Opinie: de kunst van het loslaten
Veel organisaties zijn rigide bij de instelling van webfilters. Op basis van een risicomijdend beleid worden werknemers de toegang tot bepaalde sites ontzegd. Een verkeerde ontwikkeling, vindt Michiel Kooper. Als een organisatie meer uit het delen van informatie willen halen, moet zij het eenzijdige denken in it- en informatierisicobeheer loslaten.
Informatie delen doen we dagelijks, maar het inzetten als business enabler wordt nog niet ten volle benut. Organisaties kunnen informatie slimmer en interactiever delen met hun klanten, maar ook intern tussen eigen medewerkers. Een betere inzet leidt tot een meer waardevolle relatie met klanten, een beter imago, hogere betrouwbaarheid van gegevens of een groter vertrouwen in gedeelde informatie. De vraag is: wat zou er dan moeten veranderen om het delen van informatie effectiever, maar ook innovatiever te kunnen toepassen?
In dit artikel propageren we: als we meer uit de potentie van het delen van informatie willen halen, moeten we af van het eenzijdige denken in het it- en het informatierisicobeheer. Controlemaatregelen moeten op de schop en sommige topdownstructuren dienen vervangen te worden door alternatieve besturingsvormen met meer vrijheidsgraden.
Geen toegang tot Facebook
Voor een voorbeeld van hoe het niet moet, ga ik terug naar begin augustus 2009. Facebook kondigde die zomer aan dat ze FriendFeed over zou nemen. Met de overname groeit het aantal mogelijkheden voor deelnemers aan deze 'vriendensite' om informatie te delen binnen groepen en met eenieder die het lezen wil.
Als ik het interview met een van de Facebook-oprichters Paul Buchheit via internet probeer te beluisteren, krijg ik bericht dat de link niet door de webfilter van onze organisatie heen komt. Een vrij rigoureuze manier om het delen van informatie te beperken. Wel blijk ik, als ik mijn ei hierover kwijt zou willen, commentaar te kunnen leveren op de FriendFeed-site.
Dit verbaast me. Waarom krijg ik wel toegang tot de ene site, maar niet tot de andere? De selectiecriteria zijn me niet direct duidelijk en ik voel me ook enigszins betutteld. Waarom zou het bezoeken van de site niet waardevol zijn voor mij als professional, zodat ik mijn werk beter of efficiënter kan doen? En waarom mag ik dit niet zelf bepalen?
Dilemma
De verantwoordelijken voor het it-beheer van een organisatie staan voor een dilemma. Bij voorkeur wil men ieder risico rondom it-security vermijden. Maar enkel denken vanuit het beheer en niet vanuit de bedrijfsvoering leidt tot starheid en beperkingen die niet wenselijk zijn als een organisatie concurrerend wil blijven. Bovengenoemd voorbeeld schetst de problematiek die organisaties ervaren met externe informatie- en netwerksites. Zijn ze gevaarlijk? Bieden ze kansen? Moet je als organisatie actief bezig zijn met het creëren van mogelijkheden voor je medewerkers om deze sites te benutten? Of moet je ze juist buiten de deur houden?
Om grip te krijgen op ontwikkelingen zoals sociale netwerken, is de eerste neiging om terug te grijpen naar traditionele controlemaatregelen, zoals de code voor informatiebeveiliging. Dit generieke raamwerk biedt vanuit risicoperspectief een besturingsmodel waarmee men regels, controles en technische maatregelen kan opzetten en risico's in het gebruik van informatie(systemen) beheersbaar kan houden.
De invoering wordt meestal centraal en hiërarchisch ingericht. Maar deze denkwijze werkt niet of nauwelijks als het delen van informatie de organisatiegrenzen overstijgt. Daarnaast is de vraag of deze starre vorm van besturing altijd even effectief is bij het delen van informatie binnen de eigen organisatie.
Bij het delen van informatie is niet de techniek, maar de mens de 'elementaire' schakel. Hoe gaan mensen om met het delen van informatie? Wat is hun prikkel of motivatie om bepaalde informatie wel of niet te delen? En hoe kan een organisatie invloed hebben op het delen van gegevens, zodat ze in de juiste context gebruikt worden? Hoe en waar moet men data op betrouwbare wijze opslaan en archiveren, zodat ze later herbruikbaar zijn, mogelijk ook in een andere context?
Om het delen van informatie beter te benutten, dienen we los te komen van de gevestigde manier van denken. Een organisatie zal haar aandacht op de rol van de gebruiker moeten vestigen. Alleen zo kan zij het delen van informatie binnen en buiten haar organisatie beter benutten, dan wel het gebruik hiervan in banen leiden.
Bewoners Aanspreekpunt Schiphol
Een voorbeeld hoe het wel kan is de manier waarop Schiphol geluidsoverlast bij omwonenden heeft aangepakt. Voorheen legde men geluidsoverlast met meetapparatuur op een 'objectieve' wijze vast; op basis van de zo verkregen gegevens beoordeelde men de vluchtroutes. Toch nam het gevoel van overlast bij de omwonenden niet af. Ook vertrouwden veel mensen de gebruikte methode onvoldoende; geluidsoverlast is immers een subjectief gegeven.
Om aan deze negatieve gevoelens tegemoet te komen, is Schiphol in 2007 met de Luchtverkeersleiding Nederland het Bewoners Aanspreekpunt Schiphol begonnen. Met dit initiatief wil de organisatie signaleren, registreren en communiceren naar omwonenden. Omwonenden kunnen geluidsoverlast voortaan via een webregistratiesysteem melden. Op basis van deze gegevens kunnen effecten van (gewijzigde) vluchtroutes onderzocht worden en genomen maatregelen kunnen vervolgens worden teruggekoppeld aan de websitegebruikers.
Met dit aanspreekpunt betrekt men omwonenden actief bij de problematiek. Als zij zien dat er daadwerkelijk iets met hun registratie gebeurt, zullen ze meer vertrouwen in het systeem krijgen. Bovendien krijgt Schiphol zo beter inzicht in wat er leeft bij de omwonenden.
Wikipedia
Een ander goed werkend voorbeeld is Wikipedia. Deze site werd in 2001 opgezet om aan internetgebruikers een (gratis) online encyclopedie aan te kunnen bieden. Om de kosten laag te houden en de informatie compleet te maken, kan iedereen een bijdrage leveren. Hoe kan men de betrouwbaarheid borgen, als je beperkte invloed hebt op de auteurs?
Uit onderzoek blijkt dat Wikipedia een redelijk betrouwbare bron van informatie is, terwijl er volstrekt geen controle van bovenaf is. Het systeem lijkt gebaseerd te zijn op een vorm van anarchie, maar het tegendeel is waar. Juist doordat iedereen invloed kan uitoefenen, informatie kan aanleveren, policies kan wijzigen, maar ook correcties kan uitvoeren op door anderen aangeleverde stukken, blijkt er een stabiele situatie te ontstaan.
Nader onderzoek leert dat er binnen Wikipedia kleine netwerkjes ontstaan, dat men disputen oplost in discussiefora, nieuwe informatie gezamenlijk ontwikkelt, et cetera. Dit alles wordt niet centraal aangestuurd, al is er wel degelijk een vorm van besturing, ook wel 'self governance' genoemd. Self governance staat voor de capaciteit van een sociale entiteit, zoals een community, om zichzelf autonoom te besturen. Over het algemeen ontstaat bij de groei van een community een set van gezamenlijke normen en waarden (in geschreven en ongeschreven regels) die bepaalt hoe de mensen binnen de gemeenschap met elkaar omgaan.
Information governance
Bij de Universiteit van Amsterdam doen we vanuit het thema 'information governance' onderzoek naar alle mogelijke vormen van besturing, die bruikbaar zijn bij het delen van informatie. Information governance wordt omschreven als een raamwerk, gericht op het faciliteren, stroomlijnen en stimuleren van betekenisgeving aan gegevens(verzamelingen). Binnen het thema wordt onderzocht welke besturingsmodellen optimaal ingezet kunnen worden om interacties tussen mensen (en eventueel ook it-systemen) te beïnvloeden. Self governance kan bijvoorbeeld zeer effectief zijn voor Wikipedia, maar daarmee niet noodzakelijk bij iedere vorm van informatie delen. Nieuwe ontwikkelingen, zoals het gebruik van sociale netwerken in een bedrijfsomgeving, kunnen de vruchten plukken van de resultaten van dit onderzoek.
Nieuwe ontwikkelingen zijn er legio. Denk bijvoorbeeld aan een krant die via internet de interactie met zijn abonnees gebruikt om de kwaliteit en objectiviteit van het dagblad te verbeteren. Of een bedrijf dat via een online community nieuwe producten ontwikkelt met de hulp van zijn gebruikers. Beide vormen van interacties bestaan al, maar bevinden zich nog in een pril stadium.
Nieuwe besturingsvormen zullen meer of andere vrijheidsgraden vereisen op het vlak van informatiebeveiliging. Oude principes zullen niet verdwijnen, maar we zullen wellicht een aantal heilige huisjes omvergooien.
We nodigen lezers graag uit een bijdrage te leveren en praktijkvoorbeelden in te sturen. We zijn ervan overtuigd dat een organisatie en de it-afdeling moeten samenwerken, en gevestigde principes moeten loslaten om waardevolle (en beheersbare) vormen van informatiedeling te realiseren. Als men de traditionele denkwijze durft te doorbreken, valt er nog een wereld te ontdekken.
(Dit artikel is ook verschenen in het november/decembernummer van InformatieProfessional)
Reacties