Als je aan een willekeurig iemand vraagt om te beschrijven wat ‘risico’ is, dan heb je grote kans dat die persoon ‘kans maal effect’ zegt. Risico is daarmee verworden van een onzekerheid tot een getal, iets dat je met een risicomatrix kunt beoordelen en van een waarde kan voorzien. Onder controle, voor verbetering vatbaar of onacceptabel, dan wel iets andere omschrijvingen van dezelfde strekking.
Je kunt er ook smileys aan hangen; groene, gele en rode. Die smileys zou je ook aan elkaar kunnen koppelen en voor elkaar laten compenseren. Je kunt het een stoplichtmodel noemen, alles op een A4 in een overzichtelijke tabel. Precies zoals managers het graag zien: onzekerheid gevangen in een norm, waardoor het lijkt of het meetbaar en beheersbaar is.
Voor zover het situaties betreft die je zelf in de hand hebt, is daar niet heel veel mis mee. Met goeie data over faalfrequenties van bijvoorbeeld buizen, kleppen en afsluiters kun je een veilig systeem ontwerpen tegen aanvaardbare kosten. De essentie is dat je het systeem zelf controleert en beheert en dat je zelf kan bepalen in hoeverre externe factoren er invloed op hebben.
Kansen toekennen
Anders wordt het als het risicodomein grotendeels bloot wordt gesteld aan externe invloeden die je niet onder controle hebt. Als ze VUCA worden. Hoe bepaal je dan het risico? Nog steeds met kans maal effect? Op basis van historische gegevens? Of op basis van ervaring? Maar hoe betrouwbaar is ervaring uit het verleden in de toekomst?
Precies hier begint het punt dat risicomanagement risicovol wordt, bij het bepalen van kansen. Op zichzelf is het inventariseren van ongewenste gebeurtenissen nog niet eens zo moeilijk. Het probleem ontstaat pas als je kansen wil toekennen aan die gebeurtenissen. Vertaal je kans naar frequentie of naar waarschijnlijkheid? Hoe schat je de kans in van iets wat nog nooit is voorgekomen, maar dat wel voorzienbaar is? Hoe vertaal je complexiteit en kettingreacties (onvoorspelbaarheid) naar een kans?
Voorbeeldje: hoe groot acht je de kans dat iemand een bom in je bedrijf plaatst? En hoe bepaal je de plek waar die bom waarschijnlijk wordt neergelegd? Maar als het zo’n waarschijnlijke plek is, zal de boef hem dan toch niet ergens anders neerleggen, juist omdat die plek zo waarschijnlijk is?
Ander probleem: doel redeneren. Soms is een effect zo groot, dat de (onbewuste) neiging ontstaat er een heel kleine kans aan toe te kennen. Dat nuanceert het risico dan weer en daarmee lijkt het acceptabel. Wat ik ook wel zag gebeuren: het aanpassen van de risicomatrix (de scoringstabel) om onacceptabele risico’s toch weer acceptabel te krijgen.
Nog zo’n vervelende verrassing: dat een effect dat daadwerkelijk optreedt bij een incident veel harder wordt aangerekend dan de organisatie tijdens de risicoanalyse had gedacht. Omdat bijvoorbeeld de publieke opinie over de organisatie is veranderd of omdat er zich onverwachts escalatiefactoren voordeden tijdens het incident.
De Black Swan is het struikeldraadje voor de veiligheidskundige. Hoe manage je een zeldzame gebeurtenis met een enorme impact, die alleen achteraf te verklaren is?
Wat je namelijk wil is het kreng voorspellen.
Met een risicoanalyse systematiek, beheersmaatregelen, risk appetite en restrisico’s. En dan iets kunnen zeggen over de veiligheid van het systeem.
Op dat moment. Real time.
Eigenlijk kun je dus niet zoveel met die Black Swan als je hem alleen achteraf kunt uitleggen. In één van mijn eerste blogs hierover op rizoomes.nl heb ik hem dan ook als nutteloos bestempeld.
De vraag die overbleef was waarom iedereen er dan zo mee op de loop gaat? Zag ik iets over het hoofd? Daar breek ik nu al een paar jaar mijn hoofd over. Al ben ik inmiddels wel wat stappen gevorderd. Om er eens twee te noemen:
In veel gevallen is de Black Swan niet het incident zelf, maar de reactie van mensen en organisaties erop. Niet Covid was onvoorspelbaar, wel hoe er door overheid en burgers op is gereageerd
Een Black Swan is geen gebeurtenis op zichzelf, maar een mindset. Het besef dat er een grens is aan je weten en dat je voorbij die grens moet, naar het niet-weten.
Het niet-weten heb ik voor dit blog gekoppeld aan twee termen, onvoorzienbaarheid en onvoorstelbaarheid. Om die te transformeren naar wel-weten, moeten we op zoek naar wat onvoorzienbaar en onvoorstelbaar is.
Tunnelvisie
ChatGPT tekende op verzoek een man in een tunnel die de Black Swan niet ziet.
Voorzienbaarheid is voor de veiligheidskundige misschien wel het meest interessant, omdat het gekoppeld is aan aansprakelijkheid. Zeker in Angelsaksische landen is foreseeability een belangrijk begrip. Met de meeste risicoanalysesystemen moet je wel tot een min of meer volledige lijst van voorzienbare incidenten kunnen komen.
Wat er daarna nog onvoorzienbaar aan is, is het onverwachte: op welk moment het gebeurt.
Het verwachtingspatroon is hier de beperkende factor en zit de situational awareness in de weg. Daardoor worden er signalen gemist.
Niet de gebeurtenis zelf is de Black Swan, maar het precieze moment of situatie; je verwachtingspatroon zit je in de weg.
Onvoorstelbaarheid gaat over incidenten die het voorstellingsvermogen te buiten gaan. Dat zijn bijvoorbeeld sciencefiction scenario’s als buitenaardse wezens die je installatie opvreten. De zombie game is daar een mooi voorbeeld van. Wat doe je als je bedrijf wordt aangevallen door zombies?
Een andere vorm van onvoorstelbaarheid ontstaat als er grote veranderingen optreden in je omgeving. Met omgeving in de ruimste zin, territory noem ik dat.
Hoe voorstelbaar was het 10 jaar geleden dat demonstranten zich zouden vastlijmen aan schoorstenen, snelwegen en kunst? Of dat er een hybride oorlog zou uitbreken, we in unpeace zouden leven?
Zo verdwijnt het verschil tussen safety en security en worden onvoorstelbare scenario’s opeens voorzienbaar. Dat is wat de veiligheidskunde met de Black Swan moet: bewust worden van je eigen verwachtingspatroon.
Want net daarbuiten, naast je tunnel, daar zit ie. De Black Swan.
Fluke is het nieuwe boek van Brian Klaas, een politicoloog uit Minnesota die werkt als associate professor op de University College in Londen. Change, chaos and why everything we do matters is de ondertitel ervan. En dat is precies waar het over gaat.
We hebben namelijk controle over niks, maar invloed op alles. Dat is de conclusie van Fluke in één zin, die opmerkelijk veel lijkt op de kern van de Stoa. Ook die zegt dat je niet meer kan doen dan je best, want over het uiteindelijke resultaat heb je geen controle. Doe alles wat je kan om iets te beïnvloeden en accepteer de rest, dat wat buiten je macht ligt.
Dat is omgaan met toeval.
Liefhebbers van het werk van Taleb en dan met name ‘Misleid door toeval’ zullen dit boek ook zeer kunnen waarderen. Zowel Klaas als Taleb redeneren dat levenslooppaden een grote mate van toeval in zich hebben. Net zo makkelijk had er iets anders kunnen gebeuren, een alternatieve geschiedenis.
Klaas komt met een schat aan voorbeelden om zijn stelling te onderbouwen. Al op de eerste bladzijden vertelt hij een bizar verhaal over het afgooien van de atoombommen op Japan, dat ik nog nooit gehoord had. Dat begint met mijnheer en mevrouw Stimson.
Kyoto
In oktober 1926 gingen die op vakantie in Kyoto, Japan. Ze bezochten de historische tempels, bewonderden de tuinen in de heuvels en genoten van de goudgele kleurexplosie van herfstbladeren, door de Japanners shuushoku genaamd. Een geliefd motief in de haiku’s uit de boeddhistische poëzie.
Ik zocht er eentje op, ter illustratie.
In Kyoto,
hearing the cuckoo,
I long for Kyoto.
basho
Negentien jaar later was Stimson de hoogste burger op het ministerie van defensie. Het was 1945 en er werden voorbereidingen getroffen om atoombommen op Japan te gooien. Het primaire doel was Kyoto, met Hiroshima, Yokohama en Kokura als back up. Toen Stimson hoorde dat Kyoto op het punt stond vernietigd te worden, zette hij alles op alles om dat te voorkomen.
En dat lukte wonderwel.
In plaats daarvan viel de eerste bom op Hiroshima. De tweede stond gepland voor Kokura, maar dat bleek bij nadering volledig bewolkt. Geheel in tegenspraak met de weersverwachting. Omdat de vliegtuigen low on fuel zaten werd de bom op Nagasaki gegooid. “To this day the Japanese refer to ‘Kokura’s luck’ whenever someone unknowingly escapes from disaster.”
Kyoto omstreeks 1920
Als een vakantie en een verkeerd weerbericht het leven of de dood van honderdduizenden mensen kan bepalen, kan dat dan ook als je een afslag mist op de snelweg, of te laat bent op een vergadering, zo vraagt Klaas zich af.
Of een dienst ruilt, zo weet ik van nabij. Eén van de brandweermannen die bij de Motorkade om het leven kwam was in dienst gekomen voor een collega die naar de gemeenteraad moest.
Bij de MH17 was sprake van vergelijkbare geluk en pech, door last minute veranderingen in de passagierslijst. Wie bij grote ongevallen gaat kijken wie er al dan niet toevallig om het leven kwamen, vindt vrijwel altijd bijzondere verhalen en uitzonderingen.
Die eigenlijk standaard zijn, zo blijkt als je breder kijkt. Alleen valt het normaal gesproken niet op. Dagelijks missen mensen treinen, vliegtuigen, afslagen, diensten en noem maar op zonder enige andere reden dan toeval.
Er was een weg dicht, je moest omrijden, je had je verslapen, dat soort dingen.
Heel soms komt iemand in een ramp terecht en noemen we het pech. Als je het wel overleeft wijten veel mensen dat aan de voorzienigheid, dat het zo had moeten zijn. Een engeltje op je schouder. Maar bij alle dagelijkse afwijkingen zonder opzienbarende effecten denken we helemaal niks. Het valt niet eens op.
Borges
Toch is het allemaal een toevalstreffer, in het Engels een fluke, zegt Klaas.
If you could rewind your life tot he very beginning and then press play, would everything turn out the same?
Want het leven is als een lange weg waarbij je op elke beslissing een kant op gaat en andere richtingen uitsluit. Het is als in de tuin met de zich splitsende paden, een beroemd verhaal van Jorge Luis Borges, één van mijn favoriete schrijvers. Ik pakte dat er maar even bij.
“Eeuwenlange eeuwen en alleen in het heden doen de feiten zich voor; ontelbare mensen in de lucht, op aarde en in de zee, en alles wat werkelijk gebeurt, gebeurt mij.”
Uiteindelijk draait het verhaal om een magisch boek, dat tegelijk een labyrint is. Niet een ruimtelijk labyrint, maar een labyrint van de tijd. Eentje met oneindige tijdreeksen in een groeiend, duizelingwekkend rizoom van uiteenlopende, bijeenkomende en parallelle tijden.
“Dit netwerk van tijden die elkaar naderen, zich splitsen, elkaar kruisen of elkaar eeuwenlang onbekend zijn, omvat alle mogelijkheden. In het merendeel van de tijden bestaan wij niet; in sommige bestaat u, en ik niet; in andere ik, niet u; in andere wij beiden. De tijd splitst zich eeuwigdurend naar ontelbare toekomsten.”
Verwar de tuin met de splitsende paden vooral niet met een kansenboom. De tuin gaat over Knightian onzekerheid en de boom over zekerheid.
Verhalen van Borges zijn nogal vaak niet te begrijpen met slechts één keer lezen. Ze bevatten meerdere lagen die je soms pas aan het eind ontdekt. Als je dan terugleest, zie je opeens wat je de eerste keer had gemist. En is het verhaal opeens veranderd, het is een ander verhaal geworden.
Omdat jij anders bent geworden, net als in de rivier van Heraclitus. Die kan ook geen mens twee keer op dezelfde manier doorwaden.
De regenval van afgelopen maanden heeft de rivieren van Heraclitus doen zwellen, geen doorwaden meer aan.
Dit gegeven van de tuin met de splitsende paden laat Klaas diverse keren terug komen. Ook legt hij uit dat de cognitie van mensen zo is ingericht dat we het niet automatisch door hebben. Mensen zien in alles een patroon, een keten van oorzaak en gevolg die zich in vergelijkbare omstandigheden opnieuw zal voordoen, zo denken we. Maar, zo zegt Klaas, de geschiedenis herhaalt zich nooit.
Hooguit herhalen mensen zichzelf.
Pad
Dat de splitsing van een pad toeval is, betekent niet dat je straffeloos een nieuwe weg in kan. Aan het eind van een pad openbaren zich nieuwe richtingen terwijl oude paden zich sluiten. En voor alle zekerheid, denk niet aan een splitsing in twee richtingen, maar aan een splitsing in alle richtingen.
Daarnaast bestaat er zoiets als path dependency; als je bijvoorbeeld eenmaal hebt gekozen voor een spoorweg met een bepaalde breedte kun je niet meer kiezen voor een ander spoor. Ook al wordt dat soms vergeten bij het bestellen van een nieuwe trein.
“Welcome, my friend, to the very end of the road not taken…”
Q in Picard, seizoen 2
Wat ik ook bijzonder vond om te beseffen: je verleden is deterministisch, maar je toekomst is onvoorspelbaar. Precies daarom zegt Taleb dat een Black Swan alleen achteraf te verklaren is, maar verder onvoorspelbaar blijft. Klaas beschrijft het lekker plastisch:
“Trace the human lineage back hundreds of millions of years and all our fates hinge on a single wormlike creature that, thankfully for us, avoided being squished. If those precise chains of creatures and couples hadn’t survived, lived and loved just the way they did, other people might exist, but you didn’t.”
Tegelijk is onze toekomst onvoorspelbaar, omdat die bepaald wordt door de ontelbare interacterende variabelen in een chaotische wereld. Alles is aan elkaar verbonden (interconnected) en heeft betekenis, hoe klein ook. Daarom kun je signal en noise niet val elkaar scheiden, schrijft Klaas.
“There is no noise.”
Maar ook al hebben we niets onder controle, we beïnvloeden alles. In het blog over de strategie van de toevallige kans beschrijf ik hoe je je invloed op je pad kunt vergroten. Dat bestaat uit twee stappen: bricolage en kaïros.
Bricolage houdt in dat je zo veel mogelijk gaat verzamelen. Mensen, kennissen, gebeurtenissen, bijeenkomsten. Vergroot het aantal kruisende en samenlopende paden en je vergroot de kans op een betekenisvolle wending. Doe dat ook random; dat is de kracht van wanderen.
In hoeveel richtingen splitst zich het pad?
Kaïros gaat over de juiste timing. Observeer goed, leer kijken zonder oogkleppen. Laat de dingen ook eens gaan zoals ze gaan, zie hoe het zich ontwikkelt. Houd je opties open en probeer na een besluit meer opties te hebben, meer paden om te volgen dan je eerst had. Besef dat als je andere doelen stelt je van richting verandert en er in de tuin opeens andere, zich splitsende paden zichtbaar worden.
Dat is de toeval van het pad.
Eindoordeel
Fluke is een rijk boek met ontzettend veel verhalen en informatie. Het wandert alle kanten op en dat biedt veel stof tot nadenken. Tegelijkertijd, als het eind van het boek nadert, mis je toch iets van een grote onthulling, een groot inzicht zoals een Black Swan. Maar misschien is dat ook wel mijn nog te beperkte begrip van de edge of chaos. Ik ga het over een tijdje gewoon nog eens lezen, indachtig de rivier van Heraclitus en de verhalen van Borges.
In deze bespreking heb ik mij beperkt tot de hoofdboodschap van het boek en dat vermengd met een paar afslagen uit eerdere verhalen. Ik zou haast zeggen dat het verhaal mij opzoekt; wat geleerd moet worden herhaalt zich immers. Er is dus ook heel veel niet verteld. Wie weet kom ik dus later nog eens met wat fragmenten uit Fluke in een andere context.
En lees het boek vooral zelf, bijvoorbeeld op vakantie. Met de rijkheid aan voorbeelden heb je voor dagen stof tot nadenken en mijmeringen. Het is een aanrader voor liefhebbers van het werk van Taleb en past in het rijtje boeken over toeval en complexiteit als Het onwaarschijnlijkheidsprincipe, De perfecte ramp, Averting Catastrophe en Not knowing.
Eindcijfer: 8
Zou ik het bewaren als de boekenkasten vol zijn en er geruimd moet worden: zeker.
Op de hei hier in de buurt is een tuin met zich splitsende paden verzwolgen door de rivier van Heraclitus.
The road not taken
Al schrijvende ontdekte ik ook nog dit gedicht van Robert Frost, dat te mooi is om niet te plaatsen. Bij wijze van toegift op Fluke.
‘Niet door corona alleen’ is de derde wandergids. Hij gaat in op corona als exemplaar: als dit de manier is waarop we onze crises managen, wat zegt dat dan over ons systeem van risico- en crisismanagement? Eigenlijk precies wat het Museum of Accidents doet. Maar dan voor een crisis on the edge of chaos.
Want on the edge of chaos het was. Wie zich probeert voor te stellen wat er gebeurt zou zijn als corona niet beëindigd zou zijn na ruim twee jaar, komt denk ik op zwarte scenario’s uit.
Het zou bijvoorbeeld zomaar kunnen dat er zich een nieuwe variant had ontwikkeld die immuun was voor de vaccins. Het zou ook kunnen dat de lockdowns nog langer doorgezet hadden moeten worden. Niet uitgesloten is ook dat industrietakken failliet hadden gegaan en er schaarste was ontstaan.
Om er maar een paar te noemen.
Gelukkig is het zover niet gekomen. Niet dankzij het crisismanagement op corona, maar ondanks het crisismanagement op corona.
Daarom heet deze wandergids ook ‘Niet door corona alleen.’
Niet door corona alleen: risicofactoren
De problemen kwamen (en komen) namelijk niet door corona alleen, maar ook door menselijk gedrag. Niet het menselijk gedrag waarbij een uitvoerder de schuld krijgt van een ongeval, dat niet.
Wel het menselijk gedrag dat de risico’s voor infectieziekten veroorzaakt, het gedrag dat besluiten neemt op korte termijn met alle consequenties van dien voor de lange termijn en tot slot het gedrag van de mens in de social media.
Maar we beginnen met de risicofactoren.
In de Volkskrant van 25 mei schrijft Maarten Keulemans een uitgebreid artikel over de vogelgriep. Op verschillende plekken in de wereld blijkt die griep over te springen van dieren op mensen. Dat is een veeg teken.
De evolutie van virussen leidt vaker tot een grotere besmettelijkheid dan tot een lagere. Is die oversprong er nu nog niet, dan misschien later, als het virus weer een paar ontwikkelstappen verder is. Het risico op een nieuwe wereldwijde epidemie ligt dus niet bij corona alleen. Ook andere infectieziekten liggen op de loer.
Die ontwikkeling wordt gestuurd door enkele risicofactoren, zoals:
Een steeds verdere intensivering van veeteelt; dat veroorzaakt grote uitbraken en uitstekende broedplaatsen voor virussen
Toenemende monoteelt; de kwetsbaarheid van soorten neemt toe door een gebrekkige DNA-variatie
Klimaatontwikkelingen; het wordt warmer en daar houden virussen van
Bevolkingsdichtheid en -omvang neemt toe; dat levert meer besmettingskansen op en een grotere kans op een superspreader
Dit rijtje is niet compleet, maar in essentie komen alle risicofactoren door één rootcause: het economisch belang om zo goedkoop mogelijk te produceren. In dit blog over fundamental risk licht ik dat verder toe met een aantal voorbeelden.
Want alle vogels zijn bevattelijk. Al is de ene soort resistenter dan de andere. Aan het ene uiterste heb je bijvoorbeeld de stadsduif, daar zie je nauwelijks sterfte. En aan het andere uiterste zie je onder meer de knobbelzwaan of de zwarte zwaan. Daar is de sterfte enorm.
saillant detail uit het artikel; Cursivering van mij
Niet door corona alleen: schadebeelden
In het blog corona als rizoom beschrijf ik hoe de verschillende fases van de pandemie zich verhouden tot de kleine taxonomie van de ongewenste gebeurtenis. Dat maakt corona niet tot één incident, of één crisis dan wel ramp: het is een grote kluwen ellende en dat komt niet door corona alleen.
Wat in ieder geval wel zo is: de maatregelen die zijn genomen door de regering en de internationale gemeenschap hebben het schadebeeld alleen maar vergroot. Er was een sterke korte termijn focus die alleen in het begin van de pandemie logisch was.
For every complex problem there is an answer that is clear, simple and wrong.
H.L. Mencken
Naarmate de pandemie langer duurde vielen vele maatregelen niet meer uit te leggen. Ze veroorzaakten een groter probleem dan ze oplosten; de regering had zijn eigen disruptie gemaakt, met een eigen dynamiek die veel leek op wat Stijn Streuvels schreef over het begin van de Eerste Wereldoorlog.
Korte- en langetermijn effecten van beleid gingen door elkaar lopen, werkten op elkaar door en veroorzaakten op hun beurt weer nieuwe effecten. Sommigen daarvan waren onvoorspelbaar, maar na verloop van tijd had je kunnen weten dat er onvoorspelbare effecten op je maatregelen zouden ontstaan. Soms is dan niks doen een betere optie.
Uiteindelijk bleek corona niks anders dan een wicked problem, dankzij de snelle uitwerking van vaccins werd de besmetting namelijk beheersbaar. Daardoor kon ook één van de standaardoplossingen voor wicked problems worden toegepast: corona werd verklaard als zijnde opgelost.
Daarna rende iedereen naar buiten en wilde er niks meer over horen. Verwerkt is alle ellende nog lang niet, de catharsis is onderdrukt, de archieven van Hugo de Jonge blijven gesloten en Sywert van de Liende wordt de nationale zondebok.
Wanneer begint een pandemie? In het weekend van 14 en 15 maart 2020 logeerden wij in Hotel New York in Rotterdam. Die zaterdag bleven al veel winkels dicht wegens een gebrek aan klandizie. Bij het diner mochten alleen hotelgasten aanwezig zijn en werden we gescheiden door lange rood-witte linten, zodat iedereen op 1,5 meter afstand bleef. ’s Zondags zijn we na het ontbijt maar vertrokken, waarna op 15 maart de ‘intelligente’ lockdown werd uitgesproken. De pandemie was begonnen.
Corona wordt actief verdrongen. Door bijna iedereen.
Niet door corona alleen: Black Swan
Dat brengt mij bij de laatste waarnemingen rondom corona als exemplaar. Niet de pandemie was de Black Swan, maar de reactie van mensen erop. In het blog over wicked problems beschreef ik het als volgt:
Een bevriende crisismanager appte mij met de vraag of ik corona een black swan vond. Daar moest ik even over nadenken, maar toch had ik al snel mijn antwoord gevonden. “Niet corona is voor mij de black swan”, appte ik terug, “maar de manier waarop er door de mensen op gereageerd wordt. Daar gebeuren echt dingen die ik nooit verwacht of voorspeld zou hebben.”
In toenemende mate zie je bij risico’s die als groot worden gepercipieerd een nogal venijnige reactie ontstaan op (social) media. Die verhalen kunnen een leven op zichzelf gaan leiden en daarmee een zelfstandige crisis ontwikkelen. Dan heb je op z’n minst dus twee problemen: het oorspronkelijke risico zelf en het verhaal (de mening) dat erover is gevormd en soms ook nog eens viral gaat.
Het vervelende van die crisis is dat het gezagondermijnend werkt. Het bestuur verliest zodoende draagvlak om lastige problemen op te lossen. Wicked problems blijven liggen en worden daardoor ook steeds groter. Wat weer nieuw gedoe oplevert over de gepercipieerde slagkracht en het draagvlak nog verder wegloopt.
En zo verder. Slapte als een self fulfilling prophecy.
Dat is de cyclus van het moderne crisismanagement dat als een Black Swan boven de werkelijkheid hangt. En al een hypotheek heeft genomen op de volgende calamiteit.
Want stel je eens voor dat er zich een nieuwe pandemie zou aandienen. Hoeveel draagvlak zou een lockdown nu hebben, een anderhalve meter maatregel, weer mondkapjes op?
Ik denk ongeveer nul. Of nog minder.
Niet door corona alleen: op een rijtje
Wat corona als exemplaar ons laat zien, is dat grootschalige crises on the edge of chaos maar met moeite gemanaged worden. Zodra het de emergency fase voorbij is en de genomen maatregelen hun eigen disruptie veroorzaken, is het zelfs maar de vraag of vorderingen worden gemaakt ondanks dan wel dankzij het nationale crisismanagement.
Briefje van de nationale tentoonstelling: waar ben jij trots op?
Maatregelen verworden (ongewild) tot een vorm van roofbouw op een samenleving, die misschien wel meer schade veroorzaken dan ze voorkomen. De maatschappelijke mening die daar over wordt gevormd en gecommuniceerd is de echte Black Swan en ondermijnt het gezag van het bestuur.
Dat daardoor vleugellam wordt en steeds verder wegzakt in een cyclus van maatregelen zonder draagvlak en toenemende maatschappelijke onrust. Ook na corona; het ontbreken van een duidelijk gemarkeerd einde en een nationale herdenking maakt de samenleving eerder fragieler dan robuuster.
Weg is de gezamenlijkheid.
Wat rest is een samenleving waar absoluut geen rek meer in zit om een nieuwe pandemie of andere grote calamiteit het hoofd te kunnen bieden. Of om maatregelen te accepteren die een aangekondigde ramp moeten voorkomen, zoals klimaat, stikstof en CO2.
Dit blog is op 15 maart 2025 toegevoegd aan het Museum of Accidents. Op 17 juni 2024 is de link naar kwetsbaarheidsanalyse met de Rumsfeld matrix toegevoegd. Daarin staat een update over de slechte risico-inschattingen in het sociale domein na de tweede lock down in de zomer van 2021.
Het vergeten risico is het risico dat je zelf veroorzaakt en dat de fragiliteit van je organisatie vergroot. En fragiliteit is één van de vier onderdelen van Crisis Awareness. In een naschrift bij dit blog leg ik uit wat dat is. Eerst maar eens dieper in op het vergeten risico.
Soms heb je dat, gedachteloos scrollend langs een rijtje berichten op social media zie je in een ooghoek iets voorbij komen en schuifel je weer terug omhoog. Wat zag ik daar nou?
Deze keer viel mijn oog op een tabelletje global risks uit het jaarlijkse onderzoek van het World Economic Forum. Ik volg dat de laatste jaren, in tegenstelling tot vroeger, niet meer van heel dichtbij. Het lijstje is zelden verrassend en de grootste risico’s ken ik inmiddels wel.
Dus erg veel tijd besteed ik er niet meer aan, ook al vind ik dat elke risicoprofessional en veiligheidskundige ze wel moet kennen. Het hoort bij je vak.
Global risk
Voor deze keer keek ik er eens extra goed naar, want volgens mij was er wat mee. Daar kom ik zo nog op. Eerst een korte samenvatting van de resultaten.
Voor 2024 worden klimaateffecten door de respondenten als toprisico ingeschat. Maar liefst 66% van de respondenten ziet dat als de grootste uitdaging van deze tijd. Met als goede tweede misinformatie door AI, genoemd in 53% van de inzendingen.
Daarna volgen sociale- en politieke polarisatie (46%), toenemende kosten van levensonderhoud (42%), cyberattacks (39%), economische krimp (33%) en nog dertien andere risico’s. Nummer twintig is de angst dat de techbubbel barst, genoemd door slechts 4% van de deelnemers.
Wat valt er op als je door die totale lijst kijkt?
Nou, dat de risico’s van buiten komen, ze zijn allemaal extern. Ik moest zelfs denken aan die vermaledijde act-of-god, indertijd op mijn HVK studie nog zwaar verboden door Walter Zwaard.
Hier, bij het WEF, was sprake van een vergeten risico: de fragiliteit van de eigen organisatie. En dat is misschien wel het grootste risico dat er is. Het enige bovendien waar je echt zelf wat aan kan doen. (Herkent u de karakteristiek van het Stoïcijns crisismanagement al?)
Op mijn website Rizoomes heb ik inmiddels een behoorlijk aantal fenomenen beschreven die bijdragen aan de genoemde fragiliteit. Ik zal er hier een paar noemen, dan krijg je een beetje een beeld.
Fragiliteit
Ten eerste de volledig over zijn grenzen uitgerekte bedrijfsvoering. Systemen draaien op meer dan 100% van hun capaciteit en worden daardoor gevoelig voor disrupties. Voeg daar de globale just-in-time logistiek aan toe en je fragiliteit vliegt omhoog.
James Reason noemde dat ooit het vulnerable system syndrome: denial, blame and the blinkering pursuit of the wrong goals. Die waren niet opgenomen door de respondenten van het WEF.
Verder zijn er veel organisaties waar grote ego’s in de weg zitten van rationele bedrijfsvoering. Dat leidt dan weer tot fundamental surprises en een jarenlang leertraject om de verbinding met de normale wereld weer terug te vinden.
Daar staat tegenover dat sommige andere bestuurders echt geen idee hebben waar ze mee bezig zijn, waardoor ze stomme fouten maken. Zwarte eenden noem ik dat. Als je pech hebt bezitten ze ook nog een groot ego; vlek op vlek.
Ik zal geen namen noemen.
En dan heb je nog het vergeten risico van fraude, slordigheid, ruzies, regeren door vooruit te schuiven en het-met-de-kennis-van-nu-syndroom. Zo kan ik nog wel even doorgaan, maar dat doe ik niet. Mij ging het voor nu even over dat vergeten risico van fragiliteit in het rijtje van de WEF:
Het ligt altijd aan een ander, nooit aan jezelf.
Dit blog verscheen als column in een iets ingekorte vorm in het kwartaalblad van de Nederlandse Vereniging van Veiligheidskunde NVVK. Eerdere blogs voor dat blad vind je hier.
Crisis Awareness
Ik maak van dit naschrift gebruik om heel globaal Crisis Awareness te introduceren. Het verhaal van het vergeten risico is namelijk ook een inleiding op de fragiliteit van organisaties en daarmee op Crisis Awareness.
Een crizoom (crisis rizoom) volgens DALL-E. Zoals Koot & Bie zouden zeggen: het is nog een concept, stoei er wat mee. En dat heb ik gedaan: crizoom is nu Crisis Awareness.
Volgens mij kun je een crisis zien als een complex systeem (een rizoom). Het bestaat uit diverse factoren die met elkaar interacteren en uiteindelijk de frequentie, omvang en escalatie van crises bepalen.
Crisis Awareness bestaat uit vijf hoofddelen. Triggerincidenten, als eerste, leiden een crisis in. Ze leggen een fragiliteit in een organisatie bloot, of appelleren aan een onderstroom in de samenleving die vervolgens luidkeels gaat communiceren, framen, boycotten en cancelen.
Of allebei. Dat zijn de delen twee en drie van Crisis Awareness.
Dat externe deel noem ik de Territory, de fysieke, sociale en psychologische omgeving. Volgens mij zijn de meeste risico’s voorzienbaar, alleen weet je niet wanneer en hoe laat ze zich manifesteren. Maar de manier waarop mensen in je Territory reageren, dat is de onvoorspelbaarheid van de crisis, dat is wat het groot en viral maakt. Corona was dus ook geen Black Swan, de manier waarop de mensen er mee omgingen wel.
Zonder mensen is er geen crisis.
Het vierde deel van Crisis Awareness is Prohairesis: hoe goed ben je voorbereid op jezelf? Want crisismanagers en hun teams zijn onlosmakelijk verbonden met hun crisis. Alle crises ben jezelf. Met andere mensen had het een andere crisis geworden. Jouw handelen doet er dus echt toe.
Het vijfde deel is het Museum of Accidents. Dat is het geheugen van het Framewerk en daarnaast de inleiding op het vakgebied van de Accidentology. In deze longread leg ik het volledige Framewerk Crisis Awareness uit.
De veiligheidsrisico’s bij stedelijke verdichting nemen toe, zo blijkt uit een klein gedachtenexperiment over de voorgenomen uitbreiding van Amsterdam met 20.000 woningen. Maar het grootste risico is misschien wel dat het systeem ‘stad’ fragiel wordt en daarmee gevoelig raakt voor een predictable surprise.
Amsterdam
Twaalf jaar, zo lang heb ik uiteindelijk in Amsterdam gewoond. Van 1993 tot 2005, het grootste deel van die tijd werkte ik voor de brandweer aldaar. Het waren vormende jaren, die goed van pas kwamen toen ik uiteindelijk naar Schiphol overstapte. Waar ik nu nog steeds werk.
In die periode zag ik het geleidelijk aan steeds voller worden in de stad, tot het eigenlijk net te druk werd. Ik woonde in het Oostelijke Havengebied en toen de buurten er omheen ontdekten dat het grasveld aan het water en voor mijn deur zich prima leende als zwembadveldje, was het in de zomer nooit meer rustig. Avond aan avond was er feest en herrie. Als ik de kranten mag geloven is dat nog niet voorbij. Zelfs Douwe Bob bemoeide zich er mee.
Muntplein 1960. Foto ANP
Het zijn de normale taferelen van de grote stad, zo zei men tegen mij. Al helemaal in de gebieden met een hoge stedelijke verdichting. Mensen hebben er geen tuintjes of een buiten en maken gebruik van de voorzieningen die de openbare ruimte biedt. Dat leidt onherroepelijk tot spanningen in een wijk. Zeker als de bewonersgroepen nogal van elkaar verschillen en er hun eigen leefgewoontes op na houden, zonder rekening te houden met anderen.
In een samenleving waar de eigen identiteit en vrijheid breed uitgemeten en gevierd wordt, zoals Hans Boutellier schreef in Het nieuwe Westen, nemen die spanningen alleen maar verder toe. In de krant van 4 februari las ik over een voetbalkooi in Oud West, dat gehalveerd dreigde te worden omdat omwonenden geklaagd hadden over de geluidsoverlast. Dat lieten de ouders niet op zich zitten en in een paar weken tijd waren de gemoederen zo verhit dat beide groepen in staat van oorlog met elkaar verkeerden.
Om een voetbalveldje.
Stedelijke verdichting
Dat worden interessante tijden, dacht ik dus ook toen ik las dat Amsterdam tot 2035 maar liefst 20.000 woningen wil bouwen binnen de gemeentegrens. Bovenop de bestaande woningvoorraad van zo’n 450.000 stuks. Welke veiligheidsrisico’s brengt die stedelijke verdichting met zich mee, zo vroeg ik me af.
Aldus maakte ik deze kleine analyse. Niet om tegen stedelijke verdichting te zijn, iedereen moet tenslotte wonen, maar wel om duidelijk te maken dat die verdichting consequenties heeft. Met die consequenties moet je wat doen, dat kan je niet alleen maar aan de bewoners overlaten.
Inmiddels weet ik namelijk dat de overheid wel vaker hals over kop plannen maakt, die bij iets langer nadenken helemaal niet haalbaar zijn. Dat kan je dus al weten voordat je er mee begint en dan hoef je je dus ook niet te verstoppen achter het Met-de-kennis-van-nu-syndroom.
Kijk bijvoorbeeld naar de elektrificatie van onze energiebronnen. Alles moet op het stopcontact, alleen zit het stroomnet bommetje vol. Er kan voorlopig niks meer bij, totdat over vele jaren de netten weer wat zijn opgeplust. Tot die tijd staan op sommige industrieterreinen de dieselaggregaten te stampen om de bedrijven van stroom te voorzien. Tja.
Vijzelstraat 1960
Dat zou met deze stedelijke verdichting niet zo hoeven gaan als je vooraf een analyse maakt. Waar hebben we dan allemaal rekening mee te houden?
Ik vogelde het uit op de achterkant van een bierviltje.
Taxonomie van ongewenste gebeurtenissen
Daartoe besloot ik eerst mijn definities uit de kleine taxonomie van ongewenste gebeurtenissen er bij te pakken. Voor dit blog beperk ik me dan voornamelijk tot emergencies en disrupties. Dreiging, crisis en polycrisis laat ik er even buiten. Nou ja, misschien een beetje crisis dan.
Een emergency of noodgeval is een situatie met onverwacht en acuut gevaar voor levens en/of grote schade die zo snel mogelijk beheerst moet worden;
Een disruptie is een situatie waarin een sociaal systeem (gemeenschap, organisatie, beleidssector, land) een urgente bedreiging van fundamentele waarden en structuren ervaart, waarbij grote onzekerheid speelt en waarin het nemen van verreikende besluiten nodig wordt geacht;
Crisis is een situatie waarin het vertrouwen van een bevoegd gezag of overheidsinstantie zodanig is verzwakt dat ze geen draagvlak meer heeft om een gecompliceerde disruptie dan wel wicked problems op te lossen.
In de praktijk beïnvloeden emergencies, disrupties en crises elkaar. Net als in andere complexe systemen zitten er ontelbare feedback- en feedforwardloops in, die om het even welke op zichzelf staande gebeurtenis koppelt aan eerdere gebeurtenissen, risicoperceptie, framing en schuldigen. Of niet. Dat is de onvoorspelbaarheid uit VUCA (Volatile, Uncertain, Complex, Ambiguous).
Die complexiteitsexercitie ga ik hier niet maken, het was immers op een bierviltje. Wel som ik een aantal voorzienbare veiligheidsrisico’s van stedelijke verdichting op. Niet uitputtend natuurlijk. Het is allemaal bedoeld ter illustratie.
Emergencies & criminaliteit
Bij stedelijke verdichting zal de frequentie van incidenten toenemen. Er zijn immers meer mensen en dat betekent meer hommeles. Dus meer branden, meer verkeersongevallen, meer lekkages van gevaarlijke stoffen en milieuverontreiniging. Meer mensen die van de trap vallen, een hartaanval krijgen of struikelen over stoepranden.
Kalverstraat 1961. Foto ANP
Misschien neemt het aantal omgevallen bomen wel af. Want die moeten natuurlijk plaatsmaken. In ruil daarvoor krijgen we meer plaagdieren. Als er geen buiten is, gaan ze naar binnen.
Ook de criminaliteit zal toenemen. Meer explosieven aan voordeuren; dat waren er in Amsterdam 91 in 2023 en 127 in 2022. Die hangen samen met steeds meer cocainegebruik en -handel. Wellicht ook meer drugslabs in woonwijken, afpersing, vechtpartijen en oplichting.
Meer (kinder)mishandeling.
Daarnaast zal de onrust tussen groepen in wijken toenemen, zoals we nu trouwens ook al zien. Ik noemde slechts twee voorbeeldjes, over het voetbalveldje en het informele zwembad, maar in de praktijk zijn dat er natuurlijk veel meer.
De omvang van incidenten zal ook toenemen. Woningen staan dichter op elkaar, dus er zullen meer mensen last hebben van de rook bij brand. De te evacueren groep wordt groter, net als de behoefte aan noodopvang. En dan gaan we er maar even vanuit dat de brandpreventie wel op orde is en de branden zelf dus niet makkelijk uitbreiden en overslaan. Wat er van preventieve voorzieningen overblijft bij intensief gebruik laten we maar even voor wat het is.
Escalatie van incidenten zal ook toenemen bij stedelijke verdichting. Deels door samenloop, dus meerdere incidenten tegelijk. Maar ook door grotere groepen op straat, meer agressie onderling als wel tegen hulpverleners en het koppelen van belangen: partijen die nooit samenwerken en elkaar opeens vinden in het tegen zijn.
Denk ook aan ‘feesten’ als Koningsdag, Oud & Nieuw, evenementen, bijeenkomsten, activisten en demonstraties. Daar weten we inmiddels van dat die flink uit de klauw kunnen lopen.
Al deze incidenten zullen naast hun primaire schade ook veel secundaire schade toebrengen aan de verdichte stad. Er is immers minder ruimte, minder redundantie om ellende op te vangen of om te leiden. Weer niet bedoeld als volledig, maar wel ter indicatie een kleine greep secundaire veiligheidsrisico’s bij stedelijke verdichting:
Damrak 1961. Foto ANP
Verkeersopstoppingen en omleidingen: Het afsluiten van wegen of straten om ruimte te maken voor hulpdiensten kan leiden tot verkeersopstoppingen en omleidingen in omliggende gebieden. Dit verstoort het normale verkeer in de stad en belemmert de mobiliteit van bewoners, werknemers en bezoekers. Het zal sowieso bij een verdichte stad al moeilijker zijn om goed bij de plaats incident te komen. Toen ik nog bij de brandweer Amsterdam reden we aan van drie kanten in de binnenstad.
Onderbreking van openbaar vervoer: Incidenten kunnen leiden tot de tijdelijke stopzetting of wijziging van openbaar vervoersdiensten, zoals bussen, trams, metro’s of treinen. Dit beïnvloedt de bereikbaarheid van verschillende delen van de stad en verstoort het dagelijks leven van mensen. Hoe groter de verdichting, hoe meer mensen vastlopen en niet meer weg kunnen.
Evacuaties en tijdelijke huisvesting: In geval van ernstige incidenten kan het nodig zijn om gebieden te evacueren en bewoners tijdelijk elders onder te brengen, bijvoorbeeld in opvangcentra of bij familie en vrienden. Dat zijn er in een verdichte stad meer, kijk maar naar wat er bijvoorbeeld gebeurde bij de explosie in Rotterdam op het Schammenkamp. Een typisch voorbeeld van veiligheidsrisico’s bij stedelijke verdichting.
Impact op bedrijven en economische activiteit: Afgezette wegen en beperkte toegang tot bepaalde gebieden zullen bedrijven beïnvloeden, bijvoorbeeld door het verminderen van klantenstromen, het verstoren van leveringen en het belemmeren van werknemers om op het werk te komen.
Infrastructuur
Deze categorieën disrupties volgen uit incidenten en emergencies. Maar er zijn ook verstoringen die te maken hebben met overbelasting van (nuts)voorzieningen en falende (kritieke) infrastructuur. Om er maar een paar te noemen:
De vraag naar elektriciteit groeit. Kan het stroomnet dat aan? Hoeveel redundantie zit er uiteindelijk in het systeem? Kan er gecompartimenteerd worden of valt gelijk de hele boel uit?
Er zal meer drinkwater nodig zijn. En dat is er nu al te weinig, geven de drinkwaterbedrijven aan.
Kan de riolering het aan? De stadsverwarming? Communicatienetwerken?
Zijn de vervoerssystemen ingericht op de stedelijke verdichting?
Hoe dan ook, als dit soort infrastructuur uitvalt zullen de effecten door de stedelijke verdichting altijd toenemen. En dan heb ik het nog niet eens gehad over sociale spanningen en onrust in wijken die toeneemt als de bevolkingsdichtheid stijgt.
Je moet namelijk de bovenstaande opsomming faalkansen niet zien als op zichzelf staande gebeurtenissen, maar als kenmerken van een complex systeem. Ze hebben met elkaar te maken. Mensen zullen ze met elkaar verbinden, van losse gevallen een reeks of een trend maken, betekenis geven die er misschien niet is (maar dan dus wel).
In systeemtermen neemt de complexiteit van het bestuurde systeem dus toe, zou Casti zeggen, onder verwijzing naar de wet van de vereiste variëteit. Het komt er in het kort op neer dat het besturende systeem meer vrijheidsgraden moet hebben dan het systeem dat bestuurd wordt. Deze wet staat ook bekend als de wet van Ashby.
Een systeem kan alleen voortbestaan wanneer het dezelfde of meer variatie heeft als zijn omgeving
wet van ashby
Als het besturende systeem niet mee ontwikkelt met de complexiteit van het bestuurde systeem, zal de complexiteitskloof groeien en de fragiliteit van het totale systeem toenemen. Het komt dan in een situatie die Bazerman in dit blog omschreef als een predictable surprise. Je kunt niet voorspellen wat en wanneer er iets grandioos mis gaat, maar wel dat het niet vreemd is dat er zoiets gebeurt.
En ja, geluk en pech spelen hierin ook een grote rol. Maar alleen omdat het een wankel systeem is geworden waar de veerkracht uit is verdwenen.
Er is gelukkig wel wat aan te doen: de opties en variëteit van het besturende systeem vergroten. Door meer hulpdiensten, betere opleidingen, dikkere infra met meer redundantie, onderhoud op orde, projecten in de wijk, gezondheidszorg en jeugdzorg verbeteren. Om maar wat te noemen.
Van Sidney Dekker leen ik zijn definitie van veerkracht: je moet de grenzen kennen van je bedrijfsvoering (stad), weten wanneer je er overheen gaat en de middelen hebben om terug te sturen.
Ik voeg daar uit mijn eigen praktijk aan toe: en dan moet je het ook nog doen. Dat laatste blijkt altijd het meest lastig.
Update 7 maart 2025: antivrede
Ruim een jaar nadat ik dit blog schreef lijkt een kleine update mij op zijn plaats. En die valt te categoriseren onder het begrip ‘unpeace’, zie ook dit blog over de non-binaire crisis. Er is namelijk in toenemende mate sprake van ik noem het maar security issues met safety effecten.
Unpeace; antivrede.
In de eerste plaats is het aantal aanslagen op woonhuizen met explosieven die als consumentenvuurwerk verkocht worden, sterk gestegen. Tot 771 in 2024, ruim twee per dag. In een verdichte stad neemt die schade alleen nog maar toe, ook op sociaal gebied. Mensen worden bang en wantrouwend en dat zijn emoties die makkelijk tot crisis leiden omdat de overheid aan draagvlak verliest.
Deze tendens is duidelijk meetbaar en zichtbaar.
Er is nog een tendens en dat is een toenemende geopolitieke dreiging die mogelijk ook tot aanslagen, sabotage en ontwrichting gaat leiden. Al zijn veel systemen in onze samenleving zo overbelast dat ze uit zichzelf al falen, dus is sabotage niet eens nodig om eens even lekker de boel te disrupten.
Maar goed, de dreiging is er wel. Al helemaal als de tweede tendens zich gaat bedienen van de uitvoerders uit de eerste tendens. Met mensen die ik verdenk te voldoen aan de Need for chaos karaktertrek en daardoor nauwelijks over interne remmingen beschikken.
Deze tendensen zijn moeilijk te beheersen. Zowel de binnenlandse als buitenlandse dreigers zullen zich steeds meer laten gelden, al dan niet in gezamenlijke acties. Dat is een escalatiefactor op de groeiende veiligheidsrisico’s in een verdichtende stad.
Het enige wat je daar aan kan doen is de weerbaarheid van een samenleving vergroten. Niet door iedereen een boodschappentas voor 72 uur zelfredzaamheid aan te laten schaffen, maar door de hulpdiensten op sterkte te brengen.
Zorg voor paraatheid en slagkracht van brandweer, politie en zorg. Want openbare orde en veiligheid is immers een taak van de overheid. Als je dus ziet dat je door stedelijke verdichting met escalatiefactoren over de grenzen van OoV gaat, moet je ook de middelen hebben om terug te sturen.
En het belangrijkste is: dan moet je het ook doen.
Stel dat je veiligheidskunde voortaan onveiligheidskunde noemt, terwijl je verder alles hetzelfde laat, verandert er dan iets? En wat als je veiligheid en onveiligheid als twee variabelen zou definiëren, in plaats van als een dichotomie, wat gebeurt er dan? Een klein gedachtenexperiment.
Als je er iets langer over nadenkt is het nog niet zo eenvoudig om te beschrijven wat veiligheid nu precies is.
Zo zijn er bijvoorbeeld bedrijven die zeggen dat ze veilig werken, of ze werken niet. Dat wekt de indruk dat veiligheid een binair begrip is. Het is veilig of het is dat niet. In het eerste geval, als ze dus wel werken, zou je verwachten dat er dan ook geen ongevallen meer gebeuren.
Maar dat is niet zo.
In het tweede geval zou je verwachten, wanneer het onveilig is, niet werken dus wel veilig is. Ook dat is niet zo.
Vraag aan DALL-E “teken een waarschuwingsbord met het woord onveiligheidskundige”. Dan krijg je dit.
Een ander voorbeeld. Onlangs brandde er in Amsterdam een heel flatgebouw aan tijdelijke woningen af. Toch was dat niet omdat er onveilig gebouwd was, vertelde het bevoegd gezag ons via de brandweer. Het was namelijk wel degelijk een gebouw volgens de regels, tijdelijk weliswaar, maar desondanks veilig.
Dat die veiligheid was gebaseerd op kansverkleining door de tijdelijkheid van de bouw werd er niet bij gezegd. En dat er conform de regels was gebouwd bleek dus ook niet tot veiligheid te leiden, maar kennelijk tot onveiligheid.
Het brandde immers af.
In zijn boek Unpeace schrijft Mark Leonard dat het Westerse denken te binair is ingericht. Het is oorlog of vrede, alsof het een aan-uit knop is, maar daartussenin zit niets. Of althans te weinig om je er kennelijk druk over te maken.
Voor vrijwel alle andere culturen ligt dat anders. Daar bestaan oorlog en vrede tegelijkertijd naast elkaar, omdat het niet als elkaars tegenovergestelde wordt gezien. Hun glas is zowel vol als leeg, maar nooit in dezelfde verhouding.
Er is geen ‘of’.
In een eerder blog trok ik de redenering over Unpeace door onder de titel De non-binaire crisis:
Ergens op een continuüm tussen crisis en on-crisis is er altijd wel iets aan de hand. Meestal gaat het wel weer liggen, maar soms ook niet. (..) Dat is wat het een non-binaire crisis maakt, het is zowel aan als uit. Het is een multipliciteit, een becoming en op zijn ergst een Polycrisis.
Zou dat voor veiligheid niet net zo gelden, vroeg ik me af.
Dit is poging 2. Ook heel creatief.
Stel dat we onveiligheid zouden definiëren als de dood en veiligheid als het leven, lekker dichotoom. Dan kunnen we als veiligheidskundigen garanderen waaraan te sterven, maar garanderen hoe te blijven leven kunnen we niet.
Over onveiligheid zijn we vrij zeker, over veiligheid niet. Veiligheid en onveiligheid bestaan zodoende altijd naast elkaar, in wisselende verhoudingen, afhankelijk van de situatie.
Zo bezien doen we als veiligheidskundigen eigenlijk vooral aan onveiligheidskunde; we maken het niet veilig, maar minder onveilig.
Dat is het veiligheidsdilemma van snelheid: hoe harder we gaan, hoe groter het effect van een crash. Ligt daar nog ergens een grens, of accepteren we stilzwijgend de risico’s? De vraag is zelfs of het veiligheidsdilemma van snelheid niet de moeder van alle veiligheidsdilemma’s is.Moeten we wel steeds harder?
Als ik dit schrijf is het Formule 1 circus in Zandvoort helemaal los. In drie dagen komen er zo’n 300.000 bezoekers op af, allemaal kijken naar twintig coureurs die 72 rondjes rijden met snelheden tot wel 340 km/u. En hopen dat Verstappen wint, natuurlijk.
Crash van Piers Courage op Zandvoort, 1970
Vijftig jaar geleden, in 1973, was er ook een Grand Prix op Zandvoort. Een klein beetje weer voor het eerst; de coureurs hadden het jaar ervoor namelijk de GP geboycot, nadat in 1970 de Brit Piers Courage door een crash op het circuit om het leven was gekomen.
Ook nu sloeg het noodlot toe. Roger Williamson kreeg waarschijnlijk een klapband, verloor de macht over het stuur en knalde keihard via de vangrails op z’n kop. Onmiddellijk vloog de boel in brand. David Purley stopte direct en probeerde wanhopig zijn vriend te redden uit de vlammen. Ik zag de beelden terug en keek met verbijstering toe.
Wat gebeurde daar?
Of beter, wat gebeurde er allemaal niet? De overige coureurs reden gewoon door, ze stopten niet eens toen Purley om hulp riep. De stewards stonden er wezenloos bij te kijken, apathisch haast. Na 30 seconden lukt het om één blusser leeg te spuiten, maar men wordt de brand niet meester. Als de vlammen aanwakkeren geven ze het op en voeren de tegenstribbelende Purley af. Roger Williamson had het niet overleefd.
Jackie Stewart won die dag, trouwens, alles ging gewoon door. Is dat hoe het toen nou eenmaal ging, of is het misschien toch het veiligheidsdilemma van snelheid? Dat je uiteindelijk accepteert dat er soms mensen sneuvelen als je wilt weten wie de snelste is?
Katowice, 5 augustus 2020. De finale van de eerste etappe van de Ronde van Polen eindigt in een massasprint. Met wel 80 km/u ligt Dylan Groenewegen op kop als Fabio Jakobsen hem rechts probeert in te halen. Groenewegen duwt in een reflex het gat dicht en parachuteert Jakobsen in de hekken. Die raakt zwaar gewond, maar overleeft het uiteindelijk wel.
Minder geluk had Gino Mäder dit jaar tijdens de Ronde van Zwitserland. Tijdens een afdaling komt hij in een ravijn terecht en overlijdt enkele uren later in een ziekenhuis. Een paar weken later zal Michael Woods de topsnelheid in de Tour verbreken. In de afdaling van de Ballon d’ Alsace haalt hij 110 km/u.
Het veiligheidsdilemma van snelheid is in de kern hetzelfde voor wielrennen als Formule 1. Als we steeds harder gaan racen, zullen er af en toe renners blijven sneuvelen, alle veiligheidsmaatregelen en zero accidents doelen ten spijt. Kennelijk accepteren we het toch, zijn het de risico’s van het vak. Al durft niemand het hardop te zeggen.
De vraag is nu: is het veiligheidsdilemma van snelheid niet de moeder van alle veiligheidsdilemma’s?
In de serie ‘andere veiligheid’ ben ik na kennisveiligheid en psychologische veiligheid aangekomen bij internetveiligheid. Wat vinden we als veiligheidskundigen daar nu eens van?
Lichtelijk uit de heup schietend: een zooitje.
Misschien heeft dat ook wel te maken met de ontstaansgeschiedenis ervan. Internet is begonnen als ARPAnet, een project van de Amerikaanse Defensie. In 1969 werd de eerste koppeling gelegd tussen computers in Los Angeles en San Francisco. Door LOG IN te typen moest de ene computer op afstand de besturing van de andere kunnen overnemen.
Patch
Maar na twee letters liep het systeem vast door een fout in een programma. Toen die hersteld was, kwam de verbinding zoals gepland tot stand. Alsnog een prachtig resultaat natuurlijk en niet voor niets door Taleb een Black Swan genoemd. Wat achter die uitvinding vandaan is gekomen had niemand kunnen voorspellen.
Alleen die patch, hè.
DALL-E tekent “a picture of the internet showing a lot of leaks with data pouring on the surface”
Zonder die patch had het toen niet gewerkt en nu nog steeds niet. Het aantal patches is inmiddels zo groot geworden dat je organisatie de hele dag plat zou liggen als je ze allemaal keurig zou installeren. Dat doet dus helemaal niemand en dan is het niet gek als je wel eens tegen zo’n Log4J probleem aanloopt.
Accepteer het dus maar gewoon: uw netwerk is een vergiet, net als het mijne en die van de KNVB.
Gelukkig zijn er te weinig criminelen om alle ongepatchte gaten te misbruiken, anders zou de ene helft van internetgebruikers continu de andere helft zitten te hacken. Wat tot de conclusie leidt dat het allemaal niet zo heel veel uitmaakt. We rommelen gewoon lekker door, zo goed en zo kwaad als het kan en meestal doet bijna alles het dan wel.
Human Error
Grappig genoeg vinden de meeste inbraken plaats omdat mensen op een verkeerde link hebben geklikt, een val gezet door een cyberboef. Die ook liever lui dan moe is en wacht tot zijn slachtoffers in de val lopen, in plaats van er achteraan te jagen.
“Da’s human error”, roepen alle experts dan, “we moeten mensen leren om dat niet te doen. Geef ze een cursus cybersecurity awareness.”
Maar ja, internet is gemaakt om op dingetjes te klikken, dus doe je dat als voorgeprogrammeerd fte’tje. Wij als veiligheidskundigen weten dan dat je de techniek en de organisatie moet verbeteren als je de internetveiligheid wil vergroten.
Don’t fix the user, fix the system.
Hetwelk sowieso niet zal meevallen, want zoals ik al zei, zonder dat er verkeerd wordt geklikt zijn er al te veel patches om de boel preventief op orde te hebben.
Waardoor er nog maar één echte strategie overblijft: recovery.
Opruimen. De VS hebben er een heel land mee gemaakt, dus waarom zouden wij dat ook niet kunnen met internetveiligheid?
Ik typte het op, keek er even naar en vroeg me toen af: zit die strategie eigenlijk wel in onze toolbox? Of doen veiligheidskundigen niet aan recovery?
Nadat ik dit blog (als column in de NVVK-info) had gepubliceerd bedacht ik mij dat ik het ook eens aan Chat GTP zou kunnen vragen. Hoe ziet het dat voor zich, een recovery strategie voor internetveiligheid?
En nog “a picture of the internet showing a lot of leaks with data pouring on the surface”
Na een paar rondjes oppervlakkigheden van GTP te hebben ondergaan kwam het hiermee; over backups als recovery strategie:
Chat GTP
Offsite back-uplocatie: Zorg ervoor dat uw back-ups worden opgeslagen op een externe locatie, gescheiden van de primaire systemen. Dit kan bijvoorbeeld een externe server, cloudopslag of een speciale back-upinfrastructuur zijn. Door de back-ups op een andere locatie te bewaren, minimaliseert u het risico dat ze worden aangetast tijdens een beveiligingsincident.
Realtime of frequente back-ups: Overweeg om gebruik te maken van realtime of frequente back-upoplossingen, zodat wijzigingen in bestanden onmiddellijk of regelmatig worden opgenomen in de back-ups. Dit minimaliseert het gegevensverlies bij een incident, omdat recente versies van bestanden beschikbaar zijn voor herstel.
Versleuteling van back-ups: Om de vertrouwelijkheid van uw gegevens te waarborgen, is het belangrijk om back-ups te versleutelen. Zorg ervoor dat de gegevens zowel in transit als in rust worden versleuteld, zodat ze niet toegankelijk zijn voor ongeautoriseerde personen, zelfs als de back-upmedia in verkeerde handen vallen.
Test het herstelproces: Regelmatig testen van het herstelproces is essentieel om er zeker van te zijn dat de back-ups correct en snel kunnen worden hersteld in geval van een beveiligingsincident. Voer regelmatig hersteltests uit om te controleren of de back-upbestanden integriteit behouden en dat het herstelproces soepel verloopt.
Geautomatiseerd back-upbeheer: Overweeg het gebruik van geautomatiseerde back-upoplossingen en beheertools. Deze kunnen zorgen voor consistente en betrouwbare back-ups, het monitoren van de back-upstatus, het genereren van rapporten en waarschuwingen bij problemen. Automatisering minimaliseert menselijke fouten en verhoogt de betrouwbaarheid van uw back-upproces.
Veiligheidsmaatregelen voor back-upsystemen: Bescherm uw back-upsystemen tegen ongeautoriseerde toegang en manipulatie. Implementeer sterke authenticatiemechanismen, zoals wachtwoorden of multifactorauthenticatie, om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot de back-ups. Beperk ook de toegangsrechten tot back-upopslag om ongeautoriseerde wijzigingen te voorkomen.
Monitoring en waarschuwingen: Implementeer monitoringoplossingen om de status van uw back-upomgeving te bewaken. Hiermee kunt u problemen, zoals mislukte back-ups of corrupte back-upbestanden, snel identificeren en aanpakken. Stel waarschuwingen in, zodat u direct op de hoogte wordt gebracht van eventuele problemen met uw back-ups.
Make it so
Tsja…een beetje een stappenplan van een junior consultant internetveiligheid. Veel verder komt GTP niet en dat is niet de eerste keer dat me opvalt dat AI niet veel meer doet dan een PDCA cyclusje opdreunen. Ik begrijp dan ook niet zo goed waar al die zorgen over AI vandaan komen.
Maar misschien stel ik gewoon de verkeerde vragen. Of ligt de lat tegenwoordig wat lager?
Toch nog maar even zelf blijven nadenken over internetveiligheid dus. Want users fixen, dat is risicomanagement op kans. Dat verlies je vroeg of laat altijd. Manage dus het effect; in de robuustheid (of antifragiliteit, zo je wilt) van je systeem.
Een aangepaste versie van dit blog verscheen ook in de NVVK-info.Ik schreef al eerder over cyberveiligheid. Zie o.a. het blog human factors op het internet.
Het Onwaarschijnlijkheidsprincipe is een interessant boek dat laat zien dat de kans op een buitengewoon zeldzame gebeurtenis helemaal zo klein niet is. Sterker nog, het is juist heel logisch dat er vaak iets onalledaags gebeurt, zo illustreren de vijf wetten van onwaarschijnlijkheid ons. Zat Taleb er dan naast, en is zijn Black Swan helemaal niet zo’n “highly impropable event”?
Zo eenvoudig is het nu ook weer niet en dat past overigens prima bij dit boek. Het leest makkelijk weg maar is tegelijkertijd taaie stof. Steeds als ik een hoofdstuk uit had vroeg ik me af wat ik er nu eigenlijk van onthouden had en wat ik er mee kan in de praktijk. Dat laatste lees je in de laatste paragraaf.
We gaan beginnen met de start van mijn opleiding op de brandweeracademie.
Aan het eind van de 30e opleiding tot brandweerofficier bleef er tijd over. Het was de bedoeling dat de boel 19 maanden zou duren, maar vanwege allerlei herzieningen in het brandweeronderwijs was er tussentijds veel geschoven. Daardoor waren sommige modules versneld, en andere vertraagd. We zaten in 1990 zodoende maanden te wachten op het laatste examen van de module Hoofdbrandmeester Preventie, dat maar niet af kwam.
Luc Quintyn
In de tussentijd verzon Ruud Jonkman, het toenmalige hoofd van de officiersopleiding, van alles om ons bezig te houden. Eén van zijn meer briljante verzinsels was een lezing door Luc Quintyn, een officier uit het Belgische leger die eigenlijk bij toeval betrokken was geraakt bij de traumazorg van medewerkers in de frontlinie. Zijn eerste grote klus was het begeleiden van de bergingswerkzaamheden van de Herald of Free Enterprise in 1987. Daarover kwam hij ons vertellen.
Let wel, in die tijd was traumanazorg nog totaal nieuw. Over emoties sprak je niet. Zeker niet in een groep.
Wij hingen aan zijn lippen. Quintyn was een uitzonderlijk goede verteller en een sympathiek mens die veel had meegemaakt. Over zijn eigen bijdrage was hij zeer bescheiden. Hij deed slechts wat nodig was, zo zei hij, zonder hem was het waarschijnlijk net zo goed gegaan. Wij wisten intussen wel beter.
Zijn verhaal maakte grote indruk, en één deel daarvan in bijzonder. Quintyn vertelde dat hij vaak op de plaats incident aanwezig was, gewoon om te kijken wat er gebeurde en naar bijzonderheden te speuren. Kleine signaaltjes om misschien op te interveniëren. Tijdens één van die rondes had hij zo een fotorolletje gekregen van duikers, dat ze hadden aangetroffen in een hut aan boord.
Quintyn besloot het te laten ontwikkelen. Het bleek een setje vakantiefoto’s te zijn waar als ik me goed herinner voornamelijk een lachende vrouw op stond. Maar hij kon er verder niets mee en bewaarde het mapje afdrukken in een bureaula. Tussen allerlei andere vondsten.
Geruime tijd later, Quintyn maakte weer één van zijn rondes, trof hij daar een man die langs de waterkant liep te dralen. Zijn gedrag viel op en Quintyn sprak hem aan. De man hield het eerst wat af, maar brak toen Quintyn doorvroeg en het onderwerp van zijn bezoek op tafel kwam.
Hij vertelde dat hij een relatie onderhield met een getrouwde vrouw en dat ze beiden op de ferry hadden gezeten. Hij had zich kunnen redden, maar zij niet. Het enige wat hij van haar had waren zijn herinneringen, want hun vakantiefoto’s waren tijdens het ongeval verloren gegaan.
Op dat moment dacht Quintyn aan het fotomapje in zijn bureaula en kwam er met wat vragen achter dat de man voor zijn neus met de vrouw van de foto’s aan boord was geweest. Quintyn besloot de afdrukken aan de man te geven; hij vond het niet zijn taak om te oordelen over de situatie, hij was er alleen maar om geestelijke nood te lenigen en zo kon hij dat doen.
Het Onwaarschijnlijkheidsprincipe
Hoe onwaarschijnlijk is dat verhaal? Toch was het echt gebeurd. Wat een bizar toeval, vonden wij, zonder enige ervaring. Ik dacht er later nog veel aan terug, omdat bij elke ramp en ellende die ik van dichtbij meemaakte dit soort onmogelijke verhalen boven tafel komen.
Brandweermannen die hun dienst ruilden met een collega die vervolgens omkwam. Of mensen die op het allerlaatste moment wel een stoel kregen in een vliegtuig omdat iemand van de airline zijn plek afstond en een latere vlucht nam. Er zijn voorbeelden te over, de één nog onwaarschijnlijker dan de andere.
En bij al die voorbeelden vraag je je af: wat was de kans dat dit zou gebeuren?
Dat is precies waar Het Onwaarschijnlijkheidsprincipe over gaat. Volgens David Hand, de schrijver, zijn extreem onwaarschijnlijke gebeurtenissen juist heel alledaags.
Het komt voort uit een verzameling fundamentelere wetten die er met elkaar onvermijdelijk en onverbiddelijk toe leiden dat zulke buitengewoon onwaarschijnlijke gebeurtenissen plaats hebben. Volgens deze wetten, dit principe, zit de wereld zo in elkaar dat die toevalligheden onontkoombaar zijn.
Ze moeten dus gebeuren, stelt Hand. Er zit niets bovennatuurlijks aan. Hand is emeritus hoogleraar wiskunde aan het Imperial College in London en is gespecialiseerd in statistiek. In dit boeiende boek met veel voorbeelden van onwaarschijnlijke verhalen blijft de wiskundige kant (gelukkig) grotendeels achterwege. Dat maakt het ook voor de niet-beta’s goed te volgen.
Luc Quintyn 1950-2011. Foto Wikipedia
Sterker nog, juist zij zouden dit boek moeten lezen. Om te begrijpen dat onwaarschijnlijke gebeurtenissen helemaal zo onwaarschijnlijk nog niet zijn.
Daartoe beschrijft David Hand vijf wetten, die als strengen op elkaar inwerken. Voor de volledige uitleg moet je natuurlijk in het boek zelf zijn. Maar een korte toelichting is op deze website wel op zijn plaats, als aanvulling op de blogs over Taleb, Averting Catastrophe, Ruis en Predictable Surprise.
Vooral omdat ik met enige voorzichtigheid meen dat het Onwaarschijnlijkheidsprincipe een soort van nuancering van The Black Swan is. Black Swans zijn helemaal niet zo onwaarschijnlijk, maar hun impact is wel heel groot. Ja, ik vind het zelf ook gedurfd. Maar ik schrijf het toch op.
Dit zijn de vijf wetten van het Onwaarschijnlijkheidsprincipe.
1. De wet van de onvermijdelijkheid
De wet van de onvermijdelijkheid houdt in dat als je een complete lijst maakt van alles wat er kan gebeuren in een bepaalde situatie, er altijd één van die uitkomsten zal plaatsvinden. Al weet je van tevoren niet welke.
Dus als je een golfbal slaat op een green, komt ie altijd ergens uit. Dat is onvermijdelijk. Dat we aan sommige uitkomsten meer waarde toekennen dan aan andere, bijvoorbeeld een hole in one, is wat anders. Dat valt onder de wet van selectie, die komt iets verderop nog terug.
De wet van de onvermijdelijkheid betekent niet dat dan ook maar alles in de praktijk zal gebeuren. Het is theoretisch niet onmogelijk dat een aap op een typemachine een roman schrijft, of dat een marmeren beeld gaat zwaaien als alle moleculen tegelijk één kant op bewegen en dan weer terug. Maar de praktische kans is zo klein, dat je het volgens de Wet van Borel toch als onmogelijk moet beschouwen.
Om zo’n onwaarschijnlijkheid te onderbouwen benoemde Borel een aantal schalen waarop je kansen kan afwegen. Kansen die op een menselijke schaal te verwaarlozen zijn, zijn kleiner dan ongeveer één op miljoen. Dat is een norm die ook in het externe veiligheidsbeleid wordt gebruikt. Desondanks vinden er nog steeds industriële ongevallen plaats, hetgeen overigens geen falsificatie is van de Wet van Borel, maar aantoont dat de veiligheidsmaatregelen niet op orde waren.
2. De wet van de werkelijk grote aantallen
De wet van de grote aantallen zegt dat het bij een voldoende groot aantal gelegenheden aannemelijk is dat willekeurig welke bizarre gebeurtenis zich voordoet. Alles wat kan gebeuren, zal gebeuren, als we het maar vaak genoeg proberen.
Dus hoe vaker je de straat over steekt, hoe waarschijnlijker het is dat er een keer iets mis gaat. Hoe meer mensen je over een spoor afhandelt, hoe groter de kans dat er een keer een botsing of een ontsporing plaatsvindt. Hoe meer mensen je met zes dobbelstenen tegelijk laat gooien, hoe waarschijnlijker het is dat er iemand bij zit die in één worp zes zessen gooit.
Bekend voorbeeld van survivorship bias, dat veel rondgaat op Twitter. Het is afkomstig van Abraham Wald, een wiskundige. Hij wees er op dat juist de vliegtuigen die niet terugkwamen geraakt waren op kwetsbare plekken. De terugkomers waren wel geraakt, maar niet op cruciale punten. De tekening werd gemaakt door Cameron Moll.
Hier zit natuurlijk al een eerste linkje naar een Black Swan. Hoe meer mensen er door je proces gaan en hoe langer je dat doet, hoe waarschijnlijker het wordt dat er een keer iets onwaarschijnlijks plaatsvindt met een hele grote schade. Ook al ging het nog zo lang goed. Sterker nog, het is niet eens onwaarschijnlijk dat het vlak daarna nog eens gebeurt.
3. De wet van de selectie
De derde wet van het Onwaarschijnlijkheidsprincipe zegt dat sommige gebeurtenissen pas als onwaarschijnlijk worden betiteld als ze al gebeurd zijn. Omdat we er dan pas betekenis aan geven. Dus een golfer die ballen blijft slaan zal bij elke slag meer of minder tevreden zijn over de uitkomst, maar bij een hole in one zich wellicht afvragen hoe dat mogelijk is.
Je ziet het ook bij ongevallen. In onveilige werksituaties gaat het heel lang goed, omdat mensen zich steeds aanpassen en improviseren om schade te voorkomen. Tot het op een dag wel fout gaat. Dan wordt er achteraf iets mee gedaan, terwijl er eerder ook al voldoende aanleiding was om in te grijpen. Maar toen werd een ongeval nog als onwaarschijnlijk gezien.
Het is overigens nog steeds vaak zo dat de werknemer dan de schuld krijgt. Menselijke fout, roept men dan, maar al die keren dat het dankzij diezelfde werknemer wel goed ging wordt voor het gemak dan maar even vergeten.
Nauw gelieerd aan de Wet van de selectie is de survivalshipsbias. Er wordt naar de oorzaak van ongewenste gebeurtenissen gezocht door de overblijvers te onderzoeken. Francis Bacon schreef er ruim vierhonderd jaar geleden al over in zijn boek Novum Organon.
Het was een goed antwoord dat een man gaf toen ze hem in een tempel een schilderij lieten zien van zeelieden die aan een schipbreuk waren ontkomen door heilige geloften af te leggen en ze wilden weten of hij nu niet de macht van de goden erkende. Jawel, was zijn wedervraag, maar waar zijn de gelovigen geschilderd die na hun geloften zijn verdronken. Alleen de overlevenden van een schipbreuk kunnen je vertellen dat ze vooraf gebeden hebben.
francis bacon
4. De wet van de kanshefboom
De wet van de kanshefboom zegt dat een kleine verandering in een situatie een heel groot effect kan hebben. Hand maakt de vergelijking met twee mensen op een wip. Die kan in evenwicht blijven, ook als de personen in gewicht verschillen, indien ze op de juiste afstand van het midden zitten. Maar zodra de zwaardere persoon iets naar achteren verschuift, vliegt de lichtste omhoog. Andersom is het effect minder groot. Dat de wip in evenwicht was, betekent niet dat het een stabiel systeem was.
Francis Bacon 1561 – 1621 was een Engels filosoof die veel publiceerde over de wetenschappelijke methode
Hand geeft nog een voorbeeld over water. Als je water van 25 °C vier graden afkoelt, gebeurt er niet zo veel. Maar als je water van 2 °C vier graden afkoelt, gebeurt er heel veel en heb je opeens ijs.
Op die manier kunnen instabiele en metastabiele systemen door een kleine verandering hele grote effecten veroorzaken. Dat lijkt onwaarschijnlijk, maar is door de kanshefboom goed verklaarbaar.
Een andere oorzaak van de kanshefboom is dat een systeem geen normaalverdeling volgt, maar alleen maar lijkt op een normaalverdeling. Hier geeft Hand de beurskoersen als voorbeeld en introduceert daarbij het voor mij nieuwe begrip van de cauchyverdeling. Die heeft veel langere staarten dan een normaalverdeling en ook heel interessant, geen gemiddelde waarde.
Maar veel dieper ben ik daar niet op in gegaan. Dat stuk heb ik gescand.
Wat de wet van kanshefboom dus eigenlijk laat zien is dat we denken een fenomeen te begrijpen, maar in werkelijkheid zitten we er naast. Daar komen we dan achter door een in onze ogen onwaarschijnlijke gebeurtenis, die volgens een cauchyverdeling helemaal niet zo onwaarschijnlijk is.
Daarnaast, schrijft Hand, kan het voorkomen dat het systeem zich wel normaal gedraagt, maar jij niet. Hij geeft het voorbeeld van Roy Sullivan, die tussen 1942 en 1977 zeven keer door de bliksem werd getroffen. Dat lijkt heel onwaarschijnlijk, maar is het niet als je weet dat Sullivan een parkwachter is die tijdens onweer bijna altijd buiten in het bos is.
5. De wet van het voldoende dichtbij
Dit vond ik eerlijk gezegd de meest lastige van de vijf wetten om in het kort te beschrijven. Gelukkig zijn er dan mensen zoals mijn goede vriend Gabor die mij wijzen op mogelijke verbeteringen. Weet dus, als je dit leest, dat het stukje hieronder, en eigenlijk zelfs het hele blog, een peer review heeft gehad :-).
De wet van het voldoende dichtbij zegt dat als twee gebeurtenissen maar voldoende op elkaar lijken ze als identiek worden beschouwd. Dan zie je opeens patronen die er niet zijn en maak je een waarschijnlijke gebeurtenis onwaarschijnlijk door het ten onrechte te vergelijken met andere onwaarschijnlijke gebeurtenissen.
“Door de criteria van een precieze overeenkomst af te zwakken, kunnen we de kans op kennelijke toevalligheden vergroten. Gebeurtenissen die misschien uiterst onwaarschijnlijk lijken, kunnen bij nadere beschouwing heel plausibel lijken.”
Hand noemt het voorbeeld van Bill Shaw en zijn vrouw, die allebei een treinongeval overleefden waarbij wel vele andere doden vielen. Dat lijkt onwaarschijnlijk, alleen was het niet hetzelfde treinongeluk en zat er vijftien jaar tussen.
Ongetwijfeld zouden de kranten het nieuws ook hebben opgepikt als bij het ene ongeluk Bill betrokken was geweest en bij het andere zijn broer, of zus, of kinderen, of ouders, enzovoorts. En ook als er vier jaar, of twintig jaar tussen de ongelukken had gezeten.
david hand
De onwaarschijnlijkheid van de Black Swan
Het onwaarschijnlijkheidsprincipe laat zien dat onwaarschijnlijke gebeurtenissen niet zo zeldzaam zijn als wel wordt gedacht. In die zin is de verschijning van een Black Swan dus ook niet zo vreemd. Die komen nou eenmaal voor, betoogt Hand. Maar dat betekent niet dat je ze kan voorspellen.
Dat er een Black Swan zal landen is dus niet zo onvoorspelbaar, maar wel welke Black Swan, en wanneer. Dat kan je vooraf niet weten.
De Tay Bridge disaster bij Dundee in 1879. In een gierende storm stortte de brug in en de trein in zee. Er werden 59 lichamen geborgen, mogelijk zijn er nog 16 meer geweest, maar die zijn niet gevonden.
Voor bedrijven en organisaties betekent het dat je je moet voorbereiden op onwaarschijnlijke gebeurtenissen in het algemeen. Niet de kans is leidend op je preparatie, maar het mogelijke effect. Dat is wat de wet van de onvermijdelijkheid en de werkelijk grote aantallen ons vertellen. Er is altijd wat.
De wet van de kanshefboom leert ons dat we ook rekening moeten houden dat het probleem wel eens erger kon zijn dan verwacht. Dat het altijd erger kan moet je dus ook altijd meenemen in je voorbereiding en in je beeldvorming, of accepteren dat nu eenmaal niet alles voorkomen kan worden. Of allebei.
De laatste twee wetten zitten het dichtst tegen de eigenaardigheden van de menselijke psyche aan. Als eerste de wet van de selectie, die laat zien dat onwaarschijnlijkheid vaak verward wordt met onwenselijkheid en dat pas achteraf iets als bijzonder wordt aangemerkt.
De wet van voldoende dichtbij legt bovendien uit dat bepaalde gebeurtenissen te veel op een hoop worden gegooid. Zoals een stroomstoring, een brand en een cyberincident bij één bedrijf, waardoor wordt geframed dat het er een zooitje is.
Zo ontstaat er een verhaal en zo ontstaat er dus ook gemakkelijk een crisis.
Hoe voorkom je een ramp? Dat is het onderwerp van een handzaam boekje van Cass R. Sunstein onder de titel Averting Catastrophe. Voor zover ik kon nagaan bestaat er geen Nederlandse vertaling van, maar dat vond ik geen probleem. De tekst is makkelijk te volgen. De vraag die vooral bleef hangen was wat je nou eigenlijk met dit boekje moet. Het antwoord erop verraste mijzelf ook.
Averting Catastrophe explores how governments ought to make decisions in times of imminent disaster.
Zo ronkend laat Cass zijn boek aanprijzen op de kaft, door enkele van zijn geleerde vrienden. Ik stonk erin en kocht het ongelezen. Want wie wil dat nou niet, besluiten kunnen nemen rondom de vraag hoe je een ramp voorkomt?
Voor hen die gehoopt hadden daarop een duidelijk antwoord te krijgen, volgt dan nu alvast de dikke vette spoiler: na lezing van Averting Catastrophe weet je het nog steeds niet. Maar weet je wel beter waarom je het niet weet.
Wat ik ook wel weer geruststellend vond.
Want stel je voor, in 2023 zit ik dertig jaar in het vak van hoe je een ramp voorkomt en dan opeens schrijft iemand een boekje die daar in netto 117 pagina’s een antwoord op heeft. Dat zou wat zijn, zeg.
Maar goed, dat antwoord heeft Sunstein dus niet, maar wat heeft ie dan wel? Nou, enkele inzichten uit de decision theory die mij wel wat meer houvast gaven.
Of laat ik het anders zeggen, die mij bevestigden in een paar aannames die ik uit mijn praktijk had afgeleid, zoals het feit dat de te verwachten schade een belangrijker graadmeter is om op te handelen dan de kans op die schade. Sowieso vind ik ‘kans’ een overschatte parameter die nogal vaak leidt tot het-met-de-kennis-van-nu syndroom.
Nu moet ik eerst nog met een validiteitsdingetje aan de gang.
IYI
Die validiteitskwestie begint met een uitspraak van Jung. “Everything that irritates us about others can lead us to an understanding of ourselves.”
En dat geldt ook voor Nicholas Taleb. Everything that irritates Nicholas Taleb can lead us to an understanding of Nicholas Taleb.
En Cass Sunstein irritates Nicholas Taleb a lot. Zoveel zelfs dat Sunstein model stond voor Taleb’s tirade over IYI in zijn boek Skin in the Game: Intellectual Yet Idiot. Een IYI wordt door Taleb als volgt beschreven:
An inner circle of no-skin-in-the-game policymaking “clerks” and journalists-insiders, a class of paternalistic semi-intellectual experts with some Ivy league, Oxford-Cambridge, or similar label-driven education who are telling the rest of us 1) what to do, 2) what to eat, 3) how to speak, 4) how to think… and 5) who to vote for.
nicholas taleb
De Ivy League is een groep topuniversiteiten in Amerika, waaronder Princeton, Columbia en Harvard. Alumni ervan verkeren in hoge kringen en spelen elkaar volgens Taleb ondershands baantjes toe. Iets vergelijkbaars vind je in Frankrijk met de Grande Ecoles en met Oxbridge in Engeland.
Het is duidelijk dat Taleb er niets van moet hebben, IYI. Wellicht omdat ie zelf niet uit de League komt. Tegelijkertijd lijkt hij erg gevoelig voor erkenning uit dergelijke kringen. De validiteitsvraag is dan hoe serieus je de stellingen van Sunstein moet nemen. Of die van Taleb, natuurlijk. Kan het zijn dat hij zich overschreeuwt?
Want Sunstein is echt niet de eerste de beste. Onder Obama was hij verantwoordelijk voor een programma om de maatschappelijke kosten van fossiele brandstoffen in kaart te brengen, als onderdeel van een groter onderzoek naar de effecten van klimaatverandering.
Ik had DALL-E gevraagd een tekening te maken van een astronaut die een bord schildert met de tekst: watch out, black hole. Dat kwam er niet helemaal uit.
Maar Sunstein is vooral bekend geworden met zijn boeken over ‘nudging’. Dat is het onbewust beinvloeden van menselijk gedrag, bijvoorbeeld door de gezonde broodjes op ooghoogte te leggen en de ongezonde onderaan. Dat zou mensen aanzetten om gezonder te eten. Het wetenschappelijk bewijs erover schijnt mager te zijn, maar zolang supermarkten de gewenste snellopers in hun schappen op ooghoogte blijven leggen weet ik dat het werkt. Anders zouden ze dat niet doen.
Wat dan wel weer een leuk weetje is, is dat Aad Kieboom, een oud collega van mij, de beroemde vlieg in het urinoir heeft bedacht om de schoonmaakkosten van de toiletten op Schiphol in bedwang te helpen houden. Die piesvlieg geldt als de grootvader van alle nudges. Toen ik hem daar een keer over sprak keek hij mij vol verbazing aan; hij wist nergens van en was nooit ergens naar gevraagd of over geïnformeerd. Laat staan dat ie wist wat een nudge was.
Die middag nog kocht Aad het boek over nudging en liep mij de ochtend erna glunderend voorbij, terwijl hij uitgebreid zijn duim opstak en naar het boek wees. Hoe de dingen soms gaan.
Hoe je een ramp voorkomt
Ik vertel bovenstaand verhaal als context bij het boek Averting Catastrophe. Het werk van Sunstein is niet onomstreden, maar hetzelfde geldt voor zijn criticasters. Uiteindelijk is het niet mijn bedoeling aan te wijzen wie gelijk heeft, wel wil ik kort schetsen in welk krachtenveld het zich allemaal afspeelt. Wat je wel of niet voor waar aanneemt is verder aan jezelf. Mij gaf de verbreding in ieder geval meer inzicht in hoe je een ramp voorkomt.
Ga ik nu weer terug naar het boek zelf.
Met zijn boek wil Sunstein hulpmiddelen aanreiken over hoe je een ramp voorkomt. Daarbij sla ik het stukje over risicomanagement en expected value grotendeels over. Risico’s kun je namelijk kwantificeren, door een getal te geven aan waarschijnlijkheid (of frequentie) en effect. Dat geeft voldoende houvast om een besluit te nemen gebaseerd op expected value.
Maar dat is niet altijd het geval, dat je waarschijnlijkheid kunt toewijzen aan een situatie. In dergelijke omstandigheden weten we niet wat er kan gebeuren en ook niet goed wat de effecten kunnen zijn. Knightian uncertainty noemt Sunstein dat, naar de economoom Frank Knight.
Uncertainty must be taken in a sense radically distinct from the familiair notion of risk, from which it has never been properly separated… The essential thing is that ‘risk’ means in some cases a quantity susceptible of measurement, while at other times it is something distinctly not of this character; and there are far-reaching and crucial differences in the bearing of the phenomena depending on which of the two is really present and operating.
frank knight
We simply don’t know, voegde John Maynard Keynes daar aan toe. We weten niet wat de rente is over tien jaar, of er een oorlog komt in Europa, welke uitvindingen de markt zullen veranderen of wat de prijs van koper volgend jaar is. Knight beschreef zijn definitie van onzekerheid in 1933, Keynes die van hem in 1936.
Knightian Uncertainty in een cartoon van Ridder & Rat die ik samen met Wendy maak.
We simply don’t know, hoe je een ramp voorkomt. Of hoe je de hoofdprijs wint. Want dat is wat onzekerheid is. VUCA heet dat ook wel: volatiel, onzeker, complex (of connected) en ambigu. Hier schreef ik er al eens eerder over.
Maximin
In de theorie van decisionmaking zijn een aantal principes benoemd die kunnen helpen om besluiten te nemen in onzekere omstandigheden. Zoals het maximin principe. Dat gaat ervan uit dat je het worst case scenario elimineert en vormt eigenlijk de kern van Averting Catastrophe: je voorkomt een ramp door het worst case scenario uit te schakelen.
Toch stelt Sunstein daar wat vragen bij aan de hand van een aantal voorbeelden. Wat zou je kiezen:
99,9% kans om €10.000 te winnen en 0,1% kans om €60,- te verliezen of
50% kans om €50 te winnen en 50% kans om €50 te verliezen.
In regulier risicomanagement zou je kiezen voor optie 1. Dat heeft de hoogste te verwachten waarde. Maar als je gaat voor het maximin principe rolt optie 2 eruit. Dan mis je dus de kans op een grote winst. Dat is de waarschuwing van Sunstein: als je de worst case scenario in alle omstandigheden probeert te voorkomen, snij je misschien ook een grote winstkans af.
Nog een voorbeeld. Wat zou je kiezen:
100% kans om een euro te winnen of
100% kans om een ton te winnen met een onbekende kans om te sterven
Volgens het maximin principe kies je nu voor optie 1, ook als is de kans op sterven bij optie 2 onbekend. Overigens wordt bij regulier risicomanagement de kans van 1 op een miljoen in voorbeeld 2 acceptabel geacht bij de vergunning van risico opleverende activiteiten.
Maar als die 10-6 kans alleen op jouw betrekking heeft en niet op anonieme persoon, vind je die kans dan nog steeds acceptabel? Dat is de skin in the game vraag.
Er is ook nog het minimax principe. Daar heeft Sunstein het niet over in dit boekje, maar lang geleden kwam ik het tegen in een artikel van Mintzberg. Volgens Mintzberg nemen managers altijd het besluit waar ze achteraf het minste spijt van krijgen; minimaxen van spijt heet dat dan. Misschien is dat nog wel het beste principe om een ramp te voorkomen. Jammer dat Sunstein het daar niet over heeft.
Voorzorgsmaatregel
Dan is er nog een instrument dat het precaution principle wordt genoemd. Dat gebruik je om risico’s te vermijden, met name bij reguleringsvraagstukken. Als je niet weet wat het effect van genetisch gemodificeerde organismen (GMO) in de vrije natuur is, kun je ze maar het beste verbieden volgens de voorzorgsmaatregel. Zie ook het blog over georganiseerde onverantwoordelijkheid en manufactured risks.
DALL-E tekent een hand die een meteoor opvangt. Vind ie.
Taleb vindt het onverantwoord om GMO’s los te laten in de natuur, omdat het totaal onzeker is wat er daarna mee gaat gebeuren. Daarbij wijst hij op de fat tail; de kans op een extreme gebeurtenis is groter dan je op basis van een normaalverdeling zou verwachten en dat heeft te maken met complexiteit en exponentiële ontwikkeling.
Voor kernenergie is zo’n onzekere uitkomst niet aan de orde, omdat daar veel meer over bekend en meetbaar / berekenbaar is. Dat raakt eerder risicomanagement principes dan onzekerheidsprincipes.
Aansluitend op deze redenatie geldt nog het argument van onomkeerbaarheid. Bepaalde negatieve uitkomsten zijn niet terug te draaien of te herstellen. Een extra argument voor een voorzorgsmaatregel.
Toch, zegt Sunstein, kun je met voorzorgsmaatregelen ook positieve uitkomsten blokkeren. Daarom is hij het niet met Taleb eens. Er zijn voldoende wetenschappelijke artikelen die de kans op een onomkeerbare escalatie met GMO zeer onwaarschijnlijk achten.
Als tweede voorbeeld van geblokkeerde opbrengsten door de voorzorgsmaatregel noemt hij de vergunning voor zelfrijdende auto’s. Die zou je kunnen verbieden, omdat er onherroepelijk doden zullen vallen en dat is onomkeerbaar. Maar het betekent ook misschien dat er juist veel extra slachtoffers te betreuren zijn omdat zelfrijdende auto’s minder ongevallen veroorzaken dan menselijke bestuurders en dus uiteindelijk veiliger zullen zijn.
Je kunt je er dus niet zonder meer met één regel of principe vanaf maken. Het blijft denken in scenario’s, in mogelijkheden, in het vergroten van je situational awareness, zoeken naar kwetsbaarheden maar ook naar kansen. Want in keuzes valt er ook vaak wat te winnen en dat wil je ook niet uitsluiten.
Uiteindelijk concludeert Sunstein dat in situaties van grote onzekerheid waarin het ‘wait and learn’ principe te onvoorzichtig is, het logisch is om toch zware preventieve maatregelen te nemen, of het nu gaat om pandemieën, klimaatverandering of GMO. “Those measures will enable us to sleep better at night. And if we end up buying too much insurance, well, so be it.
Vluchten voor de vulkaan. Soms is dat de enige manier om een (grotere) ramp te voorkomen
Lichtzwarte Zwaan
Gaat Averting Catastrophe nou echt over hoe je een ramp voorkomt, zo vroeg ik me af na lezing. Ten dele, denk ik. Het gaat voornamelijk over het managen van onzekerheid, Knightian Uncertainty. Gebeurtenissen met een zeer kleine kans op een groot effect, waar je geen getallen aan kunt toekennen en zodoende buiten het reguliere risicomanagement vallen.
Highly impropable events with an extreme impact, dus.
Toen pas, bij die definitie, begon bij mij het lampje te banden. Taleb en Sunstein hebben het over hetzelfde in hun boeken. Alleen voegde Taleb wel de achteraf explanatie toe aan zijn definitie van de Zwarte Zwaan en Sunstein niet. Sunstein bespreekt dus eigenlijk een lichtzwarte Zwaan.
Hoe dan ook, de meerwaarde van Averting Catastrophe ligt voor mij in de verbreding van het veld dat Taleb heeft geclaimd als het zijne, het land van de Black Swan, maar waar ook andere denkers hun licht op hebben laten schijnen.
Jung had gelijk; dankzij Sunstein begrijp ik Taleb en het veld van onzekerheidsmanagement beter. Maar hoe je een ramp voorkomt weet ik nog steeds niet zeker.
Rizoomes is zo opgezet dat je in principe overal kunt beginnen met lezen. Toch zijn er een paar blogs die helpen om het geheel beter te volgen als je die eerst gelezen hebt. Dat lijstje staat hieronder.
