Datamanagement

Samenvatting

In dit deel van het onderzoek zijn we ingegaan op datamanagement met specifieke aandacht voor het (versleuteld) staan van data in de cloud, het hebben van een strategie voor datamanagement (en ook een cloud-exit), het als rvc en als individu zicht hebben op waar de data zich bevinden, het compleet, betrouwbaar, op tijd beschikbaar en actueel zijn van de data en het hebben van een cultuur binnen rvc, rvb en organisatie die de waarde van data erkent.

Wenselijke situatie
Bij het basisprofiel zien we dat de wenselijkheid bij de opgenomen stellingen hoog is. Acht van de dertien stellingen vallen zelfs in de hoogste mate van instemming, volstrekt eens (score ≥ 4.5). De wenselijkheid van het basisprofiel wordt breed gedeeld onder de andere benchmarks. Er zijn maar liefst negen stellingen waarbij alle benchmarks minimaal een 4.0 of hoger scoren. En bij de andere vier stellingen geeft minimaal de helft van de benchmarks een 4.0 of hoger. De grootste verschillen tussen de benchmarks doen zich voor bij de stellingen over het zicht dat je als rvc of als individuele commissaris moet hebben over waar de data van de organisatie zich bevindt.

Veranderwensen
Het overall veranderpercentage is met 55 procent hoog. Bij zes van de dertien stellingen hebben minstens tien benchmarks een veranderwens. Koplopers zijn de stellingen over het hebben van zicht over waar de data van de organisatie zich bevinden, zowel als rvc als geheel en als individuele commissaris. Vijftien benchmarks hebben daar een veranderwens. Dertien benchmarks hebben een verbeterwens bij het compleet zijn van de aanwezige data en bij het aanwezig zijn in de organisatie van een cultuur die de waarde van data erkent. Voor twaalf benchmarks geldt dit ook voor de cultuur binnen de rvc. Nog eens elf benchmarks hebben een verbeterwens voor het aanwezig zijn binnen de organisatie van een cloud-exitstrategie.

De enige stellingen met weinig veranderwensen zijn of de data van de organisatie in de cloud staan (0) en of de aanwezige data actueel zijn (1).

Huidige situatie
In de huidige situatie is bij zeven stellingen meer dan de helft van de benchmarks, inclusief het basisprofiel, het minimaal duidelijk eens. Dat gaat om:

  • de aanwezige data zijn actueel (88 procent van de benchmarks)
  • onze data staan in de cloud (86 procent)
  • binnen de rvb is sprake van een cultuur die de waarde van data erkent (76 procent)
  • de aanwezige data zijn op tijd beschikbaar (75 procent)
  • onze data staan versleuteld in de cloud (69 procent)
  • de aanwezige data zijn betrouwbaar (69 procent)
  • binnen de rvc is sprake van een cultuur die de waarde van data erkent (59 procent)

Onderzoeksvraag

Aan de respondenten zijn dertien stellingen voorgelegd met betrekking tot datamanagement. Dit is de eerste keer dat we deze stellingen voorleggen. We hebben daarom geen vergelijkingsmateriaal uit eerdere jaren.

Gebruikt is de 5-puntsschaal met 1 = volstrekt oneens, 2 = oneens, 3 = deels oneens/deels eens, 4 = eens en 5 = volstrekt mee eens.

8.1 Wenselijke situatie

.

Basisprofiel: (volstrekt) eens met stellingen

Gewenste situatie basisprofiel

Het basisprofiel heeft de hoogste mate van instemming, volstrekt eens (score ≥ 4.5) bij acht van de dertien stellingen. In totaal vallen vijf stellingen in de klasse duidelijk mee eens (4.0 ≤ score < 4.5). Geen van de stellingen scoort dus onder de 4.0.

Draagvlak: hoe breed delen de benchmarks de wenselijkheid?

Brede overeenstemming over wenselijkheid

De wenselijkheid van het basisprofiel wordt breed gedeeld door de andere benchmarks. Er zijn liefst negen stellingen waarbij alle benchmark minimaal een 4.0 of hoger scoren. En bij de andere vier stellingen geeft minimaal de helft van de benchmarks een 4.0 of hoger.1

1Cult heeft te weinig waarnemingen. Dat geldt voor een groot deel ook voor Secr. Zorg en OW hebben bij een beperkt aantal stellingen te weinig waarnemingen.

Andere benchmarks vergeleken met het basisprofiel

.

GB en MKB redelijk eens met basisprofiel

Bedrijfsbenchmarks

In de profitsector zien we relatief weinig grote, materiële verschillen met het basisprofiel. GB wijkt één keer af en MKB twee keer. Beide geven aan dat de rvc blijkbaar een minder goed overzicht hoeft te hebben over waar de data van de organisatie zich bevinden. Bij MKB gaat dit ook op voor het als organisatie hebben van een cloud-exitstrategie’.

In non-profitsector vaak minder instemming

In de non-profitsector zien we veel meer verschillen met het basisprofiel. Corp (4), OW (3) en Zorg en ONP (elk 2) ontlopen elkaar niet veel.
Bij alle vier de benchmarks zien we minder instemming voor het weten van de individuele commissaris waar de data van de organisatie zich bevinden. Dit geldt min of meer ook voor de rvc. Daarnaast zie we bij drie van de vier ook een lagere instemming voor het als organisatie hebben van een strategie voor datamanagement. ONP wijkt hiervan af met een standpunt in lijn met het basisprofiel. Verder geeft Corp aan minder in te stemmen met het hebben van een cloud-exitstrategie.

.

Persoonsgebonden benchmarks grotendeels eens met basisprofiel

Persoonsgebonden benchmarks

Bij de persoonsgebonden benchmarks is het beeld rustiger in vergelijking met de bedrijfsbenchmarks. Alleen Remu heeft bij de commissarissen een lagere score voor het overzicht van de rvc over waar de data van de organisatie zich bevinden. Dat geldt ook voor IA bij de niet-commissarissen. Bij deze subgroep heeft DIR twee lagere scores: voor het hebben van een cloud-exitstrategie en voor het hebben van de individuele commissaris van een goed overzicht waar de data van de organisatie zich bevinden

8.2 Veranderwensen en huidige situatie

.

Drie urgente verbeterwensen, vier forse verbeterwensen

Basisprofiel

Bij het basisprofiel geldt dat bij maar liefst zeven stellingen sprake is van verbeterwensen. Drie daarvan zijn een urgente verbeterwens en vier zijn forse verbeterwensen. Kortom, bij slechts zes van de dertien stellingen bij dit onderwerp heeft het basisprofiel geen veranderwensen.

De drie urgente verbeterwensen gaan over of de organisatie een cloud-exitstrategie 1 heeft en of de rvc en de individuele commissaris zicht hebben op waar de data van de organisatie zich bevinden. 1

1 Waarbij aangetekend dat deze verbeterwens tot stand is gekomen op basis van acht waarnemingen in de huidige situatie.

Andere benchmarks

Hoog overall veranderpercentage

Voor alle benchmarks gezamenlijk is het veranderpercentage met 55 procent hoog. De scores van die veranderingen liggen (op één na) in de wenselijke situatie allemaal boven de 3.2. Dat betekent dat die ene een bespreekbare punt is (score < 3.2) en de andere verbeterwensen. Voor de bedrijfsbenchmarks in totaal is het percentage 62 procent. De profitsector en de non-profitsector hebben een gelijk veranderpercentage van 62 procent.

Voor de persoonsgebonden benchmarks is het overall veranderpercentage 50 procent, waarbij de commissarissen een iets hoger percentage hebben dan de niet-commissarissen (52 om 44 procent).

.

Cloud-exitstrategie en zicht hebben op waar de data van de organisatie zich bevinden urgente verbeterwensen in profit

Bedrijfsbenchmarks

In de profitsector heeft het basisprofiel zeven verbeterwensen, MKB heeft er acht en GB negen. GB en MKB delen de urgente verbeterwensen van het basisprofiel. Ze delen met het basisprofiel ook de forse verbeterwens voor het compleet zijn van de aanwezige data. Daarnaast heeft MKB nog een urgente verbeterwens voor het hebben van een strategie voor datamanagement. GB heeft nog twee urgente verbeterwensen voor het binnen de rvc en binnen de organisatie sprake zijn van een cultuur die de waarde van data erkent. Bij Bapr en MKB zijn dit forse verbeterwensen.

GB heeft nog forse verbeterwensen voor het betrouwbaar en op tijd beschikbaar zijn van de data en samen met MKB ook voor een cultuur bij de rvb die de waarde van data erkent.

 

Ook bij de benchmarks in de non-profitsector zien we veel veranderwensen, die vaak gedeeld worden. Corp heeft er negen, ONP zeven, Zorg en OW beide zes.1Alle veranderwensen die de profitbenchmarks delen, zien we ook hier terug.2Zorg en OW hebben nog een urgente verbeterwens bij het binnen de organisatie sprake zijn van een cultuur die de waarde van data erkent.
Corp, Zorg, OW en ONP delen daarnaast een forse verbeterwens voor het compleet zijn van de aanwezige data en voor het aanwezig zijn binnen de rvc van een cultuur die de waarde van data erkent.

1 Waarbij aangetekend dat Zorg bij vier van de dertien stellingen te weinig waarnemingen had en OW bij drie.
2 Waarbij aangetekend dat de veranderwens van ONP bij het zicht dat je als rvc moet hebben over waar de data van de organisatie zich bevinden een bespreekbaar punt is.

.

Ook bij persoonsgebonden benchmarks veel verbeterwensen

Persoonsgebonden benchmarks

Bij de commissarissen heeft rvbEL met tien duidelijk de meeste veranderwensen. AC en Jong volgen op enige afstand met zeven, gevolgd door VZ en Merv met zes en Remu en VR met vijf. Alle benchmarks hebben een (urgente) verbeterwens voor het als rvc en zelf hebben van een goed overzicht waar de data van de organisatie zich bevinden. Een cloud-exitstrategie is voor Jong, VR en rvbEL een urgente verbeterwens en voor VZ en AC een forse verbeterwens. RvbEL heeft daarnaast nog een urgente verbeterwens voor het versleuteld in de cloud hebben staan van data. Voor VZ, AC en Remu is dat een forse verbeterwens.

Verder is er een aantal stellingen waarbij de ene benchmark wel een verbeterwens formuleert en de andere niet. Zo vinden Merv en rvbEL dat de cultuur in de rvc, rvb en organisatie die de waarde van data erkent nog wel kan groeien. VZ en VR vinden dat dan weer niet en de anderen vinden dat soms wel voor de een van toepassing en voor de ander dan weer niet.

Data staan in de cloud, zijn op tijd beschikbaar en zijn actueel

Opvallend is ook dat er drie stellingen zijn waar door geen van de commissarissen benchmarks een veranderwens is geformuleerd. Dat betreffen ‘onze data staan in de cloud’, ‘de aanwezige data zijn op tijd beschikbaar’ en ‘de aanwezige data zijn actueel’.

 

Bij de niet-commissarissen heeft vooral IA veel verbeterwensen (8) en DIR veel minder (4). Veel komen overeen met de andere benchmarks waaronder een urgente voor de rvc die een beter zicht moet krijgen op waar de data van de organisatie zich bevindt. Opvallend is dat DIR aangeeft dat de aanwezige data wel wat minder actueel mogen zijn?

.

Zeer veel gedeelde veranderwensen.

Commissaris en rvc wil meer zicht hebben over waar de data van de organisatie zich bevinden

Gedeelde veranderwensen

Bij zes van de dertien stellingen hebben minstens tien benchmarks een veranderwens. Koplopers zijn de stellingen over het hebben van zicht over waar de data van de organisatie zich bevinden, zowel als rvc als geheel als individuele commissaris. Vijftien benchmarks hebben daar een veranderwens. Dertien benchmarks hebben een verbeterwens bij het compleet zijn van de aanwezige data en bij het aanwezig zijn in de organisatie van een cultuur die de waarde van data erkent. Voor twaalf benchmarks geldt dit ook voor de cultuur binnen de rvc. Nog eens elf benchmarks hebben een verbeterwens voor het aanwezig zijn binnen de organisatie van een cloud-exitstrategie.

De enige stellingen met weinig veranderwensen zijn of de data van de organisatie in de cloud staan (0) en of de aanwezige data actueel zijn (1).

Huidige situatie

.

Veel instemming bij meeste stellingen door basisprofiel

Basisprofiel

Bij het basisprofiel vallen alleen de stellingen  ‘de aanwezige data zijn actueel’ en ‘de aanwezige data zijn op tijd beschikbaar’ in de klasse volstrekt eens (score ≥ 4.5). Zeven stellingen vallen in de klasse duidelijk mee eens qua instemming.
In de klasse min of meer mee eens (3.5 ≤ score < 4.0) vinden we aan de bovenkant dat de aanwezige data compleet zijn.

Beide stellingen over het zicht op waar de data van de organisatie zich bevindt vallen in de klasse deels oneens/deels eens (2.8 ≤ score < 3.2).

 

In de huidige situatie is bij zeven stellingen meer dan 50 procent van de benchmarks het minimaal duidelijk eens. Dat gaat om:

  • de aanwezige data zijn actueel (88 procent van de benchmarks)
  • onze data staan in de cloud (86 procent)
  • binnen de rvb is sprake van een cultuur die de waarde van data erkent (76 procent)
  • de aanwezige data zijn op tijd beschikbaar (75 procent)
  • onze data staan versleuteld in de cloud (69 procent)
  • de aanwezige data zijn betrouwbaar (69 procent)
  • binnen de rvc is sprake van een cultuur die de waarde van data erkent (59 procent)

In totaal 49 procent van de opties score ≥ 4.0

In totaal heeft 49 procent van de opties een score ≥ 4.0. In de wenselijke situatie is dat 90 procent. Wanneer we de grens bij een score van 3.5 leggen, scoort in de huidige situatie 77 procent boven die grens tegen 98 procent in de wenselijke situatie.

Geregeld geen cloud- exitstrategie en geen zicht op waar data zijn

Lagere scores dan 2.8 (oneens tot en met volstrekt oneens) komen vaak voor bij het hebben van zicht, als rvc en als individuele commissaris, over waar data van de organisatie zich bevindt, maar ook bij het hebben van een cloud-exitstrategie.

Opvallend is dat bij deze stellingen sprake is van fors uiteenlopende opvattingen van de respondenten. In de wenselijke situatie zien we bij deze stellingen homogene opvattingen, die corresponderen met die van de andere stellingen.

We zien bij de bedrijfsbenchmarks ontzettend veel materiële afwijkingen van het basisprofiel en die zijn allemaal negatief. Dat betekent dat er bij de betrokken benchmark minder instemming is dan bij het basisprofiel. Bij de persoonsgebonden benchmarks zien we meer overeenstemming met het basisprofiel.

8.3 Enige bespiegelingen/vragen/kanttekeningen

Hoe komt het dat de cloud-exitstrategie in het verdomhoekje heeft gezeten?

Bij de stelling over het hebben van een cloud-exitstrategie is het aantal respondenten dat een antwoord heeft gegeven substantieel lager dan bij de andere stellingen van dit deel van het onderzoek. Tijdens de interviews bleek dit onderwerp in de huidige situatie nog geen hoge aandacht gekregen te hebben bij de diverse organisaties. Maar als we naar de wenselijke situatie en de verbeterwensen kijken, zien we dat de respondenten wakker lijken geworden. Meestal ziet men een dergelijke strategie als wenselijk en vaak is er sprake van een urgente verbeterwens.

Het lijkt erop dat de beslissing om in de cloud te gaan (nagenoeg elke benchmark in de huidige situatie) wordt/is genomen zonder na te denken over het weer afscheid van nemen. Is een dergelijke vraag nooit aan de orde geweest in de auditcommissie of in de rvc? Heeft dat te maken met de door ons met grote regelmaat geconstateerde situatie dat op het gebied van digitalisering, IT, cybercrime, etcetara. rvc’s niet uitblinken in een kwalitatief goed samengestelde rvc. Hoeveel organisaties verkeren inmiddels wat dit onderwerp betreft in een lock-in situatie? Wij vrezen dat dit aantal niet gering is. In dat verband is het verheugend dat er meestal sprake is van een urgente verbeterwens. Maar inmiddels hebben we wel begrepen dat ‘urgent’ een relatief begrip is, waarover niet iedereen dezelfde opvatting heeft. Ons advies is aan rvc’s (en ook aan rvb’s) om urgentie wat meer expliciet aan de orde te stellen en ook eens een berekening te maken van de opportunity costs van het niet tijdig acteren.

Wel een strategie voor datamanagement, maar niet een cloud-exitstrategie?

Op de stelling of de organisatie een strategie voor datamanagement heeft, luidt het overall antwoord in de huidige situatie dat de respondenten daar min of meer mee instemmen. Dezelfde vraag over het hebben van een cloud-exitstrategie komt uit op deels oneens/deels eens. Een cloud-exit lijkt dus geen onderdeel te zijn van een strategie voor datamanagement. Dit verbaast ons zeer. Maar stel dat dit een bewuste keuze geweest zou zijn, welke argumenten zouden commissarissen en rvb-leden kunnen aanvoeren om bewust geen cloud-exitstrategie te hebben? Afgezien van tijd om erover na te denken en te discussiëren, schiet ons niet snel iets te binnen. Tenzij niemand er op is gekomen, gewoon vergeten dus. Als dit laatste het juiste antwoord is, dan is de volgende vraag: is dit de enige keer dat zoiets is gebeurd? Als een bedrijf een samenwerkingsovereenkomst aangaat met een ander bedrijf, dan is het gebruikelijk om in de samenwerkingsovereenkomst ook afspraken te maken over het beëindigen van die relatie. En zoiets wordt dan niet bedacht in het kader van een strategie voor datamanagement?

Hoe is geen zicht op waar de data van de organisatie zijn mogelijk?

Opvallend is dat in de huidige situatie de respondenten gemiddeld aangeven dat er zowel binnen de rvb, de rvc als de organisatie een cultuur heerst die de waarde van data erkent. In scherp contrast daarmee zijn de uitkomsten van de stellingen waar wordt gevraagd of de rvc of de respondent een goed overzicht heeft over waar de data van de organisatie zich bevinden. Het antwoord op die beide stellingen is de facto ‘nee’. Wij kunnen dat niet met elkaar rijmen. Er lijkt sprake te zijn van ‘een contradictio in terminis’. Ongetwijfeld zien wij iets over het hoofd. Maar gelukkig laten de respondenten met de verschuiving van de antwoorden in de wenselijke situatie en de daaruit voortvloeiende verbeterwensen zien dat zij zich ook van de merkwaardige situatie bewust zijn. Wel lijkt er toch nog een zekere aarzeling te zijn om goed door te pakken.

Zijn de data echt betrouwbaar, compleet, actueel en op tijd beschikbaar?

Alleen bij het compleet zijn van de data zijn er de nodige verbeterwensen. Maar liefst dertien benchmarks vinden dat in tegenstelling tot het actueel zijn van de data. Alleen DIR heeft daar een verbeterwens en dan nog wel in de zin van ‘het mag wel een tandje minder’. Sommige bedrijven bleken regelmatig te testen of zij aan de onderzochte criteria voldeden, maar bepaald niet bij alle organisaties.
De dominantie van de Amerikaanse leveranciers van clouddiensten op dit gebied is majeur. Los van de praktische haalbaarheid van een cloud-exit vragen wij ons af of in ieder geval juridisch voldoende is geborgd dat bedrijven (en blijkbaar ook overheden) op elk moment zelf over hun cloud-data kunnen beschikken. En dat niet alleen, maar dat zij ook de enige zijn, die er bij mogen komen? Als leek krijgen wij de indruk dat er partijen zijn, die het internationaal recht wat aan het herschrijven zijn of al herschreven hebben. De klant is niet meer de enige die over zijn data kan beschikken. En welke garantie is er dat de opgeslagen data niet worden gemanipuleerd en gecorrumpeerd?

Wat doe je als organisatie als uit het AI-model resultaten vloeien die indruisen tegen je ethische uitgangspunten?

In 2020 vroegen we aan respondenten of zij van mening waren dat het datamanagement binnen hun organisatie op orde was. Dat was het niet bleek uit het feit dat alle benchmarks daar toen een (urgente) verbeterwens hadden. Vier jaar later ziet de situatie er beter uit. In elk geval als het gaat over het compleet zijn, actueel zijn, betrouwbaar zijn en op tijd beschikbaar zijn van data. Er is slechts één veranderwens als het gaat over de actualiteit, vier bij het op de tijd beschikbaar zijn en vijf bij de betrouwbaarheid. Het grootste probleem lijkt nog te zitten bij het compleet zijn van de data. Daar zijn elf benchmarks, waaronder alle bedrijfsbenchmarks, van mening dat de data nog niet compleet genoeg zijn. Dat lijkt ons, mits daarbij voldaan is aan ethische kaders, een goed begin. Dat betekent namelijk dat de organisaties of sectoren gebruiken kunnen maken van datasets voor het ontwikkelen van toepassingen gebaseerd op AI. Zeer belangrijk daarbij is het besef dat het gaat om historische datasets en dat het in het kader van datamanagement noodzakelijk is om te onthouden welke data je blijft houden. Je moet tenslotte kunnen uitleggen waarom AI een beslissing heeft genomen (explainable AI). Dat gaat niet als de dataset is verwijderd. Tot dusver is van veel AI niet duidelijk of de data die daar voor gebruikt is op een faire manier is verkregen. Het betekent ook dat je de eerder genoemde kaders continu moet blijven monitoren. Met andere woorden bedachtzaam zijn op de vooroordelen, ethiek en integriteit die in de cultuur van een organisatie aanwezig zijn en kunnen doorsijpelen in de criteria die een organisatie hanteert bij het maken van toepassingen. Dat gaat dus ook een rvc of commissaris aan en kan je niet alleen overlaten aan de programmeur, datascientist, et cetera.1

1 Deze titel komt uit het artikel van Paul van der Linden getiteld ‘Succesvolle AI stelt eisen aan data en datamanagement’, zie https://www.agconnect.nl/tech-en-toekomst/artificial-intelligence/succesvolle-ai-stelt-eisen-aan-data-en-datamanagement

Zien commissarissen door alle data nog wel de klant?

Een variant op het spreekwoord ‘door de bomen het bos niet meer zien’. Er ligt de laatste jaren, als het gaat over digitalisering, nogal wat nadruk op data. Waar dat voorheen voornamelijk ging over financiële data is dat de laatste jaren sterk verbreed naar niet-financiële data. Data over medewerkers, klanten, leveranciers en data die je moet overhandigen aan verschillende externe toezichthouders of voor duurzaamheidsrapportages. Je kunt het zo gek niet bedenken. Inmiddels zijn er geluiden die stellen dat data inmiddels het gif van de samenleving is of kan zijn.1 De waarheid zal in het midden liggen, maar we hopen dat commissarissen scherp blijven op wat centraal moet staan: de mens achter de data.

1 Zie onder andere: https://www.eur.nl/nieuws/ai-en-algoritmes-zijn-een-gift-en-gif-onze-samenleving

Strategie voor datamanagement op orde, maar zonder overzicht waar data zich bevinden?

Er is een aantal benchmarks dat aangeeft dat ze, zelf als individuele respondent of als rvc als geheel, een beter overzicht willen krijgen van waar de data van de organisatie zich bevinden, maar geen verbeterwens hebben bij een strategie voor datamanagement.Bij de bedrijfsbenchmarks gaat het daarbij onder andere om het grootbedrijf, zorg en welzijn en onderwijs, bij de persoonsgebonden benchmarks onder andere om het lid van de auditcommissie en de jongere commissaris. Het lijkt ons dat een onderdeel van het datamanagement is dat de organisatie een overzicht heeft over waar de data van de organisatie zich bevinden. Bijvoorbeeld in een zogenoemde ‘datalandscape’. We begrijpen deze tegenstrijdigheid dan ook niet. Kijken deze benchmarks te eng naar datamanagement? Of is het wel aanwezig, maar is er nooit naar een dergelijk overzicht gevraagd?