Op het Checkup event van SecureLink, dat op 13 oktober plaats vindt in Brussel, is er alvast één originele dubbel-presentatie die ons opviel: de verschillen tussen medische crisissen enerzijds en it-rampen anderzijds. Vijf verschillen en één gelijkenis.
De keynote op het event gaat over ‘Crisis Management and the Parallels in healthcare and IT’. De presentatie wordt gegeven door twee broers: Tom Decaluwé, die operations manager is bij SecureLink enerzijds. En zijn tweelingbroer Karel, die adjunct hoofdverpleegkundige is op een spoeddienst spoedopname en ook adjunct provincieverantwoordelijke op de hulpdienst van Rode Kruis West Vlaanderen.
Met Tom Decaluwé van SecureLink overlopen we de opvallend grote verschillen tussen de medische en de it-wereld. Want die verschillen zijn er zeker. “Het is duidelijk dat de it wereld nog wat kan leren van de healthcare sector”, oppert hij.
Verschil 1. De wetgeving: IT hinkt achterop
De wetgeving is in de wereld van healthcare al jaren geregeld. ‘Er zijn duidelijk opgelegde wettelijke vereisten over onder meer noodplannen, materiaal en opleiding’, vertelt Tom Decaluwé. Maar in de it-wereld speelt die wetgeving nog veel minder. ‘Daar hinken we eigenlijk flink achterop’, vindt hij.
Het is eigenlijk pas de laatste jaren (en maanden) dat de overheid ook met een aangepaste wetgeving komt. Een voorbeeld hiervan is de zogenaamde GDPR of General Data Protection Regulation, die organisaties onder meer de melding van datalekken oplegt. Of beter: zal opleggen. Deze wetgeving is namelijk op komst en in ons land nog altijd niet ingevoerd.
Verschil 2. veel meer voorbereiding en oefening in medische wereld
Ook dat is een groot verschil tussen it en de medische wereld. ‘De medische wereld is erg scenario-gedreven. Er liggen bijvoorbeeld rampenplannen klaar en die worden regelmatig door hulpdiensten getest. Er wordt hier flink in geïnvesteerd’, weet Decaluwé.
Helemaal anders is het in it-wereld. Daar wordt, volgens Tom Decaluwé, veel te weinig tijd en aandacht besteed aan het inoefenen van scenario’s voor bij it-rampen. ‘Wij stellen bij het toppunt van een security crisis – zoals een cyberinbraak, virus of DDoS-aanval – vast dat er op een lijst namen staan van mensen die al jaren het bedrijf hebben verlaten. Of telefoonnummers die niet meer kloppen’, stelt Decaluwé. ‘Terwijl een van de meest cruciale zaken, bij de medische oefeningen en bij het testen van de rampenplannen, is dat mensen mekaar leren kennen. Als er zich dan later een ramp voordoet, weet men op zijn minst met wie men te maken heeft. Daar win je heel veel tijd mee.’
Verschil 3. Meer investeringen bij medische wereld
Het zijn ook vaak de nodige investeringen die bij it soms ontbreken. Decaluwé: ‘Er is de voorbije jaren door de crisis vaak bespaard op it-afdelingen in bedrijven. Eigenlijk kunnen zij hierdoor in veel gevallen enkel nog operationeel zijn, en hebben ze nog een kleine ruimte voor innovatie. Maar het nakijken en testen van noodplannen schiet er vaak van tussen’, stelt hij. ‘De vaststelling is dat de impact van een IT-risico veel groter is geworden. Zo is de kans op cyber incidenten groter geworden terwijl de impact van hardware failure door doorgedreven virtualisatie en cloud sterk achteruit gegaan is.’
Investeringen in de medische wereld zijn daarnaast ook veel visibeler en duidelijker. ‘Je hebt naast de standaard voertuigen ook specifieke voertuigen uitgerust met veldhospitalen en andere aangepast materiaal. Dit materiaal is strategisch verspreid over het land. Dat is heel erg gestandaardiseerd. Bij it-rampen bestaat er momenteel nog niet echt iets als een speciale interventie kit.’
Verschil 4. Wanneer drukken we de noodknop? Onduidelijkheid bij IT
De definiëring en afspraken zijn in de medische wereld veel duidelijker. ‘Het is duidelijk afgesproken wanneer we over een ramp spreken en wie de beslissingen neemt. In de medische wereld spreken we bijvoorbeeld over een ramp vanaf een vooraf bepaald aantal slachtoffers. En daar neemt het eerste mugteam dat op de ramp aanwezig is de beslissingen, en dat blijft vaak zo’, aldus Tom Decaluwé. ‘Ook als later iemand arriveert met meer kennis van zaken. Het is mogelijk niet ideaal, maar het is wel duidelijk.’
Bij it is er veel meer onduidelijkheid wanneer het over een ramp gaat. ‘Soms wordt er veel te lang gewacht’, stelt Decaluwé . ‘Bij it is er vaak ook veel minder duidelijk wie de beslissingen neemt. Wie beslist bijvoorbeeld de e-commerce server mag afgekoppeld worden. Is dat de it-manager of de sales manager?’
Verschil 5. Gebrek aan documentatie bij IT
Bij rampen worden alle acties genoteerd in een logboek. ‘Vroeger gebeurde de documentatie in de medische wereld op papier, maar vandaag steeds meer digitaal’, stelt hij. Documentatie tijdens it-rampen is vaak een pijnpunt. ‘Daar moeten we vaak later gaan vragen wat er in het heetst van de strijd door wie allemaal is gedaan.’
Veel verschillen dus, waar ook it- en securitybedrijven ook uit kunnen leren. ‘We willen ons als securityspecialist ook laten inspireren door de modellen van crisismanagement uit de zorg om te kijken hoe we deze kunnen toepassen in ons eigen vakgebied’, vertelt Decaluwé. Het bedrijf is naar eigen zeggen bezig om een duidelijker kader te scheppen. ‘Als we er in slagen om alle componenten duidelijk in kaart te brengen en daar de nodige afspraken en procedures aan te koppelen, kunnen we onze klanten een nog geruster gevoel geven.’
Eén gelijkenis: de scherpschutters achteraf
Vijf duidelijke verschillen. Maar toch zijn er gelijkenissen na een ramp: de scherpschutters. Na een ramp, of het nu medisch is of it, komt er altijd een commissie of meeting waarbij alle acties van tijdens de ramp worden besproken.
Men vraagt zich tijdens zo’n bijeenkomst dan af of iedereen wel de juiste beslissingen heeft genomen. Na een medische ramp moeten de betrokken hulpverleners zich dan bijvoorbeeld verantwoorden bij beleidsmakers. Bij it-problemen moet men vaak op het matje komen bij het management. ‘Het is nu blijkbaar menselijk om altijd een schuldige te zoeken. Ook al is het achteraf natuurlijk makkelijk praten.’
Meer info over het Checkup event van 13 oktober op www.checkup2016.be
