kenny

GDPR: nieuwe sense of urgency in de Digitale Transformatie

13 februari 2018

Kenny van Ierlant

De digitale transformatie ingegeven door snel veranderende businessmodellen, als onderdeel van de ketenomkering, heeft de wereld al flink op zijn kop gezet. Tal van bedrijven en overheden (organisaties) hebben fors ingezet op het digitaliseren van hun bedrijfsprocessen als onderdeel van de ketenomkering door het automatiseren van niet geautomatiseerde processen om langs die weg zwaar te bezuinigen op de kosten van arbeid ter meerdere glorie van de aandeelhouders! De premisse, dat deze aanpak zal gaan leiden tot “agility” en lagere cost income ratio’s, wordt in praktisch 100% van de gevallen niet bewaarheid. Deze digitalisering brengt bovendien een geweldig sociologisch probleem aan het licht namelijk dat het topmanagement geen flauw idee heeft hoe een dergelijke transformatie moet worden ingestoken. Het gebrek aan essentiële kennis op topniveau is een garantie voor veel ongelukken en vernietiging van aandeelhouderswaarde. 

De afgelopen dertig jaar hebben Raden van Bestuur met het nodige dedain, het onderwerp genegeerd en neergelegd bij lagere regionen die men dan CIO/CDO of CTO noemt. Deze veelal IT professionals hebben op hun beurt een autonome republiek opgezet die hun eigen IT feestje zijn gaan vieren, een eigen taal spraken en een non-interventie akkoord sloten met de IT toeleveranciers. Deze ontwikkeling is zover gegaan dat men zelfs in zijn eigen “bullshit” is gaan geloven als ware het een religie. De consequentie hiervan is dat  meer dan 90% van alle organisaties opgescheept zitten met IT legacy als een reflectie van logge business- en operationele modellen die niet meer aansluiten bij de dynamiek van de on-line digitale markt. Men is compleet ‘out of sync.” Met de komst van GDPR ligt de verantwoordelijkheid weer terug daar waar het hoort te liggen namelijk bij de Raad van Bestuur.

Als een reactie op het gebrek aan kennis en verantwoordelijkheid zijn organisaties vanuit een “l’histoire se repète” zelf weer gaan investeren in het digitaliseren van hun bedrijfsprocessen waarbij de IT afdeling inclusief leveranciers deze digitalisering als het ware hebben gekidnapt. Onder het mom van nieuwe buzz words als Agile, Scrum, Devops, Hybrid Cloud, etc… is men, bij gebrek aan beter, kapitalen gaan verbranden in het ontwikkelen van nieuwe legacy die de oude moet gaan vervangen. Van lieverlee komt men tot de conclusie dat deze vorm van digitalisering niet gaat bijdragen aan de noodzakelijk aanpassing om de ketenomkering te faciliteren en dat alle beloofde economics eerder negatief dan positief dreigen te gaan uitpakken.. Praktische alle digitale transformatie projecten lopen uit op een herhaling van mislukkingen uit het verleden en vergroten een weerzin bij het topmanagement. De betrokken medewerkers zowel aan de business- en IT-zijde zijn in eerste aanleg allemaal erg enthousiast tot dat de vraag wordt gesteld of al deze inspanningen gaan leiden tot aanzienlijke betere ratio’s! Veelal blijkt dan dat dat niet het geval is omdat men slechts heeft gefocust op de techniek en niet op de economics laat staan op de gevolgen van GDPR.

De jacht op de oude spelers is ingezet

Met de komst van de multi sided platforms vanuit de USA als Google, Amazon, Facebook, etc.. is er een nieuwe dimensie toegevoegd aan de digitale transformatie. Deze autonome platforms zijn een economie op zich die vraag en aanbod bij elkaar brengen. “High volume” markten rekenen zij tot hun doelgebied en zij gaan op een darwinistische wijze te werk. Het schokeffect van deze platforms is groot omdat zij beschikken over “state of the art”,  GDPR “compliant technologie”, diepe zakken, schitterende functionaliteit en economics waar geen incumbent zich mee kan meten. Derhalve, is de jacht op de “old economy players” vol ingezet met alle emotie en dynamiek die daarmee gepaard gaat.

Als tegenreactie, zetten de bestaande incumbents en overheden in op regulering- en kartelmechanismen om hun markten en machtsposities te beschermen. Krokodillentranen in de vorm van discussies over ethiek, het Rijnlandse model, cultuur, traditie en andere subjectieve geluiden ten spijt, probeert men het tij te doen keren. Men gaat hier dan wel voorbij aan het feit dat de consument c.q. het individu ondertussen “ the market beat” bepaalt en zich niet meer laat betuttelen. De ‘magna carta’ van de consument is het nieuwe ‘Leitmotiv’ in veel markten geworden en sluit nauw aan en wordt versterkt met de komst van de multi sided platforms.

De burger kan zich nu keren tegen de burgeronvriendelijke overheid en andere monopolisten

Als derde en hoogst essentiële ontwikkeling van de digitale transformatie, is de komst van nieuwe EU wetgeving die de burger en zijn data onder andere moet gaan beschermen als een consequentie van de ontstane ketenomkering. De technologische revolutie als veroorzaker van de ketenomkering heeft niet alleen de macht bij de burger neergelegd vanuit een onomkeerbare marktwerking maar ook een democratische macht gegeven. Het individu kan zich nu weren tegen kartelvorming en machtsmisbruik door monopolisten en burgeronvriendelijke overheden. Door, indien nodig op basis van deze wetgeving, de rechter in te schakelen en zijn gelijk te halen. De verwachting is dat velen hiervan gebruik zullen gaan maken. Daar komt bij dat de E.U. een “level playing field” aan het creëren is waarbij eerlijke concurrentie tussen bedrijven en derhalve de bescherming van het individu centraal komt te staan door middel van nieuwe regels en wetgevingen zoals IFRS, PSD2 en GDPR, etc…

Iedere burger heeft recht op bescherming van zijn eigen persoonlijke data, het recht om vergeten te worden en inzicht in wat er met zijn data gebeurt. De wet GDPR die al sinds begin jaren negentig actueel is wordt per 25 mei aanstaande aangevuld met de nodige sancties om de naleving hiervan te bekrachtigen. De gevolgen van deze nieuwe wetgeving gaat de “sense of urgency” om de digitale transformatie serieus te nemen een nieuwe dimensie geven. Daar waar overtreders van de GDPR wetgeving nu nog wegkomen met een “sorry” kan  men vanaf 25 mei aanstaande bestraft worden met een boete van 5% van hun wereldwijde omzet indien na het rapporteren van bijvoorbeeld  een cyber breach men geen “Declaration Of Accountability (DOA)” kan overleggen. Het bijzondere is dat deze nieuwe wetgeving door praktisch alle bestuurders ernstig wordt onderschat omdat men van mening is, zoals tijdens het millennium probleem, dat het van voorbijgaande aard is. Maar het vervelende is, dat GDPR de bestuurders met de neus op de feiten gaat drukken en dat het nu echt menens dat bij het ontbreken van gedegen beleid en uitvoering op topniveau men juridisch aanspreekbaar is met alle mogelijke consequenties.

Wat moet er veranderen? 

Laat ik vanuit een “holistisch waarom” uitleggen wat er in de interactie tussen IT, het economisch- en juridisch perspectief in het denken over een digitale transformatie echt moet veranderen!

In de afgelopen 30-40 jaar hebben alle organisaties ingezet op het automatiseren van hun bedrijfsprocessen veelal vanuit efficiency. Dit heeft heel veel welvaart opgeleverd die het bedrijfsleven zeer concurrentieel heeft gemaakt. Sinds 1977 hebben investeringen in onder andere IT het bedrijfsleven drie keer meer welvaart opgeleverd dan de burger. Het producenten surplus is duidelijk ten koste gegaan van het consumenten surplus. Hierin is een kentering ontstaan doordat iedereen na 2006 gebruik is gaan maken van smart phones en online diensten. Deze technologische revolutie heeft de komst ingeluid van de multisided platforms en een nieuwe digitale samenleving die het individu casu quo de consument en burger centraal is gaan stellen.

Deze ketenomkering waarbij het consumenten surplus aan het winnen is van het producenten surplus is een prelude op belangrijke maatschappelijke veranderingen met grote economische en juridische gevolgen. Deze transitie zal niet zonder slag of stoot gaan omdat veel gevestigde partijen hierdoor in een exisentieel probleem komen omdat de veranderingen simpelweg te snel gaan voor het adaptieve vermogen. Niet alleen de business- en operationele modellen veranderen, maar veel belangrijker, ook de economics waarbij in toenemende mate waarde wordt ontwikkeld op basis van immateriële activa x cashflow in plaats van vaste activa x cashflow. Deze nieuwe economische realiteit trekt een spoor van vernieling door de samenleving omdat hieruit blijkt dat het aloude economische model anno 2018 niet meer naar behoren functioneert. Vasthouden aan oude waarden genereert geen aandeelhouderswaarde meer en zijn gedoemd te mislukken.

De bedrijfseconomische gevolgen zijn dramatisch

De bedrijfseconomische gevolgen hiervan zijn dramatisch. Van het ene op het andere moment is het al oude economisch model stuk en dreigen lange termijn investeringen te verworden tot impairments, omdat de oude IT infrastructuur als belangrijkste “fixed asset”  ‘the mother of all speed bumps” dreigt te worden om de broodnodige verandering door te kunnen voeren. Vanuit een IT perspectief is er een “catch 22” situatie ontstaan waarbij bestaande IT architecturen “overnight obsolete” zijn geworden en per direct dienen te worden afgeschreven.

De multi sided platforms onderscheiden zich van de bestaande IT platforms doordat zij data centrisch zijn gebouwd en “luisterend” zijn. Deze platforms verzamelen data die via het netwerk worden aangeboden en maken combinaties middels algoritmen die nieuwe producten en diensten creëren, cashflow genereren en bovenal de interesse van de consument aantrekken. Deze platforms zijn succesvol omdat zij bijzonder flexibel zijn en opereren tegen 3-4 x lagere C/I ratio’s op basis van de nieuwste technologieën. Bijzonder is, dat deze platforms gezien hun andere architectuur in tegenstelling tot de bestaande zelfgebouwde platforms van de incumbents, wel GDPR compliant zijn.

De oude platforms van de incumbents zijn applicatie centrisch, “zendend”, gebouwd, inflexibel en opereren tegen bizar hoge kosten. Ongeveer  90% van het IT budget gaat op aan het onderhoud van deze platforms…. Mede doordat ze laag op laag in de loop der tijden zijn gebouwd, slecht gedocumenteerd zijn,  matig onderhouden zijn en uiteindelijke zijn verworden tot een heterogene gatenkaas, is het migreren naar een goede oplossing op basis van verouderde economics een onhaalbare missie. In de praktijk blijkt veelal dat incumbents van mening zijn dat zij zelf een platform zijn en denken te kunnen concurreren met de grote multisided platforms. Feitelijk heeft men een beperkte economy of scale, budget en kennis om een dergelijke uitdaging aan te gaan. Professor Annet Aris verbonden aan Insead heeft het daarom ook over “Platforms or Pipelines”

In de praktijk blijkt praktisch ieder incumbent een ‘pipeline” te zijn. Dit is de eerste essentiële weeffout in beleid en uitvoering.  Als je de inschattingsfout maakt dat je een platform bent terwijl je feitelijk een pipeline bent heb je de wedstrijd eigenlijk al verloren..

Waarom zijn de oude platforms niet GDPR compliant?

Omdat de data van deze oude platforms versnipperd zijn via tal van databases, verschillende datamodellen en gekoppeld aan niet onderscheidende business logica is er geen mogelijkheid hiervan de veiligheid te garanderen. Komt bij dat deze applicatielandschappen met dito data opslag nooit zijn ontwikkeld om aan het internet te hangen en in feite de ramen en deuren van die organisaties wagenwijd openzetten. Met de komst van de nieuwe GDPR wetgeving komt er weer een nieuwe game changer die de bestaande platforms definitief buitenspel gaan zetten. Namelijk dat gezien het bovenstaande deze niet veilig zijn en nooit gaan voldoen aan een “Declaration Of Accountability”. (DOA)

De recente DDoS aanvallen bij banken bewijzen het bovenstaande

Omdat veel raden van bestuur bovenstaande logica nooit hebben begrepen, laat staan er in geïnteresseerd zijn, is men van lieverlee in het mes gelopen door zich door IT leveranciers/adviseurs en bovenal interne IT medewerkers te laten adviseren over technische oplossingen die ogenschijnlijk technisch plausibel zijn maar de broodnodige business logica en economics ontberen. Met als gevolg dat men tracht applicatie centrische platforms in zijn geheel te hosten, er “shiny objects” zoals portals etc.. op te plaatsen in een ultieme poging deze “luisterend” te krijgen. Deze metamorfose is geen sinecure, en overstijgt de simpelheid waarmee IT afdelingen dit vraagstuk aanvliegen. Kernpunt is dat er een groot kennisgebrek is zowel op raad van bestuur niveau als op IT niveau, hetgeen vervolgens veelal leidt tot onverantwoorde digitale transformatie projecten.

Dit is een ernstige ontwikkeling die praktisch niet wordt onderkend, maar straks gaat leiden tot groot ongeloof en paniekvoetbal. Men moet gaan begrijpen dat DATA het nieuwe goud is waar aandeelhouderswaarde mee kan worden gecreëerd. Maar om eraan te kunnen komen, moet het gedaan zijn met het huidige geknoei aan de bestaande systemen. Het is niet meer te financieren en het wordt hoog tijd om het beleid over een andere boeg te gooien.

Men moet van applicatie- naar data centrisch om te voldoen aan de snelheid van de marktontwikkeling, nieuwe economics en de GDPR wetgeving. Vanuit een juridisch perspectief zijn de rapen helemaal gaar als blijkt dat men juridisch ‘liable’ is geworden. De juridische gevolgen zijn vooralsnog niet te overzien en de boetes zijn ongemeen hoog en repeterend. Komt bij dat de bewijslast bij de bedrijven komt te liggen en dat men praktisch op geen enkele wijze kan voldoen aan de uitgangspunten van deze wetgeving. De gevolgen van een verkeerde digitale transformatie gaat organisaties in grote problemen brengen omdat er geen simpele “cure” bestaat om het probleem op te lossen. In feite moet men helemaal opnieuw beginnen; asset free, data centrisch, met focus op de authentieke processen en dat het ook nog erg snel moet gebeuren tegen extreem lage kosten…

Het is als of je in volle vlucht van Amsterdam naar New York het vliegtuig  vanuit een verkeerde veronderstelling het vliegtuig gaat verbouwen waarbij tal van business en architectuur principes opnieuw moeten worden uitgevonden terwijl men ook had kunnen besluiten om een ticket te kopen bij een luchtvaartmaatschappij die met Boeing of Airbus vliegt…

De auteur Dr. Kenny van Ierlant is Global Leader Digital Platforms bij Virtual Clarity, UK en zal ook spreken op het Nationaal Privacy Event dd 24 in het Louwman Museum in Den Haag. Zie www.nationaalprivacyevent.nl



Geef uw menig

Your email address will not be published. Required fields are marked *