Wanderings in crisis

Tag: Business Continuity (Pagina 1 van 2)

Veiligheidsrisico’s bij stedelijke verdichting

Leestijd: 9 minuten

De veiligheidsrisico’s bij stedelijke verdichting nemen toe, zo blijkt uit een klein gedachtenexperiment over de voorgenomen uitbreiding van Amsterdam met 20.000 woningen. Maar het grootste risico is misschien wel dat het systeem ‘stad’ fragiel wordt en daarmee gevoelig raakt voor een predictable surprise.

Amsterdam

Twaalf jaar, zo lang heb ik uiteindelijk in Amsterdam gewoond. Van 1993 tot 2005, het grootste deel van die tijd werkte ik voor de brandweer aldaar. Het waren vormende jaren, die goed van pas kwamen toen ik uiteindelijk naar Schiphol overstapte. Waar ik nu nog steeds werk.

In die periode zag ik het geleidelijk aan steeds voller worden in de stad, tot het eigenlijk net te druk werd. Ik woonde in het Oostelijke Havengebied en toen de buurten er omheen ontdekten dat het grasveld aan het water en voor mijn deur zich prima leende als zwembadveldje, was het in de zomer nooit meer rustig. Avond aan avond was er feest en herrie. Als ik de kranten mag geloven is dat nog niet voorbij. Zelfs Douwe Bob bemoeide zich er mee.

Muntplein 1960. Foto ANP

Het zijn de normale taferelen van de grote stad, zo zei men tegen mij. Al helemaal in de gebieden met een hoge stedelijke verdichting. Mensen hebben er geen tuintjes of een buiten en maken gebruik van de voorzieningen die de openbare ruimte biedt. Dat leidt onherroepelijk tot spanningen in een wijk. Zeker als de bewonersgroepen nogal van elkaar verschillen en er hun eigen leefgewoontes op na houden, zonder rekening te houden met anderen.

In een samenleving waar de eigen identiteit en vrijheid breed uitgemeten en gevierd wordt, zoals Hans Boutellier schreef in Het nieuwe Westen, nemen die spanningen alleen maar verder toe. In de krant van 4 februari las ik over een voetbalkooi in Oud West, dat gehalveerd dreigde te worden omdat omwonenden geklaagd hadden over de geluidsoverlast. Dat lieten de ouders niet op zich zitten en in een paar weken tijd waren de gemoederen zo verhit dat beide groepen in staat van oorlog met elkaar verkeerden.

Om een voetbalveldje.

Stedelijke verdichting

Dat worden interessante tijden, dacht ik dus ook toen ik las dat Amsterdam tot 2035 maar liefst 20.000 woningen wil bouwen binnen de gemeentegrens. Bovenop de bestaande woningvoorraad van zo’n 450.000 stuks. Welke veiligheidsrisico’s brengt die stedelijke verdichting met zich mee, zo vroeg ik me af.

Aldus maakte ik deze kleine analyse. Niet om tegen stedelijke verdichting te zijn, iedereen moet tenslotte wonen, maar wel om duidelijk te maken dat die verdichting consequenties heeft. Met die consequenties moet je wat doen, dat kan je niet alleen maar aan de bewoners overlaten.

Inmiddels weet ik namelijk dat de overheid wel vaker hals over kop plannen maakt, die bij iets langer nadenken helemaal niet haalbaar zijn. Dat kan je dus al weten voordat je er mee begint en dan hoef je je dus ook niet te verstoppen achter het Met-de-kennis-van-nu-syndroom.

Kijk bijvoorbeeld naar de elektrificatie van onze energiebronnen. Alles moet op het stopcontact, alleen zit het stroomnet bommetje vol. Er kan voorlopig niks meer bij, totdat over vele jaren de netten weer wat zijn opgeplust. Tot die tijd staan op sommige industrieterreinen de dieselaggregaten te stampen om de bedrijven van stroom te voorzien. Tja.

Vijzelstraat 1960

Dat zou met deze stedelijke verdichting niet zo hoeven gaan als je vooraf een analyse maakt. Waar hebben we dan allemaal rekening mee te houden?

Ik vogelde het uit op de achterkant van een bierviltje.

Taxonomie van ongewenste gebeurtenissen

Daartoe besloot ik eerst mijn definities uit de kleine taxonomie van ongewenste gebeurtenissen er bij te pakken. Voor dit blog beperk ik me dan voornamelijk tot emergencies en disrupties. Dreiging, crisis en polycrisis laat ik er even buiten. Nou ja, misschien een beetje crisis dan.

Een emergency of noodgeval is een situatie met onverwacht en acuut gevaar voor levens en/of grote schade die zo snel mogelijk beheerst moet worden;

Een disruptie is een situatie waarin een sociaal systeem (gemeenschap, organisatie, beleidssector, land) een urgente bedreiging van fundamentele waarden en structuren ervaart, waarbij grote onzekerheid speelt en waarin het nemen van verreikende besluiten nodig wordt geacht;

Crisis is een situatie waarin het vertrouwen van een bevoegd gezag of overheidsinstantie zodanig is verzwakt dat ze geen draagvlak meer heeft om een gecompliceerde disruptie dan wel wicked problems op te lossen.

In de praktijk beïnvloeden emergencies, disrupties en crises elkaar. Net als in andere complexe systemen zitten er ontelbare feedback- en feedforwardloops in, die om het even welke op zichzelf staande gebeurtenis koppelt aan eerdere gebeurtenissen, risicoperceptie, framing en schuldigen. Of niet. Dat is de onvoorspelbaarheid uit VUCA (Volatile, Uncertain, Complex, Ambiguous).

Die complexiteitsexercitie ga ik hier niet maken, het was immers op een bierviltje. Wel som ik een aantal voorzienbare veiligheidsrisico’s van stedelijke verdichting op. Niet uitputtend natuurlijk. Het is allemaal bedoeld ter illustratie.

Emergencies & criminaliteit

Bij stedelijke verdichting zal de frequentie van incidenten toenemen. Er zijn immers meer mensen en dat betekent meer hommeles. Dus meer branden, meer verkeersongevallen, meer lekkages van gevaarlijke stoffen en milieuverontreiniging. Meer mensen die van de trap vallen, een hartaanval krijgen of struikelen over stoepranden.

Kalverstraat 1961. Foto ANP

Misschien neemt het aantal omgevallen bomen wel af. Want die moeten natuurlijk plaatsmaken. In ruil daarvoor krijgen we meer plaagdieren. Als er geen buiten is, gaan ze naar binnen.

Ook de criminaliteit zal toenemen. Meer explosieven aan voordeuren; dat waren er in Amsterdam 91 in 2023 en 127 in 2022. Die hangen samen met steeds meer cocainegebruik en -handel. Wellicht ook meer drugslabs in woonwijken, afpersing, vechtpartijen en oplichting.

Meer (kinder)mishandeling.

Daarnaast zal de onrust tussen groepen in wijken toenemen, zoals we nu trouwens ook al zien. Ik noemde slechts twee voorbeeldjes, over het voetbalveldje en het informele zwembad, maar in de praktijk zijn dat er natuurlijk veel meer.

De omvang van incidenten zal ook toenemen. Woningen staan dichter op elkaar, dus er zullen meer mensen last hebben van de rook bij brand. De te evacueren groep wordt groter, net als de behoefte aan noodopvang. En dan gaan we er maar even vanuit dat de brandpreventie wel op orde is en de branden zelf dus niet makkelijk uitbreiden en overslaan. Wat er van preventieve voorzieningen overblijft bij intensief gebruik laten we maar even voor wat het is.

Escalatie van incidenten zal ook toenemen bij stedelijke verdichting. Deels door samenloop, dus meerdere incidenten tegelijk. Maar ook door grotere groepen op straat, meer agressie onderling als wel tegen hulpverleners en het koppelen van belangen: partijen die nooit samenwerken en elkaar opeens vinden in het tegen zijn.

Samen tegenwerken.

Disrupties & verstoringen

Denk ook aan ‘feesten’ als Koningsdag, Oud & Nieuw, evenementen, bijeenkomsten, activisten en demonstraties. Daar weten we inmiddels van dat die flink uit de klauw kunnen lopen.

Al deze incidenten zullen naast hun primaire schade ook veel secundaire schade toebrengen aan de verdichte stad. Er is immers minder ruimte, minder redundantie om ellende op te vangen of om te leiden. Weer niet bedoeld als volledig, maar wel ter indicatie een kleine greep secundaire veiligheidsrisico’s bij stedelijke verdichting:

Damrak 1961. Foto ANP

Verkeersopstoppingen en omleidingen: Het afsluiten van wegen of straten om ruimte te maken voor hulpdiensten kan leiden tot verkeersopstoppingen en omleidingen in omliggende gebieden. Dit verstoort het normale verkeer in de stad en belemmert de mobiliteit van bewoners, werknemers en bezoekers. Het zal sowieso bij een verdichte stad al moeilijker zijn om goed bij de plaats incident te komen. Toen ik nog bij de brandweer Amsterdam reden we aan van drie kanten in de binnenstad.

Onderbreking van openbaar vervoer: Incidenten kunnen leiden tot de tijdelijke stopzetting of wijziging van openbaar vervoersdiensten, zoals bussen, trams, metro’s of treinen. Dit beïnvloedt de bereikbaarheid van verschillende delen van de stad en verstoort het dagelijks leven van mensen. Hoe groter de verdichting, hoe meer mensen vastlopen en niet meer weg kunnen.

Evacuaties en tijdelijke huisvesting: In geval van ernstige incidenten kan het nodig zijn om gebieden te evacueren en bewoners tijdelijk elders onder te brengen, bijvoorbeeld in opvangcentra of bij familie en vrienden. Dat zijn er in een verdichte stad meer, kijk maar naar wat er bijvoorbeeld gebeurde bij de explosie in Rotterdam op het Schammenkamp. Een typisch voorbeeld van veiligheidsrisico’s bij stedelijke verdichting.

Impact op bedrijven en economische activiteit: Afgezette wegen en beperkte toegang tot bepaalde gebieden zullen bedrijven beïnvloeden, bijvoorbeeld door het verminderen van klantenstromen, het verstoren van leveringen en het belemmeren van werknemers om op het werk te komen.

Infrastructuur

Deze categorieën disrupties volgen uit incidenten en emergencies. Maar er zijn ook verstoringen die te maken hebben met overbelasting van (nuts)voorzieningen en falende (kritieke) infrastructuur. Om er maar een paar te noemen:

  • De vraag naar elektriciteit groeit. Kan het stroomnet dat aan? Hoeveel redundantie zit er uiteindelijk in het systeem? Kan er gecompartimenteerd worden of valt gelijk de hele boel uit?
  • Er zal meer drinkwater nodig zijn. En dat is er nu al te weinig, geven de drinkwaterbedrijven aan.
  • Kan de riolering het aan? De stadsverwarming? Communicatienetwerken?
  • Zijn de vervoerssystemen ingericht op de stedelijke verdichting?

Hoe dan ook, als dit soort infrastructuur uitvalt zullen de effecten door de stedelijke verdichting altijd toenemen. En dan heb ik het nog niet eens gehad over sociale spanningen en onrust in wijken die toeneemt als de bevolkingsdichtheid stijgt.

Maar er is nog iets, en dat besprak ik al eens in dit blog over de complexiteitsprincipes van Casti.

Je moet namelijk de bovenstaande opsomming faalkansen niet zien als op zichzelf staande gebeurtenissen, maar als kenmerken van een complex systeem. Ze hebben met elkaar te maken. Mensen zullen ze met elkaar verbinden, van losse gevallen een reeks of een trend maken, betekenis geven die er misschien niet is (maar dan dus wel).

Complexiteitskloof

Ze zullen het framen, cancellen, boycotten en complotten. Op zoek gaan naar de schuldige. Voor je het weet heb je een crisis en een verzwakt bestuur.

RAI vermoedelijk 1960. Foto ANP

In systeemtermen neemt de complexiteit van het bestuurde systeem dus toe, zou Casti zeggen, onder verwijzing naar de wet van de vereiste variëteit. Het komt er in het kort op neer dat het besturende systeem meer vrijheidsgraden moet hebben dan het systeem dat bestuurd wordt. Deze wet staat ook bekend als de wet van Ashby.

Een systeem kan alleen voortbestaan wanneer het dezelfde of meer variatie heeft als zijn omgeving

wet van ashby

Als het besturende systeem niet mee ontwikkelt met de complexiteit van het bestuurde systeem, zal de complexiteitskloof groeien en de fragiliteit van het totale systeem toenemen. Het komt dan in een situatie die Bazerman in dit blog omschreef als een predictable surprise. Je kunt niet voorspellen wat en wanneer er iets grandioos mis gaat, maar wel dat het niet vreemd is dat er zoiets gebeurt.

En ja, geluk en pech spelen hierin ook een grote rol. Maar alleen omdat het een wankel systeem is geworden waar de veerkracht uit is verdwenen.

Er is gelukkig wel wat aan te doen: de opties en variëteit van het besturende systeem vergroten. Door meer hulpdiensten, betere opleidingen, dikkere infra met meer redundantie, onderhoud op orde, projecten in de wijk, gezondheidszorg en jeugdzorg verbeteren. Om maar wat te noemen.

Van Sidney Dekker leen ik zijn definitie van veerkracht: je moet de grenzen kennen van je bedrijfsvoering (stad), weten wanneer je er overheen gaat en de middelen hebben om terug te sturen.

Ik voeg daar uit mijn eigen praktijk aan toe: en dan moet je het ook nog doen. Dat laatste blijkt altijd het meest lastig.

Overwegingen bij een ICT-storing

Leestijd: 10 minuten

De ICT-storing bij Prorail in het eerste weekend van juni riep allerlei overwegingen bij mij op. Zoals de eerste crisiswet: crisis is koffie + kroketten. Maar belangrijker nog is dat deze storing een signaal is. Een signaal dat we moeten leren omgaan met onzekerheden.

Dit blog kreeg een update op 26 januari 2024. Dat vind je onderaan.

Op de grens van het weekend van 4 naar 5 juni werd de Treinverkeersleiding in Amsterdam overvallen door een ICT-storing. Na de gebruikelijke herstelpogingen gaf het systeem het na een paar uur alsnog op. Het was niet veilig om door te rijden en dus moest het treinverkeer rondom Amsterdam worden gestaakt. Dat was een logische beslissing. Veiligheid gaat in dit soort gevallen altijd voor.

Drukte op Amsterdam CS in 1946

Daarna moest de uitwijk in Utrecht worden opgestart. Dat proces duurde zo’n vier uur. In de loop van de maandag kwam de boel zo weer langzaam op gang. Het euvel werd diezelfde week nog gevonden, zodat in de nacht van 9 op 10 juni de Treinverkeersleiding weer op zijn eigen stek aan de slag kon gaan.

Als ik dit schrijf is het 10 juni en is er geen recent nieuws meer te vinden over de ICT-storing. Daaruit concludeer ik dat het incident nu kennelijk zonder problemen is afgesloten.

Het evalueren kan beginnen.

Crisiskrant

Maar wie goed keek deze week zag dat die evaluatie al proactief was begonnen. Als redacteur van de Crisiskrant volg ik natuurlijk alles in de pers wat tot een crisis kan leiden en zodoende viel mijn oog op een uitgekiende reconstructie in de Volkskrant van 9 juni 2023.

Uitgekiend, omdat dit interview met de ICT directeur Arjen Boersma een goed voorbeeld is van wat ik in dit blog Blue Ocean Crisiscommunicatie heb genoemd. Dat komt er in het kort op neer dat je een rustige plek moet zoeken om proactief de discussie naar je toe te trekken. Laat anderen reageren op jou, in plaats van dat jij moet reageren op de rest. Zo kom je voor het incident uit, in plaats van dat je er achteraan moet rennen.

Je zou het ook framen kunnen noemen. En daar is helemaal niks mis mee.

Glimlachend las ik dus het verhaal van ProRail en hun ICT directeur. Geschreven als een spannend verhaal met een vreedzaam begin, een onverwachte gebeurtenis en daarna dappere ICT’ers die het kwaad bevochten, zich terugtrokken op een nieuwe linie en daarna alsnog het beest wisten te temmen; één of ander lullig stukje hardware dat net niet kapot genoeg was om direct op te vallen en zodoende vanuit zijn loopgraafje de boel in het honderd kon laten lopen.

Doch dat was buiten de onversaagde ridders van ProRail gerekend. Het boosaardige transcievertje werd alsnog ingerekend. Eind goed, al goed. Directeur Boersma kon eindelijk aan zijn welverdiende gekoelde Paulaner beginnen, die al sinds zondag in de koelkast lag te wachten.

Opluchting op de website van Prorail als de storing is verholpen

Wij herkennen hier natuurlijk direct de dramaboog van Freytag in. Ik zeg: goed gedaan van Prorail.

Tijd voor wat overwegingen bij deze ICT-storing.

Overwegingen bij een ICT-storing

Deze overwegingen zijn geen waardeoordeel en slechts gebaseerd op verhalen uit de krant en wat eigen ervaringen. Zie het meer als associaties, alsof we zojuist een oefening hebben afgerond en nu met elkaar reflecteren. Eigenlijk zoals de barmhartige onderzoeker zich zou moeten opstellen.

  • De eerste trigger uit het verhaal was die Paulaner. Dat was mijn kennismaking met de Duitse weizenbieren. Geen blond, geen wit maar wel lekker. Na veel evaluaties geef ik toch de voorkeur aan Erdinger.
  • Personenvervoer is in de loop der jaren een complexe business geworden. De vraag steeg harder dan het aanbod en er zijn daarom veel ondersteunende systemen nodig om het benodigde volume te managen. Dat betekent dat er op 100% moet worden gedraaid om alles voor elkaar te krijgen. Elke nulproductie, hoe kort ook, moet verderop weer worden gecompenseerd, wat onherroepelijk tot verstoringen leidt: de productie loopt uit, er blijven mensen over of er moet worden geannuleerd. Veel meer keuze is er eigenlijk niet.
  • Er is sprake van wat ik een metastabiel evenwicht noem. Je moet het totale systeem schragen met maatregelen om de gewenste doelen te realiseren. Zonder die schragen lukt het niet. Maar die schragen vormen een faalfactor op zichzelf. In zo’n vol systeem is een ICT-storing meer of minder niet ongewoon. Kortom, een metastabiel evenwicht heeft een grotere kans op falen dan een stabiel systeem met hetzelfde volume.
  • Je krijgt gewoon meer single points of failure. Meer plekken in je proces die de boel voor 100% kunnen platleggen.
  • Daarnaast is er sprake van de kwetsbaarheidsparadox, ook wel als veiligheidsparadox aangeduid. Dankzij die hulpmiddelen kun je verder en harder dan je had gekund zonder. Maar de consequentie is ook dat je dieper in de penarie zit als de boel ermee stopt. Niet alleen de kans is dus groter bij een metastabiel systeem, ook het effect neemt enorm toe. Het is een fragiel systeem geworden.
  • Eigenlijk zijn er maar drie beheersstrategieën voor dit probleem: redundantie (in tijd en ruimte), multifunctionaliteit (of flexibiliteit, ook goed) en recovery. Nou ja, OK, vier: een combinatie van die drie.
  • Maar die moet je wel vooraf inregelen. Anders loopt het alsnog in het honderd. Denk niet dat je er lekker al improviserend uitkomt. Dat kom je niet.
  • Over redundantie en multifunctionaliteit ga ik het nu niet hebben. Wel over recovery. Want dat is namelijk disruptiemanagement. Hoe ga ik om met een verstoorde treinenloop en manage ik de drie effecten uitloop, annuleringen en overblijvers?
  • De eerste stap is het onderkennen van de verschillende soorten incidenten die zich verstopt houden in de ongewenste gebeurtenis. Emergency, disruptie, dreiging en crisis, je leest er alles over in dit blog.
  • De ICT-storing is in deze terminologie van de ongewenste gebeurtenis een emergency. Je hebt speciale vakkennis nodig, een oplosstrategie, opschaling, (externe) servicepartijen en ga zo maar door. Voor het publiek is dit een onzichtbaar noodgeval. Mooi uit de doeken gedaan in het verhaal van de Volkskrant. In ieder geval een tipje ervan.
  • Wat wel zichtbaar is, is de disruptie. Die komt in de krant, op TV en social media. Overal foto’s en plaatjes van een falend incidentmanagement. In dit geval verwacht je dus minimaal twee teams die aan de slag gaan. De ene met de emergency, de andere met de disruptie. Uit het verhaal lees ik daar verder niets over. Maar the absence of evidence is niet the evidence of absence.
  • Ik zou persoonlijk meerdere disruptieteams inzetten. Bij elk getroffen station één. Wie weet is dat ook wel gebeurd. Hoe dan ook zijn de verschillen tussen de aanpak op Amsterdam en Utrecht wel opvallend.
  • Hier heeft de NS natuurlijk ook een rol in. Ook in ons vak is het een bekend vraagstuk. Valt de opvang van passagiers bij de airline (NS) of airport (Prorail)? En wat is de rol van de overheid hierin? Is er in deze een taak weggelegd voor het proces bevolkingszorg? Waar liggen de grenzen? (altijd ergens anders dan in het plan staat).

Dynamieken

  • Zodra je twee of meer incidenten hebt geformuleerd, gaan die ieder hun eigen weg met hun eigen dynamiek. Het hangt met elkaar samen, beïnvloedt elkaar maar niet in seriële causale verbanden. Het is dus onmogelijk om zo’n disruptie vanuit één plek te besturen met slechts één opschalingsniveau. Ook op je disruptiemanagement zal je moeten opschalen, niet alleen bij emergencies.
  • Krijg je dan niet heel veel teams? Ja. Maar dat is de consequentie van je ontwerpkeuzes. Als je over onvoldoende redundantie en multifunctionaliteit beschikt, moet je dus een ruimvallende recoveryjas aantrekken. En die ook oefenen.
  • En ook niet vergeten: personenvervoer = veel mensen = veel social media. Wie personen vervoert, vervoert ook meningen. Bij een disruptie zijn de getroffenen geen slachtoffer, maar actor. Zelfstandige eenheden in een zwerm met een communicatie capability die ver uitsteekt boven wat jij als organisatie in je eentje aan kan.
  • Dan hebben we het nog niet eens over crisismakelaars gehad.
  • Regel dus vrienden voor je ze nodig hebt.
Rangerende treinen in 1932
  • Wat elke crisismanager verder moet weten is de eerste crisiswet: crisis is koffie + kroketten. Regel in het redelijke gratis versnaperingen, maaltijden, koffie, veldbedden of whatever je kan verzinnen. Personenvervoer is zorg voor mensen. Ook als de boel stilvalt.
  • Wat Prorail natuurlijk prima voor elkaar heeft is die back-up. Die deed het gewoon na vier uur.
  • Hooguit zou je kunnen zeggen dat dat proces eerder opgestart had kunnen worden. Parallel Amsterdam herstarten en Utrecht opstarten. Let hierbij wel op de retrospectieve vertekening. Achteraf lijkt zoiets logisch. Maar hoe vaak zijn er geen vergelijkbare verstoringen die wel na een uur zijn opgelost?

De belangrijkste overweging bij deze ICT-storing is dat we moeten leren omgaan met onzekerheden. Zowel de aanbieders van personenvervoer als de gebruikers. Als er zo’n enorm en nog steeds groeiend beroep wordt gedaan op vervoersmodaliteiten, dan stuit elk systeem op enig moment op een grens waar meer technische oplossingen geen uitkomst meer gaan brengen. Dan moet je dus het systeem aanpassen, of accepteren dat het af en toe niet gaat zoals je wilt.

In die zin is deze ICT-storing dus ook een signaal. Laat dat niet verloren gaan.

Update 26 januari 2024: Rode Koningin

In de week van 22 januari 2024 waren er meerdere grote stroomstoringen achter elkaar. Dat riep de vraag op of het toeval was, of dat alles met elkaar te maken had.

Het begon op maandag met een grote stroomstoring in Amsterdam. Ruim 68.000 huishoudens zaten lang zonder stroom. Ook een groot deel van de trams kon niet rijden.

Dinsdagavond viel de stroom opnieuw uit, nu bij zo’n 57.000 adressen. Gelukkig duurde het niet lang en was de voorziening snel hersteld. De netbeheerder sloot niet uit dat er deze week nog meer storingen zouden volgen. Dat had met het weer te maken, zei Liander.

De grondwaterstand was veel hoger dan normaal, waardoor kabels in het water komen te liggen. Kleine beschadigingen kunnen zodoende tot kortsluiting leiden. Bovendien bleek een kachel in de centrale aan de Hemweg het niet te doen, waardoor er vocht was neergeslagen in systemen. Ook dat is het gevolg van metastabiele evenwichten, zoals ik hierboven beschrijf.

Toevallig, zo lijkt het achteraf, was er ook een stroomstoring bij Abcoude in systemen van ProRail. Daardoor viel de aansturing van wissels en seinen uit. Bovendien bleken andere systemen aangetast in hun werking, waardoor het verkeersbeeld niet eenduidig was.

In de krant las ik dat het over een voeding ging die uitviel en toevallig viel de back up voeding uit uit. Waarna het hele systeem faalde. Met als gevolg dat het treinverkeer rondom Utrecht volledig uitviel voor enkele uren. Precies in de spits. De effecten daarvan lijken enorm veel op de hier boven beschreven situatie.

Alles bij elkaar zou je kunnen zeggen dat het toeval is. Er is geen directe link tussen de twee gebeurtenissen. Maar je zou ook kunnen zeggen dat er wel een verband is. In de veiligheidskunde ga je bij ongevallen (soms) op zoek naar basisrisicofactoren. Om de onderliggende oorzaken van ongewenste gebeurtenissen te elimineren.

In 1961 kreeg Utrecht CS nieuwe aanwijsborden. Electrische.

Dat kan je ook loslaten op dit soort ongewenste gebeurtenissen. En dan kom je al heel gauw terecht bij zaken als overbelasting, achterstallig onderhoud, complexe systemen en metastabiel evenwicht. Er is zoveel tijd en energie nodig om datgene wat er al is in goede vorm te houden, dat je eigenlijk nauwelijks ruimte hebt om te verbeteren.

Daarin herkennen we het principe achter de Rode Koningin en de Collapse of Complex Societies. Dat geldt niet alleen bij Tennet, ProRail en de NS, maar eigenlijk bij alle grote infrastructurele bedrijven.

Gezien de middelen, klantvraag en wettelijke beperkingen die dit soort bedrijven hebben zijn de hier beschreven storingen nauwelijks te voorkomen. Ze zijn een gevolg van wat de samenleving overheeft voor de instandhouding en uitbreiding van infra.

Dat is overigens geen waardeoordeel, maar een constatering. Ik snap heel goed dat je niet onbeperkt geld in een systeem wil stoppen. Maar dan moet je ook accepteren dat het af en toe dus mis gaat. Daar is trouwens ook niks mis mee, zolang het veilig blijft. Want daar ligt wel de grens van wat acceptabel is.


Dit blog is onderdeel van een serie over disruptiemanagement. Andere interessante blogs over dat onderwerp zijn Dikke BOB is voor Disruptie, Beginselen van disruptiemanagement en Beheersbaarheid van disrupties. Kijk ook even bij deze link, daar vind je nog meer blogs over crisis- en disruptiemanagement.

Kennisveiligheid

Leestijd: 3 minuten

Kennisveiligheid is een betrekkelijk nieuwe loot aan de stam van integrale veiligheid. Ik had er tot voor kort niet in deze termen over nagedacht. Toch is het een zeer relevant onderwerp en onderdeel van het kwetsbaarheidsspectrum van een organisatie waar zomaar eens een crisis uit kan rollen. Daarom beginnen we met Abdul Qadir Khan.

Abdul Qadir Khan was 16 toen hij met zijn ouders van India naar Pakistan emigreerde. Hij kon goed leren en toen hij zijn studie aan de universiteit van Karachi had afgerond, vertrok hij naar Europa om verder te studeren. Na zijn promotie aan de universiteit van Leuven kwam hij in 1972 in dienst bij het Fysisch Dynamisch Onderzoekslaboratorium (FOD), waar hij veel werkte aan projecten voor Urenco.

In 1984 bezocht Pieter van Vollenhoven Urenco. Foto ANP Anefo

Urenco. Misschien dat er nu een belletje gaat rinkelen, want u vroeg zich al af wat u met dit verhaal moest.

Nou, die Khan stal de geheimen van Urenco waarmee Pakistan uiteindelijk een atoombom kon bouwen. Dit soort ontwikkelingen doet wat met de geopolitieke verhoudingen in de wereld. Kennis is een strategisch goed, net zoals grondstoffen en aardgas dat zijn. Met als specifiek kenmerk van kennis: je kan het jatten zonder dat de eigenaar het mist. Dat gaat met aardgas en aardolie niet lukken.

Daarom is er nu de Nationale Leidraad Kennisveiligheid. Daarin wordt de volgende definitie van kennisveiligheid gegeven:

Bij kennisveiligheid gaat het allereerst om ongewenste overdracht van sensitieve kennis en technologie. Overdracht is ongewenst als deze de nationale veiligheid van ons land aantast. Daarnaast gaat kennisveiligheid om heimelijke beïnvloeding van onderwijs en onderzoek door statelijke actoren. Deze inmenging brengt de academische vrijheid en de sociale veiligheid in gevaar (..)

leidraad kennisveiligheid

Dual-Use

De leidraad richt zich met name op zogenaamde dual-use situaties. Onderzoek en kennis naar civiele toepassingen die ook militair gebruikt kunnen worden. Om dat wat verder te concretiseren worden de volgende tien aandachtsgebieden benoemd:

  • Nucleaire goederen;
  • Speciale materialen en aanverwante apparatuur;
  • Materiaalverwerking;
  • Elektronica;
  • Computers;
  • Telecommunicatie en “informatiebeveiliging”;
  • Sensoren en lasers;
  • Navigatie en vliegtuigelektronica;
  • Zeewezen en schepen;
  • Ruimtevaart en voortstuwing.

Niet alle instellingen staan te trappelen om de leidraad toe te passen. Ook de VSNU, het gezamenlijke universiteitsclubhuis, verkondigde dat de universiteiten ten onrechte worden opgescheept met geostrategische en veiligheidsproblemen. Waarmee ze maar weer lieten blijken dat het simpele feit dat je voor een universiteit werkt je niet persé slimmer maakt.

Want wie anders dan de kennissector zelf weet wat de risico’s van een bepaalde technologie zijn? Net zoals je inventariseert op onder andere straling, besmetting en giftigheid check je ook wat je met jouw kennis kunt doen als het in verkeerde handen valt. Dat lijkt mij niet meer dan logisch in een steeds vijandiger wereld.

Overigens gaat de kennisveiligheid verder dan dual-use. Geopolitieke afhankelijkheden zitten ook in concurrentievoordelen of überhaupt de deskundigheid en vaardigheid om bepaalde technologie te bedenken, ontwikkelen en toe te passen. Denk aan ASML maar ook aan innovaties op het gebied van kunstmatige intelligentie. Daar wordt nu ook met strategische blik naar gekeken.

Kennisveiligheid geeft de traditionele risicoanalyse dus een hele nieuwe twist door die ene vraag: hoe kun je de geïnventariseerde risico’s rondom kennis misbruiken? Als die vraag in de jaren 70 was gesteld, had Khan’s diefstal wellicht voorkomen kunnen worden. Het is kennelijk nog steeds zo dat er eerst iets moet gebeuren voor er maatregelen worden genomen. In die zin is de Leidraad Kennisveiligheid zeker belangrijk, maar rijkelijk laat.


Dit blog verscheen in iets gewijzigde vorm als column in de NVVK info. Andere blogs die op het onderwerp van interne kwetsbaarheden ingaan zijn De onnodige crisis, Tot crisis gemaakt en Insider risk, door slordigheid crisis.

Onnodige crisis door fraude of wanbeleid

Leestijd: 8 minuten

De onnodige crisis roept een bedrijf volledig over zichzelf af. Door fraude, het overtreden van regels of verkeerde overnames. Niet zelden is er tegelijkertijd sprake van te grote ego’s en wanbeleid. Maar ook onnodige crises moeten gemanaged worden en dat gaat soms anders dan regulier crisismanagement. Alhoewel het net zoals bij reguliere crises altijd begint met situation awareness en het organiseren van voldoende opties. Dus misschien is het toch niet zo heel erg anders; just don’t be the turkey.

Al jaren volg ik de lotgevallen van Gerard Sanderink, een vermogend ondernemer die onder andere eigenaar is van Oranjewoud, Strukton en Centric. Nadat hij een relatie had gekregen met Rian van Rijbroek, in de media veelal aangeduid als ‘de zelfbenoemde cyberexpert’, ging er opeens van alles mis in die bedrijven. Ruzies, opstappende MT’s en ongerustheid bij klanten over de continuïteit van de dienstverlening.

In alle gevallen was er sprake van een onnodige crisis, veroorzaakt door het eigen handelen van Sanderink en Van Rijbroek. Misschien niet direct van het kaliber Zwarte Eend, maar toch op z’n minst wel een gevalletje ‘tot crisis gemaakt’.

Door Zonnekoningengedrag.

Ik weet nog dat ik eens op een workshop over crisismanagement was, een paar jaar geleden. Veel brandweer en politie aldaar, met spannende verhalen over branden, gijzelingen en rampen. Aan tafel zat ook een vertegenwoordiger van een politieke partij, die zich in eerste instantie wat op de vlakte hield. “Wij maken niet van dat soort crises mee”, zei hij, “het is allemaal veel kleiner.”

Nachtmerrie

Maar na enig aandringen vertelde hij toch over de grootste nachtmerrie van zijn partij: bestuurders en kandidaat-bestuurders die hebben gelogen over zichzelf en/of kwesties waar ze bij betrokken bewaren. Met als goede tweede de partijgenoten die op elkaar gaan jagen en de vuile was buiten hangen. Bijzonder lastig te managen als het eenmaal zover is. Zonnekoningengedrag manifesteert zich namelijk pas als iemand de macht heeft en voor die tijd is het vrijwel niet te herkennen.

Als op het randje over het randje wordt. Interpretatie van DALL-E

Maar het is wel een onnodige crisis.

Bij Centric is Sanderink inmiddels van de troon gehaald door de Ondernemingskamer, een uitzonderlijk besluit. De raadsheren twijfelden of hij nog in staat was rationele beslissingen te nemen over een bedrijf met veel grote belangrijke klanten als de overheid, ASML, De Nederlandse Bank en daarnaast nog eens 2500 werknemers.

Als vervanger werd Peter Wakkie benoemd. Die wordt wel vaker opgetrommeld als bedrijven zich in een benarde positie bevinden. Zoals indertijd bij Ahold, TomTom, ABN Amro en Zed+. Vaak door fraude of wanbeleid, maar ook bij internationale compliance problemen en aansprakelijkheidskwesties. Veelal onbedoelde effecten van bewust beleid; wat op het randje was gaat er dan opeens overheen.

Oeps.

Een onnodige crisis, maar daarom niet minder klein.

Wakkie managet dat soort crises met een advocatenbril. Da’s een andere bril dan die van mij. Juist daarom is het interessant om te zien hoe hij te werk gaat. Ik duinde dus eens wat gras en destilleerde daaruit dit rijtje aandachtspunten. Om het eens van een andere kant te bekijken.

Onnodige crisis

Niet dat daarmee andere tips en werkwijzen opeens onwaar zijn geworden. Zie het meer als een optie, een mogelijkheid. Voor in de toolbox, als je een onnodige crisis tegenkomt. Hoe meer opties je hebt, hoe minder fragiel je wordt.

Volgens Wakkie zijn er diverse soorten crises:

Je hebt de financiële crisis, waarbij het bedrijf er slecht voor staat, convenanten met banken worden geschonden en er liquiditeitsproblemen zijn. Meestal kun je zo’n crisis wel op tijd zien aankomen. Dan heb je de internationale crisis vanwege een schending van sanctiewetgeving, een Liborkwestie, of corruptie dan wel fraude in het buitenland. Een ander soort crisis ontstaat als activistische aandeelhouders een bedrijf willen opsplitsen. En je hebt crises die heel erg sectorgebonden zijn. Een lekkage in de golf van Mexico zal een softwarebedrijf niet snel overkomen.

Die sectorgebonden crises vormen de hoofdmoot van deze website. Over die andere drie heb ik het een enkele keer gehad, zoals hier over de sjoemelsoftware van VW. En nu weer

Het type crises waar Wakkie het voornamelijk over heeft liggen allemaal op het gebied van compliance, frauduleus handelen en license to operate. Die noem ik onnodig; als je je aan de wet houdt zullen ze je niet overkomen. Desalniettemin is het een crisis en die moet wel bestreden worden. Houd er rekening mee dat dat trouwens lang kan duren. Het kost zomaar vier jaar om over een fraudezaak heen te komen.

Het rijtje van Wakkie

Het rijtje van Wakkie is een serie tips die passen bij het type crisis die Wakkie hierboven heeft genoemd. Hij heeft het niet letterlijk allemaal precies zo gezegd; het is een samenvatting uit diverse interviews die er in de loop der jaren verschenen zijn, met zo hier en daar een aanvulling. Voor een handboek Wakkie teken ik ongezien in, maar omdat die niet bestaat moeten we het voorlopig met onderstaande punten doen.

Kalkoenen achtervolgd door bankiers, Andy Warhol style. Interpretatie DALL-E
  • Bereid je voor. Het is een illusie om te denken dat er nooit iets zal gebeuren op het gebied van fraude en compliance in jouw bedrijf. (Denk aan de Regel van Hermans!). Wet- en regelgeving wordt steeds complexer, waardoor je die ook eerder kunt overtreden. Helemaal bij internationaal opererende ondernemingen. Ga daar heen. Kijk hoe men in die vestigingen werkt, of er loyaliteit is, of mensen klagen, of ze de beloning acceptabel vinden. Zoek uit waar de sancties het zwaarste zijn en waar een eventueel falen het ernstigst is, de grootste consequenties hebben. Simuleer dat soort scenario’s in trainingen. Wat als je onvriendelijk wordt overgenomen door een concurrent, wat als je een frauderend bedrijf in Amerika hebt gekocht, wat als je topman wordt ontvoerd tijdens een buitenlandse reis en de aandelenkoers daardoor sterk daalt? Wat als YouToo?
  • Communicatie. Wees terughoudend in je communicatie zolang je niet weet wat er aan de hand is. ‘Zeg dat je het serieus neemt, dat je grondig onderzoek doet, dat je meewerkt met de autoriteiten. En verder niks.’ Beken ook geen schuld, want dat kost je gelijk claims. Van vroegtijdige verklaringen krijg je altijd spijt als het dossier zich verder ontrolt en er nieuwe feiten boven tafel komen die eerdere verklaringen tegenspreken. Dat ondermijnt het vertrouwen nog verder. Al helemaal als er verschillende kwesties tegelijk spelen. Voor je het weet zit je dan in een polycrisis. Let er tot slot op dat degene die communiceert begrijpt waar het over gaat, inhoudelijk deskundig is. Miscommunicatie is veelal de oorzaak van allerlei ellende in het crisismanagement.
  • Excuses. Als je toch excuses wilt of moet aanbieden, laat het dan door je CEO doen en niet een onderdirecteur of iemand van Communicatie. Soms zijn excuses een eis van de toezichthouder in een schikking. De CEO is voor hen het gezicht van het bedrijf en dan wekt het de indruk dat de kwestie serieus wordt aangepakt. Dat is belangrijk voor het vertrouwen, niet alleen voor die van de publieke opinie en toezichthouders, maar ook die van aandeelhouders. Koersverlies op aandelen kan namelijk veel geld laten verdampen en een keten aan andere financiële consequenties veroorzaken.
  • Cash. Cashflow is het belangrijkste middel dat een bedrijf in een financiële crisis nodig heeft. Cash om schikkingen te treffen, je productie op orde te houden, schulden en leningen te financieren, leveranciers te betalen, rechtszaken te voeren, enzovoorts. Zonder cash val je gewoon om, zoals eerder bleek bij Imtech in 2015. Daar weigerden banken nog verder te financieren omdat ze er geen vertrouwen meer in hadden.
  • Crisisteam. Zorg voor een klein team dat snel besluiten kan nemen en wendbaar is in zijn activiteiten. Formeer dat team rondom de CEO. Daarnaast de CFO, een commissaris, iemand van de communicatieafdeling en het hoofd juridische zaken. Die vijf moeten het doen. Zeker de bedrijfsjuristen moeten goed zijn aangesloten, al helemaal als je crisis deels in het buitenland plaatsvindt. “Het procesrisico in Amerika valt niet te onderschatten. Daar hebben we in Europa maar weinig weet van.” Waak er ook voor dat de externe advocaten de boel niet overnemen en houd ze uit de buurt van de commissarissen als het crisisteam er niet bij is.
  • Onderzoek. Laat intern onderzoek verrichten door een advocaat. Die hoeft niet alle gegevens met de autoriteiten te delen. Maak van tevoren duidelijk wie het hele rapport te zien krijgen en wie alleen de conclusies. Slachtoffer geen eigen mensen, want er moet vertrouwen blijven bestaan in het management. Als de overheid ook onderzoek gaat doen dan kan het lang gaan duren. Ondertussen moet het bedrijf wel gewoon door kunnen, dus regel je license to operate met de toezichthouder. En verander je bedrijf niet van naam. In de pers wordt je dan tot in lengte van dagen toch met de oude naam geconfronteerd en daarmee komt het vertrouwen niet echt terug.
  • Denk na. Tijdens een crisis moet je rationeel blijven, het probleem beheersbaar zien te krijgen. Psychologie is dan heel belangrijk. Hoe zitten je mensen in het bedrijf in elkaar, hoe zitten de teams in elkaar; is er vertrouwen, loyaliteit? Je moet blijven nadenken, dat is misschien wel het moeilijkste wat er is. Iedereen wil altijd direct in de actiestand, want dan denk je dat je iets nuttigs aan het doen bent. Maar vaak is dat helemaal niet waar. Als je nadenkt, kun je ook besluiten om dingen juist níet te doen. Of op een ander moment. Nadenken is ook timen. En tijd nemen, want voorlopig ben je er toch nog niet vanaf.

Leef na of leg uit

Naar aanleiding van diverse fraudezaken is in Nederland de code Tabaksblat opgesteld voor beursgenoteerde bedrijven omtrent hun corporate governance. Daar zitten regels in die de kans op fraude moeten verkleinen. Voor deze code geldt ‘leef na of leg uit’.

Onnodige crisis
Nicholas Taleb die een kalkoen achtervolgt. Interpretatie van DALL-E

In meerdere sectoren worden inmiddels de regels steeds strakker getrokken, zoals de witwasregels bij banken. Dat er hierdoor meer fraudezaken aan het licht zullen komen is onvermijdelijk. Wie regels zaait, zal overtredingen oogsten. Maar als je systemen niet wilt laten ontsporen zul je ze moeten reguleren, om excessen te voorkomen. Niets doen is geen optie.

Hierdoor ontstaat een interessante paradox. Door het aantrekken van regels om fraude en een onnodige crisis te voorkomen is de kans juist groter geworden dat die crises zich daadwerkelijk gaan voordoen. Met wel als mogelijk voordeel dat de fraude of non-compliancy eerder wordt ontdekt en de schade zodoende beter beheersbaar blijft.

Dat een crisis onnodig is, maakt het dus niet persé onmogelijk. In die zin is het ook gewoon een crisis als alle andere: één van de dreigingen voor je strategische doelen of zelfs levensvatbaarheid van je organisatie. Als het goed is heb je dat door een goede corporate governance al in de gaten voor de crisis zich ontrolt en kan er geen sprake zijn van een Black Swan.

Of zoals Taleb het zei: don’t be the turkey. En anders kun je altijd nog je boot verkopen.


Over fraude en onnodige crises schreef ik eerder al dit blog over de sjoemelsoftware van VW. Ook gerelateerd hieraan is het verhaal over het vulnerable system syndrom, verraad en vergiftiging en Insider risk, door slordigheid crisis.

Beheersbaarheid van disrupties

Leestijd: 15 minuten

De beheersbaarheid van disrupties wordt op twee momenten bepaald. De eerste is bij het ontwerp en onderhoud van het systeem als geheel. Dat is de structurele beheersbaarheid van disrupties. Er is ook een incidentele component. Die zit in het dagelijks gebruik en monitoring van de performance van het systeem. Voor beide momenten geldt: zorg dat je de boel proactief (bij)stuurt. Anders loop je achter de feiten aan. En dat gebeurt sneller dan je lief is.

In dit blog wordt met disruptie een verstoorde bedrijfsvoering bedoeld, waardoor er minder tot geen producten of diensten geleverd kunnen worden. Zie voor het onderscheid tussen disrupties, dreiging, emergencies en crisis dit stuk over de kleine taxonomie van de ongewenste gebeurtenis.

Structurele beheersbaarheid van disrupties

Laat ik dit blog over beheersbaarheid van disrupties eens beginnen met een vraag: hoe lang moet je in een file staan voordat je besluit uit te stappen en je auto achter te laten? 12 uur? 24 uur? Twee dagen? Drie? Tien? Denk daar eens over na. Waar ligt jouw grens?

Om die vraag verder uit te diepen gaan we eens flink over de grens heen. De langstdurende file ooit stond in 2010 in China en duurde tien tot twaalf dagen, de berichten zijn er niet eenduidig over. Per dag reed de gemiddelde auto niet meer dan één kilometer. Kennelijk bleven de meeste mensen dus gewoon zitten en stapte er niemand uit.

Nieuwe vraag: nu je dit weet, zou je dan langer blijven zitten als het jou overkwam?

De oorzaak van deze enorme disruptie in China was een combinatie van overvloedig autoverkeer door drie nationale feestdagen met onhandig geplande wegwerkzaamheden. Net op het moment dat je maximale capaciteit nodig hebt, wordt die beperkt door wegversmallingen en afzettingen.

Ook slechte planning kent dus gradaties tussen grofweg ‘een beetje’ (jammer) en ‘kan niet slechter’ (stupide). De beheersbaarheid van disrupties is in de laatste situatie feitelijk minimaal.

In Nederland staan er net zo goed regelmatig lange files. De drukste avondspits ooit was op 22 januari 2019, met zo’n 2300 kilometer aan voertuigen in een rij. Volgens het AD stonden mensen ‘wel tot 100 minuten vast’.

File bij grensovergang Bergh door controle van douaniers met Pasen, 1971. Foto Anefo ANP.

De commentaren op social media zijn bij dit soort gebeurtenissen vaak niet van de lucht, waarbij de ondertoon niet zelden is dat we een maatschappij van slapjanussen zijn geworden. Een beetje sneeuw, en de boel blokkeert. Blaadjes op de rails, en de treinen staan stil. Beetje zijwind, en de luchthaven ligt plat. Televisieshow met een inbelnummer en het telefoonnet valt uit.

Maar het gaat in de zeer nabije toekomst niet blijven bij dit soort disrupties. Zo is In Nederland het elektriciteitsnet bijna vol; in sommige gebieden rondom Amsterdam en Utrecht kunnen nieuwe aanvragers niet aangesloten worden. Nog zo’n schaarste: tijdens de langdurige droogte in de zomer van 2020 dreigde een tekort aan drinkwater, vooral op piekmomenten. En dit jaar, 2021, is een tekort aan gas in de maak en stijgen de prijzen tot recordhoogte.

Een laatste voorbeeld over lastige beheersbaarheid van disrupties. Nu de economie weer opstart na corona en achterstanden ingelopen moeten worden, naken er tekorten aan een breed spectrum van goederen. Van papier, personeel, brandstof, zeecontainers en zuurstofflessen tot aan fietsen en sperma: allemaal lange wachttijden en hoge prijzen.

Capaciteit

De rode draad in al deze situaties is dat ze te maken hebben met capaciteit van infrastructuur in de breedste zin van het woord. Capaciteit van productie, snelwegen, rails, luchthavens, hoogspanningsnetten, gasleidingen, supply chains, noem maar op.

Al die infrastructuur is ontworpen of ontstaan op een bepaalde vraag die over soms tientallen jaren is ingeregeld. Als het goed gedaan is, kent zo’n systeem overcapaciteit dan wel buffers om gedurende korte tijd extra veel te leveren.

Maar overcapaciteit en buffers kosten geld. Geld dat volgens economische principes als JIT (Just In Time) niets oplevert en dus geëlimineerd moet worden. En wat dan ook breed uitgemeten wordt met allerlei propaganda en leuke spelletjes.

Ik zie mezelf nog staan tijdens zo’n JIT game, waarin je met kanban kaartjes een productiesysteem herontwerpt en oh, eureka, alle tussenvoorraden kunt opheffen. Niemand die erbij vertelde wat er gebeurt als die strakke keten wordt onderbroken door een vastzittend containerschip in het Suez kanaal of een productiestop door een elektriciteitsstoring.

Tekort aan capaciteit ontstaat echter niet alleen door kwetsbare principes als JIT, maar ook door een steeds groeiende belasting van bestaande infrastructuur. Naarmate de vraag naar een product of dienst blijft stijgen en bestaande infra niet wordt uitgebreid, komen tolerantiegrenzen in zicht en zal het systeem structureel op maximale kracht moeten gaan functioneren.

Interventiemomenten

Daarmee vervalt de ingebouwde redundantie en flexibiliteit en is er feitelijk sprake van een constante piek. Dalmomenten zijn afwezig en recuperatie is niet meer mogelijk. Met een paar sneeuwvlokjes op de weg en blaadjes op de rails stort het bouwwerk dan met donderend geraas in. De structurele beheersbaarheid van disrupties is dan grotendeels verdwenen. Er zijn onstabiele systemen ontstaan.

Hinder door sneeuw op 8 januari 1985. Foto Rob Bogaerts ANP

De coping strategie die rest is recovery. Dat kan overigens een prima strategie zijn, als je er bewust voor kiest. Inclusief bijbehorende voorbereiding, planvorming en communicatie. Maar meestal overkomt de instabiliteit een organisatie gewoon. Door te late herkenning en erkenning van de problematiek, aangevuld met te trage besluitvormingstrajecten voor een tijdige investering in een adequate upgrade.

De structurele beheersbaarheid van disrupties kent in die zin twee majeure interventiemomenten. Allereerst bij het ontwerp, waar de capaciteit van het systeem wordt bepaald. Inclusief de verwachte pieken en dalen en de daarbij horende strategieën redundantie, flexibiliteit en recovery.

Het tweede moment is bij de groei van de productie en het dichtslibben van het systeem. Waarbij de vraag komt bovendrijven op welk moment de stoplapjes gaan falen en de disrupties onbeheersbare trekken beginnen te vertonen.

Sterker nog, sommige systemen kunnen niet eens meer ‘natuurlijk’ functioneren zonder stevige technologische beheersmaatregelen. Daarmee ontstaat er een metastabiel evenwicht: er moet al keihard gewerkt worden om überhaupt een systeem overeind te houden voordat het gaat produceren, laat staan dat er nog eens externe complicaties bijkomen. In dit blog over de ellende van escalatie- en complicatiefactoren lees je er meer over.

Het principe van een metastabiel systeem lijkt veel op de veiligheidsparadox. Daar zijn overigens meerdere varianten van. Degene die ik bedoel, is die waarbij je door het nemen van extra beheersmaatregelen risico’s verkleint, waardoor mensen juist grotere risico’s durven te nemen. Als de beheersmaatregelen alsnog falen zit je veel dieper in de shit dan je zonder die maatregelen had geweest. Een voorbeeld is de warmtebeeldcamera, waarmee brandweermensen veel verder een brandend pand in gaan. Als de camera uitvalt is je terugtocht opeens veel langer en met slecht zicht.

Incidentele beheersbaarheid van disrupties

Wat ons brengt bij de incidentele beheersbaarheid van disrupties. Laat ik beginnen met de stelling dat geen enkele incidentele maatregel de structurele situatie kan verbeteren. Harder dan ie kan gaat het niet, in ieder geval niet structureel. Alles wat in het rood staat, zal vroeg of laat falen. Maar met incidentele maatregelen kun je wel de impact van het falen beperken. Als je er op tijd bij bent, tenminste.

Dat raakt aan een fundamenteel verschil tussen emergencies en disrupties. Emergencies zijn in hun aard reactief. Je kunt pas een brand blussen als ie er is, een waterleiding afstoppen als er een gat in zit. Natuurlijk kun je goed onderhoud plegen, veilig werken, aan preventie doen en dat allemaal ook nog eens proactief. Maar dan is het nog steeds geen emergency response.

Omdat een emergency meestal heel zichtbaar is, zal er nauwelijks iemand van opkijken als er al dan niet ingrijpende maatregelen worden getroffen om risico’s voor mens en dier zo klein mogelijk te houden. Ook als die beheersmaatregelen aanvullende schade veroorzaken. Het hogere doel is immers duidelijk aanwezig.

Voor disrupties ligt dat meestal anders. De omvang van de meeste disrupties kan je namelijk wel proactief managen door vroegtijdig in te grijpen in de capaciteit. Bijvoorbeeld door de snelheid op een autobaan te verlagen, probeer je de kans op aanrijdingen te verkleinen. Als je het aantal treinbewegingen omlaag brengt bij slecht weer, voorkom je onvoorspelbare stremmingen. Door grootverbruikers tijdelijk van het elektriciteitsnet af te sluiten, beperk je de overbelasting van het totaal en daarmee een massale stroomstoring.

Dat vraagt alles bij elkaar dus om tijdig ingrijpen. Als je de disruptie niet ziet aankomen of te laat bent met maatregelen, zal de ongewenste gebeurtenis zich volledig kunnen ontwikkelen. Mogelijk zelfs met een crisis tot gevolg, zoals in dit blog over de onderstroom van crises wordt beschreven. De beheersbaarheid van disrupties manifesteert zich dus in tijdigheid, in weak signals – hard respons. Om dat te realiseren moet je over (minimaal) vier capabilities beschikken:

1. Situational Awareness level 3

De situational awareness (SA) levels van Endsley zijn al vaker in blogs voorbij gekomen. Ik ga er hier daarom niet verder op in. De kern is dat SA drie niveaus kent volgens Endsley. Niveau 1 is dat je ziet wat er gebeurt, niveau 2 is dat je begrijpt wat er aan de hand is en niveau 3 is dat je kunt voorspellen wat er gaat gebeuren. Ik voeg daar zelf niveau 0 aan toe: dat je niet ziet wat er gebeurt.

Wachtrij voor de benzinepomp tijdens de oliecrisis in 1973. Foto ANP

Om de beheersbaarheid van disrupties zo groot mogelijk te houden is eigenlijk SA level 3 noodzakelijk. Je moet in een vroeg stadium zien dat er iets mis gaat (dat er een afwijking is), begrijpen hoe de vlag er voor hangt en kunnen voorzien hoe de situatie zich gaat ontwikkelen als je niets doet. De ervaringscomponent van SA level 3 is dus hoog. Operational managers moeten hun systemen door en door kennen en ook voldoende tijd krijgen om hun kennis op peil te houden.

Precies hierom geloof ik niet in het invliegen van externe crisismanagers. Je moet gewoon je eigen boontjes kunnen doppen, ook als het dreigt mis te gaan. Crisis en disruptie zijn geen op zichzelf staande fenomenen, maar een status van het systeem waar je zelf in stuurt. Het is ook geen dichotomie; in complexe systemen is er altijd wel een beetje disruptie en crisis. Normal chaos, noemen sommigen dat. Anderen noemen het organizational resilience.

Organizational resilience is seen not as a property, but as a capability: A capability to recognize the boundaries of safe operations, and although abnormal operations may stress feedback mechanisms possibly even causing a loss of control, the resilient system will have the capability to steer back from them in a controlled manner before a system-wide collapse may occur.

Consequently, it tries to better understand how an organization can monitor and keep track of its own adaptations (and how these bound the rationality of decision makers) to pressures of scarcity and competition, while dealing with imperfect knowledge and unruly technology.

sidney dekker

2. Durven en mogen

Voorspellen hoe een ongewenste gebeurtenis zich gaat ontwikkelen is één, durven en mogen ingrijpen is nog heel iets anders. Eén van de lastige problemen bij disrupties is dat de grote onbeheersbaarheid er nu nog niet is en dat ingrijpen in de capaciteit veel ketenpartnes, klanten en of stakeholders ongelukkig en ontevreden zal maken.

Volgens hen is er weinig aan de hand bij de eerste tekenen van een verstoring. De kans is groot dat ze zich daarom zullen verzetten tegen een vroegtijdige ingreep in de capaciteit. Om daar weerstand aan te bieden is durf noodzakelijk.

Die durf moet ook structureel zijn. In complexe systemen komen verstoringen nu eenmaal vaker voor. Elke ongewenste gebeurtenis kent daardoor voorgangers en zal opvolgers hebben. Dat beïnvloedt de karakteristiek van de actuele situatie.

Geen enkel incident kun je daarom in onafhankelijke afzondering beschouwen. Disrupties hebben altijd met elkaar te maken, het is een serie, misschien zelfs wel een rizoom. Als gevolg daarvan zitten operational managers in een structurele onderhandeling met derden over grenzen van het systeem en het moment waarop je terug gaat sturen.

Mijn stelling is dat deze durf-component vaak onderschat wordt. Als organisatie moet je dan ook maatregelen treffen om je operational managers te ondersteunen. Bijvoorbeeld door het voorbereiden van sleutelbesluiten en het mandateren van de functionarissen die dergelijke besluiten mogen nemen.

Waterleidingbreuk op het Singel, 14 januari 1959. Foto Wim van Rossum ANP

Ook het afgeven van een duidelijke commanders intent is een belangrijke steun in de rug. Maak die wel een beetje SMART, geef aan wat je onder een beheerst proces verstaat. Bijvoorbeeld het maximaal aantal gemiste aansluitingen, een overschrijding van de minimale levertijd, lengte van wachtrijen. En hou de intent actueel. Als inzichten veranderen, pas dan ook de definitie van onbeheersbare disrupties aan.

3. Tijdige communicatie

De derde capability: tijdige communicatie over de status van het systeem, liefst proactief. Manage verwachtingspatronen van klanten, ketenpartners en stakeholders door vroegtijdig voor te bereiden op mogelijke ingrepen.

Daarmee breng je die partijen ook op een hoger SA level en belangrijker nog, geef je ze de tijd om zelf maatregelen te gaan nemen. Dan nog zal niet alles altijd zonder morren verlopen, maar het is dan wel duidelijk voor iedereen wat er aan de hand is.

Wat daarmee tevens inzichtelijk zal worden: dat je soms een ingreep doet die achteraf niet nodig was geweest. Ook dat is onderdeel van de volatiliteit van complexe systemen (VUCA) en het paradigma van de normal chaos. Tijdige communicatie is in die zin één van de belangrijkste beheersmaatregelen die een organisatie kent. Het gaat er dus niet alleen om wat je overkomt, maar ook wat je er mee doet en welk verhaal je er bij vertelt.

4. Leren

De laatste vaardigheid in de beheersbaarheid van disrupties is leren. Je kan gloedvolle discussies voeren over wat leren is, maar voor mij is het de vaardigheid om je continu aan te passen aan veranderende omstandigheden. Je vergroot, dan wel verandert, de capabilities en competenties van mensen in je organisatie en het systeem.

Leren is daarmee een meta-vaardigheid: het is de vaardigheid om andere vaardigheden te veranderen en als dat niet goed gaat, ook het leerproces zelf te veranderen. Precies daarom is het niet eenvoudig, leren.

Er zijn grofweg drie momenten waarop leerprocessen plaats vinden.

  • Vòòr de ongewenste gebeurtenis moet het vakbekwaamheidsniveau hoog genoeg zijn om de voorzienbare verstoringen te kunnen managen. Bijvoorbeeld door het aanleren van de Dikke BOB. Desgewenst kun je ook onvoorzienbare scenario’s toevoegen aan het vaardigheidspalet, maar dat heeft vooral zin als je in een hoog-VUCA omgeving zit. Als je zelden tot nooit wordt aangesproken op ongekende crises heeft het ook niet veel zin om daar heel veel in te investeren. Recovery is dan een prima strategie. Ook daarvoor geldt: wel tijdig en juist informeren.
  • Tijdens incidenten moet je snel kunnen leren om de beheersbaarheid van de disruptie zo groot mogelijk te houden. Daar gaat zo’n beetje de halve website over, maar lees vooral nog eens de serie over disruptiemanagement.
  • Na incidenten zijn bijvoorbeeld after action reviews en evaluaties bekende leervormen. Let er wel op dat interne evaluaties niet bedoeld zijn om extern verantwoording af te leggen. Haal die twee dingen niet door elkaar, maar compartimenteer ze ook niet volledig. Ze hebben wel met elkaar te maken. Ook belangrijk: zorg voor draagvlak, evalueer niet over maar met mensen en beperk de aandrang om compleet te zijn. Liever één aanbeveling goed aangepakt dan tien matig.

Afsluitend

Gasleidingbreuk met brand, Amstelveense weg 14 september 1984. Foto Rob Croes ANP

Er bestaan grote overeenkomsten tussen het managen van emergencies en disrupties. Het zijn allebei ongewenste gebeurtenissen, die vaak onder tijdsdruk opgelost moeten worden. In teams wordt er multidisciplinair opgetreden en gewerkt met tools als de Dikke BOB, snelle scenario analyse en vragenvuur. Principes als recognition primed decisionmaking, crew resource management en human bias zijn op beide incidenttypen van toepassing.

Toch zijn er ook aanzienlijke verschillen en die zitten voornamelijk in de incidentkarakteristiek. Emergencies zijn in de kern reactief waarna je door adequaat optreden voor het incident uit probeert te komen. Als het je overkomt ben je vaker slachtoffer dan dader.

Disrupties zijn juist proactief en ontstaan soms uit een emergency, maar steeds vaker door kleine afwijkingen in overvolle, complexe systemen. Je wordt vaker als dader gezien dan slachtoffer (‘had je maar op tijd moeten investeren annex beter organiseren’).

Misschien wel problematischer nog is dat na de disruptie het systeem er nog steeds is, met dezelfde kenmerken als voor de disruptie. De bron is niet weggenomen, zoals dat bij emergency management vaak wel het geval is. De kans dat er dus binnen afzienbare tijd weer een disruptie op kan treden is aanzienlijk.

Dat maakt dat de beheersbaarheid van disrupties vooral structureel geborgd moet worden in het ontwerp, beheer en tijdig upgraden van het systeem. Natuurlijk moet je ook de incidentele beheersbaarheid geregeld hebben, maar dat lost het probleem van een achterhaald systeem niet op.

Helaas wordt er al jaren niet voor de vraag uit geïnvesteerd, maar achter de vraag aan. Met als gevolg een breed scala aan verouderde systemen, die de problematiek ook nog eens versterken.

We zullen in interessante tijden leven.

Update 25 oktober: politisering van het gas.

Vlak na de publicatie van dit blog stuurde Ruud Plomp een paar tweetjes over het gasbeleid van Nederland uit zijn archief, waar ik hier dankbaar gebruik van maak om de structurele onbeheersing mee te illustreren. Het lijkt een gek woord, onbeheersing, maar ik kan er toch echt niet veel anders van maken.

De eerste stamt uit 2009, zo’n twaalf jaar geleden dus. Maar zo’n berichtje had net zo goed nu in de krant kunnen staan. Kijk maar:

Het tweede bericht is van drie jaar later. Wanneer mensen soms roepen dat de geschiedenis zich herhaalt, dan klopt dat als het gaat om het gasbeleid van Nederland. Er moet weer rekening worden gehouden met een gascrisis.

Ook na de aanslag op de MH17 speelde de discussie weer op. Te afhankelijk van het Rusisch gas. Niet dat er iets veranderde.

Inmiddels staan we er in 2021 niet heel veel anders voor. Opnieuw zijn de voorraden voor de winter beperkt en gebruikt Poetin de gasprijs om het Westen te destabiliseren. Daarmee is de beschikbaarheid van gas nog verder gepolitiseerd en komt Nederland steeds verder in de verdrukking. De bewegingsruimte om zelfstandig besluiten te nemen wordt zo steeds kleiner.

De politisering van het gas laat goed zien dat je niet alles kunt overlaten aan de markt van vraag en aanbod. Gewoon omdat niet iedereen geld verdienen ziet als het hoogste goed en bereid is minder te produceren om machtsposities te beïnvloeden in hun voordeel. Dat geld komt dan later wel; gas is geopolitiek.

Het laat ook zien dat visie en lange termijn beleid er wel degelijk toe doen. Nederland loopt al ruim twaalf jaar achter de gasfeiten aan, misschien zelfs wel langer. Datzelfde geldt voor de electriciteitsvoorziening en de woningbouw, defensie, criminaliteitsbestrijding, ik zou haast durven zeggen, waar eigenlijk niet? Allemaal achter de feiten aan geloop waardoor vitale infrastructuur structureel onbeheersbaar dreigt te worden.

Zo maakt Nederland zijn eigen crisis. Je hebt er niemand anders voor nodig.

Er komt nog iets anders bij. In de Nederlandse politiek is zoals hierboven geschetst lang gedacht dat de meeste vraagstukken zichzelf wel zouden regelen op de markt. Dat je gedrag kunt sturen met subsidies en belasting (feitelijk een lompe vorm van nudging). En dat niet-bemoeien het hoogste goed is. Het werd gebracht als een politieke overtuiging.

Maar dat was het niet alleen; het was vooral ook het ontlopen van verantwoordelijkheid, het bukken voor de lastige vraagstukken. Geen vuile handen durven maken als het echt nodig is. Vooruitschuiven naar het volgend kabinet. Het kunnen zeggen dat je met-de-kennis-van-nu een ander besluit had genomen. Incompetentie en zwarte eend gedrag.

Om disrupties structureel beheersbaar te krijgen moet er meer visie komen en minder naïviteit, meer lange termijn beleid en minder markt, meer verantwoordelijkheid en minder incompetentie. Dat zal nog wel even duren. Tot die tijd zit er niets anders op dan disrupties incidenteel zo goed mogelijk te managen.

Ik zei het al: we zullen in interessante tijden leven.

Business continuity management voor veiligheidskundigen

Leestijd: 8 minuten

Business continuity management is nog een betrekkelijk nieuwe discipline die snel aan belang wint. Ontstaan in de jaren zeventig, als onderdeel van de opkomende informatietechnlogie, wordt het nu meer en meer ook toegepast in andere bedrijfsprocessen zoals productie en logistiek. Hoewel business continuity management overeenkomsten kent met de veiligheidskunde en risicomanagement, zijn er ook enkele markante verschillen. Een crashcourse.

Dit blog is ook verschenen in de NVVK info 2021-1. Waar veiligheidskundige staat, mag je je eigen vak invullen :-).

Op 29 mei 2020 brak er een grote brand uit bij het transportbedrijf Van der Heijden in Hapert. Het grootste deel van de onderneming ging in vlammen op, slechts een loods werd gespaard. Van der Heijden plaatste hetzelfde weekend nog een advertentie voor een opslagloods van 30.000 m2 en die werd gevonden in Acht. Dankzij de buren op het Kempisch Bedrijven Park kreeg Van der Heijden in het weekend alle computersystemen weer operationeel en op dinsdag 2 juni konden de voertuigen weer de weg op. Want die waren voor het grootste deel gespaard gebleven.

Dit is een mooi staaltje business continuity management van de truckers uit Hapert. Meestal loopt het echter niet zo goed af. Uit diverse onderzoeken blijkt namelijk dat zo’n 50% van het Midden- en Kleinbedrijf (MKB) na een brand failliet gaat. De Rabobank kwam in 2015 al met deze getallen, en in 2018 werd in een gezamenlijk onderzoek van het Instituut Fysieke Veiligheid en het Verbond van Verzekeraars dezelfde conclusie getrokken. Daarna is in samenwerking met onder andere MKB-Nederland en VNO-NCW de website checklistbrand.nl opgericht. Op deze website vind je allerlei informatie en checklists over het voorkomen en beperken van brand. Heel nuttig en informatief.

Business Continuity Risico’s

Maar als je goed kijkt naar de opzet van de checklists zie je dat het veiligheidskundige informatie is. Brandveiligheidskundig. Daar is op zichzelf niks mee natuurlijk, en hoe kleiner de kans op brand hoe beter het is. De vraag blijft dan nog wel of het percentage faillissementen na brand daarmee verkleint. Misschien dat het absolute aantal vermindert door de veiligheidskundige maatregelen, maar door het ontbreken van BCM-maatregelen is mijn inschatting dat bij gelijkblijvend beleid het percentage faillissementen onveranderd zal blijven.

Ir. A. W. van der Plassche van de Nederlandse Heide Maatschappij stelt de eerste elektronische administratiemachine in gebruik te Arnhem op 28 maart 1957. Maar de uitvinding van de computer was ook de uitvinder van de computercrash, zou Virilio zeggen. Foto ANP

En dat komt omdat de business continuity manager op hele andere zaken let dan de veiligheidskundige, ook al is er overlap in de wederzijdse vakgebieden. Beiden kijken immers naar risico’s en zijn in de terminologie van Walter Zwaard vaak risicoprofessionals. Maar er is één heel plat voorbeeld over elektriciteit die gelijk het verschil aangeeft: hoe minder stroom en hoe lager de spanning, hoe veiliger de veiligheidskundige het zal vinden. De business continuity manager krijgt echter koude rillingen van zo’n situatie: geen stroom is geen productie is geen afzet is richting faillissement. Ik zei al, het is een plat voorbeeld maar het illustreert wel waar de verschillen zitten.

Terug naar de transporteurs in Hapert. Want dat is een uitzonderlijk geval van geluk bij een ongeluk, vanuit BCM-perspectief. Hun belangrijkste productiemiddel, de vrachtwagens, werden namelijk gespaard in de brand. En dankzij de buren konden ze hun computersystemen weer snel in de lucht krijgen, alhoewel dat alleen kan als je de juiste maatregelen hebt getroffen, zoals back up systemen en cloud toepassingen waardoor je nog over alle gegevens beschikt. Dat hadden ze daar dus wel goed geregeld.

Verder was het natuurlijk mazzel dat er op zo korte termijn een nieuw gebouw van 30.000m2 viel te huren. Dat zal ook niet in alle gevallen kunnen, afhankelijk van de productie-eisen die je stelt. Tot slot is het natuurlijk ook keihard aanpakken en vernuftig opereren geweest van Van der Heijden. Ik wil daar helemaal niets aan af doen.

Maar wat nu als je productie afhankelijk is van een uniek apparaat? Met een levertijd van een half jaar? Of je leverancier zit in Fukushima? Of je haalt je onderdelen uit Thailand, waar de fabriek net overstroomd is en er een backorder staat van 9 maanden? Wat doe je dan? Overleeft je bedrijf die lange stilstand? Hoe snel hebben je klanten een nieuwe leverancier of een alternatieve oplossing en komen ze niet meer terug? Wat dan?

Dan heb je het over business continuity management. Dat is helemaal niet moeilijk trouwens, althans niet moeilijker dan veiligheidskunde. Het is een kwestie van kijken met een andere bril op en het aanleren van de vakspecifieke geheimtaal die doorgaans jargon wordt genoemd. Een kleine crashcourse BCM voor veiligheidskundigen, risicomanagers, crisismanagers en, nou ja, iedereen eigenlijk.

Business Impact Analyse

De Business Impact Analyse (BIA) is voor veel bedrijven de basis van het BCM-beleid. In een BIA breng je de kritieke bedrijfsprocessen in kaart en stel je vast wat de impact van falen is op de kwaliteit van je dienstverlening en productie. Een BIA start vaak met een concept of operations (CONOPS). De CONOPS is een beschrijving van de functionaliteiten van het productiesysteem. Het mooiste is als alle afzonderlijke processtappen in kaart zijn gebracht inclusief hun onderlinge relaties.

Een heel eenvoudige CONOPS voor een transportbedrijf kan bijvoorbeeld bestaan uit de volgende stappen: orderontvangst – planning – goederenaanname – registratie – overslag – inladen – vervoeren – uitladen. In een BIA wordt vastgesteld wat het betekent als één van deze stappen geheel of gedeeltelijk zou falen en wat er nodig is om alsnog te kunnen blijven draaien. In de eerste fase van de BIA wordt vooral gekeken naar effecten op je bedrijfsvoering. Welke haperende procesonderdelen kunnen een hele keten stilleggen? Zijn er single points of failure? Pas als je daar zicht op hebt ga je per processtap onderzoeken wat de mogelijke scenario’s en oorzaken van falen zijn.  

Ter illustratie: voor het proces orderontvangst maak je bijvoorbeeld gebruik van een telefoon en een computersysteem om je orders in te bevestigen en te plannen. Als die het niet doen heb je een probleem: je hele keten kan stilvallen. Daarom wil je nader uitzoeken wat de oorzaak van uitval kan zijn. Dat doe je in fase twee van de BIA. Daar ga je uitpluizen wat er allemaal kan falen aan de telefonische bereikbaarheid. Bijvoorbeeld de telefoon zelf is stuk, je provider ligt plat, de access-points zijn gehackt of de laatste update van je telefooncentrale is mislukt.

Business Continuity Plan

Daarna ga je kijken naar mogelijke oplossingen. Je schaft een tweede telefoon aan, je regelt naast een vaste lijn ook 4G aansluitingen, je installeert een firewall en je maakt een procedure hoe en wanneer je updates moet uitvoeren (bijvoorbeeld in het weekend, als er niet wordt gebeld). Al die maatregelen schrijf je in een plan: het business continuity plan (BCP). Let wel, dit is natuurlijk een sterk vereenvoudigd voorbeeld. In de praktijk zal het een stuk ingewikkelder zijn. Maar het gaat nu even om het principe.

Wat staat er nog meer in het BCP: een dreigingsanalyse. Een dreigingsanalyse bestaat uit externe factoren die de continuïteit van jouw bedrijfsvoering op de tocht kunnen zetten. Denk aan brand en explosies, maar ook extreme weersomstandigheden, sabotage, demonstraties, uitval nutsvoorzieningen en aanslagen. Ook voor elke relevante dreiging geldt dat je de maatregelen borgt in het BCP. En natuurlijk gaat alles in een PDCA loop: na de implementatie van maatregelen ga je testen en bijstellen. Dat zijn ook voor de veiligheidskundige bekende begrippen.

business continuity management voor veiligheidskundigen
Brand bij Sikkens in Sassenheim op 8 maart 1968. Zie ook het commentaar van directie hier vlak onder.

Afhankelijk van in welke BCM-stroming je gelooft (ja, er zijn niet alleen stromingen in de veiligheidskunde) kun je het business recovery plan integreren in het BCP of er een separaat plan voor opstellen. Want vergis je niet, recovery kan een hele efficiënte en effectieve strategie zijn. Maar dat moet je dan wel goed vooraf inregelen en er niet een beetje los op improviseren.

MTD en RTO

Uit het Leidsch Dagblad van 8 maart 1968

Ik heb nu al veel BCM-jargon gepresenteerd, maar er zijn nog twee begrippen die niet mogen ontbreken in deze crashcourse. Maximum Tolerable Downtime (MTD) is één van de belangrijkste normen in het business continuity management. Het geeft aan in uren, minuten of seconden hoe lang een bepaalde functie buiten dienst mag zijn voor er grote problemen ontstaan. Weer even de telefoon van ons transportbedrijf: de MTD mag bijvoorbeeld niet meer zijn dan vier uur, omdat dat precies de ordervoorraad is die standaard voor handen is. Weliswaar heeft de orderontvangst dan vier uur niet gefunctioneerd, maar er kan toch nog conform plan afgeleverd worden. Pas als voor langer dan vier uur geen nieuwe orders binnenkomen zal de keten als geheel falen.

Recovery Time Objective is de geplande tijdsduur die nodig is om een functie te herstellen. In de praktijk moet de RTO dus altijd korter zijn dan de MTD. Vaak slaat de RTO op de technische onderdelen van een processtap binnen de functionele keten. Dus als de MTD voor orderontvangst vier uur is, dan is de RTO voor een vervangende telefoon inpluggen bijvoorbeeld twee uur. Dit soort begrippen zijn veelal afkomstig uit de IT, maar ze zijn ook van belang voor fysieke operationele processen als productie en logistiek. Alleen moet je ze dan wel goed vertalen naar je eigen bedrijfsvoering en in mijn ervaring valt dat niet altijd mee. Je moet je bedrijf dus goed kennen om hier effectief in te kunnen zijn. Zoals dat ook voor veiligheidskundigen geldt overigens.

Die laatste slag, het vertalen van algemene BCM-begrippen naar de continuïteit van je operatie noem ik tegenwoordig disruptiemanagement. Zoals veiligheidskunde zich verhoudt tot emergency response, zo staat continuity management tot disrupties. Wil je daar meer over lezen, dan verwijs ik je graag naar deze blogs over de taxonomie van de ongewenste gebeurtenis. En dit blog ‘Vooral Doorgaan‘ gaat ook over business continuity.

Update 4 juni 2021

Na 51 weken is Van der Heijde Transport weer terug op zijn oude plek in Hapert. Op 24 mei werd het nieuwe pand feestelijk geopend met een lange rij trucks. Het is een prestatie van formaat, zeker in deze corona tijd.

Het laat ook goed zien waar je als bedrijf rekening mee moet houden: een doorlooptijd van een jaar met nieuwbouw. En dan hebben we het nog niet eens gehad over allerlei bijkomende zaken met verzekeringen, mogelijke rechtszaken (de brand is hoogstwaarschijnlijk ontstaan door een rokende dakdekker) en (voor)financiering. Zorg er voor dat je weet wat je moet doen voor het zover is.

Beeldvorming trainen voor de Dikke BOB

Leestijd: 15 minuten

Bedrijven en organisaties die zich willen voorbereiden op het managen van ongewenste gebeurtenissen kunnen niet volstaan met het klakkeloos overnemen van instrumentarium dat voor hulpverleningsdiensten en het leger is ontwikkeld. Daar moet een slag overheen om de specifieke eigenaardigheden van het eigen bedrijf te incorporeren. Zeker in de beeldvorming.

Soort van voorwoord

In dit blog beschrijf ik hoe je de Dikke BOB kunt combineren met de pre-accident investigation van Todd Conklin. Dat illustreer ik met twee trainingsvormen om de beeldvorming van teams te verbeteren: vragenvuur en snelle scenario analyse.

Het is geen eenvoudig blog omdat het voortbouwt op de kennis uit eerdere verhalen, zoals de kleine taxonomie van ongewenste gebeurtenissen en de Dikke BOB voor disruptie. En die kennis is nog gloednieuw, gedestilleerd uit de ervaringen van afgelopen twee jaar met allerlei bijzondere ongewenste gebeurtenissen die ik toen nog niet als disruptie kwalificeerde. Daarom raad ik aan om eerst de vorige blogs over disruptie door te lezen als je die nog niet kent. Niet alle vijf, al mag dat best, maar toch wel de eerste twee.

Wat het ook een ingewikkeld blog maakt is de koppeling met het werk van Conklin. Hij is één van de grondleggers van safety differently en die concepten zijn wel logisch, maar geen gemeengoed. Zijn visie op safety sluit echter naadloos aan op de mijne over continuiteit. Dus die combi was gauw gelegd.

Veiligheid verhoudt zich tot emergency als continuiteit tot disruptie.

In de inleiding hieronder beschrijf ik waarom je bij disrupties het beste gebruik kunt maken van de Dikke BOB. Daarna ga ik in op de relatie tussen beeldvorming en de verschillende niveau’s van situational awareness. De conclusie is dat kennis van je eigen bedrijf daarvoor heel belangrijk is. De manier waarop Todd Conklin naar bedrijven kijkt met safety differently sluit daar goed op aan.

Daarna gaat het door met pre-accident investigation en hoe je learning teams kunt gebruiken om je bedrijfsvoering te verbeteren. Vervang learning team door crisisteam (of disruptieteam) en de link met de Dikke BOB is gelegd. Vervolgens beschrijf ik twee trainingsvormen die passen in het gedachtegoed van de pre-accident investigation. Het is al met al best een lang verhaal geworden maar zeker de moeite waard. En wat dat moeilijke betreft, dan lees je het toch gewoon twee keer? 🙂

Inleiding

Om ongewenste gebeurtenissen een beetje adequaat te managen is het handig om gebruik te maken van een hulpstructuur. Daar zijn allerlei soorten en maten van, zoals onder andere beschreven in dit blog en ook hier. Afhankelijk van de organisatie waar je werkt zal er iets gebruikt worden wat daar (hopelijk) het beste past.

Voor bedrijven en organisaties die slachtoffer worden van calamiteiten en die zelf aan moeten pakken, denk ik dat de Dikke BOB het beste alternatief is. Die is namelijk ingericht op de kleine taxonomie van ongewenste gebeurtenissen en gaat tijdens de beeldvorming al direct op zoek of het louter gaat om een emergency, of dat er mogelijk ook nog een disruptie en/of crisis uit volgt.

In die zin zie ik incidenten als een multipliciteit: het is een ding dat tegelijkertijd meerdere karakters en verschijningsvormen herbergt. Meestal ziet men alleen de buitenkant en denkt dat het daarbij blijft. Het zichtbare deel van een ongewenste gebeurtenis trekt en veroorzaakt tunnelvisie. Je situational awareness (SA) komt tot level 1: je ziet wat er gebeurt.

Beeldvorming

Maar dat is niet genoeg, je moet op zoek naar het verstopte incident. Aan de incidentbestrijders de schone taak om die in de beeldvorming te destilleren uit de kluwen van signalen en gebeurtenissen die er nu al zijn en waarschijnlijk ook nog zullen volgen. Wanneer je dat deel van de ongewenste gebeurtenis begrijpt ben je op SA-level 2 gekomen. Als je dan ook nog kan voorspellen wat er gaat gebeuren zit je op level 3.

Voorspellen moet je in dit kader overigens niet al te letterlijk nemen. Niemand kan de toekomst voorspellen. Maar je kunt wel proactief vooruitdenken en de meest waarschijnlijke ontwikkeling beschrijven en analyseren. In het Engels is dat subtiel uit te leggen als het verschil tussen foresight (dat kan je niet) en forethink (dat kan je wel).

Voordenken zou tijdens de beeldvorming in het crisismanagement daarom een belangrijke competentie zijn geweest als het een echt Nederlands woord was. Nu is het helaas ingepikt door iets te smarte adviesbureaus en positovo’s die leukige dingen verzinnen als ‘ontwikkelen’ met q’s schrijven in plaats van k’s. Enfin, je voelt wel wat ik bedoel.

Terug naar de beeldvorming. Dat is de fase waarin je het onzichtbare zichtbaar wil maken. De vraag is dan hoe je dat doet. In veel trainingen wordt aangeleerd om ‘een rondje te doen.’ Dan ga je als voorzitter iedereen af die in je team zit, vraagt om nadere informatie in de beeldvorming en daarna bak je er iets moois van via oordeelsvorming en besluitvorming.

Vaak worden hier trainingsburo’s voor ingehuurd die zich vooral focussen op de procesgang in het team. Hoe wordt er overlegd, blijft het team op hoofdlijnen, slaan ze de oordeelsvorming niet over, dat soort dingen. Op zich prima onderwerpen om te evalueren, het is alleen niet voldoende als je ook disrupties wilt leren managen.

Want als iedereen enigszins beseft hoe ‘het rondje’ werkt, moet je gaan trainen met het team hoe je van SA-level 1 naar 2 en het liefst zelfs SA-level 3 komt. Daar heb je inhoudelijke kennis voor nodig over het bedrijf en diens primaire processen, de bottlenecks, single point of failures, noem maar op. Liever een goed besluit op de foute manier, dan een fout besluit op de goede manier. Maar een goed besluit op de goede manier is natuurlijk het allerbest.

Pre-accident investigatiom

Daarom is het goed een methodiek te hanteren die zowel vorm als inhoud combineert. In dit blog beschrijf ik hoe je dat kan aanpakken als je met je crisisteam conform de principes van de pre-accident investigations gaat werken, zoals Todd Conklin die beschrijft in zijn boek ‘Better questions’.

Alle citaten van Tod Conklin komen uit dit boek.

Je kunt namelijk alleen maar adequaat disrupties bestrijden als je de eigen bedrijfsprocessen goed kent. Inclusief de eigenaardigheden ervan die je nodig hebt om de escalatiefactoren op tijd te herkennen en te managen.

Toepassing van de Dikke BOB als een trainingsvorm die lijkt op pre-accident investigation brengt je al heel ver. Daarom nu eerst een Crashcourse Conklin over zijn boek ‘Better Questions.

De premisse van ‘Better Questions’ is dat elke organisatie van foute ontwerpen en regels aan elkaar hangt en dat de boel voornamelijk blijft draaien dankzij de flexibiliteit en vindingrijkheid van de medewerkers. Die passen zich steeds aan, soms wel tientallen jarenlang.

In die aanpassingen schuilen echter wel risico’s. Zowel op het gebied van veiligheid als continuïteit. En dan gaat het soms toch onverhoopt mis en krijgt de medewerker de schuld. Dat ie niet goed heeft opgelet, niet vaak genoeg in de spiegel heeft gekeken die de HSE-office had opgehangen met de vraag wie er verantwoordelijk is voor veiligheid.

When we say, “A bad thing happened because the worker did not follow a rule,” we must also ask this second question, “When good things happen does the worker follow the same rule?”

todd conklin

Veiligheidsmanagement, zo betoogt Conklin, is verworden tot gedragstherapie waardoor de medewerker het altijd fout heeft gedaan met zijn onverantwoord gedrag. Maar waarom zou iemand die twintig jaar lang een verantwoorde medewerker is geweest, van het ene op het andere moment een onverantwoordelijke werknemer zijn geworden? Dat is niet logisch.

Daar komt nog bij dat onder invloed van management by smiley de werkelijkheid is gereduceerd tot outcomes. De onderliggende processen lijken niet meer relevant te zijn.

One of our biggest issues as safety and reliability professionals is that we manage to our organization’s outcomes instead of managing and understanding the processes that we use to create those results.

todd conklin

Achteraf gedefinieerde voorvallen wekken daardoor de indruk dat het incident al die tijd al duidelijk aanwezig was, maar dat is vaak helemaal niet zo. Hindsight bias noemen we dat. Feitelijk is het een framing van ongewenste gebeurtenissen waarbij er altijd, soms bewust maar meestal onbewust, een daderprofiel wordt geschapen: het was een menselijke fout.

We give events order and importance after the event has taken place. The problem is that timelines bias our thinking in two important ways: (1) they assume order and (2) they assume cause.

todd conklin
Het ongevalsmodel van Conklin. Fase 1 is de context waarbinnen de gebeurtenissen zich afspelen. Het is de aanloop naar (bijna) schade. Fase 2 is de consequentie, dan wel het effect. Het is het resultaat van de gebeurtenissen in de context. Fase 3 is wat we achteraf gereconstrueerd hebben als het ongeval zelf om het op te kunnen lossen. Dat gebeurt ook in het groot, niet alleen in organisaties. Ter illustratie: de eenheden die aankwamen bij wat we nu de Bijlmerramp noemen, kwamen niet aan bij de Bijlmerramp. Die kwamen aan op de plaats incident.

Leerfasen

Volgens Conklin moeten we de definitie van incidenten veranderen en het onafhankelijk maken van outcomes met schade. Incidenten zijn foute ontwerpen, regels en werkwijzen die je zou moeten onderzoeken en verbeteren voordat er schade is ontstaan.

Je moet dus met name de eerste fase van incidenten bestuderen, wat Conklin de context noemt. Door en met de mensen die er dagelijks mee werken: pre-accident investigation. In learning teams. Of crisisteams, voeg ik daar aan toe.

Dat lukt je alleen niet tijdens productie; je moet mensen echt vrijmaken. No one can learn and perform at the same time. Dat moet je dus organiseren, want het gaat niet vanzelf. Conklin heeft daartoe een heel proces gedefinieerd in zeven fasen en die beschrijft hij uitgebreid in zijn boek. Het gaat om de volgende fasen:

  1. Determine need for Learning Team
  2. First session: Learning Mode only
  3. Provide “soak time”
  4. Second session: Start in Learning Mode
  5. Define current defenses/Build new ones
  6. Tracking actions and criteria for closure
  7. Communicate to other applicable areas

De manier waarop Conklin naar veiligheid en ongevallen en het gebruik van learning teams als pre-accident investigation kijkt, is prima over te zetten naar het trainen van crisisteams die disrupties moeten managen.

Safety is the ability for workers to be able to do work in a varying and unpredictable world

todd conklin

Ik heb daarom een mini-versie gebakken van de learning team fases. Nog steeds definieer je in de eerste fase de leerbehoefte, zoals het trainen van beeldvorming met tools. Je kunt er ook uitgebreider naar kijken en bijvoorbeeld de vaardigheden plannen die je dit jaar wilt aanleren. Ik probeer wel altijd ruimte houden om met acute ontwikkelingen mee te kunnen bewegen.

In fase 2 doe je een training, zoals bijvoorbeeld het vragenvuur, waar je dan gelijk fase 4 en 5 aan vast plakt. Dat houdt in dat je met het team de scenario’s evalueert, bekijkt welke maatregelen ontbraken en wat je als team moet kunnen (de capability) om die scenario’s aan te pakken.

Fase 6 en 7 geschieden dan verder buiten het zicht van de eerste training af. Dan stellen we bijvoorbeeld een standaard vragenvuurlijst op, die we nasturen. Dat is fase 3, soak time, om de nieuwe inzichten eerst laten zakken.

In de eerstvolgende training (dat is dan weer een nieuwe fase 2) kom je erop terug door eerst die vragenlijst te bespreken. Op die manier bouw je een ketting van trainingen die de capability van je teams vergroot en waarbij je bovendien weet dat iedereen dezelfde training heeft gehad.

Als voorbeeld van deze manier van werken gebaseerd op de pre-accident investigation, beschrijf ik hoe je de snelle scenario analyse (SSA) en het vragenvuur in een training kunt toepassen om de beeldvorming te trainen. Het achterliggende doel is om te leren hoe je het grote probleem (de emergency) kan vertalen naar effecten op de bedrijfsvoering (de disruptie).

A big problem is never just one big problem. Significant problems are always a collection of smaller problems that appear directly intertwined.

todd conklin

Snelle Scenario Analyse

De SSA heeft als doel om al heel snel in de Dikke BOB vooruit te gaan denken. Je gaat je dus niet bezighouden met wat er is gebeurd en hoe het allemaal zo gekomen is. Nee, je buigt je over de vraag wat er waarschijnlijk gaat gebeuren als de emergency zich ontwikkelt zonder in te grijpen: hoe groot kan de verstoring van je bedrijfsprocessen worden? Welke disruptie zit er dus in die emergency verstopt? Zit er wellicht ook nog een crisis verscholen in de emergency?

Spoedvergadering in Krasnapolsky, 1964. Maar of het ook een snelle scenario analyse was? Foto ANP

In de termen van Conklin en zijn incidentmodel: de emergency heeft zich gemanifesteerd als consequence van één of andere failure en dat is de opstart, de context van de disruptie. In de beeldvormingsfase kun je met de SSA die context in kaart brengen en maatregelen inzetten om de disruptie consequence te voorkomen of zo klein mogelijk te houden.

De training vraagt niet om een oefenkeuken, maar wel om begeleiding die goed bekend is met de bedrijfsprocessen. Liefst de techneuten ook erbij die goed kunnen uitleggen hoe een storing in de praktijk werkt en waarom het hoe lang moet duren. Meestal start ik met een half uurtje theorie over de Dikke BOB en iets over de doelen en het commanders intent van de calamiteitenorganisatie. Dat is de context waarbinnen de training zich afspeelt.

Daarna wordt de startgebeurtenis gepresenteerd: één of andere emergency (variërend van brand tot stroomstoring en alles daartussen wat een consequence kan zijn die relevant is voor je organisatie) die voor alle deelnemers hetzelfde is.

Vervolgens maakt de voorzitter een rondje onder de teamleden, die elk beschrijven wat er voor hun proces allemaal staat te gebeuren als het incident zich verder ontwikkelt. Waar zitten de bottlenecks en de risico’s? Hoe vallen de dominostenen in de komende één, twee tot vier uur en eventueel daarna?

Die informatie moet leiden tot een overall scenario, dat in een volgende ronde twee of drie scenario’s gaat opleveren: real case, best case en worst case. Dat is de input voor de oordeelsvorming: wat zijn de opties om de scenario’s te managen en wat zijn de consequenties (lees: boemerangeffect) van de keuzes. Maar in de SSA stopt het bij het benoemen van de scenario’s.

Let overigens goed op het verschil in sensemaking tussen best case en worst case: best case is iets wat je wilt bereiken, en een worst case wil je zien te voorkomen. Bespreek dat soort thema's ook met het team.
Ontploffing in een hoofdmeterkast in Amsterdam zorgde voor een stroomstoring in 1988. Foto ANP. Een interessante startgebeurtenis. Welke disruptie gaat hier uit volgen?

Op een training kan je meerdere startgebeurtenissen achter elkaar aflopen. En dat kan best snel, zeker in het begin. Dan gaat het er echt om de procesgang van de SSA goed onder de knie te krijgen. Mijn ervaring is dat veel deelnemers heel snel terugvallen in de oefenreflexen van de standaard oefeningen. Ze gaan in het meervoud praten van de afdelingsvertegenwoordiger, roepen welke processen uit het plan al gestart zijn en willen het liefst gaan bellen met de achterban. Maar dat is allemaal achteruit kijken, geschiedschrijving. Wat je wilt is vooruitkijken en daarop sturen.

Ook belangrijk: de bestrijding van de emergency moet plaatsvinden door teams die daarvoor opgeleid zijn. Zoals brandweer, ambulance en technische storingsdiensten. Voor jouw disruptieteam is dat een gegeven. Zij managen de disruptie, niet de emergency. Je hebt dus altijd minimaal twee incidenten en zorg ervoor om dat steeds goed onder de aandacht te krijgen in de SSA, inclusief de verhouding tussen die twee.

Vragenvuur

De SSA werkt goed in voorzienbare scenario’s, incidenten waar al enige ervaring mee is. Al dan niet opgedaan in trainingen. Maar de ongewenste gebeurtenis die niet of minder bekend is, hoe kan je daarop trainen? Daarvoor gebruik ik het Vragenvuur. Die je overigens ook prima in kunt zetten in bekendere situaties, maar zeker in VUCA-situaties (Volatile, Uncertain, Complex, Ambiguous) kan het stellen van vragen helpen om de verschillende incidenten in de gebeurtenis te zien, te begrijpen en misschien zelfs wel te voorspellen.

Het vragenvuur is afgeleid van de questionstorm, zoals Jon Roland in 1985 ontwikkelde. Roland ontdekte dat het zoeken naar antwoorden minder creativiteit opleverde dan het stellen van vragen. Iets dergelijks zegt Conklin eigenlijk ook, al is zijn redenatie vooral op leren gericht.

The enemy of the question is the answer. When you think you know the problem, you stop the process of discovery. In fact, when you move to the solution phase you move out of the discovery phase, and the minute you move toward solving the problem, you are no longer trying to fully understand and explain the problem. It is the end of the learning process. In many ways, this is a rather extreme version of confirmation bias. As soon as we see what we think, we will see we stop looking for anything else.

todd conklin

Het vragenvuur lijkt wel een beetje op de SSA. Je presenteert een ambigue startgebeurtenis (een consequence van een failure, bijvoorbeel een hele trage citrix-omgeving) die voor alle deelnemers hetzelfde is. Daarna laat je iedereen voor zichzelf de vragen opschrijven die er opkomen over het eigen proces. Eigenlijk stel je dus vragen over de context van de disruptie, ook weer om die consequence te voorkomen of zo klein mogelijk te houden.

Vervolgens laat je in de beeldvorming het team op zoek gaan naar de belangrijkste gezamenlijke vragen voor dit incident. Start bij het proces die de meeste schade ondervindt of gaat ondervinden. Die noemt als eerste de vragen die hij opschreef. Zo gaat de voorzitter iedereen af.

De vertegenwoordiger van het bronproces (bijvoorbeeld assetmanagement bij een stroomstoring) komt pas als laatste aan de beurt. Als je met dat proces begint, gaat het alleen nog maar over de bron (de stroomstoring, de emergency) terwijl je taak is om de disruptie in kaart te brengen (het ontstaan van wachtrijen).

Voorbeeldvragen:
  • Kan de oorzaak nog meer effecten krijgen dan we nu al zien?
  • Wanneer wordt mijn proces onbeheersbaar?
  • Wat belemmert een oplossing?
  • Hoelang duurt een reparatie?
  • Hebben we een bypass?
  • Kunnen effecten nieuwe incidenten worden?

Doe eventueel een tweede ronde als mensen door elkaar geïnspireerd zijn tot nieuwe vragen. Uiteindelijk definieer je de belangrijkste vragen als input voor het opstellen van scenario’s (best, real, worst) om daarmee de oordeelsvorming in te gaan. De oordeelsvorming doe je trouwens niet, de training zelf beperkt zich tot de beeldvorming.

Als je deze training een paar keer hebt gedaan, ontdek je dat een aantal vragen steeds weer terugkomt. Dat zijn de kernvragen die je bijna altijd kunt gebruiken. Zet die op een lijstje als geheugensteun voor je crisisteam. Daarmee zet je eigenlijk de zesde en zevende stap van Conklin’s learning phase model. Zodra de poep de ventilator raakt ligt er al mooi denkwerk klaar dat je onder tijdsdruk gelijk kunt gebruiken. Zo leg je ook nog eens een link tussen trainen en in de praktijk toepassen.

Afsluiting

In dit blog is vooral beschreven hoe je teams kunt leren om na en tijdens een emergency de onzichtbare disruptie zichtbaar te maken in de beeldvorming. Daarvoor maak je gebruik van twee trainingsvormen, het vragenvuur en de SSA. De opbrengst van dergelijke trainingen zie je op meerdere vlakken terugkomen. De capabilities van je teams zijn vergroot, er zijn inzichten opgedaan die gebruikt kunnen worden in preparatie (zoals een vragenvuur checklist) en er komen eigenaardigheden over je bedrijfsprocessen aan het licht die tot verbeteringen kunnen leiden.

Het is wel goed om te beseffen dat dit dan slechts over de disrupties gaat. Een vergelijkbaar proces kun je organiseren voor de emergencies in je bedrijf. Van brand en stroomuitval tot cyber, er kan van alles gebeuren wat tot verstoringen leidt. Voor die situaties is het ook goed om een proces van pre-accident investigation met learning teams op te zetten.

Zeker in complexe bedrijven is een safety II annex safety differently strategie (waar Conklin toe behoort) van belang om zowel veiligheid als continuïteit te borgen. De verbanden tussen emergencies, disrupties, dreiging en crises moet je al kennen voor je het nodig hebt. Precies dat maakt dat je niet de systematieken van de hulpverleningsdiensten zomaar over kunt nemen en denken dat je er dan bent. Daar is toch echt wat meer voor nodig en dat is de kennis en kunde over je eigen bedrijf.  


Dit is het zesde blog in een serie over disruptiemanagement. Eerdere blogs vind je hier:

  1. Kleine taxonomie van de ongewenste gebeurtenis
  2. Dikke BOB is voor Disruptie
  3. De zes B’s van de Dikke BOB
  4. De ellende van complicatie- en escalatiefactoren
  5. Beginselen van disruptiemanagement
  6. Beeldvorming trainen voor de Dikke BOB
  7. De onderstroom van crisis
  8. De VUCA vinklijst voor disruptie en crisis
  9. Kwetsbaarheidsanalyse met de Rumsfeld Matrix

Beginselen van disruptiemanagement

Leestijd: 9 minuten

Als we ophouden met elke ongewenste gebeurtenis een crisis te noemen, ontstaat er ruimte voor nieuwe benaderingen van incidenten die beter recht doen aan wat er daadwerkelijk gebeurt. Zo vragen disrupties om een disruptiemanagement dat past bij de dynamiek van dergelijke verstoringen. Dat geldt zeker voor (productie)bedrijven en uitvoeringsorganisaties. In dit blog beschrijf ik de eerste beginselen van disruptiemanagement. Wie weet komen er nog meer.

Het grote verschil tussen een emergency en een disruptie is de verschijningsvorm. Bij emergencies is er eigenlijk altijd sprake van acuut en spoedeisend ingrijpen op een fysiek zichtbaar incident. Dat openbaart zich meestal in de vorm van een flitsramp; eerst was er niets, en toen was er (in een flits) de brand, de crash of de instorting.

De explosie bij de Marbon op 10 augustus 1971 is lang opgevat als een emergency response, een flitsramp. Als je er met de ogen van Turner naar kijkt zie je dat er sprake is van een lange incubatieperiode en was de explosie de uiting van een onderliggend proces. Zie ook dit blog.

Dat dit overigens niet helemaal klopt laat de incubatieperiode van Turner zien. Volgens hem dienen sommige rampen zich al veel langer van tevoren aan, maar worden de signalen niet gezien of verkeerd geïnterpreteerd. Wat Turner beschrijft heeft in zekere zin de karakteristiek van een dreiging, zoals ik betoog in de kleine taxonomie van de ongewenste gebeurtenis. Het wordt echter alsnog een emergency door een situational awareness niveau nul van de verantwoordelijke partijen, waardoor er niet proactief ingegrepen werd.

Het flitsincident wordt naar analogie van de kleine taxonomie logischerwijze opgevolgd door de flitsdisruptie en / of de flitscrisis. Van oudsher zijn calamiteitenorganisaties op die leest geschoeid, waarbij het bestrijden van de emergency voorop staat. In verhouding is de spoedeisende hulpverlening normaliter veel groter dan de disruptie en de crisis. Daardoor is van oudsher onvoldoende beseft dat in een flitsincident al de kiemen van die twee andere incidentvormen verstopt zitten.

Multipliciteit

Weliswaar werd er soms gesproken over de ramp na de ramp, maar dat bleef toch vooral beperkt tot een seriële incidentopvatting. Er was niet onopgemerkt gebleven dat in sommige gevallen, zoals de Bijlmerramp, ook in de nazorgfase nog bijzonder veel viel te regelen en op te lossen. Misschien nog wel meer (en in ieder geval langer) dan het initiële optreden van de hulpverleningsdiensten na de crash. Toch bleef het incidentframe van de Bijlmerramp een neergestort vliegtuig, zonder de ellenlange naturalisatierijen en huisvestingsproblemen die er ontstonden.

Met het idioom van de fundamental surprise en de taxonomie van de ongewenste gebeurtenis zou ik de Bijlmerramp nu niet meer typeren als een ramp die gevolgd werd door een lange nazorgfase. Eerder zou ik zeggen dat er sprake was van een al langer lopende sociale huisvesting-  en migrantencrisis die zichtbaar werd door een vliegtuigcrash in bewoond gebied. Voor korte tijd werden het minimaal twee interacterende incidenten die zich in een unieke multipliciteit voordeden als één ramp.

De opvatting dat een ongewenste gebeurtenis een multipliciteit is waarin tegelijkertijd vier verschijningsvormen kunnen huizen is nog betrekkelijk nieuw. Het geeft aanknopingspunten (en woorden) om het crisismanagement verder te expliciteren en nuanceren. Als we ophouden met alles crisis te noemen, kom je tot heel andere inzichten en werkwijzen en mogelijk ook tot een effectievere respons.

Disruptiemanagement

De noodzaak van zo’n grammatica voor ongewenste gebeurtenissen komt niet uit de lucht vallen. Veranderingen in de samenleving, zoals andere manieren van productie en logistiek, hebben tot nieuwe incidentvormen geleid. Door verstoringen in supply chains en co-makership zijn veel bedrijven er bijvoorbeeld hardhandig achter gekomen dat er ook nog zoiets bestaat als disruptie en disruptiemanagement. Een verstoring in je bedrijfsvoering zonder brand, explosie of instorting en dus ook zonder hulpdiensten. Maar wie lost het dan op? Dat is wat in het disruptiemanagement geregeld moet worden.

Hockeystick van disruptiemanagement
De hockeystick van exponentiele ontwikkeling is één van de beginselen achter disruptiemanagement. Kleine incidenten beginnen zich langzaam te ontwikkelen en worden steeds groter, totdat de verstoring zo exponentieel groeit dat je er structureel achteraan loopt. In dit plaatje worden nu seconden als eenheid gebruikt (het komt uit een blog over rookontwikkeling en vluchtgedrag), maar voor disrupties is uren een logischer eenheid.

Disrupties kennen hun eigen dynamiek, die deels afwijken van emergency response. Disruptiemanagement kent een aantal beginselen:

  • Weak signals, hard response
  • Veilig voortzetten
  • Houd kleine incidenten klein

Dat vraagt om een proactieve instelling. Wacht niet met opschalen tot er een incident is, maar als er een incident dreigt. Je verschuift de incidentdefinitie dus naar links in de keten. Niet pas aan de bak als het proces stokt, maar als er signalen zijn dat de boel gaat ontsporen. Noem het maar proactieve response: er zijn weak signals voor een bottleneck gedetecteerd, de harde respons is opschaling met de Dikke BOB. Snel situatie inschatten en scenario opstellen, gevolgd door het nemen van beheersingsmaatregelen en / of verder opschalen.

Wat betekent dit in de praktijk? Ten eerste dat er veel meer incidenten zullen zijn. Maar omdat je er snel bij ben, zullen de meesten ervan klein blijven en dus geen majeure disruptie veroorzaken. Dat is het principe van kleine incidenten klein houden: voorkomen van een onbeheersbare situatie.

Continuum

Ten tweede heb je minder mensen nodig in je eerste opschaling. Je hoeft niet heel dik uit te pakken met een groot team en alle rollen en bureaucratie die daar bij komt kijken. Er is een klein slagvaardig team op dienst dat gewoon zijn normale operationele werk doet en bij elkaar komt als het nodig is. Incidenten worden dan dus onderdeel van de normale bedrijfsvoering. Er ontstaat een continuüm tussen volledig operationeel en volledig stilgelegd. De dichotomie van OK en niet OK, die van gewenste- en ongewenste gebeurtenis verdwijnt.

Er kleven ook risico’s aan de opvatting dat incidenten meer een status van een proces dan een gebeurtenis zijn. Die liggen vooral op het vlak van de situational awareness. Je moet de weak signals niet alleen zien en begrijpen, je moet de hard response ook durven doen. Hier betreden we het veld van Kahneman’s human bias. De organisatie moet hulpmiddelen installeren die de besluitvorming onder tijdsdruk ondersteunen en mensen helpt om geen foute beslissingen te nemen.

Kahneman’s human bias theorie gaat over onbewust gedrag. Maar er is ook bewust gedrag dat een rol speelt bij disrupties, zoals het prisoners dilemma. Zeker in supply chain en co-maker settings kunnen verschillende belangen en posities een gezamenlijke aanpak moeilijk maken. Al helemaal in de fase dat de verstoring nog niet goed zichtbaar is en sommigen maatregelen niet nodig achten. Als dergelijke situaties zich vaker voordoen, dan ontstaat wat men het repeated multi player prisoners dilemma noemt. Die is alleen oplosbaar door het invoeren van handhaafbare regels.

Om een sluipende disruptie te voorkomen kun je bijvoorbeeld automatische opschalingsniveaus verbinden aan het aantal deelnemers in je responseteams. Ook aan de tijdsduur van de bestrijding kun je automatische maatregelen koppelen. Dus stel dat je initiële team uit drie mensen bestaat bij het niveau ‘klein’, wordt het automatisch niveau middel als er meer dan vijf teamleden zijn. Op dezelfde manier wordt het automatisch niveau ‘middel’ als er langer dan een uur gewerkt is aan het bestrijden van de disruptie.

Incidentpatroon

Op de lange duur verandert daarmee je incident patroon. Het aantal kleine incidenten zal toenemen en waarschijnlijk ook het aantal middel incidenten, omdat je de plafond voor opschaling verlaagd. Je gaat niet zitten wachten op een probleem dat je pas daarna gaat oplossen. Je bent het probleem voor, waardoor het niet meer zal ontstaan. Incidenten krijgen daarmee een andere definitie.

Hiermee normaliseer je verstoringen in je standaard bedrijfsvoering. Het is onderdeel van de basis vakbekwaamheid waar je geen specialisten voor nodig hebt, maar wel opleiding, training en oefening.  Dat is wat ik onder veilig voortzetten schaar. Op een veilige manier blijven produceren door het vroegtijdig nemen van extra maatregelen die passen bij de status van je proces.

Naar verwachting zal het aantal grote disrupties dan afnemen onder gelijkblijvende omstandigheden. Maar de disruptie potentie blijft, die is onlosmakelijk verbonden met de keuzes in je productieproces. Dus voorbereiden op majeure ellende blijft noodzakelijk, maar die gaat er dus heel anders uit zien dan vroeger.

Wat overigens onverlet laat dat de flitsdisruptie als gevolg van een flitsramp, al dan niet als crisis aangeduid, nog steeds een realistisch scenario is. Disruptiemanagement is dan ook niet een fenomeen dat de plaats inneemt van iets anders, het komt er bij, on top of. Wen er maar aan.

Update 12 mei 2023: Stoplicht in je hockeystick

De afgelopen drie jaar ben ik druk bezig geweest om deze beginselen van disruptiemanagement verder uit te werken in de praktijk. Een belangrijke inspiratiebron daarbij was de definitie van veerkracht zoals Sidney Dekker die gebruikt. Die hebben we ietwat getweakt op basis van de ervaringen in de praktijk.

Veerkracht kent nu vier elementen:

  • Weten waar de grenzen van je bedrijfsvoering liggen
  • Zien dat je erover heen gaat
  • De middelen hebben om terug te sturen
  • En het dan ook doen

Dat laatste punt is vooral van belang als de disruptie nog in een incubatieperiode zit en er nog niet zichtbaar iets mis gaat; als de hockeystick nog in zijn zacht kabbelende fase zit en velen vinden dat er geen reden tot ingrijpen is. Hoe houd je dan je rug recht?

Welnu, door een systeem te maken met duidelijke grenswaarden en alertering. Een stoplicht in je hockeystick. Niet meer op basis van je persoonlijke ervaring, maar op basis van geobjectiveerde normen.

Daarmee definieer je een incident (zonder schade) voordat het een incident met schade wordt. Je gaat proactief opschalen in een proces dat we verzwaarde bedrijfsvoering noemen.

Neem doorlooptijd van je proces als voorbeeld. Dan definieer je code geel bijvoorbeeld als het 15 minuten langer duurt dan normaal, oranje voor een half uur en rood voor een uur.

Op code geel komen de teamleads bij elkaar. Ze hebben de verlengde doorlooptijd gezien (situation awareness level 1) en gaan met elkaar uitzoeken wat er aan de hand is. Als ze daarachter zijn begrijpen ze de situatie (SA Level 2) en projecteren dat voorwaarts.

Wat kunnen we vandaag nog verwachten, wat voor weer is het, zijn er bijzonderheden, enzovoorts. Iedereen zal voor zijn eigen processen daar specifieke vragen voor moeten opstellen. Dan zit je op SA Level 3 en kun je een beargumenteerd besluit nemen.

Een belangrijk onderdeel van deze proactieve opschaling is communicatie. Daarmee zorg je voor een shared situational awareness die de organisatie veel responsiever en alerter maakt, omdat de kennis over de status van je systeem zich niet beperkt tot een paar leidinggevenden.

We maken bij het communiceren onderscheid in informeren, consulteren en alarmeren, afhankelijk van de doelen die de organisatie stelt. Grofweg gezegd: op de hoogte brengen, bevragen of in stelling brengen. Opschalen dus. En dat zal voor elk bedrijf dus anders zijn.

Maar het principe erachter niet: een stoplicht in je hockeystick. Ook die hoort bij de beginselen van disruptiemanagement.


Dit is het vijfde blog in een serie over disruptiemanagement. Eerdere blogs vind je hieronder:

  1. Kleine taxonomie van de ongewenste gebeurtenis
  2. Dikke BOB is voor Disruptie
  3. De zes B’s van de Dikke BOB
  4. De ellende van complicatie- en escalatiefactoren
  5. Beginselen van disruptiemanagement
  6. Beeldvorming trainen voor de Dikke BOB
  7. De onderstroom van crisis
  8. De VUCA vinklijst voor disruptie en crisis
  9. Kwetsbaarheidsanalyse met de Rumsfeld Matrix

Kleine taxonomie van de ongewenste gebeurtenis

Leestijd: 13 minuten

De ongewenste gebeurtenis is in zijn oervorm een brand of een natuurramp, zoals een overstroming, maar komt tegenwoordig in vele gedaanten voor. In zoveel gedaanten zelfs, dat een classificatie van de ongewenste gebeurtenis op zijn plaats is. Want ze kennen allemaal een eigen karakteristiek die voor elke basisvorm vraagt om een gerichte aanpak, met daarbij horende specifieke competenties. One size doesn’t fit all in dit geval en dat is precies het belang van deze kleine taxonomie.

Ik beschrijf in dit blog de vier basisvormen van de ongewenste gebeurtenis zoals ik die in de praktijk ben tegengekomen: de spoedeisende hulpverlening, de disruptie, de dreiging en de crisis. Wat ik de afgelopen jaren zag gebeuren is dat we alles crisis zijn gaan noemen. Ik heb daar trouwens vrolijk aan mee gedaan. Lange tijd was dat ook niet zo’n punt, maar vanaf 2014, eigenlijk met de aanslag op de MH17, merkte ik dat de oude, organisch gegroeide opvattingen en definities niet goed meer klopten.

Crisismanagement en incidentbestrijding waren geworden als de timmerman die de wereld beziet met hamer en spijkers. Steeds weer deden zich nieuwe incidenttypen voor, elk met een andere karakteristiek, waar wel elke keer hetzelfde instrumentarium tegenaan werd gezet. In een toenemend aantal gevallen bleek dat instrumentarium achteraf echter niet toereikend, omdat mensen niet over de juiste competenties, opleiding en mandaten beschikten. Voor het bestrijden van een brand zijn andere dingen nodig dan het managen van een bedrijfsverstoring of een crisis, zo blijkt in de praktijk.

Dat we met zijn allen de boel zo door elkaar zijn gaan gooien komt door gebrekkige definities enerzijds en door een veranderend incidentenlandschap met slordig taalgebruik anderzijds. Hoe dat laatste zo gelopen is, wordt beschreven in de volgende paragraaf over spoedeisende hulpverlening. Wat de definities betreft het volgende: ik gebruik incident en calamiteit als synoniem voor de ongewenste gebeurtenis; alles met narigheid en ellende, schade en levensgevaar op één hoop zonder verdere specificering. Dat is schrijf-technisch ook wel zo lekker, dan kan je een beetje variëren in het woordgebruik.

Voor de vier basisvormen van de ongewenste gebeurtenis hanteer ik definities die zijn afgeleid- en gebaseerd op de ISO 22301. Daardoor zijn ze bij uitstek geschikt voor gebruik in en over organisaties, zowel publiek als privaat. Of ze daarmee ook geschikt zijn om de overheidstaak op het gebied van rampenbestrijding en crisis te beschrijven weet ik niet 100% zeker. Misschien niet naar de letter, maar wel naar de geest. Wellicht iets voor een later blog.

De Bijlmerramp is in de kern een spoedeisende hulpverlening die uiteindelijk een crisis werd, uitmondend in een parlementaire enquete. Wie zou die verstopte gebeurtenis toen hebben gezien? In het begin werd trouwens nog gesproken over de ramp na de ramp. Foto ANP.

In dit blog ga ik nu verder in op de incidentontwikkeling van de afgelopen dertig jaar, te beginnen met de spoedeisende hulpverlening en dan via de ramp naar de crisis. Vervolgens komen we via de disruptie, crisismanagement en de kleine taxonomie uit op de verstopte gebeurtenis. Die heb ik bewaard tot het eind. Het is overigens best een longread geworden met nogal wat verwijzingen naar andere blogs. Dus als je zin hebt kun je er zo een regenachtige namiddag mee vooruit.

Spoedeisende hulpverlening

Toen ik zo’n dertig jaar geleden naar de brandweeracademie ging zag het incidentenlandschap er overzichtelijk uit. Er was natuurlijk brand, de oervorm van de ongewenste gebeurtenis. Het is niet voor niets dat de brandweer ook wel het oudste beroep ter wereld wordt genoemd. Ook oud, vanaf het moment dat er water was op deze planeet, is het waterongeval. Een Viriliootje eigenlijk, de uitvinder van het water was ook de uitvinder van het waterongeval. Dat dus.

Met de ontwikkeling van de techniek is er in de loop der tijd technische hulpverlening en ongevallenbestrijding gevaarlijke stoffen aan het scala incidenten toegevoegd. Als verzamelterm voor al die verschillende incidenttypen werd spoedeisende hulpverlening gebruikt. Nu nog steeds, trouwens. Daarmee is spoedeisende hulpverlening één van de vier basisvormen van de ongewenste gebeurtenis.

En dan had je nog de ramp. Dat is een heel grote en omvangrijke spoedeisende hulpverlening met als belangrijkste kenmerk dat er een acuut tekort is aan alle noodzakelijke materiaal en materieel om de situatie adequaat aan te kunnen pakken. Er is zelfs een eigen definitie in de wet rampen en zware ongevallen over opgenomen:

‘Een ramp is een gebeurtenis waarbij een ernstige verstoring van de openbare veiligheid is ontstaan, waarbij het leven en de gezondheid van vele personen, het milieu of grote materiële belangen in ernstige mate worden bedreigd of zijn geschaad, en waarbij een gecoördineerde inzet van diensten en organisaties van verschillende disciplines is vereist om de dreiging weg te nemen of de schadelijke gevolgen te beperken.’

Ik weet nog goed dat een ramp begin jaren negentig vooral werd gezien als een heel groot ongeval gevaarlijke stoffen. Een wolk chloor die over de binnenstad trok bijvoorbeeld, of een kernexplosie, dat soort ongewenste gebeurtenissen. En dat oefenden we dan regelmatig, meestal met een tabletop en heel veel kaartmateriaal. Zoals ik ooit in dit blog over de kunst van het verliezen heb geschreven.

Ergens voelde het toen of de rampenbestrijding wel af was. Natuurlijk was er altijd nog een grotere ramp te bedenken, maar omdat je de kleinere ramp ook al niet echt aan kon en het in dergelijke gevallen wachten was tot de tijd haar werk had gedaan, bestond er breed de gedachte dat dit het wel was. Meer tijd en geduld, dat was het enige wat je nog nodig had.

Van ramp naar crisis?

Maar dat was buiten de waard gerekend. In de eerste jaren van de éénentwintigste eeuw verruimde het begrip ‘ramp’ opeens vrij snel naar crisis. In de wet veiligheidsregio’s werd crisis gedefinieerd als tegenhanger van ramp, maar dan op het gebied van de openbare orde. Voornamelijk omdat de politie deel zou gaan uitmaken van de veiligheidsregio’s en die ook iets te doen moesten hebben met een wettelijke basis. Vandaar dus die toevoeging van crisis aan de wet, wat uiteindelijk een enigszins blinde darm-achtig bestaan is gaan leiden toen de politie helemaal niet naar de veiligheidsregio’s kwam, maar genationaliseerd werd onder het ministerie van justitie en veiligheid.

Bij de ontruiming van de Lucky Luijk in 1982 werd o.a. deze tram in de brand gestoken. Een typisch hybride vorm van emergency response naar disruptie. Foto ANP / Cor Mulder

In het handboek nationale crisisbesluitvorming is de definitie van crisis overigens losgemaakt van openbare orde en wordt er gesproken over crisis als een ongewenste gebeurtenis die de nationale veiligheid bedreigt, “indien de vitale belangen van de Nederlandse Staat of de samenleving zodanig bedreigd worden dat er sprake is van (potentiële) maatschappelijke ontwrichting.”

Op Schiphol brachten we dat denken indertijd in de praktijk door samen met de veiligheidsregio en de KMar het rampbestrijdingsplan aan te vullen met scenario’s als kaping, gijzeling en infectieziekten. Het resultaat werd crisisbestrijdingsplan gedoopt en zo heet het nog steeds. Inmiddels is het fenomeen crisisbestrijdingsplan in alle regio’s gemeengoed geworden.

Vanaf dat moment veranderde er van alles in de veiligheidsregio’s; medewerkers rampenbestrijding werden crisismanagers; brandweer verwerd van eerzaam beroep tot stiefzus van de crisisbeheersing; en in het wettelijk taalgebruik verdween het woord ramp en sprak men alleen nog maar over crisis.

In mijn ogen is die ontwikkeling een devaluatie van het begrip crisis geweest die geen recht doet aan de karakteristiek van deze tweede basisvorm uit de kleine taxonomie. Net zomin vind ik dat het begrip crisis slechts beperkt moet blijven tot scenario’s op het gebied van openbare orde. Ik kom daar straks nog op terug. En overigens ben ik ook van mening dat de brandweer in de oude status hersteld dient te worden en recht heeft op een eigen academie.

Disrupties

Terwijl de veiligheidsregio’s zich gezamenlijk verdiepten in het definiëren van hun eigen taakstelling en organisatiestructuren ging de rest van de wereld gewoon door met zijn eigen dingetjes. Zo was Nederland ondertussen gegroeid van 14 naar 17 miljoen inwoners, werd de wereld veroverd door het internet, konden veel productieprocessen niet meer plaatsvinden zonder ICT-toepassingen, werd de handel nog verder geglobaliseerd en ontstonden er ingewikkelde, intercontinentale demand- en supplyketens.

Alles moest groter, sneller, efficiënter en just in time. Met een nieuw fenomeen op het gebied van de ongewenste gebeurtenis tot gevolg: disrupties. Processen die ernstig verstoord raakten door een single point of failure in een keten, uitval van een computersysteem, een elektriciteitsstoring, dat soort dingen. Soms veroorzaakt door een spoedeisende hulpverlening, maar meestal niet.

Disrupties blijken een eigen dynamiek te hebben die niet automatisch aansluit op de regionale opschaling. Sowieso wordt vaak niet eens de overheidsdrempel overschreden en als dat onverhoopt toch gebeurt, is de overheid niet de bronbestrijder maar de effectbeheerser. Aan de bron zitten namelijk problemen als stroomstoring en uitval ICT, met als mogelijk gevolg grote drukte, files en mensenmassa’s. Voor dat soort bronbestrijding bestaat geen nood aan een peloton of een compagnie, maar aan een storingsdienst met vakbekwame techneuten.

Wat mij de pak ‘m beet laatste zeven jaar steeds meer opviel was dat het karakter van ongewenste gebeurtenissen begon te veranderen. Spoedeisende hulpverlening nam in frequentie en complexiteit af, terwijl disrupties juist flink toenamen, met soms onverwacht grote effecten en dito verontwaardiging in de maatschappij tot gevolg. Het was mij bovendien niet ontgaan dat de benodigde vakbekwaamheid voor het oplossen van een disruptie een andere is dan die voor het uitvoeren van spoedeisende hulpverlening. Maar dat is lang niet altijd en overal zo ingeregeld. Disrupties gaan namelijk over business continuity management. En dat is echt wat anders dan spoedeisende hulpverlening.

Crisismanagement

Er is nog iets wat me de afgelopen jaren steeds duidelijker werd, en dat is dat crisismanagement niet hetzelfde is als spoedeisende hulpverlening. Crisis is veeleer de culminatie van een continue verandering die al jarenlang doorsuddert en zich dan opeens onverwachts en in alle hevigheid openbaart als een ongewenste gebeurtenis. Crisis is daarom het resultaat van een proces van schuring, scheuring en daarna verwijdering, een fundamental surprise, een paradigmashift dan wel een incubatieperiode. Het is een omwenteling, zoals Jared Diamond schrijft:

“We kunnen een crisis dus zien als een moment van de waarheid: een keerpunt, waarbij de omstandigheden voor en na dat ‘moment’ veel meer van elkaar verschillen dan voor en na de meeste andere ‘momenten.’

jared diamond

Crisis is dus nooit de ongewenste gebeurtenis zelf, maar wel het proces dat er onder zit. Voor de bestrijding ervan heb je andere vaardigheden voor nodig dan voor spoedeisende hulpverlening. Een crisismanager is iemand die goed kan luisteren, gevoel heeft voor verhoudingen en een meester is in de strategie van de toevallige kans.

Geduld is een kerncompetentie. En dat is heel wat anders dan wat veel trainers en adviesburo’s hun klanten tegenwoordig aanleren. De nadruk op directiviteit en actiebereidheid hoort bij emergency response thuis, bij de spoedeisende hulpverlening. Niet bij de politiek gevoelige omgeving van het crisismanagement.

De vierde basisvorm uit de kleine taxonomie is overigens de dreiging. Dreiging terreur, dreiging cyberattack, dreiging infectieziekten, dat soort dingen. Het kenmerk van een dreiging is dat je simultaan de deskundigheid van de emergency respons en de disruptie in paraatheid moet brengen zonder daadwerkelijk een inzet te plegen.

De Spaanse Griep in 1918 was crisis, dreiging, spoedeisende hulpverlening en crisis in één.
Image: courtesy of the National Museum of Health and Medicine, Armed Forces Institute of Pathology, Washington, D.C., United States.

Vaak is die actie al een (kleine) disruptie op zichzelf, omdat je bijvoorbeeld extra controleert en/of fouilleert. In een dreigingsscenario creëer je zodoende schade voordat de potentiële schade uit de dreiging zich voordoet. Dreiging heeft daardoor veel weg van het karakter van een crisis.

Naar een kleine taxonomie van de ongewenste gebeurtenis

Het zal inmiddels duidelijk zijn dat het overzichtelijk incidentenlandschap van dertig jaar geleden helemaal niet meer zo overzichtelijk is. Het is daarom belangrijk om de verschillende soorten ongewenste gebeurtenissen goed te definiëren. Als je namelijk weet wat de karakteristiek van een bepaald type ongewenste gebeurtenis is, kun je ook de (team)capabilty en de bijbehorende competenties beschrijven. Dat vergroot de kans dat je de juiste deskundigheid inzet om het probleem adequaat te managen.

Op dit moment onderken ik vier verschillende vormen van een ongewenste gebeurtenis. Die baseer ik mede op de systematiek uit de ISO 22301. Maar een definitie is soms heel klinisch, te klinisch. Daarom voeg ik er een wordcloud aan toe: een kleine verzameling woorden die het gevoel moet geven waar de betreffende ongewenste gebeurtenis voor staat.

Kleine taxonomie vd ongewenste gebeurtenis
Emergency, disruptie, dreiging en crisis zijn met elkaar verbonden. Elke ongewenste gebeurtenis scoort in meer of mindere mate op elk van de vier basisvormen, maar ontwikkelt zich soms ook van de ene naar de andere vorm. Dat is niet altijd direct zichtbaar, ik noem dat een verstopte gebeurtenis.

Ik kom dan op de volgende definities en wordclouds:

Emergency response of spoedeisende hulpverlening is de capability van een organisatie om onverwachte en acute gebeurtenissen met mogelijk gevaar voor levens en/of grote schade zo snel mogelijk te beheersen;

Woorden die er bij horen zijn: redding, spoed, blussen, ontruimen, evacueren, gevaar, mensenlevens, uitbreiding, opschaling, indammen, beheersen, neerslaan, gewonden

Continuïteitsmanagement is de capability van een organisatie om producten en diensten te blijven leveren tijdens en na verstorende incidenten (disrupties) volgens vooraf gedefinieerde, acceptabele niveaus;

Woorden die er bij horen zijn: stremming, opstopping, downtime, uitgevallen, schade, onbeschikbaar, kapot, storing, uitval, onbetrouwbaar, crowd, uitwijken, wachttijd

Dreigingsmanagement is de capability van een organisatie om ernstige dreigingen voor de veiligheid, gezondheid en continuïteit vroegtijdig waar te nemen en te verhinderen dat er een emergency, disruptie of crisis ontstaat;

Woorden die er bij horen zijn: onzekerheid, afzetten, onderzoek, onbekend, weak signals, alertering, status, kwetsbaarheid, bewaken, beschermen, onzeker

Crisismanagement is de capability van een organisatie om een abnormale en instabiele situatie te managen die de strategische doelstellingen, de reputatie of levensvatbaarheid van de organisatie bedreigt;

Woorden die er bij horen zijn: aansprakelijk, schuld, incompetentie, fout, onduurzaam, alweer, negeren, arrogant, graaiers, onverantwoord, verwijtbaar, reputatie, imago, beeldvorming, politiek

De verstopte gebeurtenis

Elke ongewenste gebeurtenis bevat vanaf de start elementen van alle vier de basisvormen. Maar daarna kan het alle kanten op. Een dreiging wordt een emergency respons en vervolgens een crisis. Een disruptie wordt een dreiging. Een emergency respons veroorzaakt een disruptie. In elke gebeurtenis zit een andere gebeurtenis verstopt.

Een moderne ongewenste gebeurtenis ontwikkelt zich dus, vaak in een onbekende, onvoorspelbare richting. VUCA noemen we dat: volatile, uncertain, complex en ambiguous. Je kan er hier meer over lezen. Situational awareness van zo’n VUCA-gebeurtenis is in die zin dus meerlagig: je moet zowel de meest emergente basisvorm zien (is het een emergency respons of een disruptie, of beide) als de mogelijke ontwikkelrichting begrijpen en voorspellen (kan het een crisis of een dreiging worden).

De verstopte gebeurtenis in de brand bij de Marbon heeft een langdurige crisis tussen korps en dienstleiding opgeleverd. Foto ANP

Kun je de verstopte gebeurtenis zien zitten? Dat is de belangrijkste competentie die elke crisismanager, incidentbestrijder, bevelvoerder en/of commandant heden ten dage moet bezitten. En de op één na belangrijkste competentie is dat je snapt dat voor die verstopte gebeurtenis mogelijk een andere deskundigheid nodig is dan die je zelf hebt en dat je bereid bent om op te schalen en over te dragen. Om dat op de juiste manier te zien, te begrijpen en voorspellen is de kleine taxonomie van ongewenste gebeurtenissen onontbeerlijk.

Samenvattend

Ja, het is nogal een verhaal geworden, dat vind ik zelf ook. Een kleine samenvatting is daarom op zijn plaats. En hoe kan dat mooier dan met deze infographic van Wendy Kiel:

Wat verder te onthouden uit dit blog:

  • Om diverse redenen zijn we in de loop van de tijd alles crisis gaan noemen, ook als het om spoedeisende hulpverlening en grote verstoringen gaat. Zolang incidenten eenvoudig zijn en qua karakteristiek veel op elkaar lijken kan dat niet zo veel kwaad. Je hebt het dan steeds over hetzelfde maar dan met een ander woord.
  • In de afgelopen jaren is echter langzamerhand een zeer gemêleerd landschap aan incidenten en ongewenste gebeurtenissen ontstaan. Die zijn niet allemaal op de juiste manier aangepakt, zo blijkt, omdat we grofweg gezegd alles met één hamer hebben aangepakt: die van de spoedeisende hulpverlening.
  • Om alle hybride incidentvormen op de juiste manier te herkennen en bestrijden is er allereerst nood aan duidelijke taal. Vandaar de vier definities bij de basisvormen spoedeisende hulpverlening, disruptie, dreiging en crisis.
  • Met die vier definities kun je aan de slag om de capabilities en competenties van je organisatie te beschrijven en te implementeren.
  • Daar hoort onder andere het vermogen bij om VUCA-situaties te herkennen, begrijpen en voorspellen. En dat is inderdaad situational awareness level 3.

En mocht je maar één ding willen onthouden, onthoud dan geen zin maar een vraag: Kun je de verstopte gebeurtenis zien zitten?


Dit blog is de basis van een serie over disruptiemanagement.

  1. Kleine taxonomie van de ongewenste gebeurtenis
  2. Dikke BOB is voor Disruptie
  3. De zes B’s van de Dikke BOB
  4. De ellende van complicatie- en escalatiefactoren
  5. Beginselen van disruptiemanagement
  6. Beeldvorming trainen voor de Dikke BOB
  7. De onderstroom van crisis
  8. De VUCA vinklijst voor disruptie en crisis
  9. Kwetsbaarheidsanalyse met de Rumsfeld Matrix

Corona als rizoom; een metafoor voor crisis

Leestijd: 10 minuten

Corona is een wicked problem, schreef ik in een eerder blog. Dat betekent echter niet dat het misschien niet ook een crisis is, of een disruptie, of een ramp. Meest waarschijnlijk is dat corona het allemaal tegelijk is, en dan hangt het er ook nog eens van af aan wie je het vraagt. Voor de medewerkers op de IC ziet de wereld er namelijk heel anders uit dan voor de thuiswerker die even niet uit eten kan en zijn eigen haar moet knippen.

Ik heb dan ook niet de illusie dat ik een totaaloverzicht heb, sterker nog, ik denk dat helemaal niemand dat heeft. Toch belemmert dat niet om eens door de oogharen naar de ontwikkelingen te kijken en daar een kleine analyse op los te laten. Niet over corona zelf, maar over crisis. En rizoom.

Corona verandert continu

In dit blog beschouw ik corona als één geheel, een rizoom. Van de infectieziekte zelf tot de maatregelen en effecten aan toe. Eén van de dingen die dan direct opvalt is dat corona continu van vorm verandert en dat op diverse niveaus tegelijk; micro, meso en macro lopen continu door elkaar. Een macromaatregel om kappers te sluiten heeft op microniveau tot gevolg dat je zelf je baard moet trimmen en de kapper weken zonder inkomsten zit. Wat dan vervolgens weer allerlei andere consequenties zal hebben, die weer nieuwe effecten zullen oproepen ergens in het systeem, enzovoorts. Waarbij men exponentiele effecten niet moet uitsluiten.

Het corona rizoom heeft daarom niet slechts één gezicht, het is volledig gefragmenteerd en toch een geheel. In die zin gedraagt het zich als een complex adaptief systeem (CAS): een rizoom van actoren en acties waarvan de onderling verbonden componenten de mogelijkheid hebben zich aan te passen en te “leren” van eerdere ervaringen.

De bamboefoto’s op deze pagina maakte ik in 2013 in Blijdorp Zoo, met een Blackberry Curve 9300. Op die dag ben ik trouwens ook gestart met Twitter, gezeten op een terrasje achter de tijgers.

Dat betekent dat de maatregelen die het systeem moeten veranderen, deels onvoorspelbare en onverwachte uitkomsten zullen genereren, en erger nog, contraproductief zullen zijn. Je maakt het dus slechter, met de beste bedoelingen. Dat zal door lang niet iedereen begrepen worden en het geheel nog lastiger te besturen maken.

Onder andere daarom is corona zo’n wicked problem: om het even welk besluit je neemt, er zal altijd iets gebeuren wat je niet wilt en wat je niet had verwacht. Het is zelfs mogelijk dat je acties uiteindelijk dat zullen beschadigen wat je nu juist probeerde te beschermen. Tegelijkertijd zul je ook nooit weten wat er gebeurt zou zijn als je niets had gedaan, of een andere beslissing had genomen. Indeed, very, very wicked.

Als je ver genoeg afstand neemt, meen ik toch een bepaalde fasering te herkennen. Alhoewel fasering wellicht een verkeerd woord is. Het is niet zo dat er sprake is van duidelijke fasen die elkaar opvolgen. Er is geen pre-crisis, crisis en daarna post-crisis of zoiets. Het is meer zo dat er ergens een kiem is gepland die daarna onverdroten aan het ontwikkelen is geslagen, als ware het een bamboeveld dat zich ondergronds rizomatisch vermeerdert.

De stam groeit door terwijl er steeds weer nieuwe loten aan ontspruiten die dwars door elkaar alle kanten op gaan. Het zijn de kenmerken van emergentie, nieuwe eigenschappen die eerder nog niet in het systeem zaten en onlosmakelijk verbonden zijn aan de eigenschappen van een complex adaptief systeem.

Dreiging

Voor Nederland begon corona ergens in januari als een dreigingsscenario; dreiging besmetting voor de publieke gezondheid, maar ook een economische dreiging voor internationale bedrijfstakken zoals de luchtvaart. Eigenlijk was het toen ook al een veelkoppig monster, wat het lastig maakte om een eenduidig beeld met maatregelen vast te stellen.

Daarnaast was de aard van de dreiging in termen van kans en effect ook lastig in te schatten. Hoe groot is de kans dat je er mee te maken krijgt, en hoe groot zal het effect dan zijn? Niemand die het wist, mede omdat de informatie uit China ook laat was en niet transparant.

Wat meespeelde was dat in het Westen recente epidemieën als SARS en Mexicaanse griep weinig impact hadden gehad. Er was zodoende niet veel reden om aan te nemen dat het nu anders zou zijn. Er werden daarom veel maatregelen bedacht en voorbereid die het mogelijk moesten maken om alles veilig voort te zetten. Inzetten op acties die de kans verkleinen, dus. Van effect was immers nog geen sprake.

Uiteindelijk liep de dreigingsfase na de eerste besmetting (een effect) over in emergency response (ER), maar dat betekent niet dat dreiging als fase werd beëindigd. Die ging gewoon door en kreeg een ander karakter. Het meest zichtbare deel ging over in ER, maar de onzichtbare dreiging op bijvoorbeeld een pandemie en langdurige maatschappelijke ontwrichting bleef en gaat parallel zijn eigen gang naast de andere fases, als bamboespruitjes die overal en nergens opduiken.

Emergency Response

Zoals gezegd liep de dreiging na een maand naadloos over in emergency response, vlak na carnaval en de wintersport. Zodra er sprake is van ER zijn niet zozeer de kans variabelen interessant als wel het effect; de ongewenste gebeurtenis is er immers al, de kans is 100% op wat zich direct voor je neus afspeelt. Dat laat overigens onverlet dat de kans op een groter effect dan er op dat moment al is, nog steeds aanwezig is. Dan is het geen statisch incident, maar een dynamisch. Het ontwikkelt zich. Dat is de toekomstige dreiging die parallel oploopt met de incidentbestrijding die in het heden plaatsvindt.

Ik definieer emergency response (ER) als het vermogen van een organisatie (of samenleving/overheid) om onverwachte en spoedeisende gebeurtenissen met mogelijk gevaar voor levens en/of grote schade zo snel mogelijk te beheersen. Vermogen is in die zin een capability; het gaat over de slagkracht van gezondheidszorg, brandweer, politie etcetera.

Die slagkracht is per definitie gelimiteerd door de keuzes die het systeem eerder genomen heeft. Emergency respons kent dus een grens en daarna zijn maatregelen in en uit een ander domein noodzakelijk, zoals de social distancing. Het zijn de domein overstijgende maatregelen die het karakter van een complex adaptief systeem versterken en de chaos zullen vergroten, die vele nieuwe bamboespruiten op onmogelijke plekken zullen laten groeien.

Op 27 februari werd de eerste besmetting in Nederland geregistreerd en ging de ER van start. Daarna ging het hard. Eerst werd geprobeerd de vaste strategie van containment te hanteren, maar dat bleek uiteindelijk niet haalbaar. De besmetting ging te snel en er moesten andere dingen gaan gebeuren. Heel veel andere dingen zelfs, en ook allemaal tegelijk. Dat is het moment waarop de ER ontplofte door een tekort aan ic-bedden, andersoortige maatregelen noodzakelijk werden en corona ook een disruptie werd, een continuïteitsprobleem.

Ondertussen gaat de ER, parallel aan dreiging en disruptie, verder zijn eigen gang: er zijn meer ic-plekken nodig, net als beschermingsmiddelen en veel, heel veel coördinatie. Het systeem van rampenbestrijding, want daar hebben we het eigenlijk over, schaalt op en dopt zijn eigen boontjes binnen de mogelijkheden die het heeft.

Disruptie

In het weekend van 14 en 15 maart werd social distancing ingevoerd als beheersmaatregel ten behoeve van de ER. Horeca ging dicht, iedereen moest anderhalve meter afstand houden en werd verzocht thuis te werken tenzij het niet anders kon. Op dat moment werd corona ook een continuïteitsprobleem: het verstoorde de economische en sociale verhoudingen, zowel nationaal als internationaal. Ik definieer continuïteitsmanagement als het vermogen van een organisatie of samenleving om producten en diensten te blijven leveren tijdens verstorende incidenten (disrupties) volgens vooraf gedefinieerde, acceptabele niveaus.

Ik durf rustig te stellen dat daar niet veel van terecht is gekomen, continuïteitsmanagement. De enige maatregel die kennelijk voor handen was, was om de boel grotendeels te sluiten. Dat sommige sectoren weinig hinder ondervonden van de maatregel was toeval, geen plan. Dit is precies de reden waarom ik altijd zo’n scherp onderscheid maak tussen emergency response, continuïteit en crisis. Het zijn heel verschillende soorten problemen en je hebt er andere mensen, preparatie en oplossingen voor nodig.

Overigens had ik dit scenario zelf ook niet voor mogelijk gehouden. Wel de pandemie, maar niet de redeloze reactie van mensen en overheden er op, met die disruptie tot gevolg.

Het raadsel van de waterlelie: elke 24 uur verdubbelt de lelie van omvang. Na 20 dagen is de vijver helemaal vol. Op welke dag was de vijver voor de helft gevuld? En wanneer nam de lelie 10% in beslag? Antwoorden aan het eind van het blog.

Crisis

En dan moet de vette crisis nog komen. Crisismanagement definieer ik als het vermogen van een organisatie (of samenleving/overheid) om een abnormale en instabiele situatie te managen die de (strategische) doelstellingen, de reputatie of levensvatbaarheid van de organisatie (of samenleving/overheid) bedreigt. Op dit moment is het crisismanagement nog maar net gestart, omdat de echte crisis er nog niet is. Wat je nu ziet en wat iedereen crisis noemt is eigenlijk rampenbestrijding en disruptiemanagement. Ingewikkeld, wicked, bijzonder belangrijk maar nog geen crisis.

Crisis wordt het als de economie niet meer bijkomt van de disruptie en langdurig terugzakt, met alle sociale gevolgen van werkeloosheid van dien. Crisis wordt het als er uitgezocht gaat worden waarom we vitale infrastructuur en maak-industrie naar het buitenland hebben laten gaan zonder goede contingency in Nederland. Crisis wordt het als Nederland zich vervreemdt van Europa door een halsstarrige opstelling in welk dossier dan ook. Om er maar eens een paar te noemen.

Crisis ligt dus heel dicht tegen normale politiek aan. Crisis is mislukte politiek en mislukte bedrijfsvoeringskeuzes, veroorzaakt door een fundamental surprise of bewuste afweging. Die men ‘met de kennis van nu’ anders gemaakt zou hebben, zo zal ongetwijfeld ter verdediging worden aangevoerd. Maar er is willens en wetens voor de laagste prijs gegaan. Daarom is alles op (internationale) Just In Time (JIT) ketens georganiseerd, zonder strategische voorraden aan te leggen ter overbrugging. Dat is weliswaar goedkoop, maar ook zeer kwetsbaar voor disrupties.

Alle redundantie om onverwachte gebeurtenissen te absorberen is daardoor verdwenen. Dat is wat ik fundamental risk noem, ik schreef er al eerder over in dit blog. De verantwoording over die keuzes, dat is een deel van de crisis en die moet dus nog komen. Hoe dat er verder zal uitzien durf ik echt niet te voorspellen, gezien het karakter van het complex adaptief systeem waar we nu in zitten. Iedereen die een klein beetje begrijpt wat een CAS betekent zal zich dan ook onthouden van een toekomstvoorspelling.

Desalniettemin zullen velen de neiging niet kunnen weerstaan toch een voorspelling te doen. Sommigen zullen daarna menen het bij het rechte eind te hebben gehad, maar iedereen met verstand van zaken weet dat dat toeval moet zijn. Epictetus, de oude Stoicijn, die wist dat al: “Het wezenlijk kenmerk van een bewonderenswaardige speler is niet dat hij wedstrijden wint, maar dat hij onder alle omstandigheden zijn best doet, ongeacht het resultaat, dat hij immers niet in zijn macht heeft.”

Conclusie

Is er hieruit nog zoiets als een conclusie te formuleren? Misschien wel. Daarvoor leen ik bij Gareth Morgan en zijn klassieker ‘Images of Organization.’ In dat boek beschrijft Morgan diverse metaforen om naar organisaties te kijken, zoals ‘brein’, ‘organismen’ of ‘machines’. Ik heb geprobeerd in dit blog rizoom te gebruiken als metafoor voor crisis. Als een bamboestruik die zich ongebreideld blijft vermeerderen en tegen elke verdrukking in steeds weer een uitweg vindt.

Als een veelkoppig monster dat net doet of ie van de ene in de andere fase overgaat, maar in werkelijkheid alles tegelijk laat veranderen in een parallel proces: het is zowel dreiging als crisis, disruptie als emergency respons. De maatregelen in het ene domein interacteren met die uit de andere, waardoor er steeds nieuwe onvoorspelbare complicaties ontstaan. Precies zoals in een complex adaptief systeem, een rizoom. Nog niet eerder als bij corona had ik die metafoor zo duidelijk voor ogen.

Gaat ons dat veel helpen? Ik zou het eerlijk gezegd niet weten. Totdat Grunberg mij te hulp schoot in zijn column van 11 april. “Open het raam, kijk naar buiten. Wat je ziet noemen ze geschiedenis. Zolang zij je niet vernietigt, kun je er alleen maar je voordeel mee doen.” Precies zo is het met de rizoom metafoor voor crisis, en het stond bij nader inzien al in mijn twitterbio: “Je weet nooit wanneer je er wat mee kan, maar je hebt er altijd wat aan.”

Antwoorden bij het raadsel van de waterlelie. De groeifactor per 24 uur is 2. Omdat de bedekte oppervlakte steeds verdubbelt, is de dag ervoor (19) de helft van de vijver begroeid. Op dag 18 is dat dus 25%, op dag 17 12,5%. Op dag 16 is het 6,25%. In de loop van die dag wordt de 10% dus bereikt.


Ik schreef nog twee blogs over corona: Het probleem van wicked problems en De overeenkomsten tussen een oude oorlog en een nieuwe pandemie

« Oudere berichten

© 2024 Rizoomes

Thema gemaakt door Anders NorenBoven ↑