Een werkstudent met meer oog voor data governance dan het hele MT

Als finance professional moet je je als geen ander bewust zijn van het databeleid binnen je organisatie.

Een serie blogs over de toekomst van de finance professional.

Onlangs viel ik bijna van mijn stoel, toen ik een verhaal las in het FD. Het ging over het aantal grote schandalen met datalekken, onder andere bij de GGD en het Amsterdamse ziekenhuis OLVG. Het ging me er eigenlijk nog niet eens om dát die datalekken waren ontstaan. Ik schrok vooral van de reactie van het OLVG-bestuur. Die was echt stuitend.

Toen de werkstudente samen met een paar collega’s het datalek meldde, werd daar in eerste instantie niets mee gedaan. En dat is link. We hebben het hier over data governance en een digitale transformatie. En dat valt of staat bij bewustzijn, zo schrijft ook Rod Koch in Strategic Finance Magazine. Dat bewustzijn bestond hier helemaal niet.

Natuurlijk, ook in de Nederlandse zorg loopt men tegen allerlei barrières aan, zo liet de nieuwe CEO van het OLVG weten in een persbericht uit 2018. Door een tekort aan personeel en een stijgende zorgvraag luidde de enige oplossing: slimmer werken. Kortom: digitaliseren. Maar ja, voor het gemak ‘vergaten’ ze om voldoende aandacht aan dat proces te geven en hun data governance aan te passen.

Chassis van je brommer
Data governance is o.a. het vastleggen van hoe je met data omgaat. Dus wie mag erbij? En hoe ga je de boel beveiligen? Precies hetzelfde als bij je eigen huis. Je kan het ook vergelijken met je brommer opvoeren. Als ik dit vroeger deed, moest ik niet vergeten om het chassis aan te passen, want anders kloppen de verhoudingen niet meer. Blijkbaar heeft niemand in het OLVG ooit aan een brommer gesleuteld, want die les waren ze even vergeten.

Met als gevolg dat er een situatie ontstond waarbij ze, bij wijze van spreken, een ouderwetse brandkast met daarin al hun patiëntendossiers op een karretje plaatsten en die onbeheerd in de bedrijfskantine achterlieten. Onbevoegde medewerkers met een wachtwoord voor de betreffende systemen van het ziekenhuis, konden er zo in. Hiermee zet je de deur open om de status van de buurvrouw of een opgenomen BN’er te checken.

Een manager die voor zo’n actie verantwoordelijk is, wordt normaal gesproken op staande voet ontslagen. Maar niet bij het OLVG. En wat zei de directie toen RTL Nieuws verhaal kwam halen? Dat het jammer was dat Autoriteit Persoonsgegevens (AP) het ziekenhuis een boete gaf van 440.000 euro omdat ze inmiddels alles alsnog hadden aangepast. Dit argument is een beetje als tegen een agent zeggen dat je boete voor te hard rijden op de snelweg onterecht is, omdat je inmiddels alweer keurig 100 rijdt.

Software geschikt voor een dorp, niet een land
Ook bij de GGD - waarbij de privégegevens van miljoenen Nederlanders illegaal op internet werden verhandeld - ontbrak een deugdelijke data governance. Het type software dat de GGD hanteerde, was eigenlijk hetzelfde pakket dat huisartsen in kleine dorpen gebruiken. Heel kleinschalig en handig bij de uitbraak van bijvoorbeeld een lokale griepepidemie. Maar je kan dit type software niet meteen voor heel Nederland gebruiken, daar was de data governance helemaal niet op aangepast.

Als finance professional moet je je als geen ander bewust zijn van databeleid en de levenscyclus van data binnen de organisatie. Het vraagt om het consequent uitvoeren van controle mechanismes tegen het oude datalekken. En heel belangrijk: als er iemand achter een datalek komt, is het wel zaak dat iedereen direct in actie komt om eventuele verdere schade te beperken.

Als management moet je vooral een cultuur creëren waarbinnen iedereen op de juiste manier met data omgaat. Fouten maken mag. Dat gebeurt binnen elke organisatie, vooral op het gebied van data waar nog genoeg te verbeteren valt. Maar het mag niet zo zijn dat als iemand het lef heeft om iets aan te kaarten, dat dit dan wordt weggeschoven zoals bij die werkstudente. Wat straal je dan uit als MT? Dat iemand anders over een jaar iets tegenkomt en denkt: ik doe gewoon of ik niets heb gezien.

Schone taak
En daar ligt een schone taak voor de finance professional die als businesspartner het gesprek aangaat met het managementteam. Ook om dit soort zaken aan te kaarten. Als financial heb je tegenwoordig te maken met allerlei nieuwe technologieën: van blockchain, RPA tot AI. En het gebruik van deze technologieën neemt alleen maar toe. Dat vraagt om zorgvuldige omgang met data. En dus is er een nog belangrijkere rol weggelegd voor data governance.

Voor een bankmedewerker is het toch ook onmogelijk te achterhalen welke leningen zijn buurman afsluit? Niet iedereen kan en mag zomaar een dossier inkijken. Dezelfde beveiliging mag je verwachten in het ziekenhuis of bij de GGD.

Ethische policy
Feitelijk wordt elk bedrijf tech based. We verzamelen samen zo ontzettend veel data. Zelfs als producent van koelkasten zie je precies wanneer jouw klanten honger hebben en wanneer ze thuis zijn. Al deze informatie komt tegenwoordig in de systemen terecht waar ook financials mee werken. En daar moeten we heel secuur mee omgaan.

Daarom is het zo belangrijk dat elke CMA een policy ondertekent waarmee hij of zij belooft om ethisch te handelen. Eigenlijk zou dat ook moeten gelden voor iedereen die toegang heeft tot die data. Zelfs de werkstudente, hoewel zij natuurlijk niet bij al te specifieke data had mogen komen. Maar haar alertheid maakt haar een gouden werknemer. Ik zou het wel weten als ik op zoek was naar nieuw personeel. Mensen die dit soort zaken durven aan te roeren, zijn goud waard voor elke organisatie. Zeker voor het OLVG.

Door Alain Mulder, Senior Director Europe Operations bij IMA, de wereldwijde vereniging van finance professionals. Hij is onder andere verantwoordelijk voor de Europese groei van het Certified Management Accountant-programma.