Als ik de stukken voor de Raad van Commissarissen van komende week aan het doornemen ben, komt er een berichtje binnen van Skipr. Ik drink mijn cappuccino en laat me er even door afleiden als kleine onderbreking. Opnieuw gaat het over een softwarematige gijzeling met ransomware. Nu bij een grote universiteit. Voor de hoeveelste keer gebeurt dit? En zouden ze in Oekraïne of ergens in Verwegistan nu blij uitroepen “Foutje….Bedankt!”? Gaan daar de champagneflessen open als er tonnen worden betaald omdat de business case voor de getroffen organisatie het betalen van chantagegelden acceptabel maakt? Idioot natuurlijk. En vooral ook bestuurlijk disfunctioneren als je je zaken hier niet op orde hebt en dit je overkomt. Maatschappelijk geld wordt aan criminelen uitgekeerd. De wereld op zijn kop.
Ruim een jaar geleden schreef ik al een column over ‘cyberwar in de boardroom’. In die column brak ik een lans voor een proactieve benadering en gaf aan dat het absoluut een zaak voor de toezichthouder is om dit onderwerp te agenderen. Van sommige collega’s kreeg ik toen de reactie dat dit toch geen onderwerp voor de Raad van Toezicht was? Ik weet niet hoe een Raad van Toezicht nu zou reageren als er ook over zijn organisatie Kamervragen worden gesteld. De vraag stellen is hem beantwoorden, denk ik.
Leren we van elkaars fouten?
De centrale vraag die dan bij mij opkomt, is: leren we van elkaars fouten? Dat is een andere en meer positieve benadering van de door Rijk de Gooyer veelvuldig gebezigde uitspraak in reclames voor Reaal uit de jaren negentig met zijn “Foutje…Bedankt!” Op tal van vlakken bij toepassingen van ICT in de zorg komen we andere gelijksoortige ‘fouten’ tegen.
Ook de AVG is een fijn onderwerp om van leren - of te huiveren. We kennen allemaal de voorbeelden van de affaire ‘Barbie’. Alleen al deze eenvoudige aanduiding geeft menig zorgbestuurder al de kriebels en doet hem of haar onrustig slapen. Het zou toch niet zo zijn dat bij ons…? Het HagaZiekenhuis had de twijfelachtige eer om als eerste organisatie een AVG-boete te krijgen voor onnodige inzage in patiëntendossiers. Heeft uw organisatie deze case bestudeerd en geleerd van dit ‘foutje’?