Chris van ’t Hof is als directeur van DIVD gewend om kwetsbaarheden te zien vóórdat ze incidenten worden. Maar in CCRC-crisistrainingen zit hij aan de andere kant van het spectrum: daar ziet hij wat er gebeurt zodra het wél misgaat en hoe snel een technisch probleem verandert in een bestuurlijke stresstest.
Hij schrijft en denkt veel over die menselijke dynamiek onder druk. Niet voor niets opent hij zijn boek Cyberellende was nog nooit zo leuk met lessen uit crisisoefeningen: omdat je pas leert wat je organisatie waard is, als rollen, besluiten en communicatie tegelijk onder spanning komen te staan. In dit interview vertelt Chris wat CCRC-oefeningen scherp maakt: beginnen bij de techniek, sturen op rolzuiverheid, en teams laten ervaren dat ‘drukte’ iets anders is dan regie.
Begin bij de techniek, zodat het snel over keuzes gaat
Hoe start Chris zijn training bij een organisatie vanuit CCRC het liefst? Niet met een algemeen verhaal over ‘ransomware op maandagochtend’, maar met iets kleins en technisch dat meteen geloofwaardig schuurt. “Ik begin juist heel technisch. Dan moeten de techneuten gaan uitleggen aan hun CEO wat er aan de hand is en dan is de oefening al begonnen.”
Dat eerste kwartier is volgens Chris precies waar organisaties zichzelf verraden. Want als IT de situatie niet kan vertalen naar impact, ontstaat er ruis. En ruis zorgt voor reflexen: ad hoc acties, losse belletjes, iedereen gaat tegelijk iets regelen. Terwijl een crisis juist vraagt om structuur.
“Maak een plaat: wat zit waar, hoe hangt het samen, welke leveranciers. Daar rolt dan een technisch scenario uit, waarmee de impact op andere afdelingen in kaart gebracht kan worden. Het effect is dat een crisis geen IT-feestje blijft. HR, legal, communicatie, finance en operatie voelen wanneer ze móéten instappen en wat er gebeurt als ze te laat zijn.”
De grootste fout is niet technisch: teams nemen hun ‘natuurlijke’ rollen aan
Op de vraag wat MT/board in de eerste 60 minuten het vaakst verkeerd doet, is Chris opvallend consistent. Niet: verkeerde tool. Niet: verkeerd patchbeleid. Maar: de organisatie blijft in de dagelijkse rolverdeling hangen.
“De eerste fout is dat ze blijven hangen in de dagelijkse rollen. De CEO wordt automatisch voorzitter, afdelingshoofden blijven hun eigen deel managen, en iedereen gaat tegelijkertijd aan. In die paniek wordt vaak de rol vergeten die een crisis bestuurbaar maakt: de logger. Dit is trouwens geen notulist, maar een rol die de voorzitter helpt in een ritme te werken: feiten binnenhalen, gezamenlijk duiden, besluiten nemen, acties uitzetten, en opvolgen. Heel cyclisch. Zonder dat ritme krijg je een crisisteam dat vooral heel hard werkt, maar niet zichtbaar stuurt.”
Hij ziet het vaak gebeuren: halverwege schuift iemand aan (bestuur, klant, leverancier, verzekeraar, toezichthouder) en er is geen tijdlijn, geen besluitlogica, geen overzicht. Dan wordt ‘informatie’ een stapel losse flarden. En precies daar gaan crises glijden: niet omdat mensen niks doen, maar omdat niemand meer kan uitleggen waarom iets gebeurt en wat de volgende stap is.
Rolzuiverheid is geen formaliteit, het bepaalt of je regie houdt
Die focus op rolverdeling komt steeds terug in hoe Chris naar leiderschap onder druk kijkt. Een crisisteam heeft vaak dezelfde mensen als de dagelijkse operatie, maar een crisis vraagt andere reflexen: minder micromanagement, meer kaders. Minder ‘ik ga het fixen’, meer ‘hoe houden we overzicht, tempo en besluitkwaliteit’.
Daarom is hij voorzichtig met automatisme (‘de hoogste in rang leidt automatisch’). Niet omdat een directeur er niet bij hoort, juist wél. Maar omdat voorzitterschap een vak apart is: iemand moet energie bewaken, besluiten expliciet maken en de groep uit de incidentmodus trekken. Hij verwoordt het kernachtig: “Een echte crisis vergt een andere rolverdeling dan de dagelijkse operatie. Zelf ben ik directeur van DIVD, maar als er een crisis is, draag ik het over aan onze crisis manager. Die is daar veel beter in. En het zou ook zomaar kunnen dat de crisis juist door mijn beleid is ontstaan.”
Die rolzuiverheid gaat verder dan titels. Chris ziet regelmatig dat iemand zonder groot ‘formeel gewicht’ opeens essentieel is, omdat diegene de juiste vragen stelt of overzicht houdt. Terwijl de usual suspects soms juist doorschieten in daadkracht: iedereen bellen, zelf taken verdelen, tegelijk communiceren zonder afstemming. In een oefening wordt dat pijnlijk zichtbaar en juist daarom waardevol. Want het gesprek na afloop gaat dan niet over ‘beter communiceren’ als containerbegrip, maar over concreet gedrag: wie zat waar, wie had mandaat, wie logde, wie vertaalde, wie besliste en wat waren de gevolgen?
Oefenen is pas écht oefenen als het scenario meebeweegt en de keten meedoet
Chris is kritisch op standaardscenario’s die elke klant hetzelfde doorloopt. Niet omdat die scenario’s nooit relevant zijn, maar omdat organisaties dan vooral leren het spelletje te spelen. “Daar help je mensen niet mee. Ik kies liever voor maatwerk en dynamiek, een scenario dat meebeweegt met keuzes. Doen teams X, dan wordt het effect Y. Schakelen ze te vroeg af, dan ontstaat business continuity-probleem. Wachten ze te lang met communicatie, dan ontstaat reputatie- of juridische druk. Dat is precies hoe het in het echt ook gaat.”
En dan is er nog een tweede versneller die CCRC volgens Chris sterk maakt: de keten. “Veel organisaties kunnen prima oefenen binnen hun eigen muren, maar worden vaak verrast zodra een leverancier, overname of gedeelde IT-afhankelijkheid de boel kantelt. Als er iets gebeurt wat buiten ons beheer ligt, maar wel effect heeft op onze systemen, wat gaan we dan doen?”
Door partners of leveranciers mee te nemen, oefen je niet alleen je eigen proces, maar ook afstemming: informatie delen, verwachtingen managen, escaleren, communiceren, afspraken over herstel en verantwoordelijkheid. Je oefent dus geen controle, maar afhankelijkheid en dát is realistischer.