De samenleving digitaliseert. De vijf meest waardevolle bedrijven ter wereld zijn ict-bedrijven, Nederlanders maken volop gebruik van internet en ook de overheid zet steeds meer in op digitale middelen. Met de digitalisering neemt ook het economische belang van cyberveiligheid toe. Cyberveiligheid draagt bij aan het benutten van economische kansen en voorkomt schade door uitval of verstoring van ict. Uitval of verstoring kan per ongeluk gebeuren (bijvoorbeeld door softwarefouten) en opzettelijk (bijvoorbeeld door een cybercrimineel).
Het doel van de risicorapportage cyberveiligheid economie 2017 (rce 2017) is om meer inzicht te krijgen in het belang van cyberveiligheid voor de economie.1 Centrale vragen zijn: Welke ontwikkelingen doen zich voor op het gebied van cyberveiligheid? En wat zijn daarvan de gevolgen of risico’s voor de economie en samenleving? Waar mogelijk komen ook beleidsopties aan de orde.
Cybercrime en digitale spionage blijven de grootste bedreigingen voor de digitale veiligheid in Nederland. Geopolitieke ontwikkelingen, zoals internationale conflicten of politieke gevoeligheden, hebben daarop een grote invloed. Het Global Risks Report 2016 onderschrijft wederom de risico’s op dit punt, sterker nog geeft aan er sprake is van toename en kans op ontwrichting van organisaties en samenleving.
In dit artikel relevante standpunten, initiatieven en wetgeving die als vorm publiek risicomanagement kunnen worden beschouwd. Immers de balans, veerkracht en robuustheid van organisaties en samenleving, alsmede de bescherming van onze eigen identiteit en pricacy is voor ons van grote (publieke) waarde. De risico’s op aantasting daarvan of zelfs ontwrichting worden beschouwd als opkomende publieke risico’s.
Wat als de ‘global risks 2016’ dichterbij de provincie Noord-Brabant komen?
Sommige van de top-risico’s zijn op dit moment al in meer of minder mate manifest. En er wordt op geacteerd, al dan niet omdat het een wettelijke taak van de provincie is.
Het risico van de grootschalige en onvrijwillige migratie doet zich al voor in de Europese Unie en in Nederland. Het vluchtelingenvraagstuk heeft topprioriteit voor de bestuurders in Brabant. Gekozen is voor een Brabantse (lees: kleinschalige) aanpak van vluchtelingen. Ontwikkelingen op Europees niveau bepalen uiteindelijk de feitelijke omvang van de toestroom en daarmee ook het aandeel van Brabant daarin, en het effect ervan op de samenleving.
Zo is ook het vraagstuk van de energietransitie bestuurlijk relevant en actueel, en daarmee het halen van de klimaatdoelstellingen voor Brabant in 2020 e.v. zoals CO2-reductie, vergroening van de economie, opwekken van duurzame energie.
In Nederland zijn we extreem weer en natuurrampen – gelukkig- ontwend. Voor Brabant speelt het risico van overstroming vanuit zee of rivieren het meest. Hier zijn maatregelen voor genomen, zoals het Deltaprogramma en de rivierverruiming Overdiepse polder. Schoon, veilig en voldoende water is belangrijk voor Brabant. De provincie is regisseur van het provinciale waterbeleid.
Maar wat nu als de bekende risico’s zich acuut voordoen met een grotere impact dan waarmee nu rekening is gehouden? Dat risico zie ik dan vooral bij het vluchtelingenvraagstuk, en bij extreem weer/natuurrampen.
En dan zijn er nog de risico’s waarvoor geen provinciaal beleid is noch een wettelijke taak: massavernietigingswapens, cybercrime en ernstige schommelingen van energieprijzen. Vooral de eerste twee zijn ontwrichtend voor de samenleving. En moeten we erop vertrouwen dat onze nationale en regionale rampenbestrijding en crisisbeheersing naar behoren functioneren en een aanslag of aanval weten te voorkomen, te beperken en hoe ervan te herstellen. Tegenover cybercrime staat cyber security: een samenspel van de overheid, het bedrijfsleven en de burgers zelf.
Het concrete handelingsperspectief voor de aanpak van de in het Global Risks Report 2016 genoemde risico’s, is het meest gebaat bij:
“… risico’s ook kunnen accepteren, in plaats van vooraf af te dekken.”
Nederland is een veilig land met een hoog welvaartsniveau, een uitgebalanceerd rechts- en staatsysteem, robuuste vitale voorzieningen en een stabiele economie. Mede daardoor hebben we een hoog niveau bereikt van mitigatie ten aanzien van allerlei bedreigingen, of het nu natuurrampen betreft zoals overstromingen en infectieziekte uitbraken, forse economische tegenslag of dreigingen van moedwillige aard: terrorisme en georganiseerde misdaad.
Toch moeten we permanent alert blijven op zulke dreigingen. De wereld wordt complexer door toenemende afhankelijkheden op het gebied van handel en economie, technologieën en veranderende machtsverhoudingen. En we ondervinden – mede door ons eigen toedoen – steeds meer de gevolgen van klimaatverandering en stijgende druk op het ecologisch systeem. Deze ontwikkelingen vergroten de kans op rampen en crises met onverwacht ontwrichtende effecten.
De vraag is of we ons daar voldoende bewust van zijn en in staat zijn zulke schokken op te vangen. Anders gezegd, kan onze samenleving nog tegen een stootje als het een keer goed mis gaat? Hoe goed is het risicobewustzijn en het vermogen tot aanpassen van de Nederlandse burger als we in een situatie belanden waar we niet meer aan gewend zijn? Zou het niet verstandig zijn dat bewustzijn te verstevigen, de burger weer te leren met risico’s om te gaan en daar al van jongs af aan mee te beginnen?
Er is nog een andere reden om hier aandacht voor te hebben. Het hoge veiligheid- en welvaartsniveau in ons land en ‘de westerse wereld’ is bereikt door een jarenlang proces van economische groei en technologische vooruitgang. Die ontwikkeling ging gepaard met een verschuiving van een agrarische en industriële economie naar een kennis- en diensteneconomie.
Dit was onder meer mogelijk door intensief gebruik van grondstoffen en uitbesteding van productie aan ‘minder ontwikkelde’ landen, waar arbeid veel goedkoper is. Echter, ook die landen willen – terecht – meeprofiteren van alle welvaart. Dat gaat leiden tot grotere druk op het global system met als mogelijk gevolg een toename van conflicten, maar ook een rem op onze welvaart. Zulke ontwikkelingen zijn nu al zichtbaar. De vraag is of we ons voldoende realiseren dat de bomen mogelijk niet tot in de hemel zullen blijven groeien en we misschien pas op de plaats moeten maken.
Het concrete handelingsperspectief voor de aanpak van de in het Global Risks Report 2016 genoemde risico’s, is het meest gebaat bij:
“De moed hebben te ondernemen en uit te dragen dat er risico’s zijn en we daar gezamenlijk verantwoordelijkheid voor dragen: ‘nuchter omgaan met risico’s.’
Het Onderzoeksprogramma Politie en Wetenschap (P&W) vervult een brugfunctie tussen wetenschap en politie. De bedoeling is wetenschappelijk onderzoek te laten verrichten dat leidt tot een daadwerkelijk betere politiepraktijk. Het programma is in 1999 van start gegaan, kent een onafhankelijk karakter en wordt gefinancierd met een jaarlijkse bijdrage van het ministerie van Veiligheid en Justitie. Zij rapporteert over de Gezamenlijke inspanning in de aanpak van (georganiseerde) criminaliteit en overlast.
Bestuurskundigen van de politie en andere politiefunctionarissen delen met behulp van bestuurlijke rapportages politie-informatie met het lokaal bestuur. Burgemeesters kunnen op basis van deze informatie maatregelen treffen om criminaliteit te bestrijden of overlastgevende situaties te beëindigen.
Onderzoek is gedaan binnen vijf grote gemeenten naar het proces met betrekking tot het ontvangen en opvolgen van bestuurlijke rapportages door het lokaal bestuur en hoe de samenwerking wordt ervaren wordt. Het geeft een inkijk de bestuurlijke aanpak van (georganiseerde) criminaliteit en overlast wordt ervaren en met welke uitdagingen zij daarbij te maken hebben. Het RIEC is daarbij informatieknooppunt tussen provincies, gemeenten, politie, OM en bijzondere opsporingsdiensten, zodat een integrale (casusgerichte) aanpak kan worden bereikt.
Aanbevelingen (pagina 55 van het rapport, door QP-redactie samengevat en verwoord):
Het proces van opstellen en aanbieden van bestuurlijke rapportages is minstens zo belangrijk als de rapportage zelf.
De kwaliteit van de aangeboden onderzoeks-informatie moet zijn afgestemd op de informatiebehoefte van de ontvangende partij.
Afstemming vooraf, niet alleen in de lokale driehoek maar ook op ambtelijk niveau, is cruciaal.
Permanente dialoog tussen politie en gemeenten is echt nodig voor succes.
Meer maatwerk in de bestuurlijke aanpak, geen algemeen recepten.
Het proces van een gezamenlijke aanpak staat nog in zekere zin nog in de kinderschoenen. De eerste goede stappen zijn gezet maar in elk geval wordt doorontwikkeling van de aanpak als gewenst en op onderdelen zelfs als strikt noodzakelijk ervaren. In de slotbeschouwing concluderen de onderzoekers het zorgvuldig:
“Het is een uitdaging voor zowel de politie als gemeenten om een goede balans te vinden tussen enerzijds het blijven werken aan een succesvolle gezamenlijke aanpak van (georganiseerde) criminaliteit en overlast, en anderzijds het nadenken en met elkaar in gesprek gaan over de ontwikkelingen, veranderingen en vraagstukken waarmee zij worden geconfronteerd. >>
Als leider dient men visie te hebben. Alsook durf, risicobeheersing, consistentie van beleid, management-eigenschappen, verantwoordelijkheid jegens medewerkers, organisatie en maatschappij en dient men te allen tijde verantwoording te kunnen afleggen. Een leider dient bij uitstek een voorbeeldfunctie te hebben. Niet in de laatste plaats als het gaat om integriteit. Wat kun je van je werknemers verwachten als je zelf niet het juiste voorbeeld geeft?
Begin november kon men in onze nieuwsbrief lezen over Alayne Fleischmann , voormalig juriste bij J.P. Morgan New York. Zij is kroongetuige in de ( $ 9 miljard!) fraudezaak tegen deze bank. Het zou gaan om “enorme criminele fraudepraktijken”. Van bovenaf werd medewerkers het zwijgen opgelegd, daar waar het ging om het verpakken van enorme hoeveelheden hypotheken in ingewikkelde beleggingsproducten. Elke vorm van schriftelijke (interne) communicatie hierover was ten strengste verboden. In het geval van het leiderschap bij J.P. Morgan lijkt het te rotten. Een rottingsproces, goed – maar eigenlijk slecht – voor $ 9 miljard. Alayne Fleischmann kon niet langer met het ook haar opgelegde geheim verder leven.
Dit voorbeeld van niet-integer leiderschap doet zich zeer regelmatig voor. En op gezette tijden komen deze praktijken naar buiten. Ook in ons land. Voorbeelden te over. Meestal ligt de bron bij ego gedrag, megalomanie, verkokerd denken, afgeschermd worden van de buitenwereld, waardoor men niet meer objectief kan denken en niet in de laatste plaats hang naar geld en macht. In het geval van J.P.Morgan een harde illustratie van crimineel gedrag. Eén ding hebben de leiders – en (waarschijnlijk ook) toezichthouders – vergeten: risicomanagement begint bij jezelf! Wederom heeft het imago van een zeer grote financiële instelling danig te lijden.
In onze nieuwsbrief van 27 november 2014 leest men onder de titel “Hoe de accountants van KPMG zich lieten verleiden door vastgoedmiljoenen”, waartoe zucht naar vermogen (geld) kan leiden. Schandelijke reputatieschade van de bovenste plank. De top verdeelde miljoenen van toch al niet geheel integere transacties, waartegenover geen enkele inspanning van betrokken functionarissen stond. Gewoon achterover leunen en vangen! Had ook niet te maken met de controlerende taak die dit kantoor als accountant heeft. Geen core business. Een heimelijk samenspel van enkelen, waarvan de overige medewerkers geen weet hadden en ook geen profijt. Het imago van KPMG heeft een enorme knauw gekregen. De medewerkers, uiteraard te goeder trouw, zullen zich schamen en gedemotiveerd blijven doorwerken voor hun organisatie. Een enkeling kan zich misschien permitteren afstand te nemen van de organisatie door op vrijwillige basis te vertrekken. KPMG staat niet op zichzelf: lees De Prooi over zelfverrijking door het leiderschap bij ABN-AMRO. Er zijn evenzovele voorbeelden van barre praktijken bij andere organisaties. In het geval van KPMG kun je je bovendien ook afvragen hoe controlerend de rol van de toezichthouders, de Raad van Commissarissen, is geweest. Hadden ze het kunnen weten? Hebben ze het geweten? En zo ja: hebben ze iets gedaan om het te stoppen? L’Histoire se repete: wat kun je van je medewerkers verwachten als je zelf niet het juiste voorbeeld geeft. Integriteit vergt continue spiegeling. Wat je niet wilt van je medewerkers op straffe van reputatieschade, doe dat zelf al helemaal niet. Goed bestuur vergt een voorbeeldfunctie en impliceert aandacht voor risicomanagement. Zowel publiek als privaat.
Namens PRIMO Nederland heeft Harry ter Braak op het seminar Wet Veiligheidsregio’s een presentatie gegeven over de verhoogde risico’s die de invoering van de wet veiligheidsregio’s met zich meebrengt. Dit seminar werd op 30 september gehouden in het Internationaal Perscentrum Nieuwspoort te Den Haag.
Volgens Ter Braak biedt de wet, die op 1 oktober 2010 in werking treedt, vooral een goede oplossing voor veiligheidsrisico’s op regionaal niveau (grootschalige rampen en calamiteiten, georganiseerde criminaliteit, infrastructurele en maatschappelijke knelpunten). Kanttekening bij deze wet is dat deze risico’s slechts 5% van de veiligheidsproblematiek omvatten. Het gevaar van deze wet is dan ook dat de lokale risico’s (= 95%) onderbelicht worden. Dus ondanks dat de Wet een goede oplossing biedt voor een klein deel van de veiligheidsrisico’s, creëert deze oplossing nieuwe problemen op lokaal niveau. Zo komt onder meer het integraal veiligheidsbeleid buiten direct bereik van de gemeenten, met als mogelijke risico een mindere integrale veiligheidsaanpak.
Het advies van Ter Braak is om als gemeenten een goede balans te organiseren tussen het managen van risico’s op lokaal en regionaal niveau en daar passende strategische keuzes te maken. Dit vraagt om een goede afstemming tussen de betrokken partijen over de verschillende aspecten van veiligheid, die op de diverse niveaus georganiseerd en/of gestuurd worden. Regionale organisaties en gemeenten zullen de ruimte moeten organiseren in hun agenda’s om de risico’s op het lokale niveau te voorzien en hanteren. Zijn eindstatement was dat goed risicomanagement dansen op schalen is!
