A H1N1 Bent u er klaar voor?

“Aan het begin van de keten moeten we er zeker van zijn dat de leveranciers alle mogelijke maatregelen hebben genomen om het risico te beheren. Op de IT-afdeling moet het BCP op iedere mogelijkheid zijn voorzien. En aan het einde van de keten bereiden de klanten van de IT-afdeling – dat zijn voor ons alle diensten die in een zorginstelling actief zijn – een plan voor dat gevolgen kan hebben voor de IT-afdeling.”

Voor Benoît Debande, dokter in de geneeskunde en master in de informatica, maar ook Klinisch Directeur van het Universitair Ziekenhuis Saint-Luc en Coördinator Informatica, en overigens ook lid van het ‘Griepcomité’, zijn er drie soorten dreigingen.

Dat is ook de visie van Vincent Philippo, Head of Central Operations, verantwoordelijk voor de ICTRA.31 (ICT for Rail)-afdeling. Volgens hem houdt de pandemie een driedimensionaal risico in. “Eerst bij het begin van de keten, bij de verdelers. Vervolgens is er ons intern risico. En daarna is er het einde van de keten, met name onze klanten, vooral de NMBS-Holding, Infrabel en de NMBS. Bovendien bevat iedere dimensie twee duidelijk onderscheiden aspecten: technologische en menselijke.”

Beiden hebben een zelfde algemene kijk op de situatie. Maar de aanpak is niet noodzakelijk dezelfde. Benoît Debande herinnert er ons aan dat de stijging van het absenteïsme evenredig dreigt te worden aan de stijging van het aantal opnames en de zorgvraag. Quod erat demonstrandum.

Hoe zit het bij een IT-dienstverlener? “Onze diensten zijn zo divers dat we een globaal plan hebben moeten voorzien om een mogelijke epidemie de baas te kunnen,” zegt Dirk Debraekeleer, Vice President Sales and Marketing, Real Dolmen.

Het risico is meervoudig, stelt hij. En met reden: Real Dolmen biedt gevarieerde diensten, van eerstelijnsondersteuning over het integraal beheren van datacenters tot outsourcing en SaaS. “Gelukkig vereisen onze gewone activiteiten al een feilloze striktheid en beveiliging. Hoewel sommige processen zijn herzien, is ons speciaal A H1N1-plan toch maar een aanpassing of een uitbreiding van wat al bestond.”

De groep uit Halle heeft niet gewacht op de aangekondigde catastrofe om een versterkt hygiënisch beleid in te voeren. Met 7 supportcentra verspreid over heel België vermijden ze de concentratie van personeel op één plaats. Omdat de competenties gediversifieerd zijn, zijn ze bijgevolg ook inwisselbaar, of het nu gaat om de ondersteuning van het 1ste, 2de of 3de niveau of om monitoring vanop afstand. En dan houden we geen rekening met de ondersteuning van het ‘competence center’: de specialisten daarvan kunnen ook worden ingeschakeld in de supportcentra. “We hebben zelfs een evaluatieplan voorzien van de prioriteiten van de missies van onze Pre-sales Engineers, om die te kunnen integreren in ons noodplan,” zegt Dirk Debraekeleer.

De grote onbekende factor blijft de graad van absenteïsme. Er wordt gesproken van 30 tot 40% afwezigen gedurende drie weken tijdens de piek van de pandemie en 15 tot 20% gedurende 9 weken tijdens de perifere periode. “Als dienstverlener is onze voornaamste zorg precies een continue service te kunnen bieden, zeker omdat we voor sommige klanten 24/7 werken,” zegt Wim Lespoix, Services Director bij NextiraOne. “We hebben rekening gehouden met alle mogelijke scenario’s: herverdeling van de taken en de verantwoordelijkheden, verhuizing van een deel van het personeel, thuiswerken,…”

Waarschijnlijk onnodige voorzorgen. Maar toch. De dienstverlener ziet het als zijn verantwoordelijkheid. De klanten zijn er trouwens gevoelig voor, ze komen altijd weer af met de vraag hoe we het gaan aanpakken. De oefening is heilzaam geweest. Hoewel je eerst en vooral aan de technische aspecten denkt, moet je tal van processen herdenken. Sommige – zoals de receptie – kunnen daarbij banaal lijken, zoals het ontvangen van klanten en de behandeling van post”

“Het zijn details, dat spreekt voor zich,” erkent Wim Lespoix. “En toch. Aangezien we onze klanten verplichten om hun BCP te testen, heeft de oefening die we intern hebben gehouden het ons mogelijk gemaakt om onze aanpak te consolideren. En om onze ervaring te delen met onze klanten; veel klanten hebben daar al om gevraagd.”

Concreet betekent dit dat de mogelijke gevolgen van de pandemie op de gewone activiteiten worden onderzocht, dat de opdrachten die in alle omstandigheden moeten worden uitgevoerd, worden verdeeld, met vastlegging van een hiërarchie, en dat de middelen die nodig zijn om de onmisbare activiteiten te blijven garanderen, worden geëvalueerd.

“Door de crisis kan geen enkele van onze leveranciers zich het risico van een epidemie veroorloven,” bevestigt Vincent Philippo van zijn kant. Zijn bedrijf functioneert als een onafhankelijke onderneming ten dienste van de NMBS-Holding die Infrabel omvat (spoorwegnetwerken en infrastructuren) en het meest bekende onderdeel, de NMBS. Hij heeft daarom een overzicht van de informatica en de communicatie van de groep vanuit operationeel standpunt.

“De zaken zijn moeilijk voor onze leveranciers; er een catastrofe aan toevoegen zou onverantwoord zijn. Als ze het contract niet kunnen nakomen, moeten ze boetes betalen, maar die dekken de schade die ons bedrijf loopt maar gedeeltelijk.. Een SAN die het laat afweten bijvoorbeeld kan een onmiddellijke invloed hebben op de regelmaa van de treinen. Het hoeft geen betoog dat de notie van SLA een dimensie krijgt die evenredig is aan het functioneren van onze activiteiten…”

Klaar voor wat dan ook? “In onze organisatie zijn er twee soorten klanten,” zegt Benoît Debande. “Eerst zijn er de administratieve diensten – onthaal, opnames, boekhouding, HR – die waarschijnlijk extra belast zullen worden, maar onze simulaties tonen aan dat we dat moeiteloos kunnen verwerken. Dan zijn er de diensten die onmiddellijk zijn verbonden aan de zorgen: die zullen extra werk moeten verzetten, maar niet allemaal op dezelfde manier. Dit punt blijft een onbekende. Het is wel duidelijk dat deze extra belasting voor meer organisatieproblemen zal zorgen binnen de units dan voor informaticaproblemen. Als patiënten vaker moeten veranderen van dienst of van kamer dan gebruikelijk, zal het aantal interfunctionele transacties stijgen, maar dat zal niet noodzakelijk bijvoorbeeld meer diskruimte of meer netwerkvermogen vergen.


Voor de informatica-afdeling is het logisch dat een erg hoog beveiligingsniveau van kracht is, ook al in gewone tijden, met het oog op de activiteiten van het ziekenhuis. Wat moet er nog meer gebeuren? Zo’n 130 verschillende toepassingen draaien permanent. “Ik kan het me natuurlijk niet veroorloven om tal van specialisten per toepassing te hebben. En een epidemie zal hieraan niets veranderen. Over het algemeen wordt elke toepassing beheerd door een gespecialiseerde professional, waarbij twee collega’s op de hoogte zijn. Zo verzekeren we altijd de minimumservice die de organisatie vereist. We profiteren ook van wat ik noem ‘de ziekenhuisspirit’. Mensen die in deze sector werken weten maar al te goed hoe belangrijk hun job is voor het functioneren van de instelling. En dat onze core business direct verbonden is aan de gezondheid en zelfs het leven van patiënten.”

Ieder zijn prioriteiten. Voor de NMBS-groep wordt het interne risico beheerd op het niveau van de “operaties” en van de “ontwikkeling en infrastructuur.” Vincent Philippo legt uit: “We hebben de prioritaire ontwikkelingen opgelijst die absoluut geen vertraging dulden, zoals bijvoorbeeld de ERP MIND3 die volgend jaar in januari operationeel moet zijn. De redenen hiervoor zijn eenvoudig: betrokkenheid van derde partijen en engagementen tegenover de business. Andere ontwikkelingen zouden, mocht het niet lukken, een beetje vertraging mogen oplopen als we de planning van onze releases aanpassen. We hebben onze prioriteiten besproken met de business units en hun fiat gekregen. Voor de infrastructuren hebben we besloten om een voorzichtigheidsprincipe te hanteren dat al voor andere gevallen gold, met name dat geen enkele grote verandering is gepland voor de risicovolle periode.

Voor Dirk Debraekeleer is de uitdaging meer kwantitatief dan kwalitatief: “De specificiteit van de griep A H1N1 is blijkbaar niet zijn heftigheid maar wel zijn hoog besmettingsgevaar. We hebben ons dus meer geconcentreerd op het beheer van de menselijke (HR) dan op de technologische middelen. Het verhogen van de bandbreedte kan erg snel gaan, het is geen fysiek probleem. Een persoon vervangen is heel wat kritischer.”

Alles is voorzien om de IT-professionals van het bedrijf een verhoogde mobiliteit te bieden. Sommige klanten hebben al gevraagd of de “Real Dolmen Boys” die bij hen werken hun missies zouden kunnen afmaken vanuit andere sites. Andere klanten hebben hun voorzorgen al genomen in de vorm van extra bandbreedte.

En de datacentra? “Een virus riskeert niet echt binnen te dringen in de hyperbeveiligde technische structuur van een datacenter,” zegt Dirk Debraekeleer. “Het is opnieuw een HR-probleem. Je hebt mensen nodig om de zaak te doen draaien. En op dat vlak zijn we voorbereid.”

En wat als dat plan niet volstaat? Zelfs indien niet alle werknemers op hetzelfde moment ziek worden, betekent dat daarom nog niet dat het absenteïsme niet spectaculair kan stijgen. De transportproblemen, de verplichtingen om thuis voor iemand te zorgen of de quarantaines kunnen een sneeuwbaleffect veroorzaken…

“Ik herhaal, de ene activiteitensector is de andere niet,” nuanceert Benoît Debande. De toename van het absenteïsme in een ziekenhuis riskeert evenredig te zijn aan de verhoging van het aantal opnames en de zorgvraag.”

In deze problematiek speelt thuiswerken een cruciale rol. ICTRA zegt op alles te zijn voorbereid, zelfs als thuiswerken op zich geen deel uitmaakt van het beleid van de onderneming. Vincent Philippo benadrukt toch dat de meeste werkposten draagbare pc’s zijn. “We hebben een kadercontract met een telecomoperator. Hiermee kunnen we van 200 MB naar 1 GB omschakelen in enkele ogenblikken. We maken ons geen zorgen over de bandbreedte, en ook niet over de VPN’s.”

Een andere benadering, maar vanuit dezelfde vaststelling, is er in het Universitair Ziekenhuis Saint-Luc. “In mijn team kunnen we vrijwillig telewerken,” verzekert Benoît Debande. En ik kan u verzekeren dat onze VPN erg handig is, zelfs als mijn medewerkers gewoon met vakantie zijn. Onze bandbreedtes kunnen alle connecties ondersteunen, hoe talrijk ze ook zijn.”

NextiraOne heeft zijn berekeningen gemaakt: 99% van de medewerkers hebben een snelle internetverbinding. “Dat betekent dat we veel kunnen doen met een minimale investering. Het objectief is immers dat zoveel mogelijk collega’s toegang hebben tot het volledige netwerk, en dat op een beveiligde manier,” legt Wim Lespoix uit. “Met een SSL VPN is al een groot deel van het werk gedaan!”

Omdat de graad van absenteïsme de grootste onbekende factor is, is het onmogelijk om de connectienoden in te schatten. “Ik adviseer KMO’s die geen Pandemisch BCP of geen enkel BCP hebben, een defensieve aanpak, een soort van ‘plan B’ dat ze kunnen toepassen bij overmacht. Dat is beter dan niks! Daarna kan het een basis zijn voor een meer gestructureerde aanpak. Wat eerst en vooral belangrijk is, is te kunnen reageren…”

Iedereen aan het telewerken ? Deze uitspraak doet Benoît Debande glimlachen. Hij is eerst en vooral dokter en herinnert ons aan het feit dat de griep meestal een welbekend patroon volgt. De eerste dag ben je erg ziek. De tweede dag gaat het al wat beter. De derde is erg lastig: je voelt je ellendig. En vanaf dag vier zet de genezing in. “Het is bijna onmogelijk dat de drie personen die verantwoordelijk zijn voor een toepassing op dezelfde dag ziek worden en bovendien nog eens in hetzelfde stadium van de ziekte zitten op hetzelfde moment!”

Laat ons hieruit niet concluderen dat een organisatie met een veelvoud aan toepassingen minder blootgesteld is dan een bedrijf met minder toepassingen. Want in dit laatste geval zou het normaal gesproken makkelijker moeten zijn om te switchen tussen personen.

De ervaring heeft geleerd dat de Universitaire Ziekenhuizen Saint-Luc heel goed gedurende maanden kunnen functioneren zonder nieuwe versies van toepassingen. Toen het informaticavirus Conficker de site had geïnfecteerd, werd het bestreden zonder gevolgen voor de werking – en dat terwijl er niets was voorbereid…

Een plan is geen actie, stipt Dirk Debraekeleer aan. “Het plan op gang brengen vraagt om een eenduidige ‘go’ van de verschillende managers die verantwoordelijk zijn voor de processen. Bovendien is een plan flexibel. Niemand kan de gevolgen van een dergelijke epidemie inschatten… We riskeren waarschijnlijk een afwezigheidsniveau zoals tijdens de vakanties. Dus moeten we een plan inschakelen dat lijkt op dat van de zomermaanden. Dat wil zeggen dat er bij ons minder mensen zijn, maar ook bij de klanten. En dus minder interventies. Kortom, laat ons vermijden om teveel te doen, het ‘nog beter’ willen doen is niet altijd goed!”

Vincent Philippo maakt zich nochtans vooral zorgen over het HR-beheer. “Alle profielen zijn niet inwisselbaar. We hebben onze ‘dienstentabellen’ ook aangepast. Het call center bijvoorbeeld functioneert in twee ploegen, terwijl het operation center er drie heeft. Maar ieder team is flexibel. We kunnen dus werken met een kleinere ploeg om ergens anders, waar er teveel afwezigen zijn, een ploeg te vervolledigen.”

Nog het noteren waard: de organisatie ICTRA is uitgerust met twee aparte datacenters, de ontwikkelingsruimtes zijn alleen toegankelijk voor bepaalde personen, alle machines zijn gevirtualiseerd en dus toegankelijk vanuit om het even welke site, en het gebruik van het Recovery Center wordt verschillende keren per jaar getest tijdens DRP-testen.

De interne communicatie krijgt ook alle aandacht die ze verdient. Ze informeert de werknemers over de risico’s en de maatregelen die ze moeten nemen om het uitdijen van een mogelijke epidemie in te perken. Wat het risico aan het eind van de keten betreft, dat is volledig ingedekt met de ‘business units’ die alleen noodplannen voorzien die geen enkele invloed hebben op de ICT-operaties.

De conclusie van Vincent Philippo is in enkele woorden te vatten : de evaluatie van het risico is te resumeren als de evaluatie van het verschil tussen onze gebruikelijke BCP’s, zelfs als deze een veel technischer connotatie hebben. “Dankzij deze aanpak kunnen we de kritische punten bepalen die eigen zijn aan een specifiek risico, zonder alles te moeten heruitvinden voor een mogelijke gebeurtenis die we helemaal niet kennen.”

Een ongekende gebeurtenis… Benoît Debande zegt niets anders wanneer hij adviseert om het risico niet te onderschatten maar ook – en vooral – niet toe te geven aan paniek. “Ik hebben horen zeggen dat de economische heropleving trager zou verlopen door deze griep. Laat ons niet dramatiseren. Iedere organisatie moet zijn situatie en zijn risicoafhankelijkheid goed analyseren. In de val van de overbescherming trappen zou een fout zijn die ongerechtvaardigde kosten met zich meebrengt en tot paniek leidt. Laat ons voorzichtig zijn, maar geen slachtoffer!”

Interview door Jacques La Rou