De directie zelf stribbelt mee met de regels, of dompelt zich onder in comfortabele onwetendheid
In vrijwel alle bedrijfstakken zijn we ervan doordrongen dat de informatie die we beheren van vitaal belang is voor onze bedrijfsvoering. Maar meestal blijft het daarbij. Want slechts een derde van de bedrijven werkt met informatiemanagers en schept commerciële waarde uit de informatieschat. En de hoogste directie is zelf de grootste overtreder van de veiligheidsregels die de informatie moet beschermen.
Daarbij komt dat we in een informatiemaatschappij leven, waarin we ons niet meer bewust zijn waar alle kopieën rondzwerven, terwijl die informatie steeds toegankelijker moet zijn en daardoor kwetsbaarder wordt, en de consequenties van datalekken steeds groter worden. Onthoud het simpelweg zo: ‘Informatie is geld’. Dat maakt het eenvoudiger om in te zien wat er gebeuren moet.
Door Jeroen Strik, directeur van Iron Mountain Benelux
Als informatie een van de belangrijkste bedrijfsmiddelen is, dan moeten we voor ons informatiemanagement denken in termen van risico en rendement. De enige remedie om chaos en risico’s te beteugelen en te komen tot orde en rendement, is door strikte naleving van een eenvoudig, maar robuust en alomvattend informatiebeleid dat wordt gedragen en voorgeleefd door de hoogste leidinggevenden. De inspanning die dat vereist, kost niet alleen moeite en geld om boetes en reputatieschade te voorkomen, maar levert ook veel op: een gezonde bedrijfscultuur en zakelijke voordelen.
Stilstand
PwC en Opinion Matters doen voor Iron Mountain al jaren onderzoek naar onze omgang met informatie, ongeacht de drager (digitaal/papier), de distributie (internet, USB-stick, papieren dossier), de opslag (server, archieflocatie, hostingpartner, cloud), of het soort informatie (financiële cijfers, marketingrapport, patiëntdossier, CV, of gespreksaantekeningen).
Dat onderzoek[i] [ii] levert verontrustende resultaten op, zoals het gegeven dat de hoogste directie zelf de informatiebeheerregels het meest met voeten treedt, in liefst 57% van de gevallen. Maar nog verontrustender is dat het beeld zich bestendigt, dat er geen vooruitgang wordt geboekt. Ondanks de risico’s op reputatieschade en de zeer hoge boetes in de Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels), laat slechts 43% van de ondervraagden ons weten dat hun informatie voor hen wérkt en rendement oplevert.
Behoorlijk bestuur en beleid
Governance, of behoorlijk bestuur, ligt in bedrijfscultuur besloten en is iets wat groeit met de jaren. Maar dat wat stap-voor-stap is opgebouwd, kan ook razendsnel kapot gaan, door korte termijn rendementsdenken, krappe recessiebegrotingen en een groeiende, misschien ál te grote flexibele schil. Deze dynamiek en (gezond?) opportunisme maken dat goed informatiebeleid altijd aan het KIS-principe moet voldoen, wil het kunnen werken: Keep It Simple.
De directie en de stafafdelingen financiën, juridische zaken en personeelszaken (ook grote zondaars tegen het informatieveiligheidsbeleid) moeten het beleid ook navolgen, maar 21% van de CxO´s die we het vroegen, vond zijn eigen beleid te ingewikkeld om het zelf na te leven, 6% wist zelfs niet dat er sprake van enig beleid was…
De directie wordt overigens op de voet gevolgd door de facility manager, waarvan 56% aangeeft wel eens in de fout te gaan… terwijl die toch vaak de verantwoordelijkheid voor het informatiebeheer heeft. Meest voorbeeldig zijn overigens de mensen van de administratie, maar goed beleid en goed voorbeeld moeten altijd van de top komen om breed te worden nageleefd.
Onze achteloze omgang gaat ook over wettelijke risico’s (compliance) en de integriteit van de informatie waarmee we werken. Simpele principes en beleidslijnen helpen de hele organisatie en de directie, die de eigen regels voor informatieopslag en het navolgen van de verschillende wettelijke bewaartermijnen voor verschillende soorten informatie zelf zo ingewikkeld vinden, dat ze die daarom maar negeren.
Groeiende complexiteit
Nieuwe fenomenen als Internet of Things (IoT), in combinatie met nieuwe opslagmogelijkheden (hosting en clouddiensten) tegen dalende opslagkosten, en het professionele gebruik van mobiele apparaten, leiden tot exponentiële groei van data die ongecontroleerd verspreid zijn en waarvan het beheer veel aandacht vraagt. Beslissers vragen tegelijkertijd om ‘data driven’ beslissingen, wat om ruime toegang door veel mensen tot data vraagt. Medewerkers moeten enerzijds grote hoeveelheden gegevens analyseren om er waardevolle informatie uit te halen en tegelijkertijd voldoen aan het interne beleid en de externe de wet- en regelgeving omtrent gegevensbescherming en bewaartermijnen.
Als informatie geld is, dan is het duidelijk dat iedere medewerker daarvan doordrongen moet zijn en zijn verantwoordelijkheid moet kennen en nemen. Maar de druk op mensen is sinds de crisis in 2008 begon, flink toegenomen en voorbeeldig gedrag is dan niet vanzelfsprekend. Een gezonde informatiecultuur moet dus regelmatig worden uitgelegd en geoefend, en voorbeeldig worden voorgeleefd door de hoogste directie en het middenmanagement.
Eenvoudig en alomvattend
Goed informatiebeleid moet stralen door zijn eenvoud, maar moet wel alomvattend zijn. We zien te veel potdichte IT-systemen, beschermd door toegesneden autorisaties en getrapte rechten, waar veel verloren laptops, zwervende kopieën en achteloos weggegooide afdrukken tegenover staan. En nee: de hosting-leverancier neemt niet de aansprakelijkheid voor de zorgvuldige omgang met informatie over. En ja: over de wettelijke bewaartermijnen kun je een boek schrijven: Iron Mountain heeft er waardevolle hulpmiddelen voor die we graag delen.
Goed: ‘Keep it Simple’, maar als de problematiek nu intrinsiek complex is? Huur dan expertise in en partijen die over de juiste middelen beschikken. Financiën doet het ook niet alleen. Juridische zaken ook niet. En de informatiemanager kan het dus ook niet alleen. Zij of hij kan beter waarde creëren uit informatie dan de bewaartermijnen te bewaken. Derde partijen hebben daar dure IT-systemen voor en het is voordeliger om daarop mee te liften.
Digitaliseren van dossiers kan ook bijna altijd beter en voordeliger buiten de deur. Het houdt de handen vrij voor belangrijke zaken waar we niet aan toe komen. Het onderzoek van Iron Mountain met PwC laat bijvoorbeeld zien dat drie kwart van de onderzochte bedrijven (72% in Europa en 79% in Noord-Amerika) informatie als een belangrijk bedrijfsmiddel beschouwt, maar dat slechts 35% er data-analyses op loslaat en dat 43% amper enige waarde mee weet te scheppen met de dataschat.
Informatie is leidend
‘Informatie is geld’ opent de ogen van veel hogere leidinggevenden. Vraag naar hun bedrijf, en ze zeggen ze dat ze in de duurzame energie zitten, in de scheepsbouw, of in de accountancy en ze vertellen over de woelige jaren achter ons. Hun doel is groei, omzet, winst, werkgelegenheid…
De les is om je bedrijf dan eens puur vanuit de bedrijfsinformatie te beschouwen, om informatie leidend te laten zijn in het denken. Zoals financiering een hefboom op de activiteiten plaatst, doet informatie dat tegenwoordig ook. Informatie is een mooi uitgangspunt voor ons denken over succes, nu de economische groei aanhoudt.
[i] Onderzoek voor Iron Mountain door Opinion Matters onder 4.006 medewerkers in middelgrote bedrijven met 250 – 3.000 medewerkers (tot 5.000 in Noord-Amerika) in België, Nederland, Duitsland, Frankrijk, Noord-Amerika, Spanje en het Verenigd Koninkrijk.
[ii] Seizing the information advantage: How organisations can unlock value and insight from the information they hold, Iron Mountain en PwC (2015)