Hoe vaak krijg je een dikke 8,3 als waardering voor een sessie? Ook in de wandelgangen waren de geluiden erg positief: “Erg goed”, “Tempo lekker hoog” en “Wat een prachtig gebouw weer”. De eenzame kritische noot in de evaluatie: “Graag koekjes bij de koffie ;-)”, inclusief smiley. Een opmerkelijk geslaagde middag.

PWN is dan ook niet zomaar een bedrijf. Het voorziet Noord-Holland van drinkwater en beheert de duingebieden, maar vooral... is het bereid de nek uit te steken en de koe bij de hoorns te vatten. Dat geldt voor het state-of-the-art kantoor zelf, voor de ICT en voor de aanpak van kennisdeling en archivering. (Men is zo innovatief dat daarvoor een apart bedrijf is gestart: PWN Technologies.) Maar niet te vergeten: de benadering van privacy en security heeft ook de nodige indruk gemaakt. Lees maar, de sprekers zijn zeer openhartig...

Realiseer je echter wel dat het een beknopt verslag is. Als je de ins en outs wilt weten, moet je echt naar de sessie komen ;-)

PWNext!

Zoals gastheer Hans Stoelman, Teamleider DIV en Beveiliging zegt: “PWNext! is ‘het Nieuwe werken’ en daar hoort ook een andere, flexibele manier van werken bij, gericht op maximaal gelukkig zijn in/door je werk.” En dat is niet mis. Dat is wel eventjes iets meer dan een ICT-truc uitrollen. En dat blijkt ook wel tijdens zijn presentatie.

Het begon allemaal met huisvestingsproblemen en dure werkplekken, maar ook een fusie en gebrekkige samenwerking. PWNext! kreeg vier doelen:

• Huisvesting: doelmatig + duurzaam

• Betere samenwerking over grenzen van team en sector heen

• Aantrekkelijk worden en blijven op de arbeidsmarkt

• Bevorderen kennisdelen en innovatie

Meer dan vaak gebeurd is veel nadruk gelegd op het mentale gedeelte van de veranderingen. De resultaten zie je in de sheet hiernaast. Belangrijk zijn natuurlijk het snel vinden en delen van informatie. Maar ook de grote overgang van smalle gangetjes, kamertjes, eigen systeempjes en stapels papier naar dit werkelijk prachtige open kantoorgebouw is stimulerend.

Interessant is dat het gebruik van de werkplekken (allemaal ‘flex’) beperkter is dan ingeschat. Men mikte op 0,7 plekken per persoon, maar inmiddels zou 0,5 wel genoeg zijn en de tendens gaat naar 0,4. Er wordt veel elders gewerkt. Leidinggevenden hebben daar echt aan moeten wennen. De medewerkers zelf moesten vooral wennen aan de nieuwe werkwijzen en technologie, maar ook aan afspraken als: “Niemand heeft een vaste werkplek” en “Wij eten niet op de werkplek” en “Spreek elkaar aan op afwijkingen van de regels”. Er is heel veel gedaan aan bewustwording, training en begeleiding, inclusief “werkstijlindicatoren” gericht op verbetering van je persoonlijke gedrag.

Er is flink wat technologie ingezet qua Informatie voorziening en ICT. Het resultaat volgens PWN:

• We gebruiken en versturen informatie digitaal

• We kunnen elkaar bereiken en vinden op welke werkplek dan ook

• Alle kennis en informatie is in principe digitaal beschikbaar

• We maken afspraken: agenda’s open, gebruiken Yammer en Lync

• We hebben (mobiele) middelen om op elke plek te kunnen werken

De voorbereidingen begonnen in 2010. In 2013 is PWNext! geëffectueerd en pas sinds 2016 kan worden gesteld dat alles echt gesnapt en geaccepteerd wordt. En zelfs nu zijn er nog de nodige aandachtsgebieden.

Kennisportal e-Plaza

Margreet Zwenne, Information Officer en Functionaris Gegevens Bescherming, heeft een unieke rol. Met haar ene pet op is ze de bedrijfsbrede beveiligingskampioen, met de andere op heeft ze baat bij zoveel mogelijk openheid en toegang tot middelen voor informatiedeling. Een groot voordeel is dat ze de materie van beide zijden belicht. Zie ook onder de kop ‘Kanttekeningen.’

Ze zegt: ‘Kennis is macht, maar delen is zoveel slimmer.’ En toch is onder medewerkers de neiging hardnekkig om informatie voor zichzelf te houden en (vroeger zelfs fysiek) in eigen beheer. Een kostbare gewoonte. Enkele jaren geleden kwam Margreet met het idee dat dit allemaal veel slimmer en goedkoper kon. Om het management te activeren stelde ze telkens één vraag:

1. Stel, je hebt 1 mail met 2 bijlagen die gaat naar 4 mensen om te reviewen. Hoe vaak worden die bijlagen opgeslagen?
   

Ook aan de sessiedeelnemers legt ze dit voor. Er komen verschillende antwoorden met als hoogste: een duizelingwekkend ‘32’. Dan komt het verlossende antwoord: ‘ze worden 69 keer opgeslagen en waarschijnlijk nog wel meer.’ Ineens had ze de aandacht van de directie, want dit kostte destijds tonnen per jaar aan opslagcapaciteit. Maar dat is niet alles. De gebruikers van de documenten wisten van elkaar niet waar ze opgeslagen waren, ook omdat er meerdere manieren waren om het te doen. Het gevolg was: veel zoeken, veel improductieve uren. Ook dat bracht Margreet toen in kaart in een helder schema. Conclusie: er valt veel te verdienen door dat probleem aan te pakken. Hoeveel? € 42.500 per dag. Wat zei de directie? ‘Ga het maar uitzoeken!’

Zo landden SharePoint online en Office 365 met ePlaza in een gespreid bedje van management commitment. Een integraal geheel van kennisdeling, internet, intranet, extranet, archivering etc. in plaats van al die verschillende oplossingen. Bijna alle onderdelen van Office 365 zijn nu in gebruik, zoals SP Online, Yammer, Skype, Delve, OneDrive, zoekmachine, Outlook, Exchange...

Kanttekeningen

Maar alles gaat niet vlekkeloos. De business heeft als kritiek dat alles in 1x overging en dat bijna alle informatie nu open is. Dat vergt nogal wat van de business. Ook is de ontwikkeling niet gericht op de smartphone, dus hoe moet de aanzienlijke buitendienst - inclusief de boswachters voor de natuurgebieden die PWN beheert - ePlaza gebruiken? (Microsoft beperkt zich bovendien tot de eigen Windows-telefoons die niet echt populair zijn.) Nee, de buitendienst heeft er nu niets aan, maar daar wordt aan gewerkt. Sterker nog: via Augmented Reality moet men gaan zien waar welke leidingen onder de grond liggen, ook die van andere beheerders.

De informatie is inderdaad open, tenzij het echt vertrouwelijk moet zijn. Alle bedrijfsinformatie komt in Office 365 en SharePoint, er is geen alternatief. De OneDrive is puur voor persoonlijke info. Ook met externen wordt informatie gedeeld door toegang te geven tot de open bibliotheek, al is de beveiliging daar nog een aandachtspunt. Ook de back-ups zijn een risicofactor, want dat is volledig in handen van Microsoft. Gelukkig gaat het tot nu toe zonder problemen.

De vindbaarheid: alles moet open zijn, maar is dat niet. De aantrekkingskracht van de netwerkschijven blijft, maar ja die zijn er niet meer. Dus: toch maar op een vertrouwelijke bibliotheek zetten dan. Ten onrechte. Men kan niet zelf een vertrouwelijke bibliotheek inrichten, maar er wel informatie opzetten die niet vertrouwelijk is. Gevolg: onvindbaar, ook soms voor de persoon zelf. En dus: besluiten op grond van halve informatie. Dat is een groot risico voor de business.

Waarom in de cloud? Een belangrijke reden is dat elke update van SharePoint on premise zo dramatisch was. Alle maatwerk zorgde voor grote problemen bij de overgangen. Dan maar helemaal zonder maatwerk en vertrouwen op de Microsoft-strategie. Dus online en geen maatwerk meer. Dat kan ook niet anders, want er zijn voortdurend incrementele veranderingen in SharePoint online. Regelmatig duikt er iets nieuws op. Met maatwerk zou je dan continu alert moeten zijn om zaken onmiddellijk aan te passen en dat is niet te doen.

Metadata... Ja, altijd een boeiend onderwerp. Margreet hierover: Bijna alle metadata wordt automatisch ingevuld, maar het beheer van de verplichte trefwoordenlijst is een enorme klus. De zoekmachine is nog niet zo goed, maar het zou toch wel een stuk makkelijker zijn als het ontsluiten via ‘zoek & vind’ kan. OCR wordt steeds meer toegepast, maar met metadata, anders krijg je toch teveel hits. Een deelnemer wijst naar de ontwikkeling dat metadata automatisch gegenereerd kan worden in de toekomst, op basis van tekstanalyse. Microsofts product Delve volgt een andere aanpak en wordt in een parallelsessie besproken.

Lessons Learned

Hans neemt het stokje weer over, samen met Eelco Schrijver en Ulla Vlas. Hij vertelt hoe hij de rol van Security Officer op zich nam en de kracht ontdekte van de BIV-classificatie (BIV = Beschikbaarheid, Integriteit, Vertrouwelijkheid). Dat is een indeling die binnen de informatiebeveiliging wordt gehanteerd (NEN-ISO 27001/2). Daarmee wordt het beoogde niveau van beveiliging vastgesteld met oog op de beschikbaarheid en continuïteit, de integriteit en betrouwbaarheid en de vertrouwelijkheid en exclusiviteit van informatie en systemen. Zijn rol als Security Officer gaf hem een prachtige hefboom voor een heroverweging van documentmanagement-vraagstukken en borgde de rol van DIV.

Hans schetst de start-situatie: veelal opslag en archivering op de fileshares die terabytes aan ongestructureerde informatie creëren maar niet geschikt zijn voor archivering. En hij belicht de keuze voor Microsoft (‘SharePoint of SharePoint?’) waaraan blind vertrouwen is gegeven.

De lessen die PWN heeft geleerd zijn uitermate boeiend. Fascinerend is dat alle punten zo’n beetje mensenwerk betreffen. De technologie is nauwelijks de boosdoener, maar het gaat telkens over zaken als afstemmen, samenwerken, betrekken, opleiden, ondersteunen, de tijd nemen etc. Zie het plaatje hiernaast. ‘Alles draait om gedrag’ wordt nog eens bevestigd.

Maak het niet te moeilijk, zegt Hans en werk met kleine stapjes (Scrum). NEN-normen als basis lijkt leuk, maar blijkt onwerkbaar. Het zijn ingrijpende projecten voor veel mensen, als je denkt dat je de hele organisatie mee hebt, is er nog steeds weinig nodig om iedereen met de hakken in het beton te krijgen. Blijf energie stoppen in het opleiden en begeleiden van de gebruikers en vooral de champions, de super-gebruikers. Mijdt maatwerk. Stel je DIV-organisatie in op de nieuwe situatie, want die stelt nieuwe eisen. Bij PWN werkt van de ‘oude’ Div’ers nog maar 50% op de afdeling.

Eelco geeft een praktijkvoorbeeld en zegt over metadata met nadruk: ‘kijk uit dat je niet naar een thesaurus gaat.’ Er wordt nu gewerkt met 900 trefwoorden. Veel wordt aan de business overgelaten, maar DIV controleert. Hoe vaak worden ze gebruikt? Hoe consequent?

Gul Deniz geeft eerst een demonstratie van ePlaza en bekent meteen: ‘Veel gebruikers zien ePlaza als een intranet en niet als startpagina voor hun werkdag.’ Er wordt veel tijd gestoken in het veranderen van deze attitude. Immers: als je een document aanmaakt vanuit ePlaza kies je meteen het juiste sjabloon en worden de meeste metadata automatisch ingevuld. Dat werkt zo niet als je het vanuit Office 365 doet, dus dan heeft de gebruiker meer werk. En natuurlijk vertelt Gul nog veel en veel meer, maar ik concentreer me nu op enkele dingen die ze in de parallelsessie over Delve zegt:

Delve

Delve ontdekt volgens Microsoft nieuwe, relevante informatie en personen op basis van informatie van mensen met wie je samenwerkt en inhoud waaraan je werkt. Het houdt je acties bij in de 365 apps, zoals je zoekgedrag, gebruiksgedrag, agenda en presenteert informatie wat voor jou relevant zou kunnen zijn. Alles op basis van je eigen autorisaties, dus je eigen vertrouwelijke informatie of iets uit je OneDrive wordt niet gepresenteerd aan anderen en ook niet de mailtjes die je aan je baas stuurt. Het bedrijf moet zelf bepalen wat het ziet als vertrouwelijk, zoals bijvoorbeeld de personeelsregelingen: of ik kan zien dat een collega de pagina over zwangerschapsverlof las of niet. Je ziet ook precies wie wat met een document gedaan heeft of wat een chef heeft gezegd in het afdelingsoverleg. Vergeet niet: zakelijke informatie is van je bedrijf, dus het is logisch dat die open is en toegankelijk. Het zal niemand verbazen daar hier weerstand tegen is. Het is Gul’s taak om te helpen die weg te nemen, dus ze heeft voor elk bezwaar ook direct een geruststelling.

Je zoekresultaten veranderen steeds naar mate je met andere dingen bezig bent of met andere mensen samenwerkt. Je eigen profiel is ook een informatiebron voor Delve, inclusief je trainingen; deels kun je dat wijzigen, deel bevat het vaste personeelsgegevens. Hoe meer je doet in Delve, hoe beter het wordt in het vinden van relevante info. Maar... omdat veel informatie ten onrechte ‘vertrouwelijk’ is, zal Delve niet betere resultaten opleveren dan ‘gewoon’ zoeken.

Margreet als Functionaris Gegevens Bescherming zegt hierover: belangrijk is de doelbinding, die moet geregeld worden: waarom doen we het en wat mag men er dan mee en wat niet? Zoals de black-box voor bedrijfsauto’s. Ineens kun je van alles zien over medewerkers. Maar wat mag je daarmee? Beslissing: Niets! Het wordt puur gebruikt voor de belastingdienst en meer niet. Dat helpt bij het krijgen van vertrouwen. Op dit moment overheerst echter de angst. Om betrapt te worden op spelfouten en zo... ‘Vertrouwelijk...’

Privacy - haken en ogen

Eigenlijk zitten we al volop in dit onderwerp, maar de parallelsessie van Margreet over Privacy in de Cloud verklapt dat er nog veel meer is. (Overigens: de sessies over DIV: profilering en champions en over Schonen van netwerkschijven bespreek ik hier niet).

‘Toen we online gingen was het uitgangspunt simpel: persoonsgebonden info gaat niet de cloud in. Supernaief.’ Zoveel informatie is persoonsgebonden en: er zijn niet alleen 600 medewerkers en 780.000 klanten, maar ook honderden leveranciers die allemaal bewerkers zijn in de persoonsgegevens.

De wet en algemene verordening hebben de belangen op scherp gezet. Vroeger waren er boetes van 4500 euro, die werden in het land genegeerd. Nu boetes van 8 ton tot 20 miljoen. En toch is de grootste straf die een bedrijf als PWN zou kunnen krijgen bij een datalek: de imago-schade. Daarom hebben we een functionaris gegevensbescherming, hoewel dat niet verplicht is. Dat wekt vertrouwen. En: klanten hebben geen keuze bij ons, dus we zijn ethisch verplicht.

De rijksoverheid is verplicht om bij ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een PIA, een Privacy Impact Assessment. Daarmee worden de privacyrisico’s vroegtijdig in beeld gebracht. Alleen al bij elke dienst die PWN afneemt - en dat zijn er heel veel - moet zo’n PIA gedaan worden. Als je dat volgens het boekje doet kost het 20 uur per keer, in de praktijk 4 uur, want we gebruiken een methode die in ons werk is ingepast.

Is dat anders in de cloud? Zeker, want er is een ketenverantwoordelijkheid, dus je moet overeenkomsten sluiten met alle schakels in de keten en in de cloud zie je die schakels niet eens. Zelfs de ‘host’ van je data is misschien niet eens de locatie waar de ‘housing’ plaatsvindt en toch moet met iedereen zo’n overeenkomst gesloten worden. En... de data mag niet buiten de EU komen. Hoe borg je dat dan? Waar slaat Microsoft op? Het lijkt OK, maar hoe zie je of het ook zo gebeurt? We ontdekten dat de authenticatie als je je aanmeldt via de USA gaat, dus hoe zit dat met de persoonsgegevens?

En als het inderdaad niet goed gaat? Wat is dan je exit-strategie? PWN heeft die niet. Er moet een 3rd party worden gezocht waar alles naartoe kan worden overgezet, want als je stopt met SharePoint online, moet je binnen 365 dagen alles uit de cloud hebben. Dat is nu onhaalbaar. Dus het was wel even slikken toen het Safe Harbour verdrag werd opgezegd. Gelukkig is er nu het Privacy Shield verdrag.

Een ander puntje: die bewerkingsovereenkomst wordt gesloten met alle partijen, klein en groot. En met Microsoft dan? ‘Kansloze actie.’ Dus valt PWN terug op het privacystatement van Microsoft. Ook dat is een risico. De kans dat het fout gaat is niet groot, maar het is niet oké. Er is dus geen getekend document. Het is niet aantoonbaar dat Micorsoft PWN attendeert binnen 72 uur na een datalek. Aan de andere kant: ‘de huidige situatie is veiliger dan we vroeger ooit konden regelen.’

Tot slot

Het was een prachtige sessie met heel veel openheid en geleerde lessen. Bij de afronding is het hele team van 8 door PWN ingezette medewerkers in het zonnetje gezet en dat verdienen ze absoluut. Hans, Margreet en alle anderen: nogmaals hartelijk dank!

Kijk vooral ook naar de sheets en het fotoverslag!