Redactie - 12 februari 2019

Datacentered

Datacentered image

Toen ik ruim dertig jaar geleden kennis maakte met de wereld van computers en applicaties, waren de eerste zaken die ik leerde proces- en data-analyse. Hiermee zorg je dat je inzicht krijgt in je processen en definieer je welke data waar en door wie mag worden gemaakt en waar en door wie mag worden gebruikt. Het woordje ‘mag’ is hier essentieel, want niet iedereen mag in een geordend of gecertificeerd proces zomaar data maken of data gebruiken. Als je niet weet wie waarom data heeft gemaakt, krijg je datasets zonder waarde, betekenis en juridische status. Daarom is het oude vak van proces- en data-analyse (nog steeds) zo belangrijk bij het ontwerpen en certificeren van digitale processen. Kort gezegd: als een informatiesysteem verantwoordelijkheid heeft en kwalificeerbaar moet zijn, moet het principieel ‘datacentered’ zijn. Vanuit data ontwikkeld, beschreven, toetsbaar, gecertificeerd en onderhoudbaar.

Datacenter

Daarom hebben we indertijd mijn blog-website ‘datacentered’ genoemd. In dat ene woordje is de voorwaarde van kwaliteit van informatieprocessen samengevat. De computer was de eerste mogelijkheid om snel wiskundige formules door te rekenen. Eerst met radiobuizen, later transistor-schakelingen, nu geïntegreerde microchips en binnenkort met fotonen en fotonica. Toen we het rekenen – in zogenaamde rekencentra – onder de knie kregen, werd data als geproduceerde asset steeds essentiëler en sindsdien noemen we ze dan ook datacenters.

De computer is ‘slechts’ een productiemiddel om met een applicatie vanuit een ruw materiaal – ruwe data – toegevoegde waarde in de vorm van een gewenst eindproduct te produceren: een informatieproduct. Een product met eigenaar, ontwerper, producent, gebruiker en eindverantwoordelijke gedurende de hele levenscyclus. Inclusief archivaris die het betreffende informatieproduct aan het einde van het proces formeel archiveert of gecontroleerd vernietigt. De archivaris zou de uiteindelijke eindgebruiker van elk informatieproduct moeten zijn; zie ook mijn eerdere blog: ruim je data nu eens op! Helaas zijn veel informatieprocessen weinig gestructureerd en komen we vaak ‘om in data’ waarvan we bron, eigenaar, creator en vaak ook niet (meer) de ooit bedoelde gebruiker kennen.

Data verantwoordelijkheid

In gereguleerde branches zoals de lucht- en ruimtevaart, vliegtuigbouw en de nucleaire en farmaceutische industrie is data-eigenaarschap door de wet geregeld. Bij ongelukken later in de levenscyclus moet kunnen worden aangetoond dat het product, inclusief alle bijbehorende proces- en productdata, op een juiste en verantwoordelijk wijze ontworpen en gemaakt is.

Als een vliegtuig dertig jaar na productie onverhoopt neerstort, dient (nog steeds) aantoonbaar te zijn dat het betreffende defecte onderdeel dertig jaar geleden door een gekwalificeerde ontwerper is ontworpen, dat de berekeningen op een gecertificeerde wijze op goedgekeurde apparatuur is doorgerekend. Dat het product door gekwalificeerde medewerkers volgens geldige handboeken en procedures is gemaakt en samengebouwd. En tenslotte via een aantoonbaar geborgd proces is getest en afgeleverd om het luchtwaardigheidscertificaat te krijgen.

Dat vergt vanaf de eerste bit die voor of rond het vliegtuig wordt gecreëerd en vastgelegd, een doortimmerd en geïntegreerd informatieproces. Dat vraagt dus ook data-eigenaarschap en degelijke proces- en data-analyse. Via welk proces en welke stappen wordt het product en de digitale definitie van het product ontwikkeld en geproduceerd? Hoe leggen we die stappen elke keer aantoonbaar vast, borgen we elke keer in het proces de juiste kwaliteit en leggen we die informatie zodanig vast dat het na vele decennia nog terugvindbaar en toepasbaar zal zijn? Datamanagement en content management gaat over het onderhouden, actualiseren, beheren en beveiligen van data en respectievelijk daaruit gecreëerde context en content.

Data eigenaarschap

Datamanagement zonder data-eigenaarschap is niet zinvol. Een dataset opslaan zonder te weten waarom en onder wiens verantwoordelijkheid die is ontstaan of gemaakt, heeft weinig waarde. Als een sensor elke minuut een signaal afgeeft van 21 graden Celsius zonder te weten waar en waarom dat signaal wordt gemeten en afgegeven, dan is dat data zonder betekenis. Wie heeft op basis van welke opdracht bepaalt dat op die plaats een sensor moest komen, die in dit geval elke minuut een temperatuurwaarde afgeeft? In onze wereld van het groeiende internet der dingen is dit een steeds belangrijker aandachtspunt: wat meten we eigenlijk en vooral waarom en hoelang?

Maar ook het internet der mensen heeft met die verwarring te maken. Waarom maakte die persoon op dat tijdstip die boodschap? Wat was het doel, wie de beoogde gebruikers of lezers en hoelang is die boodschap geldig? Dit is een groeiend probleem in onze digitaliserende maatschappij. We worden overspoeld met data en content waarvan we vaak de bron en vooral de reden niet (meer) kennen. Dat levert chaos, verwarring en onzekerheid op over het eventuele gebruik. Ook is het juridisch een mijnenveld met onverwachte en kostbare gevaren.

Data architectuur

Daarom is een afgesproken architectuur belangrijk waarin duidelijk gemaakt is onder welke voorwaarden en afspraken we data mogen genereren. In een referentie architectuur kan het eigenaarschap van data perfect worden geregeld door het statement: gegevens hebben een eigenaar. Zonder een duidelijke eigenaar is het immers niet duidelijk wie verantwoordelijk is voor de kwaliteit en beschikbaarheid (!) van gegevens, wie over wijzigingen besluit (!) en wie ervoor betaalt (!).

Er is noodzakelijkerwijs ook een eindverantwoordelijke nodig om die verschillende rollen te coördineren en onderhavige processen afdoende te borgen. De eigenaar benoemt data-stewards die het gegevensmodel en de integriteitsregels beheren. Tenslotte bepaalt de eigenaar ook de bewaartermijn van gegevens en de risicoclassificatie en rubricering daarvan.

Data verantwoordelijkheid

Dit is een hele reeks van verantwoordelijkheden die in onze digitalisering steeds belangrijker wordt. Een verantwoordelijkheid die we steeds vaker vertaald zien in functies als Chief Data Officer (CDO). Ik hoorde laatst dat de bij een bedrijf aangestelde CDO, naast aan de RvB, ook (verplicht) aan de Raad van Commissarissen rapporteert. Op die wijze krijgen de toezichthouders op een geborgde en ongefilterde wijze relevante data over hoe de onderneming zijn dataprocessen heeft ingericht, hoe data voldoet aan geldende wetgeving en compliance en hoe het risico rond veiligheid en mogelijke corruptie van data is georganiseerd. Inzicht in de gezondheid van het kloppende hart van de dataprocessen, maakt dat de commissarissen op professionele wijze toezicht kunnen houden op RvB en de onderliggende digitaliserende onderneming.

Bovenstaande rapportage is alleen effectief als toezichthouders in staat zijn de geleverde informatie te begrijpen, daarover de juiste vragen te stellen en tenslotte de antwoorden inhoudelijk te begrijpen en te vertalen naar conclusies en actiepunten. ‘Datacentered’ geldt voor elke digitale organisatie, van hoog tot laag. Data is het goud en de olie van elk proces in een digitale organisatie. En het is dus mede de basis van elke kwetsbaarheid die de continuïteit van de organisatie in gevaar kan brengen. Data is niet langer alleen maar macht, maar in toenemende mate ook kwetsbaarheid. Een groeiende kwetsbaarheid die het begrip van verantwoordelijkheid (notion of accountability) alleen maar belangrijker maakt.

Door: Hans Timmerman (foto), CTO Dell EMC Nederland

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024