BCM Benchmark in de zorg Jesse Struick 10250204 jesse.struick@gmail.com Thesis Master Business Information Systems Universiteit van Amsterdam Faculteit der Natuurwetenschappen, Wiskunde en Informatica Datum: 15 augustus 2013 Begeleiders: Tom van Engers (Universiteit van Amsterdam) Steven Debets (Verdonck Klooster & Associates)
Abstract The use of ICT as a whole cannot be disregarded at companies anymore and it supports more often than not the critical processes of businesses. With this in mind, we know that ceasing ICT means a direct impact on the continuation of dependable critical business processes. Therefore, if it weren't for ICT, the continued existence of an organization can get in danger. Business Continuity Management (BCM) is the field of expertise that aims for continuation of businesses during crisis. Models exist with which the BCM-maturity can be measured and expressed. A typical model can offer know-how to develop a strategy to sustain the BCM- maturity and bring the variable to the desired height. In this research, a typical model will be constructed. This model is based on results of earlier research. Subsequently, a benchmark tool has been developed based on this model. With this tool, a benchmark has been executed at 14 hospitals. This has created data which shows that 50% of the researched hospitals (according to the BCM-maturity model) do not pass the minimum rate of matuirty, and therefore are less resilient in the case of a calamity. Samenvatting Het gebruik van ICT is niet meer weg te denken bij bedrijven en ondersteunt vaak de kritieke bedrijfsprocessen. Dit zorgt ervoor dat het wegvallen van ICT een directe impact heeft op de continuïteit van afhankelijke kritieke bedrijfsprocessen. Hierdoor kan het voortbestaan van een organisatie in gevaar komen. Business Continuity Management (BCM) is het aandachtsveld, en voor sommige zelfs het vakgebied dat zich richt op de bedrijfscontinuïteit tijdens een crisis. Er bestaan modellen waarmee de mate van BCM-volwassenheid in een organisatie tot uitdrukking kan worden gebracht. Een dergelijk model kan handvatten bieden om een strategie te ontwikkelen waarmee de volwassenheid van BCM op een gewenst level kan worden gebracht. In dit onderzoek wordt een dergelijk model geconstrueerd. Dit model is mede gebaseerd op resultaten van eerder uitgevoerd onderzoek. Vervolgens is op basis van dit model een benchmarktool ontwikkeld. Met deze tool is een benchmark uitgevoerd bij 14 ziekenhuizen. Dit heeft een beeld gecreëerd waaruit blijkt dat 50% van de onderzochte ziekenhuizen volgens het BCM-volwassenheidsmodel te weinig volwassen is en daardoor niet veerkrachtig genoeg in geval van een calamiteit. Pagina 2
Inhoudsopgave 1. Inleiding... 5 2. Doel van het onderzoek... 6 3. Context en achtergrond BCM... 7 3.1 Historie BCM... 7 3.2 Definitie BCM... 7 3.3 Informatiebeveiliging en BCM... 7 3.4 BCM Standaarden... 8 3.5 Lean BCM... 9 3.6 BCM-volwassenheidsmodellen... 10 3.6.1 Opbouw van BCM-volwassenheidsmodel... 11 4. Onderzoekspopulatie... 13 5. Constructie van het model... 14 5.1 Definitie BCM herzien... 14 5.2 Missend 0-level voor benchmark... 14 5.3 Relatie tot BCMS... 15 6. Onderzoeksmethode... 16 6.1 Benchmarktool toepasbaar maken... 16 6.2 Benchmarktool en model toepassen in de praktijk... 17 6.2.1 Onderzoeksgroep... 17 6.2.2 Interview... 18 6.3 Benchmark data verwerken... 18 6.3.1 Zoeklichtvragen analyseren... 18 6.3.2 Inschattingsvragen analyseren... 19 6.3.3 Combinatie zoeklichtvragen, inschattingsvragen en inschatting organisatie... 19 7. Resultaten... 20 7.1 Resultaten per ziekenhuizen... 20 7.2 Resultaten van de sample... 23 7.2.1 Overzicht ziekenhuizen... 23 7.3 Overige resultaten... 24 8. Conclusies... 26 8.1 Inzicht krijgen in de volwassenheid van BCM in de zorg... 26 8.1.1 Ziekenhuizen met minimaal level 4... 26 8.1.2 Ziekenhuizen onder level 4... 26 8.1.3 Sector... 26 8.2 Hanteerbaar Benchmarktool... 27 8.3 Hanteerbaar BCM volwassenheidsmodel... 27 9. Aanbevelingen... 28 9.1 Toepassen van het model in een andere sector... 28 Pagina 3
9.2 Verbeteringen BCM-volwassenheidsmodel... 28 9.3 Verbeteringen Benchmarktool... 28 9.4 Aanpassen audit... 29 10. Referenties / bronnen... 30 11. Bijlagen... 31 11.1 BCM-Volwassenheidsmodel... 31 11.1.1 Highlevel model... 31 11.1.2 Model met Objectives... 32 11.2 Benchmarktool... 36 11.3 Inschattingsvragen... 51 11.4 Onderzoeksresultaten ziekenhuizen... 64 11.5 Benchmark excel tool... 78 Pagina 4
1. Inleiding Dit onderzoek is uitgevoerd in het kader van het afronden van de masteropleiding Business Information Systems aan de Universiteit van Amsterdam. Het onderzoek is uitgevoerd in samenwerking met Verdonck, Klooster & Associates (VKA) te Zoetermeer. Het gebruik van ICT is niet meer weg te denken bij bedrijven en ondersteunt vaak de kritieke bedrijfsprocessen. Dit zorgt ervoor dat het wegvallen van ICT een directe impact heeft op de continuïteit van afhankelijke kritieke bedrijfsprocessen. Hierdoor kan het voortbestaan van een organisatie in gevaar komen. Om dit te voorkomen treffen organisaties vaak maatregelen. Zo worden bijvoorbeeld single points of failure uit de ICT infrastructuur weggewerkt, zodat het uitvallen van een belangrijk systeem de bedrijfscontinuïteit niet schaadt. In dit kader zijn niet alleen maatregelen op het gebied van ICT of maatregelen die preventief werken van belang. Ook repressieve en correctieve maatregelen op een ander gebied dan ICT, zoals het uitwerken van scenario s over wat de organisatie doet als het kantoorpand is afgebrand, zijn belangrijk. Business Continuity Management (BCM) is het aandachtsveld, en bij sommige zelfs het vakgebied, dat zich richt op de bedrijfscontinuïteit tijdens een crisis. Ondanks de noodzaak tot BCM besteedt niet iedere organisatie hier evenveel aandacht aan, waardoor het wel eens te laat kan zijn als het noodlot toeslaat. Dit onderzoek gaat in op maatregelen die organisaties treffen in het kader van BCM. Er zijn modellen die de volwassenheid van een BCM in een organisatie kunnen meten. Dergelijke modellen geven een inschatting op de vraag of een organisatie voldoende in staat is om de continuïteit te garanderen. De vraag van dit onderzoek is of een BCM-volwassenheidsmodel hanteerbaar is om de continuïteit van een organisatie in te schatten. Het gebruikte BCM-volwassenheidsmodel is ontwikkeld door VKA in 2005. Na een aantal gesprekken is besloten om het onderzoek samen met VKA uit te voeren. Dit levert aan weerszijden voordelen op. Een dergelijk model kan voor een organisatie concrete handvatten bieden om de volwassenheid van BCM op een gewenst level te krijgen. Er zijn al verschillende studies geweest naar BCM-volwassenheidsmodellen waar dit onderzoek gebruik van maakt. Het BCM-volwassenheidsmodel dat gebruikt wordt is ontwikkeld in 2005 en is een model dat organisatiegeneriek een inschatting geeft van de BCM volwassenheid. Om dit te onderzoeken is er een literatuurstudie uitgevoerd naar BCM-volwassenheidsmodellen, welke heeft geresulteerd in een model dat met enige aanpassingen hanteerbaar lijkt. Om dit te testen is vervolgens een benchmark met het model uitgevoerd. In een ideale situatie was deze benchmark uitgevoerd bij meerdere organisaties met verschillende omvang uit verschillende sectoren die nationaal en internationaal opereren. De tijd gegeven voor het onderzoek limiteert dit echter. Uiteindelijk is er voor een sector gekozen waar informatieverwerking niet het primaire proces vormt en daarom niet de primaire focus van het management heeft, zoals bij een bank of een verzekeraar, maar waar continuïteit gezien de aard van de organisaties onderdeel is van de bedrijfsvoering. De onderzoeksgroep zijn de Nederlandse ziekenhuizen. Daarnaast bleek uit een in 2011 door Ernst & Young onder 35 ziekenhuizen uitgevoerd benchmarkonderzoek, dat bij ruim drie kwart van de Nederlandse ziekenhuizen de informatiebeveiliging slecht op orde is. Aangezien informatiebeveiliging en BCM een overlap hebben zou dit ook iets kunnen impliceren op het gebied van de kwaliteit van BCM bij ziekenhuizen. Pagina 5
In hoofdstuk 3 wordt de achtergrond van BCM en de toepassing van deze in de zorg toegelicht. De onderzoekspopulatie staat beschreven in hoofdstuk 4. Vervolgens komt het BCMvolwassenheidsmodel van Smit (2005) aanbod in hoofdstuk 5. Hoofdstuk 6 gaat in op de onderzoeksmethode door het gebruikte model met bijbehorend benchmarktool, de toepassing van deze in de praktijk en de dataverwerking te beschrijven. Hoofdstuk 7 geeft de resultaten van het onderzoek. De conclusies zijn beschreven in hoofdstuk 8. Aanbevelingen staan in hoofdstuk 9 beschreven. 2. Doel van het onderzoek Bij een onderzoek worden vragen of doelen opgesteld. Gezien de constructieve opzet van het onderzoek zijn er doelen geformuleerd. Deze zijn: 1. Inzicht krijgen in de volwassenheid van BCM in de zorg (cure). a. Hanteerbaar BCM-volwassenheidsmodel model verkrijgen b. Hanteerbaar BCM-volwassenheidsmodel toepassingsinstrument verkrijgen Pagina 6
3. Context en achtergrond BCM 3.1 Historie BCM BCM kan worden beschouwd als een evolutie van crisismanagement uit de jaren 70. Onder deze discipline valt de organisatie en coördinatie van activiteiten ter voorbereiding en als reactie op gebeurtenissen die de operationele processen belemmeren (Herbane, 2010). Organisaties zijn destijds op eigen initiatief begonnen met crisismanagement. Voorbeelden van dergelijke organisaties waren internationale banken en de Amerikaanse overheid. Aanleiding was dat risico s die organisaties liepen steeds moeilijker te beïnvloeden waren (Hiles, 2011, p. 32). In de jaren 80 is er een fase begonnen waarin het uitvoeren van audits op gebied van BCM normaal werd. Aanleiding hiervoor was wet en regelgeving die aangepast of opgesteld werd. Halverwege de jaren 80 was crisismanagement geëvolueerd tot Disaster Recovery Planning (DRP). Op DRP ontstond kritiek dat deze een te technische focus had. Een discipline als Human Resources werd te veel buiten beschouwing gelaten. Men was opzoek naar een breder georiënteerde methode, wat resulteerde in Business Continuity Planning (BCP). Nieuw was een aanpak waarbij een analyse de kritieke bedrijfsprocessen in kaart bracht van begin tot eind door de organisatie (Herbane, 2010). In de tweede helft van de jaren 90 zijn de BCP activiteiten geformaliseerd in een aanpak met onder andere activiteiten als: project initialisatie, risico identificatie, business impact analyse, opstellen van maatregelen, het beheer van plannen en het testen van plannen in de praktijk (Herbane, 2010). Deze aanpak staat bekend als Business Continuity Management. De eerste standaard waar BCM structureel in voor kwam was de BS7799 uit 2000, welke ook gepubliceerd is als ISO 17799 (Saint-Germain, 2005). Deze standaard diende als basis voor de standaard BS25999 (zie hoofdstuk 3.4 ). 3.2 Definitie BCM BCM is een discipline die nog sterk in ontwikkeling is. Er zijn verschillende definities te vinden uit verschillende jaren. Daarom moet er een definitie gekozen worden. Dit onderzoek hanteert de definitie van Cazemier, Leegwater & Ploeg (Business Continuity Management; Weg van de gebaande paden, 2010). Zij beschreven een definitie voor BCM welke over de volle breedte van het vakgebied gaat. De definitie luidt: Business Continuity Management (bedrijfscontinuïteitmanagement; BCM): is de internationaal gehanteerde term voor het managementproces, dat: mogelijke dreigingen voor een organisatie identificeert; de gevolgen ervan voor de bedrijfsprocessen vaststelt; een raamwerk verschaft om de organisatie in staat te stellen effectief en efficiënt te reageren op de ontstane situatie de belangen van aandeelhouders en partners, en de reputatie van het merk veiligstelt. Voor deze definitie is gekozen omdat deze recent is, ingaat op de volle breedte van het BCM vakgebied, aansluit op de situatie uit de praktijk en vergelijkbaar is met andere experts zoals Hiles (The definitive handbook of Business Continuity Management 3e edition, 2011). 3.3 Informatiebeveiliging en BCM BCM en informatiebeveiliging zijn twee disciplines die deels met elkaar overeenkomen. Deze overlap is echter beperkt. Informatiebeveiliging heeft bij veel organisaties de focus op Pagina 7
vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Hiervoor worden maatregelen getroffen welke overeen kunnen komen met BCM maatregelen. BCM focust zich alleen op de kritieke processen. Informatiebeveiliging op alle processen. Informatiebeveiliging neemt alleen continuïteitsmaatregelen welke preventief zijn. BCM gaat in op maatregelen die preventief, repressief en correctief zijn. 3.4 BCM Standaarden Figuur 1: overlap Informatiebeveiliging en BCM (Naomi Smit, 2005, p. 14) Na de eeuwwisseling zijn er diverse standaarden ontwikkeld die een richting geven aan de implementatie van BCM. In deze paragaaf worden een aantal van deze standaarden beschreven. BS25999 British standard 25999 beschrijft BCM als de strategische en tactische capaciteit van een organisatie om in geval van een incident, die de bedrijfscontinuïteit kan schaden, door te kunnen werken op een vooraf gedefinieerd niveau (Hiles, 2011). Aan de implementatie van BCM wordt richting gegeven door een framework aan te bieden. Deze geeft onder andere aan om gebruik te maken van een Business Impact analyse, opstellen van een strategie, maatregelen te nemen en vervolgens oefeningen uitvoeren en deze te evalueren (Cazemier, Leegwater, & Ploeg, 2010, p. 73) In de praktijk wordt BS25999 veel gebruikt. BCMS ISO 22301 BS25999 is in 2012 vervangen door de standaard ISO 22301. In deze standaard is de nadruk gelegd op een management systeem voor BCM. Deze is gebaseerd op de PDCA cyclus, welke gerelateerd is aan andere ISO normen, zoals ISO 9001 Quality Management. PDCA staat voor Plan Do Check Act en is ontwikkeld door Dr. W. Edwards Deming. Het is een model om kwaliteit te verbeteren. De Plan Do Check Act zijn 4 fases. In de eerste fase (Plan) worden plannen opgesteld. Vervolgens worden deze uitgevoerd (do), gecontroleerd (Check) en geëvalueerd (Act). Vervolgens start een nieuwe iteratie van het model. Pagina 8
Figuur 2: PDCA cirkel (Moen & Norman, 2012) De IS 22301 norm is ook uitgegeven als NEN 22301 (NEN, 2012). BSI.DE 100-4 Notfallmanagement Een andere BCM standaard is de 100-4 Notfallmanagment. Deze Duitse standaard van het Bundesamt für Sicherheit in der Infromationstechnik heeft een systematische aanpak voor BCM en maakt o.a. gebruik van best practices. (Bundesamt für Sicherheit in der Informationstechnik (BSI), 2008). In Nederland wordt deze standaard weinig gebruikt (Cazemier, Britse standaard belemmert efficiënte invoering van BCM, 2012). 3.5 Lean BCM Er is kritiek op het gebruik van standaarden bij het implementeren van BCM. Zo zou het te lang duren voordat deze resultaat laat zien en wordt er getwijfeld aan de effectiviteit in de praktijk (Cazemier, Britse standaard belemmert efficiënte invoering van BCM, 2012). Als reactie is er een nieuw initiatief op het gebied van BCM ontstaan, genaamd Lean BCM. Deze aanpak is sterk afwijkend met de standaarden. De kern is om snel en effectief BCM in te voeren met zo min mogelijk documentatie. De aanpak maakt gebruik van de zelfde principes als de PDCA cirkel. Een groot verschil is dat er gestart wordt met de Check fase, terwijl andere methodes beginnen met de plan fase. Lean BCM past business analyses in vergelijking met de standaard aanpak anders toe. Deze aanpak is relatief nieuw maar bereikt hetzelfde resultaat op een snellere manier met minder papierwerk dan de standaard methode (Cazemier, Leegwater, & Ploeg, 2010, pp. 76-79). Pagina 9
Figuur 3: Opzet Lean BCM (Cazemier, Leegwater, & Ploeg, 2010, p. 79) 3.6 BCM-volwassenheidsmodellen In de loop der jaren zijn er een aantal volwassenheidsmodellen ontwikkeld. In deze paragraaf worden drie modellen besproken die de BCM-volwassenheid toetsen. Deze modellen geven weer hoe veerkrachtig een organisatie is op het moment van uitbreken van een crisis. Onder veerkracht wordt het vermogen verstaan dat een organisatie heeft om de continuïteit van de organisatie en de totstandkoming van producten en diensten te waarborgen tijdens en na een crisis (Cazemier, Leegwater, & Ploeg, Business Continuity Management; Weg van de gebaande paden, 2010, p. 4). PAS56 Audit evaluation criteria Workbook van de British Continuity Institute Dit model is het resultaat van het Business Continuity Institute (BCI) en een aantal andere organisaties. Het BCM-volwassenheidsmodel is ontwikkeld in 2003 en is opgebouwd in 6 fases en is gekoppeld aan de PAS 56 standaard. Deze standaard is later opgegaan in de BS25999 (Ream, 2003). Business Continuity Maturity Model van virtual corp Het Business Continuity Management Model is ontwikkeld door het Amerikaanse Virtual Corp. Het model werkt met 6 levels. Deze tool is ontwikkeld met het doel om een BCM implementatie te evalueren op het gebied van volwassenheid. Pagina 10 BCM volwassenheidsmodel Smit en VKA Dit model is ontwikkeld in het onderzoek van Naomi Smit (2005) in samenwerking met VKA. Het model beoordeelt BCM op 6 verschillende levels op 4 verschillende scopes. Dit is
uitgewerkt in figuur 4. Het doel van het model is om aanbevelingen op te stellen om de kwaliteit van BCM van een organisatie te verbeteren. Dit model is gebruikt in dit onderzoek. De reden om voor dit model te kiezen is beschreven in hoofdstuk 5. In dit hoofdstuk zal alleen dit laatste model in meer detail worden beschreven. 3.6.1 Opbouw van BCM-volwassenheidsmodel Figuur 4: BCM volwassenheidsmodel (Naomi Smit, 2005, p. iv) Het BCM-volwassenheidsmodel van Smit is destijds ontwikkeld in 2005 met de volgende opbouw: Figuur 5: Opbouw BCM-volwassenheidsmodel (Smit 2005) Op basis van literatuuronderzoek is een concept model van een BCM volwassenheidsmodel opgesteld (initial model). Deze is vervolgens door een focus groep van BCM specialisten beoordeeld. De feedback hiervan is verwerkt in het model. Op basis van het model is een markt scan uitgevoerd bij 30 verschillende organisaties door middel van interviews. Dit heeft geresulteerd in een Final Model. Bij dit model is een QuickScan opgesteld. Ook is er een aanbeveling gedaan om een benchmark uit te voeren op basis van het BCM-volwassenheidsmodel. Van een organisatie wordt verwacht dat deze veerkrachtig genoeg is om een crisis te doorstaan zodra level 4 is behaald. Met de Quickscan kan de BCM-volwassenheid van een organisatie bepaald worden. Bij elk level is op elke scope een aantal characteristic s besproken. Bij elke Characteristic zijn objectives beschreven met de bijbehorende Requirements. Deze Requirements zijn meetbaar en kunnen als Pagina 11
eisen worden gebruikt. Hier is de QuickScan op gebaseerd. De Quickscan kan als Benchmarktool gebruikt worden in dit onderzoek. Figuur 6: Opbouw Characteristic, Objectives en Requirements Het BCM-volwassenheidsmodel bestaat uit 59 characteristic s. Bij elk van deze characteristic horen nog 1 tot 4 objectives. Aan een objective hangen weer 1 tot 4 requirement s. Bij elkaar zijn dit ongeveer 150 requirement s welke omgezet zijn tot stellingen, waarbij de context van deze stellingen ook doorgesproken moet worden. Pagina 12
4. Onderzoekspopulatie De onderzoeksgroep voor dit onderzoek zijn Nederlandse ziekenhuizen. Deze groep kan verder verdeeld worden in drie categorieën. Deze zijn: Algemene ziekenhuizen Een algemeen ziekenhuis is meestal een klein ziekenhuis dat basiszorg levert en de beschikking heeft over spoedeisende hulp, operatiekamers, polikliniek en intensive-care. Topklinische ziekenhuizen Topklinische ziekenhuizen voeren dezelfde taken uit als een Algemeen ziekenhuis. Daarnaast wordt er gewerkt aan toegepast wetenschappelijk onderzoek en innovatie. Ook het opleiden van medisch personeel is een activiteit van een Topklinisch ziekenhuis. Universitaire medische centra Universitaire medische centra gaan nog een stap verder dan Topklinische ziekenhuizen. Naast zorg is wetenschappelijk onderzoek op specialistische gebieden het belangrijkste wat er wordt uitgevoerd. Dit zijn de grootste organisaties in het onderzoek. De drie type ziekenhuizen zijn in twee federaties verenigd. Alle Universitaire medische centra zijn vertegenwoordigd in de Nederlandse Federatie van Universitaire Medische Centra (NFU). Alle Topklinische en Algemene ziekenhuizen zijn vertegenwoordigd in de Nederlandse Vereniging van Ziekenhuizen (NVZ). Toezichthouder De toezichthouder voor de gezondheidszorg is de Inspectie voor de Gezondheidszorg (IGZ), onderdeel van het Ministerie van Volksgezondheid, Welzijn en Sport. Daarnaast is het College Bescherming Persoonsgegevens betrokken met de wet bescherming persoonsgegevens. De standaard voor informatiebeveiliging in de zorg (NEN 7510) wordt gebruikt als referentie kader bij audits. Zo heeft de IGZ in overleg met de NVZ in 2010 een deel van de NEN 7510 opgesteld als auditvereiste voor een audit bij alle Nederlandse ziekenhuizen. De NVZ heeft vervolgens een aantal organisaties geaccrediteerd om deze audit uit te voeren. De betreffende audit stelde aan continuïteit een schaal van 1 tot 4. Een 2 was nodig om de minimale vereisten van de audit te halen. De IGZ verwachte wel dat de ziekenhuizen er naar streven om uiteindelijk de 4 te halen. In het jaar 2011 waren er 91 ziekenhuizen in Nederland. Hiervan waren er 8 Universitaire medische Centra, 28 Top Klinische ziekenhuizen en 55 Algemene ziekenhuizen (Stichting Dutch Hospital Data, 2013). Pagina 13
5. Constructie van het model Er is gekozen om het onderzoek uit te voeren met het model van Naomi Smit. Deze keuze is gemaakt met de volgende overwegingen: Het model werkt sector en organisatie onafhankelijk Het model is simpel communiceerbaar Het model geeft een organisatie handvatten om een strategie op het gebied van BCM te ontwikkelen Het model is gebaseerd op theorie en best practices zodat er een aansluiting is op de praktijk Een nadeel van deze keuze is dat het model geen gebruik maakt van de eerder gestelde BCM definitie (hoofdstuk 3.2 ). Ook is het model redelijk verouderd. Daarom zijn er een aantal verbeteringen doorgevoerd op het model. Deze verbeteringen zijn het resultaat van een literatuurstudie en interviews met experts op het gebied van BCM. Niet alle herzieningen voor het model zijn doorgevoerd door een beperking in tijd. Deze zijn doorgeschoven naar aanbevelingen voor vervolgonderzoek. Het model is toegevoegd in de bijlagen (hoofdstuk 11.1 ) 5.1 Definitie BCM herzien Het BCM-volwassenheidsmodel is gebaseerd op de volgende definitie van BCM: Business Continuity Management encompasses the management process that aims to prevent severe disruptions in the business and to protect critical processes against the consequences of disruptions or disasters. (Naomi Smit, 2005) De scope van BCM vandaag de dag is veranderd t.a.v. deze definitie. Uit de praktijk blijkt dat bijna iedere organisatie een set aan preventieve beveiligingsmaatregelen treft. Cazemier, Leegwater & Ploeg (2010) beschrijven de preventieve maatregelen als: randvoorwaarde, voordat het daadwerkelijke BCM-werk begint. Voorbeelden van deze randvoorwaarde voor BCM zijn brandmeldsystemen, afspraken over uitwijk van kritieke bedrijfsprocessen, wegwerken van single points of failure uit de ICT infrastructuur maar ook een infrastructuur voor BCM. Dit onderzoek maakt niet gebruik van exact dezelfde definitie waarmee het BCMvolwassenheidsmodel is ingericht. Daarom zijn de volgende punten van het BCMvolwassenheidsmodel aangepast, zodat de definitie, gebruikt in dit onderzoek, van toepassing is op het BCM-volwassenheidsmodel. De definitie van BCM gebruikt in deze scriptie (hoofdstuk 3.2 ) heeft een mindere focus op preventieve maatregelen. Hierdoor vallen de volgende punten uit het model, omdat deze niet meer binnen de nieuwe definitie vallen: o 2.2B.vi BHV plan o 2.2.D.i BHV plans BU's tuned 5.2 Missend 0-level voor benchmark Niet alle organisaties zijn in het BCM-volwassenheidsmodel te vatten. Het model stelt op het laagste level een aantal restricties. Indien een organisatie hier niet aan voldoet is de organisatie niet te plaatsen in het model. Het BCM-volwassenheidsmodel is deels gebaseerd op het Capability Matuirty Model van Paulk (1993). In dit volwassenheidsmodel zijn op het laagste level geen restricties opgelegd. Zo zijn alle organisaties te plaatsen. Voor een benchmark lijkt het onwenselijk om organisaties niet in te kunnen schalen. Dit omdat het de suggestie wekt dat een organisatie niet Pagina 14
getoetst is, of dat er impliciet ook niet aan BCM wordt gedaan. Om dit probleem op te lossen is er een 0-level toegevoegd, genaamd impliciet. Aan dit level zijn geen restricties opgesteld. Voor het woord impliciet is gekozen omdat dit ook wel stilzwijgend betekent en omdat dit een tegenstelling is van eisen uit het opvolgend level. 5.3 Relatie tot BCMS De systeem standaard voor BCM, genaamd BCMS, heeft een duidelijke relatie met de PDCA cirkel (Hiles, 2011).Deze standaard is vastgelegd in ISO 22301. Men heeft er voor gekozen om dit kwaliteitssysteem toe te passen omdat dezelfde aanpak heeft als andere ISO standaarden. De PDCA cirkel is veel toegepast in kwaliteitsmanagement. Het kan voor herkenbaarheid voordelen opleveren door deze te koppelen aan het BCM-volwassenheidsmodel. Dit is een goede toevoeging en daarom ook doorgevoerd in het model. Pagina 15
6. Onderzoeksmethode Benchmark tool toepasbaar maken Benchmark tool en model toepassen in de praktijk Benchmark data verwerken Figuur 7: Opzet onderzoeksmethode 6.1 Benchmarktool toepasbaar maken De QuickScan lijkt met 150 stellingen niet praktisch hanteerbaar om toe te passen in dit onderzoek, omdat op deze stellingen ook doorgevraagd moet worden. Om dit probleem op te lossen moet er gezocht worden naar een andere opzet. Er is daarom gekozen voor een andere opzet voor de interviews. Daarvoor is er een benchmarktool ontwikkeld. Uitgangspunten benchmarktool Aan de nieuwe benchmarktool zijn de volgende eisen opgesteld: De tool moet in maximaal 1 uur een inschatting kunnen geven. (Het is voor de geïnterviewde vaak moeilijk om meer dan één uur vrij te maken voor een interview.) Doorvragen op antwoorden. Vragen dienen gevalideerd te worden door een meer gedetailleerde achtergrondbeschrijving te geven. Het interview moet een inschatting geven voor het BCM-volwassenheidsmodel van Smit (2005) door aan te sluiten op een aantal objectives van het model. Opzet Benchmarktool De benchmarktool heeft een nieuwe structuur. Deels wordt er nog wel gebruik gemaakt van de QuickScan. Algemene informatie Zoeklicht Inschattings vragen Controlevragen Figuur 8: opzet interview De benchmark interviews zijn opgezet in 4 delen, waarvan de laatste niet verplicht is. Deze opzet is beschreven in Figuur 8. Pagina 16 1. Algemene vragen. Het eerste deel van het interview verzamelt algemene informatie over de organisatie en een aantal algemene vragen over BCM in de organisatie. 2. Zoeklicht. Dit deel stelt vragen over BCM met betrekking tot het BCMvolwassenheidsmodel. Deze vragen zijn gebaseerd op het BCM-volwassenheidsmodel. Een vraag uit het volwassenheidsmodel dekt vaak meerdere eisen van het BCMvolwassenheidsmodel. Dit deel van het interview geeft ruw een schatting van het behaalde level van de organisatie op het model. Antwoorden worden gevalideerd door subvragen welke doorvragen op een onderwerp. Voor de zoeklichtvragen zijn de belangrijkste objectives van het BCM volwassenheidsmodel gebruikt. Hieronder vallen objectives die
gerelateerd zijn aan een BCMS. 3. Inschattingsvragen. Het deel Zoeklicht geeft een grove indicatie van de stand van zaken van BCM in de organisatie. Deze grove indicatie wordt gevalideerd in dit deel van het interview. In dit deel wordt namelijk het level waar de grove schatting op uitkomt gerevalideerd door alle eisen van dit deel te valideren. Hierbij wordt ede quickscan gebruikt. Ook is in dit onderdeel gevraagd aan de geïnterviewde welk BCM-volwassenheidslevel de organisatie heeft. 4. Controlevragen. Per level van het BCM-volwassenheidsmodel zijn er controlevragen opgesteld. Indien er na de inschattingsvragen nog twijfel bestaat over het behalen van een volwassenheidslevel kunnen de controlevragen gebruikt worden om deze twijfel weg te nemen. Hierna kan besloten worden of er nog inschattingsvragen van een nog niet getoetst level gebruikt moeten worden. Benchmarktool valideren bij experts In het onderzoeksplan was opgenomen om een focusgroep te organiseren. Dit was echter niet te plannen in het korte tijdsbestek van dit onderzoek. Daarom is hiervan afgeweken en is er besloten om deze te vervangen door losse interviews met de experts. In totaal hebben 3 BCM experts van VKA, 1 Chief Information Security Officer uit de zorg, 1 Business Continuity Manager van een grote overheidsorganisatie en 1 Security Officer van een post organisatie de benchmarktool in een interview gereviewd. De feedback die hierbij gegeven werd is verwerkt tot de uiteindelijke versie van de tool. De benchmarktool is toegevoegd in de bijlagen (hoofdstuk 11.2 en hoofdstuk 11.3 ). 6.2 Benchmarktool en model toepassen in de praktijk 6.2.1 Onderzoeksgroep Van de 91 ziekenhuizen in Nederland zijn er 28 benaderd om deel te nemen aan het onderzoek. Deze ziekenhuizen zijn op 3 manieren benaderd. Namelijk: via een oproep van een overleg orgaan tussen Topklinische ziekenhuizen, via bestaande relaties van VKA en via een directe benadering (het algemeen telefoonnummer van het ziekenhuis en e-mail). In totaal zijn er 14 ziekenhuizen meegenomen in het onderzoek. Dit zijn 5 Universitaire medische centra, 6 Top klinische ziekenhuizen en 4 algemene ziekenhuizen. Bij deze ziekenhuizen is een interview afgenomen met de verantwoordelijke voor het uitvoeren van BCM in de organisatie. Aangezien ziekenhuizen zelf de vrijheid hebben om hun organisatie in te richten zijn de gesprekken met medewerkers geweest met verschillende titels. Voorbeelden hiervan zijn Chief Information Security Officer, Stafadviseur informatiebeveiliging, Manager ICT, Security Officer, crisis coördinator en Manager Ontvangst, Service & beveiliging. Alle geïnterviewde rapporteren vanuit hun functie aan de Raad van Bestuur. Van de 28 ziekenhuizen hebben er daadwerkelijk 14 deelgenomen aan het onderzoek. Van de overige 13 ziekenhuizen gaven er 3 aan dat de verantwoordelijke voor BCM op vakantie was, 3 gaven aan het te druk te hebben voor een interview, was het bij 1 ziekenhuis niet mogelijk om een verantwoordelijke voor BCM te vinden (buiten de raad van bestuur), hebben 5 ziekenhuizen niets van zich laten horen en heeft 1 ziekenhuis aangegeven geen relatie met de Universiteit van Amsterdam en ook geen relatie met VKA te hebben en daarom geen kritieke bedrijfsinformatie te willen delen. Een interview kon door vakanties niet op tijd gepland worden en is daarom niet meegenomen in het onderzoek maar heeft wel plaatsgevonden. Pagina 17
6.2.2 Interview De interviews zijn uitgevoerd door twee interviewers. Vanuit VKA is er een begeleider mee geweest. Vooraf is gegarandeerd dat de informatie uit het interview vertrouwelijk en anoniem wordt verwerkt en behandeld. De namen van ziekenhuizen zijn vervangen door termen uit het NATO alfabet. Elk interview is volgens een vaste procedure uitgevoerd waarbij de benchmarktool leidend was. Elk interview duurde ongeveer een uur en was voldoende om de procedure te doorlopen. Gedurende het interview liep een bandrecorder mee, werd de benchmarktool ingevuld en werden losse aantekeningen gemaakt. Een risico voor de validiteit van het onderzoek hierbij is dat het niet kan worden geborgd dat de geïnterviewde correcte data levert over de organisatie. De data is ook gebaseerd op antwoorden van een interview van slechts een uur. Echter ontstaat er wel een beeld van de volwassenheid van BCM in de organisatie. In een ideale situatie zouden de interviews worden teruggekoppeld. Dit is wegens de beperkte tijd nog niet uitgevoerd, maar is verplaatst naar een later moment. 6.3 Benchmark data verwerken Alle interviews zijn achteraf nog beluisterd en opgeslagen in Survey Monkey. Survey Monkey is een tool voor online questionnaires. Door de data op te slaan in Survey Monkey zijn alle resultaten in een eenduidig formaat opgeslagen. Survey Monkey wordt veel gebruikt voor diverse soorten onderzoeken (SurveyMonkey, 2013). Vanuit Survey Monkey is de data geëxporteerd naar een Excel formaat. De data is vervolgens gebruikt in een Excel spreadsheet om weer te geven aan welk level voldaan is conform de zoeklicht vragen en de inschattingsvragen uit het interview. 6.3.1 Zoeklichtvragen analyseren De zoeklichtvragen zorgen er voor dat er een ruw beeld gevormd kan worden van de volwassenheid van BCM bij een organisatie. De vragen zijn gebaseerd op de Objectives van het BCMvolwassenheidsmodel. Er is een selectie gemaakt van de meest belangrijke objectives op basis van een interview met een BCM expert van VKA. Hierdoor zijn bepaalde objectives niet gemeten. De behaalde objectives geven een indicatie van de behaalde Characteristic en het bijbehorende level. Figuur 9: Vragen interview gescoord op objectives van het BCM-volwassenheidsmodel. (overgenomen uit hoofdstuk 11.5 ) Pagina 18
6.3.2 Inschattingsvragen analyseren Bij de inschattingsvragen zijn de Requirements conform het model gekoppeld aan Characteristic s (via objectives). Een objective wordt als gehaald beschouwd (gecodeerd als Waar in de tabel) indien alle onderliggende requirements voor minimaal 80% zijn behaald.. Figuur 10: Relatie Characteristic, objectives, requirements 6.3.3 Combinatie zoeklichtvragen, inschattingsvragen en inschatting organisatie De resultaten van de zoeklichtvragen(in de afbeelding Interview) en de inschattingsvragen(in de afbeelding Model) geven samen een beeld van de BCM-volwassenheid. Door een kwalitatieve inschatting is vervolgens een behaald level te bepalen. Figuur 11: Een deel van een Excel weergave van het BCM-volwassenheidsmodel.(Overgenomen uit hoofdstuk 11.4 ) Pagina 19
Het combineren van informatie uit de zoeklichtvragen (in Figuur 11 vermeld als Interview) en de inschattingsvragen (in Figuur 11 vermeld als Model) geven samen een beeld van de BCMvolwasssenheid van een organisatie. In de weergave wordt ook aangegeven in hoe verre dit overeen komt met de inschatting die de geinterviewde had. Een level is hierbij behaald als minimaal 80% van de zoeklichtvragen en minimaal 2/3 van de objectives zijn behaald. 7. Resultaten 7.1 Resultaten per ziekenhuizen De resultaten van de BCM-volwassenheid van de ziekenhuizen worden in dit hoofdstuk per ziekenhuis besproken. De resultaten zijn terug te vinden in de bijlagen (hoofdstuk 11.4 ). Alpha (Top klinisch ziekenhuis, Omzet: 250-500 miljoen, Aantal bedden: 500-750) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 0, Organisation focus 0, Chain focus 0 en Intergrated focus 0. Er is geen meetbaar initiatief gericht op BCM. Dit blijkt niet uit de resultaten van het interview, maar wel uit de resultaten van het model. In de organisatie zijn wel BCM aspecten gesignaleerd. Dit kan impliceren dat een snelle verbeterslag van de BCM-volwassenheid mogelijk is. De inschatting van de organisatie zelf is sterk afwijkend met de inschatting van het model. De kwaliteit van BCM is in dit ziekenhuis onvoldoende. Bravo (Top klinisch ziekenhuis, Omzet: 250-500 miljoen, Aantal bedden: 500-750) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 5, Chain focus 5 en Intergrated focus 5. De organisatie is voldoende BCM-volwassen. De organisatie heeft nog deels een uitdaging op het gebied van audits van het BCM. Vandaar dat op level 5 voor 2/3 deel aan de eisen is voldaan. De inschatting van de organisatie komt aardig overeen met de inschatting van het model. Charlee (Universitair ziekenhuis, Omzet: 750-1000 miljoen, Aantal bedden: 500-750) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 0, Chain focus 0 en Intergrated focus 0. Er zijn wel initiatieven in de organisatie aanwezig zoals een crisisteam en oefeningen met betrekking tot de continuïteit. Het probleem voor deze organisatie is dat een aantal essentiële plannen op het gebied van BCM missen. Ook beschikt de organisatie niet over een goed gekeurd BCM beleid. De BCM-volwassenheid is te laag. Wel zijn er implicaties dat met relatief weinig moeite de volwassenheid van BCM verhoogd kan worden naar een acceptabel level. De inschatting van de organisatie is sterk afwijkend met de inschatting van het BCM model. Pagina 20
Delta (Universitair ziekenhuis, Omzet: 1000-1250 miljoen, Aantal bedden: 1250-1500) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 4 en Intergrated focus 4. De organisatie is voldoende BCM-volwassen. De inschatting van het BCM volwassenheidsmodel komt aardig overeen met de inschatting van de organisatie zelf. Echo (Top klinisch ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 500-750) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 0, Chain focus 0 en Intergrated focus 0. Het BCM initiatief is beperkt tot de Facility focus. Door de afhankelijkheid met andere focussen van het model kan ook geen hoger level behaald worden. De BCM-volwassenheid is te laag. Wel zijn er initiatieven zichtbaar op andere level. Zo worden er wel bepaalde testen uitgevoerd. De inschatting van de organisatie is op de organisation focus sterk afwijkend met de resultaten van de benchmarktool. Dit is interessant aangezien er is aangegeven in het interview dat er geen initiatief is op het gebied van de Organisation focus, Chain focus en Intergrated focus. Foxtrot (Top klinisch ziekenhuis, Omzet: 250-500 miljoen, Aantal bedden: 500-750) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 1, Chain focus 1 en Intergrated focus 1. De organisatie was tijdens de meting bezig met een initiatief om het BCM te verbeteren, waarbij de Chain focus en de Intergrated focus buiten beschouwing zijn gelaten. De organisatie heeft recent een BIA uitgevoerd. De bijbehorende essentiële plannen onvoldoende opgesteld. De BCM-volwassenheid is te laag. Wel zijn er initiatieven zichtbaar op andere levels. De inschatting van de organisatie komt aardig overeen met de inschatting van de benchmarktool en het model. Golf (Universitair ziekenhuis, Omzet: 500-750 miljoen, Aantal bedden: 500-750) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 3 en Intergrated focus 3. De organisatie heeft nog wel een uitdaging op het gebied van Awareness op level 4. Hierdoor is 1/3 van de characteristics niet voldoende. Pagina 21
De inschatting van de organisatie zelf op het gebied van de Intergrated focus is sterk afwijkend met de inschatting van de benchmarktool. Voor de overige onderdelen komt deze aardig overeen. Hotel (Algemeen ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 0-250) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 3 en Intergrated focus 2. De Intergrated focus is lager doordat er geen integrale afspraken zijn gemaakt tussen onderdelen van de organisatie. De organisatie heeft nog wel een uitdaging op het gebied van Awareness op level 4. Hierdoor is 1/3 van de characteristics niet voldoende. De verwachtingen van de organisatie komt op de Intergrated focus na aardig overeen met de uitkomst van het model en de benchmarktool. India (Algemeen ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 250-500) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 0, Chain focus 0 en Intergrated focus 0. De inschatting van de organisatie komt aardig overeen met de inschatting van het model en van de benchmarktool. Juliet (Algemeen ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 250-500) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 0, Chain focus 0 en Intergrated focus 0. De inschatting van de organisatie komt aardig overeen met de uitkomst van het model en de tool, op de inschatting van de Organisation focus na. Kilo (Universitair ziekenhuis, Omzet: 750-1000 miljoen, Aantal bedden: 1000-1250) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 3, Organisation focus 3, Chain focus 3 en Intergrated focus 3. De organisatie scoort geen volwaardige 4 omdat er niet voldoende geoefend en getest wordt met het BCM. De inschatting van de organisatie komt aardig overeen met de uitkomsten van het BCM model en de benchmarktool. Pagina 22
Lima (Top klinisch ziekenhuis, Omzet: 250-500 miljoen, Aantal bedden: 500-750) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 3 en Intergrated focus 4. De inschatting van de organisatie komt overeen met de uitkomsten van het model. Mike (Algemeen ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 250-500) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 4 en Intergrated focus 3. De inschatting van de organisatie komt overeen met de uitkomsten van het model. November (Universitair ziekenhuis, Omzet: 500-750 miljoen, Aantal bedden: 0-250) Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 5, Organisation focus 5, Chain focus 5 en Intergrated focus 5. De inschatting van de organisatie is op de Organisation focus, Chain focus en Intergrated focus sterk verschillend met de inschattingen van het model. De organisatie heeft op level 5 nog een uitdaging liggen op het gebied van het beheerproces van BCM. 7.2 Resultaten van de sample 7.2.1 Overzicht ziekenhuizen De BCM-volwassenheidslevels zijn samengevat in een overzicht. Dit geeft een beeld van de BCM volwassenheid tussen de verschillende ziekenhuizen. Ook is hierbij de geanonimiseerde naam, het type en een gegroepeerde grootte van het ziekenhuis meegenomen. Pagina 23
Samengevat is de volgende tabel op te bouwen met de informatie van de ziekenhuizen: Naam Type ziekenhuis Omzet Aantal bedden A. Facility focus B. Org. focus C. Chain focus D. Intergrated focus November Universitair 500-750 0-250 5 5 5 5 Bravo Top Klinisch 250-500 500-750 4 5 5 5 1000-1250- Delta Universitair 1250 1500 4 4 4 4 Mike Algemeen 0-250 250-500 4 4 4 3 Golf Universitair 500-750 500-750 4 4 3 3 Hotel Algemeen 0-250 0-250 4 4 3 3 Lima Top Klinisch 250-500 500-750 4 4 3 4 750-1000- Kilo Universitair 1000 1250 3 3 3 3 Foxtrot Top Klinisch 250-500 500-750 1 1 1 1 750- Charlee Universitair 1000 500-750 1 0 0 0 Echo Top Klinisch 0-250 500-750 1 0 0 0 India Algemeen 0-250 250-500 1 0 0 0 Juliet Algemeen 0-250 250-500 1 0 0 0 Alpha Top Klinisch 250-500 500-750 0 0 0 0 7 ziekenhuizen (50%) hebben volgens het BCM-volwassenheidsmodel voldoende veerkracht om een crisissituatie te doorstaan. De overige ziekenhuizen komen veerkracht te kort. Wat verder opvalt is dat: De behaalde levels zijn met elkaar verweven. Verschillen tussen levels in een ziekenhuis zijn maar 1 level. Er is geen verschil tussen de BCM-volwassenheid van universitaire medische centra, top klinische ziekenhuizen en algemene ziekenhuizen te constateren. Er is geen relatie tussen de volwassenheid van BCM en de grootte van een ziekenhuis. 7.3 Overige resultaten Naast de resultaten die het model levert zijn er ook nog andere relevante resultaten gevonden. 10 ziekenhuizen (71%) beschouwen BCM als een operationele activiteit. 3 ziekenhuizen (21%) beschouwen BCM als een programma. 1 ziekenhuis (7%) beschouwd BCM als een project. 4 ziekenhuizen (29%) zijn in de afgelopen 8 jaar negatief in het nieuws geweest met betrekking tot de continuïteit van de organisatie. Alle ziekenhuizen zijn in 2010 door de audit (gebaseerd op een deel van NEN 7510) heen gekomen. 2 ziekenhuizen (14%) hiervan hebben een tweede poging nodig gehad. Bij alle ziekenhuizen wordt de Raad van Bestuur aangewezen als eind verantwoordelijke voor BCM. Bij alle ziekenhuizen heeft het BCM initiatief een focus op ICT. Pagina 24
Bij 13 ziekenhuizen (93%) heeft het BCM initiatief een focus op de kritieke processen van de organisatie. Bij 10 ziekenhuizen (71%) heeft het BCM initiatief een focus op leveranciers. Bij 9 ziekenhuizen (64%) heeft het BCM initiatief een focus op de integrale samenhang van de organisatie. Bij alle ziekenhuizen is een crisismanagement team opgericht. 11 ziekenhuizen (79%) hebben een goedgekeurd BCM beleid. Bij 12 ziekenhuizen (86%) beschouwen medewerkers van ICT BCM als een vanzelfsprekend onderdeel van het werk. Bij 8 ziekenhuizen (57%) beschouwen medewerkers die betrokken zijn bij de kritieke bedrijfsprocessen BCM als een vanzelfsprekend onderdeel van het werk. Bij 11 ziekenhuizen (79%) beschouwt het management BCM als een vanzelfsprekend onderdeel van het werk. 9 ziekenhuizen (64%) houden snel veranderende informatie (relevant in crisistijd) voortdurend bij. 12 ziekenhuizen (86%) weten wat hun kritieke processen zijn. o Deze ziekenhuizen weten van welke ICT de kritieke processen afhankelijk zijn. o 10 ziekenhuizen weten van welke leveranciers hun kritieke processen afhankelijk zijn. 2 ziekenhuizen (14%) weten niet van welke faciliteiten zij afhankelijk zijn. 12 ziekenhuizen (86%) houden oefeningen waar BCM ook bij betrokken wordt. Zij houden de volgende type oefeningen: o 8 ziekenhuizen testen op papier o 7 ziekenhuizen doen aan coldtesten o 6 ziekenhuizen testen in productie o 3 ziekenhuizen testen integraal Voor de oefeningen worden de volgende frequenties gebruikt: o 6 ziekenhuizen eens per half jaar o 5 ziekenhuizen eens per jaar o 1 ziekenhuis 2-jaarlijks Bij 8 ziekenhuizen (57%) is BCM een standaard onderdeel van de afdeling inkoop 5 ziekenhuizen(36%) herevalueren de inrichting van BCM niet 7 ziekenhuizen(50%) voeren bewust controles uit op de inrichting van BCM 3 ziekenhuizen(21%) voeren alle beheeractiviteiten uit conform planning 6 ziekenhuizen(43%) voeren benchmarks uit (alle universitaire + 1 top klinische) Pagina 25
8. Conclusies 8.1 Inzicht krijgen in de volwassenheid van BCM in de zorg Met de benchmarktool zijn de ziekenhuizen gescoord op het BCM-volwassenheidsmodel. Dit heeft een beeld gecreëerd waarin duidelijk is geworden dat 7 ziekenhuizen (50%) voldoende veerkracht hebben door minimaal level 4 te scoren, en 7 ziekenhuizen (50%) te weinig veerkracht hebben omdat zij onder level 4 scoren. 8.1.1 Ziekenhuizen met minimaal level 4 De 7 ziekenhuizen, die mimimaal level 4 hebben behaald, zien BCM als een operationele activiteit, hebben een Business Impact Analyse uitgevoerd, maatregelen geïmplementeerd, testen of oefenen deze en verwerken de resultaten van testen of oefeningen tot initiatieven ter verbetering van het BCM. Hiermee is een PDCA cirkel doorlopen. Waar deze groep ziekenhuizen op verschilt, is het uitvoeren van audits, beheer van het BCM en awareness van BCM in de organisatie. 8.1.2 Ziekenhuizen onder level 4 De 7 ziekenhuizen, die een level lager dan level 4 hebben behaald, varieert sterk in initiatieven op het gebied van BCM. In deze groep springt één ziekenhuis er uit als randgeval. Dit ziekenhuis (Kilo) heeft erg veel initiatieven op het gebied van BCM, alleen oefent en test dit ziekenhuis onvoldoende. De overige ziekenhuizen scoren bijzonder laag op BCM-volwassenheid. Zo hebben 5 van de 7 ziekenhuizen een analyse uitgevoerd, waarmee zij weten van welke faciliteiten de kritieke processen afhankelijk zijn. Slechts 3 van deze 7 ziekenhuizen hebben hierbij ook gekeken naar de afhankelijkheden van leveranciers. En 2 ziekenhuizen hebben ook afspraken gemaakt in het kader van BCM met leveranciers. Bij 1 van deze 7 ziekenhuizen wordt BCM standaard meegenomen in verandertrajecten. Als mogelijke oorzaak voor de laag behaalde levels lijkt aannemelijk dat de focus van het BCM te veel ligt is op de continuïteit van ICT en niet de continuïteit van de kritieke processen van de organisatie. Zo hebben slechts 2 van de 7 ziekenhuizen na een Business Impact Analyse maatregelen getroffen op het gebied van de chain focus. Voor de Facility focus (ICT) hebben 5 ziekenhuizen maatregelen getroffen. Dit wekt de indruk dat BCM bij deze ziekenhuizen niet verder gaat dan de scope van informatiebeveiliging. Interessant is dat alle onderzochte ziekenhuizen de audit van de IGZ, gebaseerd op de NEN 7510, op een voldoende niveau hebben afgerond in 2010 (zie hoofdstuk 4. ). Dit onderzoek laat zien dat de audit uit 2010 onvoldoende grondslag biedt om vertrouwen te kunnen hebben in de veerkracht van de onderzochte organisaties. De audit uit 2010 verdient een bijstelling op het gebied van continuïteit. 8.1.3 Sector Bij de onderzochte ziekenhuizen is 50% voldoende veerkrachtig om een crisis op het gebied van de continuïteit te doorstaan. Aangezien de continuïteit van primaire bedrijfsprocessen, gezien de aard van de organisatie, een essentieel onderdeel hoort te zijn van de bedrijfsvoering lijkt het er op dat er nog een grote verbeterslag gemaakt moet worden. Pagina 26
8.2 Hanteerbaar Benchmarktool Het toepassingsinstrument is in de toepassing hanteerbaar gebleken. Het heeft een beeld kunnen schetsen van de BCM-volwassenheid. Er is door gebruik van de tool een duidelijk verschil geconstateerd in de BCM-volwassenheid. Naast het feit dat de Benchmarktool ons in staat heeft gesteld om een beeld van de BCMvolwassenheid in de zorg te geven, zijn er ook een aantal kanttekeningen te maken over de tool. Verschil uitkomst tool en inzicht ziekenhuis Bij 6 van de 14 ziekenhuizen (43%) verschilde de uitkomst van de benchmarktool twee of meer levels met de inschatting van de organisatie. Dit kant te wijten zijn aan de communiceerbaarheid van de tool, omdat de organisatie alleen maar bekend is met een highlevel omschrijving van de tool. Een andere mogelijkheid is dat de tool een vertekende inschatting geeft. Level 2 op intergrated focus niet voldoende getoetst De inschattingsvragen van de Benchmarktool toetsen de meest essentiële onderdelen van een BCM implementatie. Op de intergrated focus is het niet mogelijk om op level 3 een inschatting te geven door middel van alleen de inschattingsvragen. Als dit toegevoegd zou worden, dan zouden de inschattingsvragen op elke level en op elke focus een nauwkeurige inschatting kunnen geven. Zoeklichtvragen geven een rooskleurig beeld Wat is opgevallen bij de analyse van de data is dat de resultaten van de zoeklichtvragen een hogere inschatting geven dan de resultaten van de inschattingsvragen. Dit is deels te verklaren door het feit dat de inschattingsvragen op meer Requirements toetsen. 8.3 Hanteerbaar BCM volwassenheidsmodel Het BCM-volwassenheidsmodel is in het onderzoek hanteerbaar gebleken. Het is mogelijk om, doormiddel van de Benchmarktool, op het model de verschillen tussen organisaties aan te geven. Het BCM-volwassenheidsmodel zal in de terugkoppeling richting ziekenhuizen gebruikt worden om een strategie ter verbetering van het BCM op te stellen. Interessant was dat de eerste scope van het model, Facility focus, ook de hoogste scores heeft gehaald. Dit toont aan dat het model aansluit op de sector. Het gebruik van dit model heeft aangetoond dat het mogelijk is om een sector en een organisatie generiek model te gebruiken om BCM volwassenheid te benchmarken. Pagina 27
9. Aanbevelingen Hoewel dit onderzoek laat zien dat BCM nog verder ontwikkeld kan worden is met dit onderzoek uiteraard geen antwoord gegeven op alle mogelijke relevante vragen met betrekking tot dit onderwerp. In deze sectie wordt een aantal suggesties gedaan voor vervolgonderzoek. 9.1 Toepassen van het model in een andere sector In dit onderzoek is BCM gebenchmarkt in een sector waar informatie verwerking niet tot een primair proces van de organisatie behoord. Het zou interessant zijn om te onderzoeken wat de uitkomsten zijn bij een sector waar dit wel het geval is. Ook zou het interessant zijn om een sector te benchmarken waar continuïteit niet direct tot de aard van de organisatie behoort. 9.2 Verbeteringen BCM-volwassenheidsmodel Er zijn een aantal verbeterpunten te definiëren voor de benchmarktool en voor het BCMvolwassenheidsmodel. Lean BCM Het BCM-volwassenheidsmodel is niet afgestemd met nieuwe BCM ontwikkelingen als Lean BCM. Daarom is het relevant om het model af te stemmen met deze nieuwe ontwikkelingen door de toepassing van het BCM-volwassenheidsmodel toe te passen op organisaties waar Lean BCM is toegepast. Uitgangspunt Facility focus of Organisation focus Het goed integreren van de verschillende focussen van het model is essentieel voor de werking van BCM. Deze uitdaging is niet alleen voor BCM van toepassing. Henderson en Venkatraman (1993) herkennen dit probleem ook op de integratie van ICT en business in het algemeen. Zij stellen dat het onvermogen om waarde te creëren uit een IT investering deels te wijten is aan het missen van een goede afstemming tussen de ICT en business strategie (Henderson & Venkatraman, 1993, p. 472). Om duidelijk te maken hoe deze integratie kan verlopen, stellen zij het Strategic Alignment model voor. Dit model schetst een aantal mogelijkheden om strategieën te integreren. Hierbij kan business of IT de driver zijn om strategieën te integreren. Vanuit het oogpunt van BCM zou de organisatie, beschreven in de Organisation focus, de driver van BCM moeten zijn omdat deze de kritieke processen bevat. Voor het model zou het dus ook beter zijn om de Organisation focus als startpunt te nemen in plaats van de facility focus. 9.3 Verbeteringen Benchmarktool Bij het toepassen van de Benchmarktool zijn een aantal kanttekeningen geplaatst over de werking van de benchmarktool. Hier dient een verbeterslag gemaakt te worden. De geïdentificeerde issues zijn: Verschil uitkomst tool en inzicht ziekenhuis De inzichten van de ziekenhuizen verschillen in 43% van de onderzochte ziekenhuizen sterk met de uitkomst van de BCM benchmark. Vraag is hoe dit te verklaren is. Zoeklichtvragen geven een rooskleurig beeld. Voor vervolgstudie zou de vraag gesteld kunnen worden hoe dit verbeterd kan worden. Pagina 28
9.4 Aanpassen audit Dit onderzoek heeft laten zien dat de audit uit 2010 onvoldoende grondslag biedt om vertrouwen te kunnen hebben in de veerkracht van de onderzochte organisaties. De audit uit 2010 verdient een bijstelling op het gebied van continuïteit. Pagina 29
10. Referenties / bronnen Bundesamt für Sicherheit in der Informationstechnik (BSI). (2008). BSI-Standard 100-4 notfallmanagement. Bonn: Bundesamt für Sicherheit in der Informationstechnik (BSI). Cazemier, J. A. (2012). Britse standaard belemmert efficiënte invoering van BCM. informatiebeveiliging, 16-19. Cazemier, J. A., Leegwater, D., & Ploeg, J. (2010). Business Continuity Management; Weg van de gebaande paden. Den Haag: Sdu. Henderson, J., & Venkatraman, N. (1993). Strategic Alignment; Leveraging information technology for transforming organizations. IBM systems journal, 472-484. Herbane, B. (2010). The evolution of business continuity management: A historical review of practices and drivers. Business History, 52:6, 978-1002. Hiles, A. (2011). The definitive handbook of Business Continuity Management 3e edition. West Sussex, United Kingdom: Wiley. Moen, R., & Norman, C. (2012, September). Evolution of the PDCA Cycle. Opgehaald van Trilogy Program: http://kaizensite.com/learninglean/wp-content/uploads/2012/09/evolution-of- PDCA.pdf Naomi Smit, E. U. (2005). Master thesis BUSINESS CONTINUITY MANAGEMENT; A maturity model. NEN. (2012, november 30). Norm voor 'Business Continuïteit Management'. Opgehaald van NEN: http://www.nen.nl/nen-shop/vakgebieden/managementsystemen/nieuwsberichten- Managementsystemen/Norm-voor-Business-Continuiteit-Management.htm Paulk, M. C. (1993). Capability Maturity Model for Software, Version 1.1. Pittsburgh: Software Engineering Institute, Carnegie Mellon University. Ream, S. W. (2003, November). The Business Continuity Maturity Model. Opgehaald van http://www.idsemergencymanagement.com/common/paper/paper_108/scott%20ream%20 The%20Business.pdf Saint-Germain, R. (2005). Information Security Management Best Practice Based on ISO/IEC 17799. The Information Management Journal, 60-66. Stichting Dutch Hospital Data. (2013, Februari). Kengetallen Nederlandse Ziekenhuizen 2011. Opgehaald van Nederlandse Vereniging van Ziekenhuizen: http://www.nvzziekenhuizen.nl/_library/8221/kengetallen%20nederlandse%20ziekenhuizen%202011.pdf Pagina 30
11. Bijlagen 11.1 BCM-Volwassenheidsmodel 11.1.1 Highlevel model (PDCA) Plan Do Check & Act 0 Implicit 1 Initial 2 Planned 3 Implemented 4 Embedded 5 Controlled 6 Optimized B. Organisation D. Intergrated A. Facility focus focus C. Chain focus focus Interview Interview Interview Interview Pagina 31
11.1.2 Model met Objectives A. Facilty focus B.Organisation focus C. Chain focus D. Integrated focus [1] Only part internal assets on All internal assets on All internal assets and in- & BCM process of BU[2] which critical processes which critical processes outputs on which critical integrated/ tuned through the depend taken into account depend taken into processes depend taken into in BCM account in BCM account in BCM entire organization Plan 0. Implicit 1. Initial 2. Planned 1.Responsibilities BCM 2. BCM policy 1. BC analysis 2. BC plan 1.1A.i Responsibilities for continuity of the facility covered at least at highest management level for facility 1.2A.i Objectives regarding continuity of facility 2.1A.i BIA focused on facility 2.1A.ii Risk analysis focused on facility 2.1A.iii Continuity measures determined 2.2A.i BC plan for facility 2.2A.ii Disaster recovery plan for facility 2.2A.iii. Escalation plan for disaster recovery 1.1B.i Responsibility for BCM covered at management team level 1.2B.i Policy formulated by management team regarding BCM 2.1B.i BIA including all internal dependencies 2.1B.ii Risk analysis focused on internal assets 2.1B.iii BCM measures determined 2.2B.i BC plan 2.2B.ii Uitwijk & recovery plan 2.2B.iii Escalation plan 2.2B.iv Communication plan 1.1C.i Responsibility for BCM covered board level 1.2C.i BCM policy that takes external parties into account 2.1C.i BIA including all internal & external dependencies 2.1C.ii Risk analysis focused on internal assets and in-& outputs 2.2C.i. Plan including active participation of chain partners 1.1D.i Responsibility for BCM covered both at board level and the management team level within each BU 1.2D.i Policy of individual BU's integrated/ tuned 2.1D.i BIA of all BU's integrated/tuned 2.1D.ii Risk analysis of all BU's integrated/tuned 2.1D.iii BCM measures individual BU's tuned 2.2D.i Preventive plans, Uitwijk & recovery plans and BHV plans BU's tuned 2.2D.ii Organization wide coordinating escalation & communication plan 2.2D.iii Uniformity among plans of various BU's.
2.2B.v Description crisis management organization Do 3.Impleme nted 1. BC facilities 3.1A.i Facilities for continuity of facility on which focus is on implemented 3.1B.i Facilities for BCM implemented 3.1C.i Contractual agreements in behalf of BCM made 3.1D.i Possible (contractual) agreements between BU's made 2. BC tasks 3.2A.ii Tasks continuity plan assigned 3.2B.i Tasks BC plan assigned 3. BC responsibility 3.3.A.i responsiblity for BC plans at facility determend 3.3.B.i Responsibility for BC plans for the organisation determend 1.Maintenanc e plan BCM 4.1A.i Maintenance plan developed for facility continuity plan 4.1B.i Maintenance plan developed for BC plan 4.1C.i Maintenance plan encompasses also external contracts 4.1D.i Integral maintenance process designed for BCM Check & Act 4. Embedde d 2. Awareness importance BCM 3. Familiarity & availability BC plan 4.2A.i Awareness importance continuity facility 4.3A.i Calamity for facility plan communicated 4.2B.i Awareness importance BCM 4.3B.i Calamity plan communicated 4.3C.i Calamity plan communicated with involved external parties 4.1D.ii Supervision on set-up BCM Pagina 33
1. Maintenance process BCM 4.3A.ii Calamity for facility available in case of incidents 5.1A.i Maintenance process continuity management facility executed 4.3B.ii Calamity available in case of incidents 5.1B.i Maintenance process BCM executed 5.1D.i Integral maintenance process BCM executed 5. Controlle d 2. BCM exercises 5.2A.i Exercises for facility continuity plan 5.2B.i Exercises for BC plan 5.2C.i Exercises including external parties 5.2D.i Coordinating escalation and communication plan exercised integrally 6. Optimized 3. Audit& control existing BCM 1. Strategic approach BCM 2. Continuous improvement BCM 5.3A.i Audit and control on existing facility continuity management 6.1A.i Continuity management tuned with strategy regarding facility 6.1A.ii Continuity part of managerial planning and control cycle 6.2A.i Continuous search for new possibilities for improvements continuity management 6.2A.ii Assumptions BCM periodically audited 6.2A.iii Maintenance entire continuity management process, not only plan 5.3B.i Audit and control on existing BCM 6.1B.i BCM tuned with business strategy 6.1B.ii BCM part of managerial planning and control cycle 6.2B.i Continuous search for new possibilities for improvements BCM 6.2B.ii Assumptions BCM periodically audited 6.2B.iii Maintenance entire BCM process, not only plan 5.3C.i Agreements with external parties checked 6.1C.i BCM tuned with chain strategy 6.2C.i Knowledge exchange with chain partners in behalf of BCM 6.2C.ii Assumptions BCM actively tuned with chain partners 5.3D.i Central supervision on existence and functioning BCM 6.1D.i BCM point of attention for board 6.2D.i Organization wide knowledge exchange in behalf of BCM 6.2D.ii Central coordination of entire BCM process Pagina 34
3. BC culture 6.3A.i Continuity facility part of organization culture 6.3B.i BCM part of organization culture 6.3C.i Relation with chain partners characterized by continuity thinking 6.3D.i Relation between BU's characterized by continuity thinking Pagina 35
11.2 Benchmarktool
Pagina 37
Pagina 38
Pagina 39
Pagina 40
Pagina 41
Pagina 42
Pagina 43
Pagina 44
Pagina 45
Pagina 46
Pagina 47
Pagina 48
Pagina 49
Pagina 50
11.3 Inschattingsvragen
Pagina 52
Pagina 53
Pagina 54
Pagina 55
Pagina 56
Pagina 57
Pagina 58
Pagina 59
Pagina 60
Pagina 61
Pagina 62
Pagina 63
11.4 Onderzoeksresultaten ziekenhuizen Alpha (Top klinisch ziekenhuis, Omzet: 250-500 miljoen, Aantal bedden: 500-750) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 0% 1 0% 1 0% 1 0% 1 1 Initial 100% 0 1 50% 0 1 50% 0 1 50% 0 1 Plan 2 Planned 100% 1 50% 1 100% 1 0 Do 3 Implemented 50% 1 100% 1 100% 1 50% 0 Check & Act 4 Embedded 100% 0 100% 0 50% 1 0% 0 5 Controlled 33% 0 33% 0 33% 0 33% 0 6 Optimized 50% 0 33% 0 50% 0 50% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 0, Organisation focus 0, Chain focus 0 en Intergrated focus 0. Er is geen initiatief gericht op BCM. Dit blijkt niet uit de resultaten van het interview, maar wel uit de resultaten van het model. In de organisatie zijn wel BCM aspecten gesignaleerd. Dit kan impliceren dat een snelle verbeterslag van de BCM-volwassenheid mogelijk is. De inschatting van de organisatie zelf is sterk afwijkend met de inschatting van het model. De kwaliteit van BCM is in dit ziekenhuis is onvoldoende. org. Pagina 64
Bravo (Top klinisch ziekenhuis, Omzet: 250-500 miljoen, Aantal bedden: 500-750) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1 100% 1 100% 1 100% 1 Plan 2 Planned 100% 1 100% 1 100% 1 1 Do 3 Implemented 100% 1 100% 1 100% 1 100% 1 Check & Act 4 Embedded 100% 1 100% 1 100% 1 100% 1 5 Controlled 67% 2/3 1 100% 2/3 1 100% 2/3 0 100% 2/3 1 6 Optimized 50% 1/3 0 67% 1/3 1 50% 2/3 0 50% 2/3 1 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 5, Chain focus 5 en Intergrated focus 5. De organisatie is voldoende BCM-volwassen. De organisatie heeft nog deels een uitdaging op het gebied van audits van het BCM. Vandaar dat op level 5 voor 2/3 de deel aan de eisen is voldaan. De inschatting van de organisatie komt redelijk overeen met de inschatting van het model. org. Pagina 65
Charlee (Universitair ziekenhuis, Omzet: 750-1000 miljoen, Aantal bedden: 500-750) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1 50% 1 50% 1 50% 1 Plan 2 Planned 100% 0 1 50% 0 1 100% 0 0 0 1 Do 3 Implemented 50% 1 33% 1 50% 0 50% 0 Check & Act 4 Embedded 50% 0 50% 0 0% 0 0% 0 5 Controlled 0% 0 0% 0 0% 0 0% 0 6 Optimized 0% 0 33% 0 0% 0 0% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 0, Chain focus 0 en Intergrated focus 0. Er zijn wel initiatieven in de organisatie aanwezig zoals een crisisteam en oefeningen met betrekking tot de continuïteit. Het probleem voor deze organisatie is dat een aantal essentiële plannen op het gebied van BCM missen. Ook beschikt de organisatie niet over een goed gekeurd BCM beleid. De BCM-volwassenheid is te laag. Wel zijn er implicaties dat met relatief weinig moeite de volwassenheid van BCM verhoogd kan worden naar een acceptabel level. De inschatting van de organisatie is sterk afwijkend met de inschatting van het BCM model. org. Pagina 66
Delta (Universitair ziekenhuis, Omzet: 1000-1250 miljoen, Aantal bedden: 1250-1500) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1 100% 1 100% 1 100% 1 Plan 2 Planned 100% 1 100% 1 100% 1 1 Do 3 Implemented 100% 1 100% 1 100% 1 100% 1 Check & Act 4 Embedded 100% 1 100% 1 100% 1 100% 1 5 Controlled 67% 1/3 1 100% 1/3 0 100% 1/3 0 100% 1/3 0 6 Optimized 100% 1/3 0 67% 1/3 0 100% 1/3 0 100% 1/3 0 org. Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 4 en Intergrated focus 4. De organisatie is voldoende BCM-volwassen. De inschatting van het BCM volwassenheidsmodel komt redelijk overeen met de inschatting van de organisatie zelf. Pagina 67
Echo (Top klinisch ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 500-750) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 0% 1 0% 1 0% 1 1 Initial 100% 1 1 50% 1/2 1 50% 1/2 0 50% 1/2 0 Plan 2 Planned 100% 0 1 0% 0 1 0% 0 0 0 0 Do 3 Implemented 100% 0 33% 1 50% 0 50% 0 Check & Act 4 Embedded 50% 0 50% 0 0% 0 0% 0 5 Controlled 0% 0 0% 0 0% 0 0% 0 6 Optimized 50% 0 0% 0 0% 0 0% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 0, Chain focus 0 en Intergrated focus 0. Het BCM initiatief is beperkt tot de Facility focus. Door de afhankelijkheid van deze van andere focussen van het model kan ook geen hoger level behaald worden. De BCM-volwassenheid is te laag. Wel zijn er initiatieven zichtbaar op andere levels. Zo worden er wel bepaalde testen uitgevoerd. De inschatting van de organisatie is op de organisation focus sterk afwijkend met de resultaten van de benchmarktool. Dit is interessant aangezien er is aangegeven in het interview dat er geen initiatief is op het gebied van de Organisation focus, Chain focus en Intergrated focus. org. Pagina 68
Foxtrot (Top klinisch ziekenhuis, Omzet: 250-500 miljoen, Aantal bedden: 500-750) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 0% 1 0% 1 1 Initial 100% 1 1 50% 1 1 50% 1 1 50% 1 1 Plan 2 Planned 100% 0 0 50% 0 0 0% 0 0 0 0 Do 3 Implemented 50% 0 33% 0 50% 0 50% 0 Check & Act 4 Embedded 50% 0 50% 0 0% 0 0% 0 5 Controlled 0% 0 0% 0 0% 0 0% 0 6 Optimized 50% 0 33% 0 0% 0 0% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 1, Chain focus 1 en Intergrated focus 1. De organisatie was tijdens de meting bezig met een initiatief om het BCM te verbeteren, waarbij de Chain focus en de Intergrated focus buiten beschouwing zijn gelaten. De organisatie heeft recent een BIA uitgevoerd. De bijbehorende essentiële plannen onvoldoende opgesteld. De BCM-volwassenheid is te laag. Wel zijn er initiatieven zichtbaar op andere levels. De inschatting van de organisatiekomt aardig overeen met de inschatting van de benchmarktool en het model. org. Pagina 69
Golf (Universitair ziekenhuis, Omzet: 500-750 miljoen, Aantal bedden: 500-750) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1 100% 1 100% 1 100% 0 Plan 2 Planned 100% 1 100% 1 100% 1 0 Do 3 Implemented 100% 1 100% 1 100% 0 100% 0 Check & Act 4 Embedded 100% 2/3 0 100% 2/3 0 50% 2/3 0 100% 0 0 5 Controlled 0% 0 33% 0 33% 0 33% 0 6 Optimized 0% 0 33% 0 50% 0 50% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 3 en Intergrated focus 3. De organisatie heeft nog wel een uitdaging op het gebied van Awareness op level 4. Hierdoor is 1/3 de van de characteristic s niet voldoende. De inschatting van de organisatie zelf op het gebied van de Intergrated focus is sterk afwijkend met de inschatting van de benchmarktool. Voor de overige onderdelen komt deze redelijk overeen. org. Pagina 70
Hotel (Algemeen ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 0-250) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1 100% 1 100% 1 100% 1 Plan 2 Planned 100% 1 100% 1 100% 1 1 Do 3 Implemented 100% 1 100% 1 100% 1 50% 1 Check & Act 4 Embedded 100% 2/3 1 100% 2/3 0 100% 1/3 0 100% 0 1 5 Controlled 67% 2/3 0 67% 1/3 0 67% 1/3 0 67% 1/3 0 6 Optimized 50% 0 33% 0 50% 0 50% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 3 en Intergrated focus 2. De Intergrated focus is lager doordat er geen integralen afspraken zijn gemaakt tussen onderdelen van de organisatie. De organisatie heeft nog wel een uitdaging op het gebied van Awareness op level 4. Hierdoor is 1/3 de van de characteristics niet voldoende. De verwachtingen van de organisatie komt op de Intergrated focus na aardig overeen met de uitkomst van het model en de benchmarktool. org. Pagina 71
India (Algemeen ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 250-500) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 0% 1 0% 1 1 Initial 100% 1 1 100% 0 1 50% 0 1 50% 0 1 Plan 2 Planned 0% 0 0 0% 0 0 0% 0 1 0 0 Do 3 Implemented 50% 0 67% 0 50% 1 50% 0 Check & Act 4 Embedded 0% 0 50% 0 0% 1 0% 0 5 Controlled 0% 0 0% 0 0% 0 0% 0 6 Optimized 50% 0 33% 0 50% 0 50% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 0, Chain focus 0 en Intergrated focus 0. De inschatting van de organisatie komt aardig overeen met de inschatting van het model en van de benchmarktool. org. Pagina 72
Juliet (Algemeen ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 250-500) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1/2 1 100% 0 1 100% 1/2 1 50% 0 1 Plan 2 Planned 0% 0 1 50% 0 1 0% 0 0 0 0 Do 3 Implemented 0% 0 33% 1 50% 0 50% 0 Check & Act 4 Embedded 50% 0 50% 0 50% 0 0% 0 5 Controlled 33% 0 33% 0 33% 0 33% 0 6 Optimized 50% 0 0% 0 50% 0 50% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 1, Organisation focus 0, Chain focus 0 en Intergrated focus 0. De inschatting van de organisatie komt aardig overeen met de uitkomst van het model en de tool. Op de inschatting van de Organisation focus na. org. Pagina 73
Kilo (Universitair ziekenhuis, Omzet: 750-1000 miljoen, Aantal bedden: 1000-1250) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1 100% 1 100% 1 100% 1 Plan 2 Planned 100% 1 100% 1 100% 1 1 Do 3 Implemented 100% 1 100% 0 100% 1 100% 0 Check & Act 4 Embedded 50% 1/3 1 50% 1/3 0 50% 1/3 1 100% 1/3 0 5 Controlled 0% 0 0% 0 0% 0 0% 0 6 Optimized 50% 0 67% 0 50% 0 50% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 3, Organisation focus 3, Chain focus 3 en Intergrated focus 3. De organisatie scoort geen volwaardige 4 omdat er niet voldoende geoefend en getest wordt met het BCM. De inschatting van de organisatie komt aardig overeen met de uitkomsten van het BCM model en de benchmarktool. org. Pagina 74
Lima (Top klinisch ziekenhuis, Omzet: 250-500 miljoen, Aantal bedden: 500-750) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model org. 0 Implicit 100% 1 100% 0 100% 1 100% 1 1 Initial 100% 1 100% 1 100% 1 100% 1 Plan 2 Planned 100% 1 100% 1 100% 1 1 Do 3 Implemented 100% 1 100% 1 100% 0 100% 0 Check & Act 4 Embedded 100% 1 1 100% 1 1 50% 2/3 0 100% 2/3 0 5 Controlled 0% 0 0 0% 0 0 0% 0 0 0% 0 0 6 Optimized 50% 0 33% 0 50% 0 50% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 3 en Intergrated focus 4. De inschatting van de organisatie komt overeen met de uitkomsten van het model. Pagina 75
Mike (Algemeen ziekenhuis, Omzet: 0-250 miljoen, Aantal bedden: 250-500) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model org. 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1 100% 1 100% 1 100% 1 Plan 2 Planned 100% 1 100% 1 100% 1 1 Do 3 Implemented 100% 1 100% 1 100% 1 100% 1 Check & Act 4 Embedded 100% 2/3 1 100% 2/3 1 100% 2/3 1 0% 2/3 0 5 Controlled 100% 0 1 100% 0 1 100% 0 0 100% 0 0 6 Optimized 50% 0 33% 0 50% 0 50% 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 4, Organisation focus 4, Chain focus 4 en Intergrated focus 3. De inschatting van de organisatie komt overeen met de uitkomsten van het model. Pagina 76
November (Universitair ziekenhuis, Omzet: 500-750 miljoen, Aantal bedden: 0-250) (PDCA) A. Facility focus B. Organisation focus C. Chain focus D. Intergrated focus Interview Model org. Interview Model org. Interview Model org. Interview Model org. 0 Implicit 100% 1 100% 1 100% 1 100% 1 1 Initial 100% 1 100% 1 100% 1 100% 1 Plan 2 Planned 100% 1 100% 1 100% 1 0 Do 3 Implemented 100% 1 100% 1 100% 0 100% 0 Check & Act 4 Embedded 100% 1 100% 0 100% 0 100% 0 5 Controlled 100% 2/3 0 100% 2/3 0 100% 2/3 0 100% 2/3 0 6 Optimized 100% 1/3 0 100% 1/3 0 100% 0 0 100% 0 0 Constateringen De BCM-volwassenheid wordt ingeschat op de volgende levels: Facility focus 5, Organisation focus 5, Chain focus 5 en Intergrated focus 5. De inschatting van de organisatie is op de Organisation focus, Chain focus en Intergrated focus sterk verschillend met de inschattingen van het model. De organisatie heeft op level 5 nog een uitdaging liggen op het gebied van het beheerprocess van BCM. Pagina 77
11.5 Benchmark excel tool Pagina 78