Voor we verdergaan, raad ik iedereen aan zichzelf drie eenvoudige vragen te stellen en het antwoord te beoordelen op een schaal van 0 tot 10:
- Hoe autonoom is je organisatie of IT-ecosysteem?
- Hoe veerkrachtig zijn je meest kritieke digitale diensten?
- Hoe zeker ben je ervan dat je daadwerkelijk de controle hebt?
We werken allemaal onder vergelijkbare druk. We hebben te maken met vergelijkbare technologische verschuivingen. We worden geconfronteerd met een nog nooit eerder geziene behoefte aan snelheid. We dragen dezelfde verantwoordelijkheid. Toch zullen onze antwoorden op die vragen waarschijnlijk verschillen. Misschien is je antwoord “hangt ervan af” en nog waarschijnlijker “definieer deze drie concepten”. Mijn antwoord op alle drie is 0. Laat me uitleggen waarom, dan kun je beoordelen of je perfecte 10’en nog steeds kloppen.
Als CIO’s blijven we volledig verantwoordelijk voor prestaties, continuïteit, beveiliging, compliance en budget. Als er iets misgaat, is er geen onduidelijkheid over de verantwoordelijkheid. Tegelijkertijd is de uitvoering nu sterk gedistribueerd: platformen, publieke cloud, SaaS, low-code, externe partners, API-gebaseerde systemen van systemen en in toenemende mate AI-gestuurde workflows dragen allemaal bij aan datgene waarvoor wij verantwoordelijk zijn. IT is ook niet langer het exclusieve domein van de IT-afdeling. Wij moedigen business units aan om te innoveren en de organisatie profiteert daar ongetwijfeld duidelijk van. De kloof tussen onze persoonlijke verantwoordelijkheid en de daadwerkelijke controle die we daarop uitoefenen, wordt steeds groter. De meeste spanning van onze rol zit nu precies in die kloof. Dat geldt overigens niet alleen voor CIO’s.
Controleverlies kan beginnen met grote strategische beslissingen: “laten we alles naar de cloud verplaatsen”, “laten we offshore gaan”, “laten we fuseren”, enzovoort. Maar het grootste deel van de erosie komt niet voort uit die momenten. Het komt voort uit kleine, rationele, schijnbaar onschuldige keuzes die lokaal worden gemaakt. Meestal beginnen ze met “alleen maar”:
- Alleen maar een debugging-oefening die iets meer gegevens registreert dan bedoeld en op de een of andere manier in productie terechtkomt.
- Alleen maar een lettertype dat van het internet wordt geladen en ongemerkt de IP-adressen van gebruikers blootlegt.
- Alleen maar een technische optimalisatie voor archiefopslag die de kosten vermenigvuldigt totdat de factuur ontploft.
- Alleen maar een tool die iedereen gaat gebruiken omdat deze al in de licentie was inbegrepen, waardoor er in een maand meer “shadow IT” ontstaat dan we in een jaar hebben verwijderd
- Alleen maar een nieuwe SaaS-standaardinstelling die plotseling in strijd is met de compliance, ook al heeft niemand daarom gevraagd
- Alleen maar een kleine aanpassing in het ontwerp die één onderdeel verbetert, maar de hoge beschikbaarheid in verschillende regio’s verstoort
- …
Elk van deze keuzes is op zichzelf volkomen logisch. Geen van deze keuzes is het gevolg van slechte bedoelingen of incompetentie. Maar op grote schaal komen ze elke dag talloze keren voor. En zelfs in organisaties met volwassen governance, architectuurcommissies, evaluaties en effectbeoordelingen kunnen ze voor grote chaos zorgen. Als je uitzoomt, wordt de kwetsbaarheid duidelijk. Deze “alleen maar”-keuzes zijn het kryptoniet van governance en controle. Niet omdat ze verkeerd zijn, maar omdat ze onvermijdelijk zijn en in veel gevallen essentieel om alles draaiende te houden.
De verschuiving die we meemaken is allesbehalve subtiel. We draaien niet langer eenvoudige systemen met één server en één monoliet. We beheren ecosystemen en in toenemende mate systemen van systemen. Oorzaakanalyse is niet langer een rechte lijn van symptoom naar oorzaak. Afhankelijkheden zijn onzichtbaar, impliciet of simpelweg onbekend. Prestatieverwachtingen zijn realtime geworden. AI fungeert nu als een permanente stresstest voor infrastructuur, datastromen en bedrijfsmodellen. Cybersecurity is verschoven van het bewaken van een perimeter naar het omgaan met voortdurende blootstelling en het uitgaan van het feit dat er een inbreuk plaatsvindt. De publieke cloud biedt ons ongekende snelheid en schaalbaarheid, maar creëert tegelijkertijd nieuwe concentratierisico’s die door geopolitieke spanningen nog tastbaarder worden. API’s en microservices hebben afhankelijkheidsgrafieken tot een niveau doen exploderen dat geen enkel architectuurdiagram, en zeker geen mens, volledig kan overzien. En bovenal werken we met mensen. Binaire logica is niet van toepassing op mensen, en zelfs als dat wel zo was, heeft tientallen jaren IT aangetoond dat binaire logica alleen nooit een garantie is geweest voor een perfect functionerend systeem. En dit alles gebeurt nu met snelheden die we nog nooit eerder hebben moeten beheersen.
Toch zijn veel van onze controlemechanismen ontworpen voor een andere wereld. De term VUCA (Volatile, Uncertain, Complex, Ambiguous) bestaat al sinds de jaren 80, maar het lijkt alsof het tot 2026 heeft geduurd voordat we het daadwerkelijk hebben ervaren: de ene crisis na de andere, meerdere per jaar, soms overlappend. KPI’s, vierogenprincipes, architectuurcommissies, gedocumenteerd beleid en klassieke strategieën voor noodherstel gingen allemaal uit van kleinere systemen, zowel qua omvang als qua technologische complexiteit, duidelijkere verantwoordelijkheden, voorspelbaar gedrag, bescheiden schaalgrootte en veel minder externe afhankelijkheden.
Een policydocument voorkomt niet dat een geautomatiseerde workflow verkeerde dingen doet op grote schaal. Twee datacenters beschermen niet tegen verlopen certificaten die ergens diep in een ecosysteem verborgen zijn. Dualpath-connectiviteit helpt niet wanneer beide paden dezelfde onderzeese kabel delen die wordt onderbroken. Een hoog hek houdt een drone niet tegen.
De concepten waarop we in de vorige eeuw vertrouwden, zijn niet verkeerd en niet zonder waarde. Ze zijn gewoonweg niet langer toereikend. Ze moeten zorgvuldig worden heroverwogen als ze betekenisvol willen blijven in een wereld waarin strategie iets is dat dagelijks wordt herzien, en niet om de vijf of tien jaar. Scenario-denken was vroeger een methode voor strategische langetermijnplanning, iets wat men eens in de paar jaar deed om een verre toekomst te verkennen. Tegenwoordig is het beter om dit maandelijks te doen.
Als governance betekenisvol wil blijven, moet het verschuiven van declaratief naar uitvoerbaar. Regels die ertoe doen, moeten afdwingbaar zijn. Governance moet werken tegen leveringssnelheid, anders wordt het simpelweg omzeild. Het gaat hier niet om beslissingen centraliseren, zware processen toevoegen of nieuwe besturen instellen. En het gaat zeker niet om meer papierwerk. Het gaat erom duidelijk te zijn over intenties en over de niet-onderhandelbare zaken, terwijl de uitvoering dicht bij de bron plaatsvindt, bij de mensen die het best in staat zijn om te handelen. En als iets niet kan worden geautomatiseerd, dan moeten er manieren worden gevonden om een collectief bewustzijn op te bouwen en te versterken dat iedereen alert houdt op wat ‘goed’ is.
Veerkracht moet ook worden gereset. Redundantie heeft weinig betekenis als je niet weet welke storingsscenario’s het daadwerkelijk dekt. Tegenwoordig is veerkracht een eigenschap van het ecosysteem. Het gaat om identiteit, gegevensstromen, afhankelijkheden en herstelpaden. Het gaat erom of iets binnen enkele dagen in plaats van weken kan worden hersteld. Het gaat erom of er rekening is gehouden met de mogelijkheid van digitaal verdwijnen in een wereld waarin alles wat van belang is, digitaal is. Veel van de mechanismen waarop we nog steeds vertrouwen, zijn ontstaan in een tijd waarin kwaadwillige bedoelingen de uitzondering waren, niet de standaardveronderstelling. Het idee van een ‘minimaal werkbaar bedrijf’ dat in staat is om langdurige verstoringen te overleven, is niet langer theoretisch. Het is een vereiste geworden.
Cijfers zijn nog steeds belangrijk, maar ze zijn een middel, niet een doel. Zodra KPI’s, balanced scorecards of OKR’s (Objectives & Key Results) verstarren tot rigide doelstellingen, verliezen ze hun sturende vermogen. Indicatoren moeten zich aanpassen aan een veranderende realiteit. Het gaat niet om een perfect dashboard, maar of het helpt om tijdig te handelen. Realtime observatie en transparantie zijn veel waardevoller dan nalevingsrapporten die weken te laat worden geleverd. In onstabiele omstandigheden moet men de illusie van perfecte grafieken loslaten. Als de cijfers onjuist, onvolledig of niet langer bruikbaar zijn, moet de geschiedenis worden opgeofferd ten gunste van nauwkeurigheid, zelfs als dat pijnlijk is.
Automatisering en AI zijn essentieel. Menselijk toezicht is niet schaalbaar, gebruik AI dus waar het uitblinkt en waar de foutmarge nog steeds beter is dan helemaal geen AI. Het kan patronen detecteren, zwakke signalen correleren en regels handhaven met een consistentie die mensen niet kunnen evenaren. Maar mensen blijven cruciaal. Niet als controleposten, maar als vroegtijdige waarschuwingssystemen. Hun taak is om te herkennen wanneer iets niet klopt, nog voordat er een alarm afgaat, ze moeten vervolgens vertrouwd worden en de bevoegdheid krijgen om op dat instinct te reageren. Dat vereist duidelijkheid, vertrouwen en herhaling. Het vereist ook tools die signalen zichtbaar maken, de context expliciet maken en actie mogelijk maken op het juiste moment.
Misschien is het doel niet om alles te controleren. Dat was altijd een illusie. Het doel is om organisaties te ontwerpen waar controle snel genoeg en dicht genoeg bij de bron wordt hersteld wanneer dingen afwijken, mislukken of zich onverwacht gedragen:
- Minder illusie van controle
- Meer afdwingbare controle
- Minder centraal commando
- Meer collectieve verantwoordelijkheid
Dat is de uitdaging waar we vandaag voor staan. En geen enkele organisatie kan die alleen oplossen.
Laat me dus terugkomen op de drie vragen waarmee we begonnen: autonomie, veerkracht, controle.
Wat is je score nu?
Dit is een ingezonden bijdrage van Dirk Deridder, CTO bij Smals. Het werd geschreven in eigen naam en neemt geen standpunt in namens Smals. Ben je geïnteresseerd om bij te dragen aan projecten en diensten met een positieve impact op de samenleving? Raadpleeg dan ons uitgebreide jobaanbod en ontdek hoe jij het verschil kunt maken.