Bussiness
SVB: Continuering van een business is geen feestje van de IT alléén
CIO Britt van den Berg werkt bij de SVB aan een nieuwe cloudstrategie en doelstellingen als minder legacy en een kleinere ‘technische schuld’. “Maar als strategisch adviseur aan de Raad van Bestuur moet ik vooral iets uitleggen”, vertelt ze aan Dutch IT-channel in een toelichting op haar deelname aan het cloudonderzoek. “Cloudstrategieën en zeker ook informatieveiligheid zijn cruciaal voor de continuering van een business. Dat is niet een feestje van alleen de IT.”
Het is een hardnekkig misverstand in de hoofden van bestuurders en ambtelijk leidinggevenden: cloudstrategieën en dingen als informatieveiligheid zouden alleen maar op het bord liggen van ‘de IT’, terwijl ze voor niet-IT’ers in het bestuur of ‘de business’ een ver-van-m’n-bed-show zijn. “Ook bij ons worden dit soort onderwerpen nog vaak gezien als louter een IT-feestje, als iets dat de CIO of een Directeur IT volledig autonoom kan en moet oplossen”, vertelt Britt van den Berg, sinds september vorig jaar CIO bij de Sociale Verzekeringsbank (SVB), de oudste uitvoerder op het gebied van sociale zekerheid in Nederland en verantwoordelijk voor onder meer de uitbetaling van AOW-pensioenen en kinderbijslag. “Als strategisch adviseur richting de Raad van Bestuur (RvB) probeer ik mensen mee te nemen waarom een cloudstrategie ook ‘van hen’ is, waarom ook niet-IT’ers in een RvB de cloudgang van hun bedrijf en een onderwerp als informatieveiligheid belangrijk moeten vinden. Die dingen gaan tenslotte over de continuering van de dienstverlening, van de business. Sterker nog: het ís business.”
Van den Berg werkt dagelijks aan meer besef in haar organisatie, dat ook de SVB anno 2022 een ‘data-gedreven organisatie’ is. “Niet iedereen in de organisatie zal er zo over denken, maar het is mijn stellige overtuiging dat een bedrijf waarin het gebruik van data zo cruciaal is als bij ons, bijna een IT-bedrijf van zichzelf is geworden. IT en het gebruik van data behoren tot het primaire (informatieverwerkende) proces van de SVB en we zijn sterk afhankelijk van de IT-oplossingen die we sourcen. Iedereen in het bestuur moet daarom begrijpen dat IT tot onze core business behoort en niet ‘op afstand’ alleen maar facilitair of ondersteunend is. Ons IT-beleid is in hoge mate bepalend voor de toekomst van de hele organisatie, daarom moet de RvB zich er intensief mee bemoeien.”
Bewuste cloudgang
De RvB moet onder meer nauw betrokken zijn bij beslissingen over de cloudgang, vindt Van den Berg. “Onze cloudstrategie is heel bewust. De strategie is kort geleden vastgesteld, hoewel er al de nodige cloudmigraties zijn geweest in het verleden. We doen aan ‘limit migration’: we overwegen alleen een cloudmigratie als er een tijdgevoelige impuls is, een zeer aantrekkelijke business case, geen significante technische uitdagingen en veel steun van het uitvoerend management en de RvB. Dat is de gewenste betrokkenheid die ik zojuist noemde. Ga je niet bewust en gecontroleerd naar de cloud, dan kan een business case naar de gallemiezen gaan doordat de kosten de pan uit rijzen. We willen de deur niet op slot zetten, maar wel een streng deurbeleid voeren. Daar zijn we heel scherp op. Vergeet ook niet dat cloudgang een transformatie is van beheer (en eigenaarschap) naar regie. Dat vergt andere competenties bij medewerkers.”
Een reden om een applicatie niet naar de cloud te brengen, kan zijn dat dat vanwege de gevoeligheid van data simpelweg niet mag. Van den Berg: “Tot voor kort was het beleid van de Rijksoverheid om helemaal niets in de cloud te hebben. Maar anders dan bijvoorbeeld de ministeries van SZW en VWS, onze opdrachtgevers, hoeft de SVB als zelfstandig bestuursorgaan (ZBO) niet aan verplichte winkelnering te doen bij de Rijksoverheid. Wij kunnen en mogen op zekere afstand onze eigen IT-koers varen en nemen bijvoorbeeld niet actief af bij SSC-ICT of DICTU, de twee grote ICT-dienstverleners binnen de Rijksoverheid. Of we een applicatie naar de cloud brengen, hangt sterk af van het soort data en de kosten van de beveiliging daarvan. Maar ook: hoeveel moeite kost een cloudgang technisch? We willen in de cloud goedkoper en sneller kunnen werken, maar ik weet niet of de IT-kosten voor de SVB per se lager worden met een cloudgang. Je kunt in de cloud meer dingen doen voor hetzelfde geld, dat vaak wel.”
IV-strategie
De cloudstrategie maakt deel uit van een meeromvattende IV-strategie (informatievoorziening), met nog drie ambities: een kleinere technische schuld, minder legacy en het vergroten van de informatieveiligheid. “Minder technische schuld wil zeggen dat de systemen in ons applicatielandschap zo weinig mogelijk onderhoud nodig hebben. Dat kan onder meer door applicaties optimaal up-to-date te houden, zowel in de ondersteunende lagen eronder als in de software zelf. Het moet zo goed mogelijk werken allemaal.”
Door legacy weg te werken wil de SVB af van verouderde software die vernieuwing in de weg zit. “En ik heb onlangs een ‘honderd dagen stuk’ opgeleverd voor de RvB – dat is hier gebruikelijk als je begintijd erop zit – met veel aandacht voor de informatieveiligheid van de SVB. Ik kan daar uiteraard niet veel over zeggen, maar wel dat we veel focus leggen op zowel preventie als detectie en respons. Ik zie veel organisaties focussen op louter ‘respons’: wat doen we als het misgaat? Maar die ‘als’, die wil je toch niet meemaken?”
De CIO is bij de SVB helemaal vrijgemaakt om aan deze strategie te werken. “Als C-functionaris neem ik net als de Chief Change Officer (CCO) deel aan het directieteam en adviseer ik onafhankelijk aan de RvB”, besluit Van den Berg. “Het aansturen van de operatie is de verantwoordelijkheid van de Directeur IT, die naast de CIO functioneert. Vanwege de omvang van de operatie zijn deze twee functies, twee voorgangsters terug, uit elkaar gehaald, want de dame die toen beide rollen vervulde, kwam om in het brandjes blussen. Aan de strategie kwam ze niet of nauwelijks toe, dat is nu gelukkig anders.”
_________________________________________________________________________________________________________
‘Ik wil werken waar ze snappen dat IT bij het primaire proces hoort’
Britt van den Berg (43) wilde aanvankelijk journalist worden. Totdat haar vader, zelf docent informatica, haar overtuigde dat een IT-opleiding een betere baangarantie gaf. “Ik ben informatica gaan studeren aan de Universiteit Utrecht”, reflecteert Van den Berg, die in 2002 afstudeerde. “Ik werd Rijkstrainee en begon bij het ministerie van OC&W. Daarna ging ik naar de afdeling Wapens en Munitie van het Nederlands Forensisch Instituut. Daar deed ik een benchmark onderzoek naar een nieuw ballistisch identificatiesysteem en heb ik ook leren schieten in een schietkelder, heel stoer. Mijn laatste plek als Rijkstrainee vulde ik in als beleidsmedewerker IT bij het ministerie van BZK. Daarna kreeg ik mijn eerste vaste baan als beleidsmedewerker IT-beveiliging bij de AIVD.”
Maar dat vond de toen 24-jarige Van den Berg maar een stoffige boel. “Informatiebeveiliging was destijds nog lang niet zo spannend als nu. Ik heb toen een uitstapje gemaakt naar het bedrijfsleven: Young Executive Recruitment (YER). Daar ging het voornamelijk om het binnenhalen van de euro’s, en ik merkte dat ik liever weer iets met een maatschappelijke impact wilde doen. Dat kon als directiesecretaris bij BPR, de huidige Rijksdienst voor Identiteitsgegevens, waar ik voor het eerst werd gevraagd om leiding te geven. Vooral verandermanagement lag me erg goed; ik heb niet zo’n moeite met keuzes maken en een duidelijke lijn uitzetten.”
De volgende, logische stap was leidinggeven aan professionals in IT, en dat kon als afdelingshoofd informatievoorziening bij de Inspectie Leefomgeving en Transport. “Daar merkte ik dat ik het ingewikkeld vond om te werken in een organisatie waar het besef minder is neergedaald, dat het primaire business proces en IT niet van elkaar te scheiden zijn. Bij het CIBG, waar ze het donorregister maken en onder meer de Coronamelder live brachten, begrepen ze dat wél. Daar ben ik binnengekomen als hoofd ICT, en toen de CIO van het CIBG uitviel, heb ik die functie op verzoek van de net nieuwe algemeen directeur waargenomen. Eerst tijdelijk, later werd dat definitief.”
Britt van den Berg heeft het enorm naar haar zin gehad bij het CIBG en heeft daar veel voor elkaar kunnen krijgen met de mannen in het MT en de medewerkers van de i-afdelingen. “En toch: ik zag op LinkedIn dat bij de Sociale Verzekeringsbank de functie van CIO vacant was. Als één organisatie een enorme impact heeft op de Nederlandse samenleving, op een positieve manier, dan is het de SVB. Kinderbijslag, AOW, persoonsgebonden budget en andere regelingen: daarmee keren we 51 miljard euro per jaar uit! Dus sinds 1 september 2021 zit ik hier als CIO. Ik kijk ernaar uit om hier weer heel veel te leren, en tegelijkertijd natuurlijk ook veel te komen brengen met de ervaring die ik heb.”
Auteurs: Jeroen Bordewijk en Witold Kepinski