Misfits in ERP-implementaties Webapplicaties bij de Rijksoverheid Structuring emergency care: Who cares? Social media in het onderwijs

Transcriptie

1 Magazine voor Informatiemanagement Misfits in ERP-implementaties Webapplicaties bij de Rijksoverheid Structuring emergency care: Who cares? Social media in het onderwijs Jaargang 12 - Editie 1 Januari 2013 Vol. 33

2 INHOUDSOPGAVE Structuring emergency care: Who cares? Sinds enige tijd zijn Nederlandse beleidsmakers binnen de gezondheidszorg, verzekeringsmaatschappijen en andere partijen bezig met het uitdragen van integratie van huisartsenposten en de spoedeisende hulp. Pagina 18 IN Deze uitgave Artikelen 4 Misfits in ERP implementaties 10 Webapplicaties bij de Rijksoverheid 18 Structuring emergency care: Who cares? Misfits in ERP-implementaties Enterprise Resource Planning (ERP) implementaties brengen, naast de voordelen, diverse problemen met zich mee. Doordat gestandaardiseerde ERP-systemen niet aansluiten op de bedrijfsspecifieke processen van een organisatie ontstaan misfits die een oplossing vereisen. BDO heeft in samenwerking met Tilburg University onderzoek gedaan naar de oorzaken van misfits en de oplossingen van dergelijke misfits tijdens een ERP-implementatie in het Midden en Klein Bedrijf (MKB). Oud IM ers aan het woord 37 Drs. Dolf L Ortye 38 Drs. Harm Jan Kanis 39 Drs. Pim Wetzelaer PAGINA 4 24 Social media in het onderwijs 30 Column De opkomst van mhealth: Kansen van mobiele devices in de zorg 16 The illusion of privacy Afgestudeerden 40 Afgestudeerden juli december 2012.ego Weblog 42 De toekomst van product aanbevelingen

3 Wil je een onderwerp terugzien in de.ego? Twitter mee! Follow us on #cadeautjes Voor u ligt het eerste.ego Magazine van dit collegejaar. Ik ben erg trots dat ik voor het eerst aan het.ego Magazine heb mogen meewerken. Daarnaast ben ik vooral blij dat ik wat meer insights heb gekregen in de redactionele kant van het magazine proces. Het doet me dan ook goed u te kunnen vertellen dat er weer een aantal pareltjes van artikelen in deze editie staan. Speciaal voor u; leesvoer voor in het nieuwe jaar. In deze editie staat weer een artikel van ons eigen lid Joost van Beijsterveld. Met zijn artikel Misfits in ERP implementaties geeft hij ons meer inzicht in het onderwerp waarmee hij zijn master Information Management heeft afgerond. Cokky Hilhorst geeft ons meer inzicht in het onderwerp mhealth. Ze schrijft in haar artikel De opkomst van mhealth over kansen van mobile devices in de zorg. Verder heeft Mark Musters, hoofdredacteur van het.ego Magazine, een artikel geschreven met de titel Structuring emergency care. Het artikel is geschreven in navolging op zijn bachelorthesis die bekroond is met de best thesis award. Natuurlijk worden er naast deze artikelen nog een aantal andere prikkelende onderwerpen belicht. Naast de eerste editie van het.ego Magazine van dit collegejaar willen we nog iets anders aanprijzen. Wij kunnen met trots mededelen dat het.ego Magazine een eigen website heeft. Via kunnen voorgaande edities online bekeken worden. Neem dus snel je smartphone of tablet erbij en scan de QR-code op pagina 15 om onze webpagina te bezoeken. Veel lees én van Dingenen COLOFON Het semi-wetenschappelijke magazine.ego is een uitgave van studievereniging Asset SBIT in samenwerking met alumnivereniging EKSBIT. Asset SBIT is de Tilburgse vereniging voor studenten Information Management en andere geïnteresseerden in dit vakgebied. Het magazine wordt verspreid onder alle leden van Asset SBIT en de alumnivereniging EKSBIT, de medewerkers van het departement Information Systems and Management aan Tilburg University en geïnteresseerden uit het bedrijfsleven. Redactieadres Asset SBIT Kamer E116 t.a.v. redactie.ego Postbus LE Tilburg [t] [f] [e] ego@asset-sbit.nl [i] Redactie Jeroen Bekkers Xander Bordeaux Joep van Dingenen Gieljan Everaert Carlijn Frins Sjoerd Hoogendoorn Stijn IJzermans Mark Musters Gertjan Scholten Grafisch Ontwerp SBIT DsK. Vormgeving Dion Duimel Wouter van Ooijen Bart Ottenheim Druk Orangebook almanakken & verenigingsbladen Oplage 600 exemplaren Copyright Voor overname van (delen van) artikelen dient schriftelijk toestemming te worden gevraagd aan de redactie. In de artikelen gedane uitspraken vallen onder de verantwoordelijkheid van de desbetreffende auteurs.

4 Misfits in ERP implementaties Joost van Beijsterveld Over de auteur Joost van Beijsterveld is binnen BDO werkzaam als IT Auditor en heeft voor zijn afstuderen onder begeleiding van Willem van Groenendaal (Tilburg University) dit onderzoek uitgevoerd. Voor vragen of informatie over dit onderwerp, neem contact op met Joost van Beijsterveld:

5 misfits in ERP implementaties Enterprise Resource Planning (ERP) implementaties brengen, naast de voordelen, diverse problemen met zich mee. Doordat gestandaardiseerde ERP-systemen niet aansluiten op de bedrijfsspecifieke processen van een organisatie ontstaan misfits die een oplossing vereisen. BDO heeft in samenwerking met Tilburg University onderzoek gedaan naar de oorzaken van misfits en de oplossingen van dergelijke misfits tijdens een ERP-implementatie in het Midden en Klein Bedrijf (MKB). Een ERP-systeem is het makkelijkst te implementeren als een systeem speciaal voor een individuele organisatie is ontwikkeld en het naadloos aansluit op de bedrijfsprocessen van deze organisatie. De luxe van een op maat gemaakt ERP-systeem is maar voor weinig organisaties weggelegd en wordt tegenwoordig zelden meer gedaan, omdat het veel tijd en kosten met zich meebrengt. Daarnaast hoeft dit niet altijd de beste oplossing te zijn en kan een standaard ERP-systeem juist tot een efficiëntieslag leiden. Een ERP-systeem is ook wel een set best practices en is in de ogen van de softwareontwikkelaar de beste manier om de bedrijfsprocessen van een organisatie in te richten. De afgelopen jaren zijn bedrijven steeds meer overgegaan tot de aanschaf van een standaard ERPsysteem. Het implementeren van een dergelijk ERPsysteem heeft een aantal voordelen ten opzichte van maatwerksystemen, zoals een snellere oplevering, goedkopere implementatie, het gebruik van best practices en de zekerheid van een goed doorgetest systeem. Echter, doordat iedere organisatie zijn eigen unieke bedrijfsprocessen heeft, is er zelden sprake van een exacte overeenkomst ( fit ) tussen het standaard ERP-systeem en de bedrijfsprocessen van een organisatie, waardoor zogenaamde misfits ontstaan. De misfits die zich voordoen tijdens een ERP-implementatie vereisen een oplossing, waarbij een organisatie in de uiterste gevallen kan kiezen om het ERP-systeem aan te passen aan de organisatie of juist andersom. Het MKB haalt zijn kracht uit het hebben van unieke bedrijfsprocessen, waardoor het aanpassen van deze bedrijfsprocessen aan het standaard ERP-systeem nadelige gevolgen kan hebben voor een MKB-onderneming. Het MKB heeft daarom de drang om misfits op te lossen door het aanpassen van het ERP-systeem. De vraag is echter of deze oplossing altijd de juiste is. Zeker gezien het feit dat aanpassing van het systeem leidt tot hogere kosten dan een standaard ERP-implementatie. Dit hdoordat programmeurs niet meer nodig zijn. Door de oorzaak van misfits tijdens een ERP-implementatie in het MKB te onderzoeken, kunnen we inzichten krijgen in de drijfveer van een MKB-onderneming om het op een bepaalde manier op te lossen. Misfits: Actual en Perceived Zoals gezegd zijn misfits tijdens een ERP implementatie haast onvermijdelijk. Onderzoek van BDO heeft aangetoond dat er een onderscheid moet worden gemaakt tussen actual (echte) en perceived (ervaren) misfits. Een actual misfit is een discrepantie tussen de wijze waarop een ERP-systeem werkt en de wijze waarop een organisatie haar bedrijfsprocessen, die het ERP-systeem ondersteunt, heeft ingericht (voortkomend uit de strategie, procedures, regels en normen). Deze discrepantie leidt tot inefficiëntie en/ of het missen van belangrijke functionaliteit op het niveau van de gehele organisatie. In de literatuur zijn drie oorzaken van actual misfits te vinden: Deep structure: deze structuur is de kern van een organisatie. De afwezigheid van elementen in een ERP-systeem die betrekking hebben op de diepe structuur van een organisatie leidt tot grote tekortkomingen. Deep structure misfits komen voor op het niveau van data invoer (input) en 5

6 data verwerking (process). In het geval een deep structure misfit zich voordoet, is het ERP-systeem niet in staat om bepaalde data of documenten van de organisatie in de database op te slaan (input misfit) of het ERP-systeem is niet in staat om de processen van de organisatie te ondersteunen (process misfit). Surface structure: surface structure misfits bevinden zich aan de oppervlakte van het ERPsysteem en vinden plaats op het niveau van data output. Hierbij is het ERP-systeem niet in staat om bepaalde informatie, die wel in het systeem is opgeslagen, weer te geven. Latent structure: de latent (verborgen) structure misfits bevinden zich in de omgeving van het systeem en gaat om zaken als IT infrastructuur en de prestatie en kwaliteit van het systeem. Een voorbeeld van een latent structure misfit is dat het ERP-systeem niet ieder uur een back-up kan maken. Identification of a misfit Figuur 1: Actual or perceived misfit? Is the issue a deficiency? No Is the issue an imposition? No Yes Yes Is the missing functionality really needed? Does it lead to inefficiency? Yes No Resistance to change Yes No It is an actual misfit It is a perceived misfit Ignorance Wishes Input Output Environmental Process Deep structures Surface structures Latent structures 6

7 misfits in ERP implementaties Het onderzoek naar misfits toont aan dat niet iedere misfit tijdens een ERP-implementatie een actual misfit is, maar dat sommige misfits enkel door gebruikers van het ERP-systeem ervaren worden als een misfit (perceived misfits). Dit onderscheid wordt in de huidige literatuur niet gemaakt. In tegenstelling tot een actual misfit, leidt een perceived niet tot inefficiëntie of het missen van belangrijke functionaliteit. Tijdens het onderzoek is bewijs gevonden dat er drie oorzaken zijn voor het bestaan van perceived misfits: Weerstand tegen de verandering: medewerkers kunnen zich om verschillende redenen verzetten tegen veranderingen. Men wil dan hun werk hetzelfde blijven doen als voor de ERPimplementatie, ongeacht of de nieuwe manier van werken tot voordelen leidt. Onwetendheid: gebruikers hebben niet genoeg kennis van de mogelijkheden en functionaliteiten van het geïmplementeerde ERP-systeem, waardoor ze functionaliteit lijken te missen die wel in het systeem aanwezig is. Wensen: het geïmplementeerde ERP-systeem voldoet niet aan de exacte behoefte van de gebruikers. Bovenop het nieuwe systeem hebben de gebruikers wensen voor extra functionaliteit of aanpassingen die niet noodzakelijk zijn. Vaak gaat dit om zaken als gebruiksgemak. Zo kan een gebruiker het bijvoorbeeld gemakkelijker vinden om een printknop links op het scherm te hebben in plaats van rechts. Misfits oplossen Na de identificatie van de misfits, moet een organisatie de actual misfits oplossen om het ERP systeem aan te laten sluiten op de organisatie. Een organisatie kan hierbij voor iedere individuele misfit kiezen uit vier verschillende oplossingsrichtingen: Maatwerk: het ERP systeem aanpassen aan de organisatie, door aanpassingen naar de standaard te programmeren. Op deze manier wordt benodigde functionaliteit verkregen. Bedrijfsprocessen aanpassen: de bedrijfsprocessen aanpassen aan de processen in het ERP systeem, waardoor de manier van werken in de organisatie verandert. Een workaround creëren: dit kan door buiten het systeem om te werken of door het systeem anders te gebruiken dan aanvankelijk bedoeld was, om zo alsnog de benodigde functionaliteit te krijgen. Een veel gebruikte workaround is het aanvullend gebruik van Excel bestanden naast het ERPsysteem. Misfit accepteren: de eisen die de organisatie aan het ERP-systeem stelt herzien. Wat betreft perceived misfits dient een organisatie in principe geen van bovenstaande oplossingsrichtingen te kiezen, omdat het probleem immers bij de gebruiker ligt (niet bij het ERP systeem) en er geen sprake is van een actual misfit die leidt tot inefficiëntie of het missen van belangrijke functionaliteit. Omdat het probleem zich echter wel voordoet, moet het niet genegeerd worden. Zo moeten bijvoorbeeld perceived misfits die veroorzaakt worden door een gebruiker die erg onwetend is over het nieuwe ERP systeem, niet opgelost worden door het ERP systeem aan te passen. Dit kost namelijk tijd en geld en zal naar 7

8 alle waarschijnlijkheid leiden tot een verhoogde complexiteit van het systeem. Een mogelijke oplossing is om de gebruiker beter op te leiden. Misfits in ERP-systeem implementaties Zoals gezegd zijn er zowel actual als perceived misfits, waaraan verschillende oorzaken ten grondslag liggen. Daarnaast kan een organisatie op verschillende manieren met deze misfits omgaan. Maar wat veroorzaakt misfits tijdens een ERPimplementatie in het MKB? En hoe lost een MKBonderneming deze misfits op een bepaalde manier op? We proberen door het beantwoorden van deze vragen zicht te krijgen op wat voor facetten een ERP-systeem niet volledig aansluit en voor welke type misfits het MKB bereid is om tijd en geld te investeren. Door met de oorzaak van misfits bekend te zijn, kan een organisatie misfits eerder ontdekken, kunnen organisaties veranderingen in de bedrijfsprocessen of het ERP-systeem beter plannen en kunnen managers een beter geïnformeerd besluit nemen over hoe de misfit op te lossen. In het onderzoek is op basis van vier casussen (waar Microsoft Dynamics NAV in de afgelopen vijf jaar is geïmplementeerd) een lijst met misfits opgesteld (zowel actual als perceived). Vervolgens hebben vijf experts op het gebied van ERP-implementaties onafhankelijk van elkaar per misfit bepaald of een misfit actual of perceived is en wat de oorzaak van de misfit is. Op basis van deze categorisatie zijn de oorzaken van zowel de actual als perceived misfits en de gekozen oplossingen duidelijk geworden. Oorzaken van misfits en oplossingsstrategieën De belangrijkste oorzaak van actual misfits zit in de deep structure. Tot de deep structure misfits behoren input en process misfits. Dus het ERP-systeem is niet in staat om bepaalde data of documenten van de organisatie in de database van het ERP-systeem te krijgen (input misfit), of om de processen van de organisatie te ondersteunen (process misfit). Dat de meeste actual misfits worden veroorzaakt in de deep structure komt omdat MKB-organisaties hun kracht halen uit hun onderscheidend vermogen. Hiervoor moet een organisatie unieke bedrijfsprocessen hebben (deep structure), die veelal niet ondersteund worden door het standaard ERP-systeem. Het MKB onderscheidt zich makkelijker van concurrenten in de deep structure dan in de surface of latent structure. Het MKB lost de deep structure misfits voornamelijk op door te kiezen voor maatwerk of het creëren van een workaround. Hieruit valt te concluderen dat het MKB de missende functionaliteit in de deep structure daadwerkelijk nodig heeft en dit verkrijgt door of maatwerk of het creëren van een workaround en zo uniek blijft ten opzichte van de concurrentie. Perceived misfits tijdens een ERP implementatie in het MKB worden in de praktijk veroorzaakt door weerstand, onwetendheid en wensen. Ongeveer twee derde van de perceived misfits worden niet opgelost of geaccepteerd. Ongeveer een derde wordt opgelost door maatwerk of het creëren van een workaround om de gebruiker tevreden te houden. Omdat niet het Niet iedere misfit tijdens een ERP-implementatie is een actual misfit 8

9 misfits in ERP implementaties ERP-systeem, maar de gebruiker het probleem is bij perceived misfits, moet in principe voor perceived misfits geen oplossing worden gekozen. Zo kunnen geld en complexiteiten in de software bespaard worden. Omdat de perceived misfit zich toch voor heeft gedaan moet het echter niet genegeerd worden. Daarom is het belangrijk om perceived misfits zoveel mogelijk te voorkomen. Zo kunnen perceived misfits veroorzaakt door weerstand voorkomen worden door goed change management te voeren voor de ERP-implementatie. Onderdeel van goed change management is onder andere gebruikers betrekken bij de inrichting van het nieuwe ERP-systeem en gebruikers de voordelen van het nieuwe ERP-systeem in laten zien. Perceived misfits veroorzaakt door onwetendheid van de gebruikers kunnen voorkomen worden door de gebruikers goed en tijdig te trainen en door kennisdeling tussen consultants en gebruikers. Echter is ook een deel afhankelijk van het aard van het beestje. Tot slot kunnen perceived misfits veroorzaakt door wensen van de gebruiker voorkomen worden door gebruikers te laten begrijpen wat de implicaties van maatwerk zijn. Daarnaast kunnen onnodige eisen en wensen geëlimineerd worden door de gebruiker hun motivering hiervoor duidelijk kenbaar te laten maken. Conclusie Niet iedere misfit tijdens een ERP-implementatie is een actual misfit. Een deel van de misfits hangt namelijk af van de gebruiker en niet van het ERPsysteem. Door dit onderscheid te maken kun je je als organisatie focussen op de zaken die er echt toe doen. Het onderzoek toont aan dat ERP-systemen het minst goed aansluiten op die plek waar MKBondernemingen zich willen onderscheiden van hun concurrenten en het ERP-systeem deze unieke bedrijfsprocessen niet ondersteunt (deep structure misfits). Om toch uniek te blijven en niet de standaard processen van het ERP-systeem over te nemen, lossen MKB-organisaties deze misfits op door maatwerk te ontwikkelen of een workaround te creëren. Ook toont het onderzoek aan dat een deel van de misfits tijdens een ERP-implementatie perceived misfits zijn die worden veroorzaakt door weerstand, onwetendheid en wensen van de gebruikers. Deze perceived misfits worden binnen MKB-organisaties in één op de drie gevallen opgelost door maatwerk te ontwikkelen of door het creëren van een workaround. Als perceived misfits worden voorkomen, kan dus uiteindelijk geld en complexiteit van het ERP-systeem bespaard worden. 9

10 Webapplicaties bij de Rijksoverheid Xander Bordeaux Welke rol kan een IT-auditor spelen in beveiligingsonderzoeken op webapplicaties? Dit artikel beschrijft beknopt de ontwikkelingen van webapplicaties binnen de overheid. Vervolgens gaat het in op de auditfunctie binnen het Rijk en uitgevoerde onderzoeken op webapplicaties. Het artikel eindigt met toekomstplannen om beveiligingsrisico s bij webapplicaties te beheersen. 10

11 Webapplicaties bij de Rijksoverheid Dienstverlening via internet is tegenwoordig niet meer weg te denken uit de huidige samenleving. Ook de dienstverlening van de overheid is steeds meer toegankelijk gemaakt via het internet. Via de digitale snelweg kan de overheid haar burgers en bedrijven sneller en gerichter van informatie voorzien. De overheid biedt op laagdrempelige manier een rijk scala aan digitale overheidsdiensten aan en kan daardoor kosten besparen en efficiency verhogen. Echter, de dienstverlening via het internet resulteert in een groot en laagdrempelig bereik, maar dat geldt ook voor kwaadwillenden. Nieuwe beveiligingsrisico s treden op met een grotere impact dan bij dienstverlening via traditionele weg. Het misbruik maken van kwetsbaarheden in webfunctionaliteit, zoals het ongeautoriseerd aanpassen van overheidsinformatie of het onderscheppen van persoonlijke gegevens, ondermijnen het vertrouwen dat de burger heeft in communicatie met de overheid via het internet. Het is voor de overheid daarom van groot belang om de beveiliging van haar webapplicaties op hoog niveau te houden om beveiligingsrisico s bij webapplicaties te beheersen. Ontwikkelingen bij de overheid Bij de overheid is een grote toename te constateren in het gebruik van internet technologie. Niet alleen in de dienstverlening van en naar burgers en bedrijven, maar de overheid faciliteert ook dienstverlening tussen verschillende (semi-)overheidsonderdelen (bijvoorbeeld uitwisseling in de zorgketen) en tussen burgers en bedrijven. De afhankelijkheid van ICT is toegenomen, net zoals de toenemende samenwerking in publieke en private ketens. In de afgelopen jaren hebben diverse overheidsprogramma s zoals Andere Overheid en het Nationaal Uitvoeringsprogramma Dienstverlening en e-overheid (NUP) 1 het gebruik van internet door de overheid gestimuleerd. Het kabinet wil burgers en bedrijven online beter van dienst zijn met een kleinere en efficiënte overheid. Daarom zijn de laatste jaren diverse voorzieningen getroffen om te komen tot standaardisatie en de invoering van een basisinfrastructuur. Voorbeelden van dergelijke voorzieningen zijn het toepassen van het Burgerservicenummer (BSN) en DigiD als inlogcode voor de hele overheid. Hacking, malware en phishing zijn voorbeelden van toegenomen malafide activiteiten die verband houden met de toename van het gebruik van internet technologie. Het was voorheen veelal gedreven uit ideologie en hobbyisme, maar is tegenwoordig een aparte business geworden waarin veel geld is te verdienen. Professionele hackers zijn actief om overheden en bedrijven te bespioneren. Cybercrime is een aparte tak van sport geworden bij de diverse veiligheidsdiensten. Bij nieuwe producten zijn beveiligingsmaatregelen getroffen maar zij worden bijna sneller gehacked dan dat ze op de markt komen. Voorbeelden hierbij zijn vele zero-day kwetsbaarheden bij diverse (web) applicaties en de invoering van de OV-chipkaart bij de overheid. Eind september 2011 heeft de toonaangevende ICTnieuwssite Webwereld de maand oktober uitgeroepen tot Lektober 2. In oktober 2011 was op elke werkdag een ICT-privacylek onthuld in een website of overheidsdienst. Hiermee werd de aandacht gelegd op het belang van goede beveiliging van privégegevens. Diverse (semi-)overheidswebsites werden getroffen en verschenen op pijnlijke manier dagelijks in het nieuws. Veel imagoschade is aangebracht waardoor de minister van Binnenlandse Zaken (BZK) zich al snel moest verantwoorden in de Tweede 1 Voor meer info zie en

12 Kamer. Op 11 oktober 2011 schreef minister Donner van BZK in een kamerbrief : Uit de voorbeelden die Webwereld in het kader van hun actie Lektober tot nu toe heeft gepresenteerd, blijkt evenwel dat ICT beveiliging bij overheidsorganisaties te kort schiet. Recent is bij enkele tientallen gemeenten geconstateerd dat hun ICT beveiliging onvoldoende was. Dat moet beter. Lektober heeft geleid tot snelle repareer acties waarbij een intensieve samenwerking heeft plaatsgevonden tussen publieke en private partijen. De actie bracht het land flink in oproer waardoor informatiebeveiliging plots een trending topic werd. Kennis over informatiebeveiliging en kwetsbaarheden bij webapplicaties bleken erg gefragmenteerd bij diverse overheidsinstanties beschikbaar te zijn. Met Lektober moest daardoor veelal een beroep worden gedaan op nauwe samenwerking met een select aantal private partijen met specifieke expertise om snel te kunnen acteren. Het werd duidelijk dat de overheid meer haar kennis moet bundelen en blijven ontwikkelen zodat het in de toekomst adequater kan reageren op incidenten en minder afhankelijk is van private partijen. Dit heeft onder andere geleid tot de oprichting van het Nationaal Cyber Security Centrum (NCSC) per 1 januari Het NCSC is een samenvoeging van diverse overheidsinstanties en heeft als missie bij te dragen aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein en daarmee aan een veilige, open en stabiele informatiesamenleving door het leveren van inzicht en het bieden van handelingsperspectief. Het NCSC is opgericht op initiatief van het kabinet en zorgt voor een integrale aanpak van cybersecurity. Het NCSC wisselt kennis uit met publieke en private partijen over kwetsbaarheden, stimuleert veilig programmeren binnen de overheid en fungeert als centraal meldpunt bij beveiligingsincidenten op het gebied van cybercrime. Auditfunctie binnen de Rijksoverheid Elk ministerie moet vanuit de Comptabiliteitswet (2001) een auditfunctie inrichten die de accountantscontrole uitvoert op de jaarverslagen van het ministerie. Naast deze wettelijke taak, kan de auditfunctie ook worden toegepast om onderzoeken uit te voeren op het gebied van de beheersing van bedrijfsprocessen binnen een ministerie zoals het toetsen van de effectiviteit en efficiëntie van beleidsvorming en uitvoering. Hierdoor werken niet alleen accountants maar ook IT en operational auditors in de auditfunctie die adviseren over respectievelijk de beheersing van IT en organisatieprocessen. Door in het kabinetsbeleid te streven naar een kleinere en efficiënte overheid, is ook de auditfunctie bij de Rijksoverheid in 12

13 Webapplicaties bij de Rijksoverheid 2012 gecentraliseerd. De Auditdienst Rijk 3 vervult tegenwoordig de centrale auditfunctie als accountant en adviseur binnen het gehele Rijk. De auditfunctie kan ook bijdragen aan een veiliger overheid door beveiligingsonderzoeken uit te voeren op webapplicaties van de overheid. Bij dit soort onderzoek wordt veelal een beroep gedaan op de ITauditor. Hoe kan een IT-auditor tijdig kwetsbaarheden constateren en adequate maatregelen laten treffen om beveiligingsrisico s bij webapplicaties te mitigeren? Onderzoeken op webapplicaties Door het grootschaliger gebruik van webapplicaties werd het interessanter voor kwaadwillenden om kwetsbaarheden in webapplicaties te vinden en te misbruiken. Het aantal beveiligingsincidenten nam toe. Hierdoor kwamen ook meer vragen vanuit de overheid bij IT-auditors terecht om te helpen met beveiligingsonderzoeken op webapplicaties. De EDP AUDIT POOL - een van de voorlopers van de Auditdienst Rijk - is als een van de pioniers in 2005 gestart om vanuit de auditfunctie beveiligingsonderzoeken op webapplicaties uit te voeren. Naast mainframes, databases en netwerken werden webapplicaties steeds meer beschouwd als serieuze onderzoeksobjecten waarbij beveiligingsrisico s aanwezig waren die (indirect) ook financiële gevolgen hadden. geven over de kwaliteit van de gerealiseerde beveiliging ter ondersteuning van de go/no go beslissing; 3. Audits op bestaande webapplicaties - periodiek kan de auditor worden ingeschakeld om de gerealiseerde beveiliging te testen op de op dat moment bekende kwetsbaarheden. In de beginperiode van webapplicaties bij de overheid zijn veel beginnersfouten aangetroffen. Veelvoorkomende OWASP 4 kwetsbaarheden zoals XSS (Cross-Site Scripting) en SQL-injecties werden aangetroffen. Webapplicaties waren door eigen enthousiaste medewerkers of door een private partij gebouwd waarbij weinig aandacht werd geschonken aan informatiebeveiliging. Ondanks kwaliteitsslagen die in de loop van de tijd zijn gemaakt zijn tijdens Lektober ook incidenten bekend geworden die voornamelijk betrekking hadden op XSS en SQLinjectie. Welke soorten onderzoeken kan de IT-auditor uitvoeren: 1. Audits op het beveiligingsontwerp - al in het ontwikkeltraject vanuit functioneel en technische ontwerpen wordt de auditor gevraagd om mee te denken en te adviseren over de geplande beveiliging; 2. Audits op nieuwe webapplicaties - voorafgaand aan een go-live kan de auditor een advies

14 webapplicaties bij de rijksoverheid Naast het advies om specifieke maatregelen te treffen om de aangetroffen kwetsbaarheden te verhelpen, spelen generieke aanbevelingen op het gebied van informatiebeveiliging een rol. Hierbij kan worden gedacht aan: 1. Verantwoordelijkheid: besluitvorming mag zich niet beperken tot het niveau van operationeel management. Het hogere management moet meer dan nu verantwoordelijkheid nemen en haar risk appetite tot uitdrukking brengen. Hiermee kan zij een kader scheppen waarbinnen operationeel management kan/mag besluiten bijvoorbeeld bij incidenten; 2. Security by design: informatiebeveiliging moet vanaf de tekentafel worden meegenomen. Applicaties achteraf beveiligen is kostbaar en verre van efficiënt. Informatiebeveiliging mag niet een sluitstuk zijn van de offerte; Toekomst Door het optreden van grote beveiligingsincidenten is de aandacht weer op informatiebeveiliging gericht. De impact blijkt groter dan gedacht. Ook de Tweede Kamer is zich weer doordrongen van het belang van adequate informatiebeveiliging, met name waarbij het gaat om de privacy van burgers en bedrijven. Met de oprichting van het NCSC is kennis en ervaring meer gebundeld en verstevigd dan voorheen het geval was waardoor adequaat en daadkrachtig kan worden gereageerd bij incidenten. Meer kennisuitwisseling vindt plaats over best practices en frameworks voor veilig programmeren van webapplicaties. IT-auditors worden actief betrokken bij de ontwikkeling van webapplicaties om als objectieve partij de beveiliging te toetsen voordat zij online worden gezet. Een actueel voorbeeld is de betrokkenheid van IT-auditors bij de ICTbeveiligingsassessments DigiD. Ook is aandacht op het gebied van kwaliteit en toegankelijkheid met de Webrichtlijnen 5 open standaard. De Webrichtlijnen zijn gebaseerd op internationale best practices die indirect ook zorgen voor een gestructureerde manier van ontwerpen, bouwen en beheren om kwetsbaarheden te voorkomen. Webapplicaties blijven hot, veilig vandaag hoeft niet te betekenen veilig morgen. Een ITauditor betrekken bij ontwikkeling en beheer van webapplicaties kan bijdragen aan de kwaliteit van webapplicaties en informatiebeveiliging. Toch is een continue aandacht vereist waarbij het periodiek uitvoeren van beveiligingsonderzoeken is aan te raden. 5 Over de auteur Xander Bordeaux is afgestudeerd informatiekundige en register IT-auditor (RE). Hij werkt sinds 2005 als IT-auditor binnen de gehele Rijksoverheid en heeft zijn focus gelegd op het uitvoeren van beveiligingsonderzoeken op webapplicaties. Xander is daarnaast vanuit EKSBIT redactielid van de.ego en heeft dit artikel op persoonlijke titel geschreven.

15

16 Column Sjoerd Hoogendoorn The illusion of privacy The much debated right to privacy, a principle as old as the common law, often hailed as the cornerstone of our modern socialized society, has been said to be dying, diminishing, eroding, fading, evaporating and according to other critics it is under siege 1. We are constantly urged to beware of corporate and governmental infringements while in reality, it seems we have more ways to individualize than ever. From virtually any historical perspective, these frightful claims seem bizarre. Is privacy in disarray or have our expectations been fundamentally altered? Privacy is the right to live a life that doesn t meet the public eye, simply put the right to be left alone. Since antiquity, people in nearly all societies have debated issues of privacy ranging from gossip, to eavesdropping to surveillance 1. Nobody can articulate what it exactly means, though we agree that it encompasses a variety of expectation such as freedom from surveillance, control over one s personal information, protection of one s reputation and protection from searches and interrogations Over de auteur Sjoerd is bezig met het laatste jaar van zijn Bachelor of Science Economie & Informatica. Tegelijk met de afronding daarvan zal hij ook een Bachelor in Management ontvangen van Bentley University. Privacy is a sweeping concept and highly evanescent. In his 2008 book Understanding Privacy Daniel J. Solove ultimately also reaches the conclusion that philosophers, legal theorists, and jurists have frequently lamented the great difficulty in reaching a satisfying conception of privacy 1. Much can be explained by the high degree of subjectivity of the matter. Fundamentally, expectations of privacy determine the experience of privacy. It s a simple concept: if we have no expectation of privacy, we believe we have it. Privacy has made for so much structural controversy ever since its legal establishment that the term is constantly subject to redefinition and political resistance. Back in the 1890 s, privacy was also eroding because of the establishment of a national postal service. Private information began to circulate through public infrastructure and traditional privacy instruments (i.e. walls) began to fall short in ensuring privacy. Legal scholars were seeking to extend the legal rights regarding privacy: to have it continue to protect a person s sense of uniqueness, independence, integrity and dignity, from the depredations of new possibilities. It seems that as Aaron Bady observes in his 2011 Technology review article WWW: a World Without Walls as old technologies for protecting proprietary information lag behind [..], the law seeks to restore the status quo ante 2. Privacy is constantly subject to redefinition because many of the new technologies impose new infringements. We balance threats on our privacy against the advantages of utilizing new tech-products in a reactive manner. What is so peculiar about the developments regarding privacy during the last fifty years is that the pace at which the instruments harnessing it are becoming insufficient, has reached a rate we ve never encountered before. Inventor Ray Kurzweil believes technology advancements are at the knee of exponential growth 3, just 16

17 about to blast off-- how is anyone to keep up? A legal system built on a presumption of information scarcity has no chance at protecting privacy when personal information is ubiquitous 2. Social networks and the likes offers users a myriad of possibilities to control what is communicated, but even the highest privacy settings won t prevent Facebook from selling your personal information on a real-time basis. This false sense of control defines the illusion of privacy in the information era. It s hard to distinguish between genuine concerns about privacy-erosion and that part of the hype or movement which is communicated with different intentions (i.e. an economic stake). but if we long to continue privacy as the fundamental value in society that it s supposed to be, we should behave in a proactive manner regarding the infringements new technology impose on us - and not let them backtrack us. This counter-weight is crucial because as Jonathan Franzen strikingly observed: privacy seems to be the Cheshire cat of values: not much substance, but a very winning smile Solove, Daniel J. Understanding Privacy. Cambridge, MA: Harvard UP, Print. 2. Bady, Aaron. World Without Walls - Technology Review. Technology Review: The Authority on the Future of Technology. Nov.-Dec Web. 11 Dec friendly_article.aspx?id= Kurzweil, Ray. The Singularity Is Near: When Humans Transcend Biology. New York: Viking, Print. 4. Franzen, Jonathan. Imperial Bedroom. How to Be Alone: Essays. New York: Farrar, Straus and Giroux, Print. 17

18 Structuring emergency care: Who cares? Mark Musters

19 Structuring emergency care: who cares? Sinds enige tijd zijn Nederlandse beleidsmakers binnen de gezondheidszorg, verzekeringsmaatschappijen en andere partijen bezig met het uitdragen van integratie van huisartsenposten en de spoedeisende hulp. Volgens hen is zo n nauwe samenwerking noodzakelijk gezien de verwarring bij patiënten met een probleem buiten de gebruikelijke praktijktijden. Spoedeisende hulp afdelingen hebben te maken met performance issues en met overvolle ziekenhuizen. Een van de belangrijkste oorzaken hiervan zijn zelfverwijzers: meer en meer patiënten gaan direct naar de spoedeisende hulp zonder eerst een huisarts gesproken te hebben. Zorg In Nederland kennen wij een zorgplicht. Dat wil zeggen dat patiënten die behoefte hebben aan urgente zorg wettelijk niet door een spoedeisende zorginstantie geweigerd mogen worden en directe behandeling moeten krijgen. Zowel de huisartsenpost als de spoedeisende hulp zijn instanties waarbij de spoedeisende hulp vierentwintig uur per dag, zeven dagen per week beschikbaar is voor patiënten. In Nederland onderscheiden we primaire zorg van secundaire zorg. Primaire zorg is zorg die direct toegankelijk is voor patiënten. Het is als het ware het eerste contactpunt voor zorg behoevende personen waarbij men zonder restricties aan kan kloppen. Huisartsen en een huisartsenpost vallen onder primaire zorg. Een van de doelen van de primaire zorg is om te voorkomen dat patiënten onnodig gebruik maken van meer schaarse, meer complexe en tot wel drie keer zo dure zorg; secundaire zorg. Patiëntstromen Normaal gesproken gaat een patiënt buiten de praktijktijden eerst naar een huisartsenpost. Hier zal de patiënt behandeld worden door een huisarts. Wanneer blijkt dat de patiënt behoefte heeft aan meer complexe zorg, zal de patiënt doorverwezen worden naar de spoedeisende hulp. Dit is hoe de patiëntstroom zou moeten zijn. Uit de praktijk blijkt echter dat meer en meer patiënten de huisartsenpost overslaan en op eigen initiatief direct naar de spoedeisende hulp gaan. Dit noemt men zelfverwijzing. Uit onderzoek blijkt dat er verschillende motieven zijn voor deze zelfverwijzing. Slechts 18% van de ondervraagden bleek van mening te zijn dat de spoedeisende hulp beter toegankelijk was dan de huisartsenpost. Een zeer grote groep ondervraagden (36%) gaf als reden ervan overtuigd te zijn verder onderzoek nodig te hebben, bijvoorbeeld een röntgenfoto. Zij dachten dat wanneer ze eerst naar een huisartsenpost gegaan waren, ze toch doorgestuurd zouden worden en gingen daarom maar rechtstreeks op eigen initiatief naar de spoedeisende hulp. Verder gaf ook een grote groep patiënten (30%) als motief aan ervan overtuigd te zijn dat de doctor bij de spoedeisende hulp beter gekwalificeerd is de patiënt te ondersteunen met het specifieke probleem. Zelfverwijzers Zelfverwijzers zouden niet direct naar de spoedeisende hulp moeten gaan. Toch moet deze groep vanwege de zorgplicht wettelijk wel opgevangen en behandeld worden. Zelfverwijzing op zichzelf lijkt niet zo problematisch. Echter, eerder onderzoek heeft aangetoond dat tot wel 80% van deze groep zelfverwijzers ook geholpen had kunnen worden in een huisartsenpost waarbij niet onnodig gebruik gemaakt zou worden van de duurdere en meer complexe secundaire zorg. Een beter samenwerkingsmodel zou ervoor kunnen zorgen dat minder zelfverwijzers rechtstreeks bij de spoedeisende hulp aankloppen waardoor er minder problemen zijn met overbevolkte ziekenhuizen en performance daarvan. 19

20 Samenwerkingsmodellen spoedeisende zorg Volgens Vermue, Giesen en Huiberts (2007), zijn er vier mogelijke modellen voor het organiseren en structureren van spoedeisende zorg. Deze modellen richten zich op de integratie en samenwerking tussen huisartsenposten en spoedeisende hulp afdelingen: Model 1: Geen verregaande samenwerking Het eerste model is een model zonder een echte vorm van samenwerking tussen de huisartsenpost en de spoedeisende hulp. In deze vorm heeft de huisartsenpost geen connectie met het ziekenhuis en is er slechts zelden communicatie tussen deze partijen omtrent regulier medisch inhoudelijk overleg en de verwijzing van patiënten. Zoals te zien in Model 1 kunnen patiënten bij zowel de huisartsenpost als de spoedeisende hulp binnenlopen. Slechts in complexe gevallen zal de huisartsenpost (HAP) een patiënt doorverwijzen naar de spoedeisende hulp (SEH). Model 2: Zelfverwijzers van SEH direct naar HAP In dit model is er al enige vorm van samenwerking tussen de huisartsenpost en de spoedeisende hulp. Een patiënt die bij de spoedeisende hulp binnenkomt, zal na een korte triage, waarbij de ernst en urgentie van de situatie waarin de patiënt zich bevindt vastgesteld wordt, in principe altijd doorverwezen worden naar de huisartsenpost. Slechts wanneer bij de triage blijkt dat de patiënt duidelijk specialistische zorg behoeft, zal de patiënt opgenomen worden bij de spoedeisende hulp. Model 3: HAP als voorportaal van SEH Deze vorm kent al een vorm van integratie waarbij de huisartsenpost als het ware als voorportaal van de spoedeisende hulp functioneert. Zodoende hebben alle binnenlopers en zelfverwijzers alleen toegang tot de huisartsenpost. Hier zal dan ook de triage plaatsvinden en waar nodig zal de patiënt doorverwezen worden naar de spoedeisende hulp.