Securitymanagement.nl

Hét platform voor de security professional

Beveiliging

Ira Helsloot, crisisteam

Hoogleraar Ira Helsloot over crises bezweren: ‘Geen draaiboek maar flexibiliteit’

Natuurlijk heeft jouw werkgever rekening gehouden met mogelijke crisissituaties. En waarschijnlijk ligt er voor ieder van die risico’s een apart draaiboek. Is dat een verstandig idee? Misschien toch niet, zegt Ira Helsloot, hoogleraar Besturen van Veiligheid aan de Radboud Universiteit in Nijmegen. Je hebt veel meer aan een klein crisisteam dat geoefend heeft op flexibiliteit.

Door Peter Passenier / Beeld: Shutterstock

De weerrapporten worden steeds somberder. Er is een storm op komst die al over drie dagen kan leiden tot een enorme ravage en veel slachtoffers. Code donkerrood dus. Het draaiboek voor deze situatie is kristalhelder: een groot gebied in de Randstad moet worden geëvacueerd. Dus geven de bestuurders het groene licht: zet de zaak in gang. Is dit een realistisch scenario? Ira Helsloot waagt het te betwijfelen. ‘Natuurlijk, het advies in zo’n draaiboek is heel redelijk, maar er is geen beslisser die het gaat uitvoeren. Drie dagen van tevoren een paar miljoen mensen evacueren omdat er een zekere kans is dat het misgaat als de storm te heftig wordt? Dat leidt tot gigantische maatschappelijke schade. En laten we eerlijk zijn: hoe vaak hebben we meegemaakt dat die storm inderdaad zo groot werd? Beslissers gaan dat gewoon niet doen.’

> LEES OOK: Veiligheidsregio’s waarschuwen: bovenregionale crisisaanpak schiet tekort

Moreel kompas

Helsloots conclusie: draaiboeken hebben maar een beperkte waarde. ‘Kijk, voor kleine incidenten zijn ze gewoon bruikbaar. Als jij een brandje hebt gehad of een middelgrote cyberaanval, dan pak je gewoon zo’n draaiboek erbij en dan weet je precies wat je moet doen. Maar bij grote incidenten, zoals zo’n enorme storm, werkt dat niet. Dan doet het er niet toe wat je van tevoren hebt opgeschreven. Waar het om gaat, is het moreel kompas van de beslissers. Neem een ransomware-aanval die je hele bedrijf platlegt. De ene directeur roept dat hij zich niet laat chanteren. Maar de volgende denkt: kom op, ik heb wel wat anders te doen. We spenderen een paar miljoen en we zijn klaar. Dat leg je niet vast in een draaiboek.’

Als je 150 mensen om advies vraagt, wordt het een complete chaos

Flexibiliteit

Daarom pleit Helsloot voor flexibiliteit. Geen vastgelegde stappenplannen in een dik document, maar een deskundig crisisteam. ‘Wat een beslisser bij een grote crisis nodig heeft, is goed advies. En ‘goed’ betekent in dit geval: gebaseerd op alle feiten. Dat ontbrak bijvoorbeeld tijdens de corona-epidemie. Rutte en De Jonge konden leunen op het OMT, maar de adviseurs leden aan een kokervisie. Ze kwamen bijvoorbeeld met het advies voor een algehele lockdown, maar na afloop gaven ze zelf ook toe dat ze geen oog hadden gehad voor de maatschappelijke schade. Voor een beslisser is dat funest. Die wil een advies waarin alle voor- en nadelen zijn meegewogen.’

Maar volgens Helsloot leiden crisisteams in Nederland aan twee problemen. ‘Wat gebeurt er bij de overheid of bij een willekeurige grote bank als je op de noodknop drukt? Dan komen 150 mensen in actie. Die ga je niet iedere paar maanden op training sturen, want dan wordt iedereen stapelgek. En je snapt ook: als de nood aan de man is en je wilt 150 mensen om advies vragen, dan krijg je geen net actieplan met vijf bullets. Dan wordt het een complete chaos.’

Crisisteams bij overheid

Niet alleen zitten er in die crisisteams te veel mensen, het zijn volgens Helsloot ook nog de verkeerde. ‘Je moet professionals hebben die ook weten wat je tijdens een crisis moet doen. Dus geen team met allemaal informatiecoördinatoren en directeuren van de verschillende subafdelingen. En dat is precies wat je nu vaak ziet. Kijk naar crisisteams bij de overheid: die bestaan uit de burgemeester, de directeur van de brandweer, de directeur van de GGD en de baas van de politie. Begrijp me goed, die zijn vaak hartstikke goed in hun vak, maar het zijn allemaal managers. En die zijn geen manager geworden omdat ze een crisis kunnen beheersen. Daar heb je dus helemaal niets aan.’

> LEES OOK: ‘Crisismanagement wordt steeds serieuzer opgepakt’

Piepklein team

Helsloots advies? Een piepklein crisisteam, maar dan wel competent, goed geoefend en klaar om een advies te geven dat gebaseerd is op alle feiten. Met drie leden: een specialist op het gebied van communicatie, van de inhoud en van het stakeholdersmanagement.

  • Allereerst is er de communicatieadviseur. ‘Die is in staat om te communiceren op bestuurlijk niveau’, zegt Helsloot. ‘Dus die kan de beslissing voorzien van de sleutelwoorden waarmee de bestuurder naar buiten kan treden. De communicatieadviseur zal ook de nadruk leggen op de spelregels. Zo moet de directeur empathie tonen, maar hij is ook weer geen nieuwslezer, dus hij komt niet gelijk met de details. En let op: het is belangrijk dat je snel naar buiten komt. De meeste beslissers willen nog even wachten, maar als je dat doet, verwachten journalisten ook dat je wat meer kunt zeggen.’
  • De tweede is de operationele adviseur, de man of vrouw van de inhoud. Volgens Helsloot moet die door en door vertrouwd zijn met de interne processen binnen de organisatie. ‘Bij een bank betekent dit bijvoorbeeld dat je een operationeel directeur-achtig iemand hebt die echt weet hoe de bank zes lagen daaronder functioneert. Stel dat er een grote cyberaanval plaatsvindt: wat kan de bank dan wel en niet? Bij de overheid geldt dat zo iemand moet weten wat de capaciteiten van de diensten zijn. Want je kunt als beslisser wel roepen dat je de ME inzet, maar je moet het ook kunnen waarmaken.’
  • En de derde adviseur is de bestuurlijk adviseur. ‘Dat is degene die de bestuurlijke omgeving van de ceo goed kent’, legt Helsloot uit. ‘Als je ziekenhuis wordt gehackt, wil een beslisser iemand die helpt in de contacten met bijvoorbeeld de zorgverzekeraars. Want die moeten betalen. Als jij je operaties een paar dagen niet door laat gaan en de zorgverzekeraars doen ingewikkeld, dan ben je als ziekenhuis al bijna failliet. Die bestuurlijke adviseur moet dus die contacten hebben en weten wat de zorgverzekeraars wel en niet acceptabel vinden.’

Zo’n crisisteam is volgens Helsloot niet alleen deskundig, maar ook stoer. ‘Die mensen komen niet met drie opties: ‘Kiest u maar’. Nee, ze hebben oog voor alle negatieve effecten, maar tóch komen ze met een duidelijk advies. Bijvoorbeeld bij een ransomware-aanval: ‘Wij adviseren u om niet te betalen. Dat heeft nadelen, maar die zijn volgens ons niet zo groot als wanneer u wel betaalt.’ Zo heeft de beslisser alle feiten op tafel en de grootste kans dat hij ook deze crisis het hoofd kan bieden.’

Inspelen op alle mogelijke situaties

Flexibiliteit. Dat is wellicht nog belangrijker bij risico’s die we nu nog niet op ons netvlies hebben. ‘Er zijn scenario’s die zich eens in de vijfhonderd jaar voordoen’, zegt Helsloot. ‘Denk aan een zonnevlam die alle elektronica platlegt of een onverwachte vulkaanuitbarsting. Daar bereid je je niet op voor. Dat zou simpelweg te kostbaar en onrealistisch zijn. Wat in zulke situaties het verschil maakt is alweer een klein team dat snel de gevolgen overziet, de juiste mensen weet te vinden en concrete keuzes durft voor te leggen. En het is die flexibiliteit, de kunst om te kunnen inspelen op alle mogelijke situaties, die je moet oefenen.’

Dit artikel is ook gepubliceerd in het Vaktijdschrift Security Management. Klik hier voor een abonnement op Security Management.

Volg Security Management op LinkedIn


Gerelateerde berichten

Deze website is ontwikkeld voor Internet Explorer 9 of hoger, werk uw browser a.u.b. bij naar een recentere versie.
Cookies
Om u beter van dienst te kunnen zijn, maakt Securitymanagement gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
Instellingen