ik kan ook thuis werken.
Speaker 2:Dat hoor je heel veel. Dat kan, maar je kan niet bij de gemeentelijke bestanden. Niet alles is
Speaker 1:toegankelijk vanuit huis.
Speaker 2:Nee, o ja, dat is waar. Dat soort zaken merk je dan in zo'n crisisoefening, merk je dat directeuren ineens krijgen van oeh dit is wel eng.
Speaker 1:Dus als die die daadwerkelijke crisis aan de ene kant wil je die niet, aan de andere kant wil je die voor de bewustwording wil je die eigenlijk wel, maar als die dan toch zich niet vaak voordoet of bijna niet, dan ga je hem gewoon doen alsof eigenlijk toch?
Speaker 2:Precies. Je
Speaker 1:gaat gewoon een situatie creëren waarin je doet alsof. Hoe gaan dat soort oefeningen? Wat is jouw rol in zo'n oefening?
Speaker 2:Ik heb eigenlijk niet echt een rol in die oefening en dat komt omdat een crisis is eigenlijk echt daadwerkelijk iets anders als BCM. Ik ben ook geen crisiscoördinator. Ik ben BCM coördinator.
Speaker 1:Maar je bent er wel bij gebaat dat zo'n oefening plaatsvindt.
Speaker 2:Ik ben er gebaat dat zo'n oefening plaatsvindt, klopt. Maar een echte rol heb ik daar niet, behalve dat ik daar rondloop en kijk van wat gebeurt er nu en heeft een organisatie onderdeel zijn businesscultuïteitsplan wel gereed, weet de directeur überhaupt dat die er is?
Speaker 1:Ja dus een soort beproeving eigenlijk waarin jij kan vaststellen op zekere hoogte van is het huiswerk gedaan Precies. Of niet? Ja, ja. En wie is dan wel, je maakt net het onderscheid tussen je bent geen crisismanager, heb je, dat veronderstelt dat de gemeente Utrecht iemand anders heeft die crisismanager is. Kan je het verschil aanduiden tussen aan de ene kant een crisismanager en aan de andere kant een business continuity manager?
Speaker 2:Ja eigenlijk is dat heel simpel. Tijdens een crisis heb ik geen werk, Want dan moet alles wat georganiseerd moet, moet al in plaats zijn. Dus mijn werk als business continuiteitemanager is van tevoren zorgen dat er een plan is die gereed is om tijdens een crisis in werking te stellen. Op het moment dat de crisis er is heb je een crisisorganisatie, daar zit ook een crisismanager bij.
Speaker 1:Maar daar zit jij niet in.
Speaker 2:Daar zit ik niet in.
Speaker 1:Misschien vanuit een van je andere rollen, maar als die rol als BCM zit je daar niet in.
Speaker 2:Op het moment dat de crisis klaar is moet je weer terug naar het oorspronkelijke proces en dat beschrijft weer de BCP. Dus dan kom ik weer in beeld omdat dan de BCP weer tot normale procedure teruggebracht moet worden.
Speaker 1:Als je zegt dan kom je weer in beeld, dan dan kom je weer in beeld in die min of meer monitorende rol waarin je eigenlijk tot op zekere hoogte kunt vaststellen of dat huiswerk gedaan is hé. Is er nagedacht over hoe je gecontroleerd weer terug kan naar de oorspronkelijke manier van
Speaker 2:het Precies. Als je het over ICT hebt is een van de bekendste voorbeelden is waar is mijn data, wat is er in de tussentijd gebeurd? En hoe haal ik die data weer terug? Kan ik die weer terughalen? Heb ik daar back-ups voor?
Speaker 2:Dat soort zaken.
Speaker 1:Hoeveel ben ik kwijt?
Speaker 2:Hoeveel ben ik kwijt? Dat kan ook.
Speaker 1:Ja, en want als je dan, eerder noemde je de bedrijfskritieke processen hé, dat je die in beeld moet hebben binnen elke organisatieonderdeel heeft de opgave om dat in beeld te brengen, te hebben. Dan moet ik denken aan een business impact assessment. Is dat ook het instrument wat er hier gebruikt wordt om te bepalen welke processen dan kritiek zijn?
Speaker 2:Heel officieel zou je dat moeten doen. Wij hebben onze kritieke processen eigenlijk gewoon door corona met name een lijst gekregen wat er misgaat.
Speaker 1:Dus eigenlijk boven komen drijven zou je
Speaker 2:het Ja, en achteraf merken we nu dat bepaalde organisatieonderdelen, want die werden niet geraakt door corona, maar als de stroom uitvalt wel geraakt zouden worden.
Speaker 1:Corona was natuurlijk een goede use case om het even oneerbiedig te zeggen, dekt natuurlijk niet alle scenario's aan. Stroomonderbreking is nog van een andere orde.
Speaker 2:Dat is echt van een andere orde daar zitten andere processen zouden daar geraakt door kunnen worden. Ja. En die hebben we in de loop van de tijd nu allemaal weer toegevoegd.
Speaker 1:Ja, wat is de reden dat je je zei net dat die BIIA idealiter wel zeg maar die processen identificeert hè die kritiek zijn. Wat is dan de reden dat je daar niet de voorkeur of dat dat niet zo gelopen is, waarom wordt dat niet gedaan? Wat is het nadeel daarvan?
Speaker 2:Nou het nadeel daarvan is dat je dan ontzettend lang bezig bent met allerlei rapportjes te maken, BIA's uit te voeren, daar allerlei dingen te doen zonder dat je echt door hebt wat er gebeurt en wat je zou moeten doen.
Speaker 1:Dus het blijft vrij theoretisch.
Speaker 2:Het blijft vrij theoretisch en het makkelijker om gewoon, oké dit is een proces, dit is kritiek, ik weet niet of het echt zo is maar we doen het alsof en daar een plan voor te maken daar krijg je veel meer energie van. En ook te oefenen. En ook te oefenen ja want dat is echt heel belangrijk dat alle business continuïteitsplannen daar moet je echt op oefenen. Dus niet alleen de crisisoefeningen maar ook op lagere niveaus gewoon elke BCP ook oefenen.
Speaker 1:Op lagere niveaus bedoel je binnen een individueel organisatieonderdeel het BCP in werking stellen, activeren en een crisis oefening is is dus gemeente breed? Ja. Ja, is het verschil. Oké. Ja.
Speaker 1:Ben jij dan maatjes met de crisismanager?
Speaker 2:Hoe bedoel je dat?
Speaker 1:Nou, weten jullie elkaar goed te vinden? Het zit zo, het voelt alsof het zo dicht tegen elkaar aan zit. Jij zegt van ik zit in de voorbereidende
Speaker 2:Nee, zeker zeker. Wij lopen eigenlijk hand in hand door alles heen, want ook in het maken van je BCP moet je al zaken hebben opgenomen wat je in een crisis nodig hebt. Bijvoorbeeld wie je contactpersonen zijn, hoe bel je mensen en
Speaker 1:waar telefoonnummers vandaan.
Speaker 2:Waar haal je die telefoonnummers vandaan? Precies En let op telefoonnummers, managers die verdwijnen,
Speaker 1:die gaan
Speaker 2:lopen en dat moet je elke keer bijhouden. De crisismanager vraagt elke keer aan mij van 'Bob heb je dat weer bijgewerkt?' Zodat ik in mijn crisis. Dus dat we lopen heel veel met elkaar op.
Speaker 1:En die vraagt dat aan jou omdat jij die coördinerende rol over al die organisatie-onderdelen hebt. Precies. Dus jij zet de vraag eigenlijk weer door, kan ik me zo voorstellen, naar die organisatie-onderdelen. En heeft dan een organisatie-onderdeel ook een business continuite manager? Heet die ook zo, anders?
Speaker 1:Hebben jullie dezelfde naam?
Speaker 2:Nee, die hebben allemaal een business continuiteit manager, ja.
Speaker 1:Oké, dus jij bent zeg maar de gemeente brede business continuiteitage en elke organisatieonderdeel heeft een
Speaker 2:eigen business continuiteitage.
Speaker 1:Ja, dat wat je eerder over zei, daar staat een organisatieonderdeel vrij in om daar iemand voor aan te wijzen. Ja, klopt. Als diegene maar de vaardigheden heeft en en tijd krijgt om daar werk aan te gaan halen.
Speaker 2:Precies, ja.
Speaker 1:Ja, ja. En ik kan me voorstellen dat ja, als het dan zo'n crisis oefening is geweest dat jij zeer geïnteresseerd bent in Nou, kan me bijna voorstellen dat je daar gewoon met een bak popcorn eens even lekker gaat observeren hoe zo'n oefening dan loopt.
Speaker 2:Dat vind ik heerlijk, ik ben er helemaal bij. Dan merk je bijvoorbeeld dat een organisatieonderdeel een BCP had van 170 bladzijdes.
Speaker 1:Heb werk van gemaakt.
Speaker 2:Serieus, prachtig ding, maar in een crisis heb je er helemaal niks aan, want je kan er helemaal niks vinden, want die zat alleen maar te bladeren en te zoeken waar zit het.
Speaker 1:En op een gegeven moment, kan ik me voorstellen dat dat in de hand werkt, je hem op de grond gooit en dat je maar gewoon intuïtief
Speaker 2:gaat Exact, exact ja. En achteraf hebben ze natuurlijk daar geconstateerd van ja, gaat niet goed, Bob help ons met een goed BCP maken, want dit is niet goed genoeg.
Speaker 1:Dus dat is ook wel een van de taken die je als business conturity manager hebt, dat je die business contributie managers van de individuele organisatieonderdelen bijstaat in het optimaliseren van zo'n plan?
Speaker 2:Ja, en omdat ik die plan natuurlijk allemaal wel lees en beoordeel, ken ik die plannen heel goed en kan ik tijdens zo'n crisisoefening ook toetsen of de directeur daadwerkelijk goed heeft en zijn achterban hem of haar daarin helpt. Dat gebeurt niet altijd.
Speaker 1:Nee, je gaf net aan dat die individuele organisatieonderdelen ook de taak hebben om hun eigen BCP binnen hun eigen organisatieonderdeel te oefenen. Ik kan me voorstellen dat dat ook wel duidelijk wordt voor jou in een crisis oefening in hoeverre dat al gebeurd is. Precies. Want als iedereen elkaar een beetje schaapachtig aankijkt, zou er toch een indicator kunnen zijn dat het voor het eerst is?
Speaker 2:Ja, dan merk je dus echt dat organisatie-onderdelen soms niet helemaal de impact kunnen overzien van wat er gebeurt bij een crisis. Dat staat wel goed in het BCP, maar dat hebben ze dan zelf niet echt goed eigen gemaakt.
Speaker 1:Precies, ze hebben misschien net in de voorbereiding op de crisis dingen wel een keer doorgenomen, maar dat is dan toch niet helemaal genoeg om het
Speaker 2:Een goed voorbeeld daarvan is toch echt wel een hele leuke, dat was echt gewoon daadwerkelijk tijdens een crisisoefening gebeurd, dat de directeur van onze stadsbedrijven zei in het kader van een cybercrises zet de ICT maar uit, want ik wil niet mijn gegevens kwijtraken. Toen heb ik heel stiekem gevraagd: maar wat gebeurt er met je stoplichten en je gemalen? Dat wist hij niet. En die gingen ook uit. Dus dan creëer je een hele andere crisis.
Speaker 1:Je grijpt er eigenlijk heel hard in.
Speaker 2:Je grijpt heel hard in en je creëert een crisis in de stad in plaats van een bedrijfscrisis.
Speaker 1:Ja, dus eigenlijk maakt het erger.
Speaker 2:Ze maakten het gewoon veel erger ja.
Speaker 1:Kan me voorstellen dat ook wel confronterend kan zijn voor zo'n directeur van een organisatieonderdeel, die staat aan de lat voor dat soort keuzes en die denkt misschien oeh, dat was niet heel slim, maar ja, dat is misschien ook de keerzijde van het dan niet eerst al ik zelf geoefend hebben, maar ik kan me voorstellen dat voor directeur best wel spannend is, crisis oefening.
Speaker 2:Dat is echt heel spannend. Ja, is toch
Speaker 1:wel, jij zit er als business continuiteitemanager, de crisis manager zitten de andere directeuren zitten er. Nou ga er maar aanstaan.
Speaker 2:Gemeentesecretaris zitten Om
Speaker 1:het nog even verder gewicht te
Speaker 2:geven, dus die zit er ook gewoon bij. Dus ja, dat is best wel een spannende bedoeling en het is ook heel belangrijk dat zo'n directeur, en dat staat ook echt goed beschreven in de BCP, hoe hij of zij zijn of haar achterban moet betrekken. Want een directeur kan het nooit alleen. Dus op het moment dat je een crisis hebt moet er eigenlijk direct een soort schaduw crisisteampje in een organisatie op de wil ontstaan die de directeur helpt.
Speaker 1:Ja, die voedt de directeur op? Ja,
Speaker 2:spannend. Ja dat is leuk ja.
Speaker 1:Hoe vaak oefen je?
Speaker 2:Op gemeentelijk niveau oefenen we 2 keer per jaar.
Speaker 1:Dus dat is een crisisoefening?
Speaker 2:Dat is een crisisoefening, dan komen alle directeuren die betrokken zijn bij een crisis bij elkaar en dan gaan we oefenen. En er zitten dus ook allemaal van die kleine tientjes bij de organisatieonderdelen.
Speaker 1:Die zitten achter de
Speaker 2:Ja, zitten achter de schermen. Dat oefenen 2 keer per jaar en eigenlijk is ons uitgangspunt dat elke organisatieonderdeel in ieder geval 1 keer per jaar 1 van hun kritieke processen oefent.
Speaker 1:Ik kan me voorstellen 2 keer per jaar is dan wel een redelijke frequentie en dan daar buitenom ook nog die individuele oefening 1 keer per jaar. Je oefent wel, ja. Voor 1 proces noemde je dan, dan mag je dat kan een kritiek proces zijn, kies er eentje.
Speaker 2:Kies er maar eentje, ja.
Speaker 1:En wat ik een interessante vraag vind, je hebt die coördinerende rol over dat geheel hé, over al die individuele organisatie onderdelen, die gaan dat allemaal uitdenken. Die gaan zeggen nou dit zijn onze kritieke processen, dit is wat er gebeurt als dat onderbroken wordt, dan gaan we dat doen, dan gaan we dat doen, maar al die individuele organisatie onderdelen maken voor een deel aanspraak op dezelfde resources. Daar bedoel ik mee bijvoorbeeld de ICT voorziening of de beschikbare uitwijk kantoorplekken of het beschikbare personeel of vanuit ondersteunende afdelingen of wat dan ook. Dus als je, ik zit in mijn hoofd, heb je 100 procent daar staat standby en er is 800 procent nodig als je al die BCP's zou uitvoeren zoals ze uitgewerkt zijn. Hoe breng je dat dan bij elkaar?
Speaker 2:Daar zijn we nu heel hard mee bezig op dit ogenblik om dat allemaal aan elkaar te kalibreren zeg maar eventjes. Dat je zorgt dat op het moment dat je bijvoorbeeld moet ontruimen en dit kantoor een paar dagen niet kan gebruiken, waar iedereen dan wel op terecht kan. En je bent natuurlijk snel geneigd dat iedereen zegt van ja dan kan ik naar die locatie.
Speaker 1:Nou maar als iedereen daar aan zitten kan het weer niet.
Speaker 2:Dus je moet dan echt gaan prioriteren met zijn allen en dat leg ik gewoon echt heel simpel neer gewoon bij die coördinatoren neer vecht jullie me uit wie nou daar gaat zitten. En bijvoorbeeld als je het dan over ICT hebt dat is altijd heel belangrijk is dat je nooit alle applicaties in de lucht kan brengen. Dus daar moet een volgorde in zitten. Die volgorde moet je van tevoren vaststellen.
Speaker 1:Dan kan het ook een beetje gedrang worden in de wachtrij.
Speaker 2:Dan is het gewoon afspreken met elkaar wie gaat nou eerst.
Speaker 1:Heb jij daar ook nog een
Speaker 2:soort beslissende rol in? Daar kom je eigenlijk bijna uit en de ander gaat het gewoon echt naar de concern-directie en dan gaat gewoon de gemeentesecretaris met zijn concern directeuren beslissen en dit gaat gebeuren, klaar.
Speaker 1:Je introduceert even het begrip concern-directie, we hebben het al gehad over directeuren van organisatie-onderdelen en natuurlijk de gemeentesecretaris als zeg maar algemeen directeur, moet ik de concern-directie zien als een laag nog daartussen?
Speaker 2:Dat is eigenlijk geen laag daartussen, ja.
Speaker 1:En oefent de concern-directie oefent die ook mee met de crisisoefeningen? Nee. Hebben zij een taak bij het handelen van een crisis?
Speaker 2:Eigenlijk hebben zij geen taak bij het handelen van een crisis, behalve dat 1 van de concerndirecteuren vaak de technische voorzitter is van een van de crisis oefening. Oké. Dus dat is eigenlijk de enige taak.
Speaker 1:Een andere taak natuurlijk dan zelf beslissingen nemen en
Speaker 2:Het is, we hebben in het begin hebben we geoefend met de gemeentesecretaris die eigenlijk technisch voorzitter ook was, maar de gemeentesecretaris is te veel onderdeel van het
Speaker 1:Moeilijke combinatie. Het is een moeilijke combinatie. Wat vind je nou het leukste van business contimity managing zijn?
Speaker 2:Toch eigenlijk wel die oefeningen, die zijn het leukst.
Speaker 1:Een beetje de kerst op de taart,
Speaker 2:Dat is de kerst op de taart en het klinkt ongelooflijk flauw, maar zo werkt de wereld wel. Een echte crisis is natuurlijk nog leuker. Werkt het nou echt?
Speaker 1:Toch klinkt het wat raar om
Speaker 2:een echte Ja, dat is gewoon echt ingewikkeld.
Speaker 1:Als ik die tram in herinnering heb, is het raar om daarvan te zeggen van nou daar hebben we toch eens even lekker veel van geleerd.
Speaker 2:Ja, maar zo werkt het natuurlijk wel hé. Voor dit ben je afhankelijk van calamiteiten en crisissen om om überhaupt je werk te kunnen doen en te toetsen of het werk. En het legitimeert
Speaker 1:ook je bestaan zeg maar.
Speaker 2:Het legitimeert ook je bestaan.
Speaker 1:Als er nooit wat was dan had je net zo goed deze tijd ergens anders
Speaker 2:in kunnen steken. Precies.
Speaker 1:Nou tot tot slot nog even hé. We zitten zoiets als NIS 2 aan te komen. Het zei bij beveiligingswet, daarin wordt veel aandacht gevraagd voor bedrijfscontinuïteit hé dus meer dan, nou we hebben natuurlijk nu geen wet hé, we hebben wel zoiets als de bio. Daar zit wel een hoofdstukje in BCM, maar in de zij hebben beveiligingswet en in bio 2 als uitwerking daarvan wordt dat veel zwaarder aangezet. Eigenlijk wordt het vakgebied daarmee ook verbreed want jij noemt noemde al een aantal voorbeelden van dingen die wel onder BCM vallen, maar niet echt onder informatiebeveiliging vallen.
Speaker 1:Energievoorziening valt uit, is dat is dat informatiebeveiliging?
Speaker 2:Dat kan, bijvoorbeeld omdat je ICT
Speaker 1:De server gaat uit.
Speaker 2:Dat natuurlijk geen beveiligingsaspect maar wel een ICT probleem.
Speaker 1:Wel een beschikbaarheid vraagstuk.
Speaker 2:Behalve natuurlijk dat je in zijn algemeenheid bij datacenters en zelfs interne datacenters een opvang hebt in de tijd.
Speaker 1:Daar zijn maatregelen voor genomen.
Speaker 2:Precies.
Speaker 1:Personeel dan, ander voorbeeld. Personeel, personeel gaat allemaal met een grip naar huis. Is dat informatiebeveiliging voor mij? Ja, die informatie staat nog steeds veilig in die systemen. Er is alleen niemand meer die er wat mee doet, maar
Speaker 2:Nou in principe niet, nee, daar heb je gelijk in.
Speaker 1:Maar wel BCM, heel duidelijk wel
Speaker 2:BCM. BCM is breder dan alleen de ICT-component. Dus breder is alleen maar NIS. NIS 2 die zegt dat je tegen cyberaanvallen en wat je moet doen bij DDoS en dat soort zaken. Dat moeten we allemaal meenemen, maar de NIS 2 praat niet wat je moet doen op het moment dat je personeel er niet meer is.
Speaker 2:Dus de BCM is breder dan alleen maar de ICT-component.
Speaker 1:Nou als jij dan zo die NIS 2 en in Nederland dan hebben we beveiligingswet zo, langzaamaan komt u op ons af als ik jou dan zo hoor vertellen over hoe die BCM organisatie eruitziet en wat dat behelst. Het klinkt alsof je bestaat best wel wat. Serieeur die BCP's, nu ben je bezig met die kalibratie wat je noemde hé om te voorkomen dat iedereen tegelijk op die ICT afdeling springt die je nog die maar op 1 been draait of zoiets, maar hoe bezi jij dan de komst van NIS2 cyberbeveiligingswet, Bio2? Is dat iets waardoor jij denkt nou dat wordt nog meer of nog groter of het wordt nog belangrijker?
Speaker 2:Nou het is meer een legitimatie van wat ik al heb En ik moet echt met alle trots vertellen dat wij heel ver zijn in het BCM-aanpak in gemeente Utrecht, ook in de crisisaanpak, want er zijn veel andere gemeenten maar ook gewoon bedrijven die totaal niks hebben.
Speaker 1:Dat vind ik eigenlijk ook wel, als jij zegt zoals je beschrijft hoe een crisisoefening eruit ziet, met name ook de tijdsinvestering die al die directeuren daarin moeten stoppen 2 keer per jaar, dan denk 'nou dat is niet mis' dat je al voor elkaar hebt gekregen.
Speaker 2:En als jij naar de grote, 10 grote gemeentes, ik denk dat 75 procent van die gemeentes niks hebben gedaan.
Speaker 1:Hoe komt dat dan dat het hier zo leeft? Een goede BCM
Speaker 2:coördinator? Dat sowieso, dat is eigenlijk gewoon puur ontstaan omdat wij ooit een keertje een oefening wilden doen. En we hebben toen iemand in huis gehaald van joh doe eens even een oefening met ons, leuk. En dat iedereen zich rot schrok dat er niks geregeld was.
Speaker 1:Dat echt een wake-up call?
Speaker 2:Dat was echt een wake-up call van help we hebben niks. En dat was, ja dan gaat, klinkt een beetje flauw, zo werkt het natuurlijk wel, dan gaat het top-down hè, de gemeentesecretaris zegt ik wil dit geregeld hebben.
Speaker 1:Ja, want die dacht ik ga niet lekker naar bed als ik weet dat dit
Speaker 2:Dat dit ons kan overkomen, ons kan overkomen.
Speaker 1:Dat we dan niks hebben.
Speaker 2:Dat we dan niks hebben en toen zijn heel veel dingen doorgezet.
Speaker 1:Dus een belangrijk component is dat de gemeentesecretaris daar toen voor is gaan staan of erachter, hoe je het maar wil noemen. Ja. En dat dat verordonneerd heeft om het maar zo te zeggen, wat in ieder geval heel belangrijk is gaan vinden.
Speaker 2:Ja, die oefening op directieniveau, op wat voor niveau je dan ook in een bedrijf hebt, is denk ik heel belangrijk om PCM van de grond te krijgen.
Speaker 1:Ja, zat net te denken als je dat niet hebt in je gemeente, stel je voor je werkt bij een gemeente, je bent daar PCM coördinator of je hebt het als rol als CISO, dat gebeurt natuurlijk ook nog wel eens, je hebt een gemeentesecretaris die zijn schouders ophaalt, ja dan wordt het knap moeilijk.
Speaker 2:Dan wordt het echt knap moeilijk.
Speaker 1:Maar daar heb je geen van?
Speaker 2:Nee, daar heb ik in dit geval geen last van. En we zijn wel met zijn allen geholpen door corona. En toen werd wel gezegd van kijk, het is maar goed dat we iets hebben. En corona heeft ons geholpen om het verder te brengen. Maar wat je in heel veel organisaties ziet is dat corona niet zo ging.
Speaker 2:Dat betekende dat men de BCP kon maken op het moment dat corona er al was.
Speaker 1:Ja, het was niet meer naar kantoor komen voelde nog wel redelijk acuut.
Speaker 2:Ja, oké, dat klopt. En voor heel veel organisatie-onderdelen was het ook heel ingewikkeld.
Speaker 1:Tot slot, ik vroeg jou eerder wat vind je het leukste onderdeel als BCM coördinator. Heb je nou ook iets wat je eigenlijk niet zo leuk vindt?
Speaker 2:Aan BCM coördinator zijn? Ja. Je merkt toch je heel veel moet trekken en sleuren.
Speaker 1:Je moet wel een hele tijd kort op de bal blijven.
Speaker 2:Ja, want de aandacht is snel weg en de prioriteit is al snel op andere zaken en die snap ik ook helemaal, dat is belangrijk want
Speaker 1:je steekt toch tijd en energie in dingen die waarschijnlijk niet gebeuren.
Speaker 2:Precies, precies.
Speaker 1:Maar dan moet je eigenlijk ook wel zo iemand als jij, in ieder geval rol of functie hebben, iemand die als aanjager fungeert, dan is het bijna gedoemd om langzaam uit te doven totdat er of er weer een oefening komt als die al komt, of erger nog, of beter nog, een daadwerkelijke crisis.
Speaker 2:Ja, ja en dan merk je ineens dat je contactenlijst helemaal niet meer up-to-date is. Dat soort zaken krijg je dan ineens, ja.
Speaker 1:En wat wat wat is je advies naar kleinere gemeente waarbij de CISO bijvoorbeeld de rol van BCM coördinator heeft?
Speaker 2:Dat is toch echt wel ingewikkeld, want dan merk je gewoon dat BCM dan nog eerder ondersneeuwt, want die CISO is ook bezig met het weren van apps en weet ik veel wat voor zaken allemaal.
Speaker 1:Die maakt zich ook met een hele hoop andere dingen.
Speaker 2:En dan moet hij dit er ook nog bij doen, dus dan begint het al bij hem of haar natuurlijk in de achtergrond te raken. En dan toch weer, ja het klinkt ontzettend flauw maar ik kan het niet anders zeggen, dan toch weer gewoon zorg nou dat je gewoon het een keertje oefent met je directie en zie wat er dan gebeurt. Want ook dan krijg je waarschijnlijk als CISO meer ruimte van jouw eigen leidinggevende, want je moet dit regelen.
Speaker 1:Ja, dan creëer je draagvlak voor.
Speaker 2:Precies, Maar het is voor een kleine gemeente echt ingewikkeld en dan ben ik wel zo van: bel een collega-gemeente op die wel al verder is en zorg dat je die formats van die business continuïteitsplannen gewoon overneemt. Want die kritieke processen, ieder Elke gemeente moet paspoorten uitdelen.
Speaker 1:Wil natuurlijk veel overlap in, dat kan niet Precies,
Speaker 2:dus ga dan gewoon bij een buurgemeente en vragen van hebben jullie dat, kan ik dat van jullie kopiëren.
Speaker 1:En ook de informatiebeveiligingsdienst stelt natuurlijk veel ter beschikking op dit gebied. Klopt. Dus die helpt ook kleine gemeenten.
Speaker 2:Ja, ja, maar dan heb je weer alleen maar BCM op ICT gebied. Oké. En BCM op alle aspecten die je nodig mee moet nemen, daar is geen organisatie voor.
Speaker 1:Nee, dus dan kan je beter geven je gemeente bellen bijvoorbeeld. Bijvoorbeeld, ja. In de show notes zet ik jou 6 nee.
Speaker 2:Ontzettend
Speaker 1:interessant Bob, het is dat ik al kleur bekend heb op informatiebeveiliging, maar misschien kan ik ooit nog overstappen?
Speaker 2:Jazeker, tuurlijk, tuurlijk. Klinkt wel
Speaker 1:als een vakgebied waar nu, maar zeker ook in de toekomst, wat eigenlijk alleen maar belangrijker wordt, wat scheurt tegen informatiebeveiliging aan, maar wat je al benadrukte, wat nadrukkelijk breder is dan dat.
Speaker 2:Want we lopen echt, echt Renko, we lopen steeds meer en meer en dat dan wel ICT gerelateerd, meer en meer risico op het gebied van PCM. En dan heb je het over cyberaanvallen vanuit Rusland, dat soort zaken, Maar aan de andere kant bijvoorbeeld ook netcongestie. Onze netwerken gaan minder worden. Wij kunnen niet continu stroom hebben over 4 jaar.
Speaker 1:Net, ik zat meteen al te denken aan een ICT en een netwerk.
Speaker 2:Nee, nee, dan heb ik het over het elektriciteitsnet. En dat betekent dat je 4 uur per dag bijvoorbeeld geen elektriciteit zou hebben.
Speaker 1:Ja of niet de zekerheid die normaal hebt.
Speaker 2:Dus wat doe je dan? Dus dat gaat echt een rol spelen, ook in de toekomst en steeds meer en meer.
Speaker 1:Nou iedereen die luistert en nog niks had gedaan aan BCM die is nu die heeft de opname stilgezet en is gelijk gaan googelen.
Speaker 2:Ik hoop het, ik hoop het, ja. Dank u
Speaker 1:wel, dank je wel voor dit kijken in de keuken bij de gemeente Leuk en nou ik zou zeggen luister je eerste podcast.
Speaker 2:Ja, ga ik zonder meer doen.
Speaker 1:Goed, hé, dank je wel. Dank je wel. Ja, en dan vliegt de tijd en is zo'n aflevering al zo ineens weer voorbij. Leuk dat je luisterde. Ik hoop ook dat je dat over een maand weer doet, want dan verschijnt er ongetwijfeld weer een nieuwe aflevering online.
Speaker 1:En ja, ik zou zeggen als je had je nog geen werk gemaakt van bedrijfscontinuïteitbeheer, dan zou ik daar mee starten. En hopelijk heeft deze podcast opname je daarbij geholpen. Hey, tot de volgende keer.
