Arjen de Graaf, CIO DNB: ‘IT is nooit echt klaar’

Vanuit een studie bedrijfskunde rolde Arjen de Graaf de IT in. De laatste jaren was hij als zelfstandige actief in transitie- en interim management. Vanuit deze rol kwam hij in aanraking met DNB. In 2020-2021 kreeg hij tijdens de coronapandemie de complexe klus om ervoor te zorgen dat alle medewerkers van DNB met een nieuwe, veilige en stabiele digitale werkomgeving konden thuiswerken. Uiteindelijk leidde dat in 2022 tot formele benoeming als CIO van het instituut.

“Ik vind transitiewerk geweldig, maar dat kan ik hierbij deze grote, gemêleerde organisatie ook. Er werken hier 2.200 mensen en we hebben een aantal hoofdtaken, waaronder financieel toezicht en economisch advies. De wereld om ons heen verandert snel en daar moeten we - zo gecontroleerd mogelijk – in meegaan. Waar ik voorheen met één project bezig was, lopen er nu meer tegelijk. Ook heb ik als CIO hier meer ceremoniële taken en een HR-verantwoordelijkheid, we zijn internationaal actief als lid van de ECB. En waar ik er voorheen bij een enkel project soms met het gestrekt been in kon gaan om zaken voor elkaar te krijgen, moet ik als CIO van DNB toch wat meer gebalanceerd optreden.”

Veel stakeholders

DNB telt 18 divisies, waarvan die van De Graaf de hele organisatie faciliteert. Hij heeft dus veel stakeholders, met heel uiteenlopende business-behoeften. “Maar ik ben ook van de IT. Ik moet zorgen voor veiligheid van digitale toepassingen en systemen, voor stabiliteit ervan, en voor technologische vernieuwing. Het maakt voor de business-afdelingen niet zoveel uit hoe dat geregeld wordt, als het maar gebeurt.”

De Graaf gaat daarbij uit van partnerschap. “IT faciliteert de business. Dat doen we als professionals en gelijkwaardige collega's. Wij inventariseren wat de business nodig heeft, maar de business heeft de verantwoordelijkheid om duidelijk te maken wat zij willen en daarvoor nodig hebben. De business moet daarin eigenaarschap nemen. Niet alleen een opdracht geven, maar meedenken over het gewenste eindresultaat. Dat is bij een organisatie als DNB bovengemiddeld belangrijk, omdat wat wij goed of fout doen, veel impact kan hebben op Nederland. Cruciaal hierbij is goede communicatie. We moeten elkaar vanuit IT en business begrijpen. Dat betekent ook dat we moeten leren om elkaars taal te spreken.”

IT essentieel

Als divisiedirecteur rapporteert De Graaf aan een lid van de directie, die onder leiding van Klaas Knot staat. “IT staat vaak op de agenda van de directievergadering, omdat digitalisering iets is waar alle onderdelen in de organisatie mee te maken hebben. IT is een essentieel onderdeel voor de uitvoering van ons werk.”

DNB was voorheen vooral bezig met beleid, met toezicht, met bankzaken. Maar zonder een goed IT-fundament kun je die taken niet meer naar behoren uitvoeren, stelt De Graaf. “Dat merkten we in coronatijd, vanwege massaal thuiswerken en de verhoogde activiteit van cybercriminelen. Opeens was het nodig de IT-infrastructuur op orde te krijgen. Nu zijn we in de fase terecht gekomen dat IT de organisatie in de volle breedte kan ondersteunen het werk beter en efficiënter uit te voeren.”

Driepoot in IT-beleid

Is DNB qua digitalisering er klaar voor om al zijn taken in deze snel veranderende wereld naar behoren uit te voeren? “Toen ik begon, hebben we gekozen voor een driepoot in ons IT-beleid”, reageert De Graaf. “De allereerste was het zorgen voor stabiliteit op IT-gebied. Dat betekende dat onze netwerken op orde moesten zijn, maar ook onze data en onze IT-mensen zelf. De tweede poot was resultaatgericht en gestandaardiseerd zelf toepassingen maken. De derde poot was en is technologische vernieuwing. Alle drie moeten in balans zijn.”

DNB heeft inmiddels een digitale agenda, met als eerste meetpunt het jaar 2025. “Op de weg daarnaartoe hebben we al veel gerealiseerd. We hebben veel legacy-systemen gerationaliseerd, veel infrastructuur en toepassingen naar de cloud gebracht – we werken volgens het adagium ‘cloud, tenzij’ - en zo ook onze security vergroot. We moeten natuurlijk nog veel stappen zetten en we zullen nooit klaar zijn. Daar zorgen technologische vernieuwingen zoals ChatGPT en andere generative AI-toepassingen wel voor. We hebben geen vaste stip op de horizon, maar wel een roadmap.”

Arjen de Graaf: "We hebben geen vaste stip op de horizon, maar wel een roadmap."

De Graaf benadrukt dat de net genoemde security voor DNB verder gaat dan technologie. De zwakste schakel in cybersecurity is en blijft de mens, stelt de CIO. Zo bekeken, betekent goede cybersecurity ook een hoge mate van bewustzijn bij de medewerkers van DNB over hoe zo veilig mogelijk digitaal en online te werken. “Daar doen wij heel veel aan. Ook voeren we regelmatig crisisoefeningen uit om zo beter op elkaar ingespeeld te raken voor wanneer het echt een keer mis gaat. Ik denk dat wij de tooling goed op orde hebben voor wat betreft de mensen en de processen. Daarnaast moet je de architectuur goed op orde hebben. Het is een samenspel.”

Gebalanceerde outsourcing

Zoals elke organisatie besteedt ook DNB zijn IT-zaken deels uit. Zo heeft de organisatie onlangs twee nieuwe IT-partners geselecteerd door aanbestedingstrajecten. Wel worden vooral ‘commodities’ uitbesteed. De Graaf: “Onze key resources en dienstverlening hebben we in eigen hand, zoals digitale werkplekken. Wij willen die goed op orde hebben. Je merkt dan ook dat mensen meer tevreden zijn over de werkplek dan toen ik begon bij DNB.”

Verder heeft DNB een fallback-scenario. In noodgevallen kan de afdeling van De Graaf de IT van DNB draaiende houden. “Het is ook zeker niet zo dat we overgeleverd zijn aan de leveranciers. Het gaat er vooral om: wat kunnen zij beter doen dan wij? Ik kan hier zes IT-beheerders neerzetten om onze servers te updaten, maar het is makkelijker om gebruik te maken van de 12.000 IT-beheerders bij Microsoft.”

Bovendien, zoals elke organisatie heeft ook DNB moeite om voldoende IT-talent te vinden. “We huren daarom veel IT-mensen in. Op onze kerntaken hebben we eigen mensen zitten, maar het blijft soms lastig, al staan we goed in de markt aangeschreven. We werken dan ook met veel externe en interne trainee-programma’s. We hebben het voordeel dat we een brede en gemêleerde club hebben, een grote potentiële pool van mensen wier digitale vaardigheden we kunnen aanscherpen.”

Enthousiasme over AI

De Graaf wordt enthousiast als het gaat over de mogelijkheden van nieuwe technologie zoals generatieve AI, zoals Microsoft Copilot. Maar, benadrukt hij, je moet uitkijken in hoeverre je alles openzet om het optimale uit zo’n tool te halen. “Het is mooi als ik automatisch een verslag krijg van een Teams-vergadering of eenvoudig twee documenten kan samenvoegen, rapportages sneller kan vormgeven, repetitieve taken kan uitbesteden aan een AI-toepassing. Maar je moet ook je dataprivacy goed op orde hebben. We gaan in de huidige proeffase daarom wel mee met Microsoft, maar heel planmatig. En we kijken in elke fase of het oplevert wat we ervan verwachten. En zo ja, wat wordt de vervolgfase?”

Nieuwe technologie toepassen vergt ook andere digitale vaardigheden, stelt De Graaf. Je moet gebruikers meenemen in het tempo van verandering. En soms ook dat tempo aanpassen aan de gebruikers. “Bovendien: AI kan de mens nog niet vervangen. We moeten altijd de uitkomsten blijven controleren. Want als er in onze data een fout zit, kan dat impact hebben op bijvoorbeeld regeringsbeleid. Je moet altijd het evenwicht tussen mens en digitale tools zoeken.”

Ondanks zijn enthousiasme noemt De Graaf zich geen technologie-optimist. “Ik zit – heel polderiaans – tussen optimisme en negativisme in. “Ik vind de ontwikkelingen in AI geweldig, maar je moet uitkijken met zoiets ongebreideld inzetten in je business. Er zijn nog veel stappen nodig. Dat geldt ook voor cybersecurity. Ook aan onze kant kunnen we veel AI-tools inzetten, dat kunnen niet alleen de cybercriminelen. Ik ben in ieder geval blij dat zoiets als generatieve AI veel meer mensen enthousiast maakt voor digitalisering, dat het meer een ‘sexy’ onderwerp begint te worden. En ik vind het vanuit mijn rol fantastisch dat ik er een bijdrage aan kan leveren.”

De Nederlandsche Bank

De Nederlandsche Bank (DNB) is de centrale bank van Nederland. DNB maakt deel uit van het Europees Stelsel van Centrale Banken en is lid van de ECB (Europese Centrale Bank). De organisatie houdt toezicht op banken, bewaakt de financiële stabiliteit in Nederland en adviseert de regering.

De belangrijkste taak van DNB is om de financiële stabiliteit te waarborgen. Hierbij gaat het vooral om weerbaarheid van de economie en duurzame economische groei. Andere belangrijke taken van DNB zijn:

• Prijsstabiliteit bevorderen: door de inflatie rond de 2% te houden, dit geeft zekerheid aan consumenten en investeerders.
• Betalingsverkeer reguleren: eurobiljetten in omloop brengen, de bereikbaarheid en toegankelijkheid van betaaldiensten bevorderen en de betrouwbaarheid van betaalmiddelen waarborgen.
• Financieel toezicht op financiële instellingen.
• Banken bijstaan die dreigen om te vallen.

DNB verzamelt ook monetaire en financiële statistieken en voorziet de regering van economisch advies.