nummer 9, september 2012
ONAFHANKELIJK VAKBLAD VOOR PROFESSIONELE BEVEILIGING
www.securitymanagement.nl
THEMA: ZORG
Jeroen Bosch Ziekenhuis, ’s-Hertogenbosch
Open én veilig Bewustwording: sleutel tot meer veiligheid
NEN 7510: een zucht of een zegen?
Werken aan vertrouwen en teams
Advantage Line van Bosch Beveiligingstoepassingen voor kleine en middelgrote ondernemingen
Een reeks beveiligings- en audioproducten van hoge kwaliteit voor een scherpe prijs. De Advantage Line producten zijn gemakkelijk
te
installeren
en
hebben
een
eenvoudige
configuratie en bediening. De producten zijn ideaal voor diverse
toepassingen
in
kleine
en
middelgrote
onder-
nemingen, zoals winkels, supermarkten, kantoren en scholen. Meer informatie: www.boschsecurity.nl of via telefoonnummer 040-2577200.
Onafhankelijk vakblad voor professionele beveiliging Security Management, onafhankelijk vakblad voor professionele beveiliging, is een uitgave van Vakmedianet bv. Vakmedianet legt de gegevens van abonnees vast voor de uitvoering van de (abonnements-)overeenkomst. De gegevens kunnen door Vakmedianet, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u contact met ons opnemen. Hoofdredacteur Arjen de Kort (adekort@vakmedianet-alphen.nl) Eindredactie Ineke de Graaff Redactieadres Postbus 4 2400 MA Alphen aan den Rijn Telefoon (0172) 46 64 88 Fax (0172) 42 28 04 Uitgever Fréderique Zeemans Marketing Judith Verkerk E-mail: jverkerk@ vakmedianet-alphen.nl Advertentieverkoop Liesbeth van den Hoek/Arjen Tuitert Telefoon (0172) 46 64 71 / 46 64 42 atuitert@vakmedianet-alphen.nl, lvdhoek@vakmedianet-alphen.nl Abonnementen Vragen over abonnementen kunt u richten aan de Klantenservice, (0570) 67 33 58, www.kluwer.nl/klantenservice De abonnementsprijs is € 129,- exclusief btw, per jaar. Studenten betalen € 55,- inclusief btw. Prijzen zijn inclusief verzend- en administratiekosten. Losse verkoopprijs € 19,- per nummer, exclusief btw. Een abonnement kan op elk moment ingaan. Op elk tweede en volgende abonnement krijgt u 25% korting. U ontvangt 10 nummers per jaar. Opzeggen kan schriftelijk tot 3 maanden voor de nieuwe jaargang bij Kluwer bv, Postbus 878, 7400 AW Deventer. Adreswijzigingen (met de oude adresgegevens) doorgeven aan Kluwer bv, afd. Relatiebeheer, Postbus 23, 7400 GA Deventer. Abonnementen in België Wolters Kluwer Belgium (WKB) Motstraat 30, B- 2800 Mechelen Telefoon: 0800-30143 Fax: 0800-17529 E-mail: info@kluwer.be U vindt de algemene voorwaarden van WKB op www.kluwer.be Auteursrecht voorbehouden Niets uit deze uitgave mag zonder voorafgaande schriftelijke toestemming van de uitgever worden openbaar gemaakt of verveelvoudigd. Op iedere inzending van een bijdrage of informatie zijn de Standaardpublicatievoorwaarden van Wolters Kluwer Nederland BV van toepassing, gedeponeerd ter griffie van de arrondissementsrechtbank te Amsterdam, onder nummer 217/1999; een kopie kan kosteloos bij de uitgever worden opgevraagd. Op alle uitgaven van Kluwer zijn de algemene leveringsvoorwaarden van toepassing. Deze kunt u lezen op www.kluwer.nl of opvragen via (0570) 67 33 58. Partners ARAS Security, Axis Communications, EuroPAC Alarmcentrale, G4S Beveiliging bv, Insasco, Securitas, Trigion Opmaak en DTP colorscan bv, Voorhout - www.colorscan.nl Basisvormgeving Verheul Media Supporters, Alphen aan den Rijn Druk: Koninklijke Van Gorcum, Assen
De zomer van Bert, Epke en Nick
co lum n
Het was een boeiende sportzomer, die begon in juni met een voor de Oranje-supporters teleurstellend EK-voetbal en waar bondscoach Bert van Marwijk ten onder ging aan zijn onvoorwaardelijke vertrouwen in een aantal met hun vorm worstelende vedetten. Juli en augustus stonden vervolgens in het teken van de Tour de France en vooral de Olympische Spelen. In Londen wist ‘onze’ Olympische equipe de successen van vier jaar geleden zelfs te overtreffen. De zwemsters onder aanvoering van paradepaardje Ranomi deden wat er van ze werd verwacht, wielrenster Marianne Vos kreeg dit keer wel ‘loon naar werken’, en de hockeyvrouwen en -mannen speelden zich via een aantal bloedstollende wedstrijden naar goud en zilver. Maar de show werd natuurlijk gestolen door turner Epke Zonderland. ‘Onze’ Epke toonde in zijn weergaloze oefening bovendien aan dat je niet altijd op veilig hoeft te gaan, maar dat het nemen van risico’s soms ook de moeite waard kan zijn. En zo werd een nieuwe legende geboren. Maar het was natuurlijk ook de zomer van beveiligingsbedrijf G4S en zijn topman Nick Buckles. Het beveiligingsbedrijf bleek kort voor aanvang van de Spelen niet in staat voldoende opgeleide beveiligers te leveren, waarop het Britse leger duizenden extra militairen moest inzetten om de veiligheid van atleten en bezoekers te waarborgen. Het Britse parlement liet er geen gras over groeien en riep CEO Buckles meteen ter verantwoording. Hij verklaarde tegenover een onderzoekscommissie dat hij betreurde dat hij ooit het beveiligingscontract (waarde 360 miljoen euro) voor de Olympische Spelen had ondertekend en moest toegeven dat het een ‘vernederende puinhoop’ was. Een lid van de onderzoekscommissie noemde het zelfs een fiasco en vroeg Buckles waarom hij nog niet was opgestapt als CEO. De gebeurtenissen zorgden voor een forse koersdaling van G4S op de beurs. Inmiddels krabbelt het aandeel weer wat op, maar het is de vraag of hetzelfde opgaat voor het geschonden imago van G4S in het bijzonder en van de beveiligingsbranche in het algemeen. En ik ben benieuwd wat de weerslag zal zijn op de situatie in Nederland, waar de branche ook zo nadrukkelijk lonkt naar het publieke domein. Maar menig bestuurder zou zich na deze affaire nog wel eens achter de oren kunnen krabben. Hoe luidt het gezegde ook alweer? Vertrouwen komt te voet en gaat te paard. Arjen de Kort Hoofdredacteur Security Management adekort@vakmedianet-alphen.nl
ISSN 1386-0941
www.securitymanagement.nl
Security Management Groep Security Management Congres ‘Kosten reduceren = innoveren’: 1 november, NBC Nieuwegein, www.securitymanagement.nl/congres Security Management nummer 9 september 2012
3
Onafhankelijk vakblad voor professionele beveiliging
12 Open én veilig Het afgelopen decennium stond voor het Jeroen Bosch Ziekenhuis in ‘s-Hertogenbosch in het teken van een enorm nieuwbouwproject. Vanuit drie verouderde locaties werd in 2011 een hypermodern zorgcomplex van 100.000 m2 betrokken. Beveiliging ontwikkelde zich tegelijkertijd van uitsluitend operationele dienst tot een afdeling die ook beleidsmatig actief is en daarmee ondersteunend is geworden aan de ambitie van het ziekenhuis om patiëntgericht en patiëntveilig te zijn.
16 Bewustwording: de sleutel tot meer veiligheid Veel organisaties treffen maatregelen om incidenten tegen te gaan. Er wordt een externe beveiligingsdienst aangetrokken, een eigen dienst ingericht en technische maatregelen genomen. Maar wat te doen wanneer je gemiddeld genomen slechts twee beveiligers op dienst hebt en medewerkers die deuren laten openstaan en nonchalant omgaan met vertrouwelijke informatie terwijl de organisatie veel (publiek) bezoek binnenkrijgt. Voor dit dilemma staan security managers in de zorg.
44 Werken aan vertrouwen en teams In uw functie als securityfunctionaris bent u afhankelijk van medewerkers. Ondanks de voortschrijdende techniek blijft het mensenwerk. Uw medewerkers zitten veelal verspreid, in een gebouw of over een regio, en werken op ondankbare tijden met veel verantwoordelijkheden. Hoe geeft u effectief leiding? Vertrouwen is goed, controle is onmogelijk. Wat is dan wél beter?
4
Security Management nummer 9 september 2012
1
2 Onbewust Onbekwaam
4
Bewust Onbekwaam
3 Onbewust Bekwaam
Bewust Bekwaam
t hema | zorg
20 ‘Veiligheid is jouw, mijn en onze gezamenlijke verantwoordelijkheid’ Binnen veel ziekenhuizen is het besef aanwezig dat er meer aan veiligheidsbewustwording moet worden gedaan. In dat kader startte het Groene Hart Ziekenhuis in Gouda afgelopen winter met een bewustwordingscampagne. Een praktijkverhaal.
24 NEN 7510: zucht of zegen? De nieuwste versie van de norm NEN 7510 - Informatiebeveiliging in de zorg dateert van oktober 2011. In dit artikel worden de verbeteringen ten opzichte van de oude versie op een rij gezet.
28 Voorkomen is beter dan genezen Een aantal incidenten hebben de zorgsector doen beseffen dat men ‘iets moet met compliance’. Maar met de wijze waarop dit moet worden aangepakt worstelen nog veel instellingen. Aan de hand van de compliancecyclus wordt beschreven hoe de compliancefunctie goed vormgegeven kan worden binnen een zorgorganisatie.
32 ‘Er is nog veel te verbeteren’ In de zorgsector staat patiëntveiligheid hoog in het vaandel. Dit heeft echter bijna vanzelfsprekend voornamelijk betrekking op de verzorging van patiënten. De link met de veiligheid van gebouwen wordt nog altijd onvoldoende gelegd. Zo kan het gebeuren dat er nog steeds onnodig slachtoffers vallen te betreuren in zorginstellingen als gevolg van brand.
En verder 3
colofon
3
column
6
nieuws
54
recht
55
recherche
56
contacten en contracten
58
young professional
34 Integrale beveiliging in de zorg: een tussenstand Gastcolumn Arjen Appelman
36 Veiligheid in zorginstellingen: een strategische aanpak Investeringen in beveiligings- en veiligheidsmaatregelen leveren in de zorg niet altijd het gewenste resultaat op, namelijk een veilige omgeving voor zowel cliënten als medewerkers. Een strategische benadering van de problematiek kan hierbij uitkomst bieden.
40 Security questioning & Prikkelen In het tweede artikel in de serie over Predictive profiling aandacht voor het meest effectieve wapen van een profiler: het stellen van open vragen, oftewel security questioning. Daarnaast wordt aan de hand van de resultaten van recent TNO-onderzoek en ervaringen van de Politieacademie ingegaan op afwijkend gedrag en het ‘prikkelen’ van de omgeving.
48 Winkelboa als vervanger van politie? Momenteel loopt een pilot met zogenaamde winkelboa’s. Zij hebben de bevoegdheid om handelingen te verrichten die tot nu toe behoren tot de taken van de politie. Wat zijn de argumenten voor en tegen wat betreft dit nieuwe fenomeen? Coverfoto: Arjen de Kort
Security Management nummer 9 september 2012
5
nieuws
Teeven botst met landelijk overvalcoördinator De politie adviseert slachtoffers van een woningoverval te vluchten als ze gezond willen blijven. En als het niet mogelijk is om te vluchten, moeten ze vooral rustig toekijken en accepteren wat er gebeurt. Dat is het advies van landelijk overvalcoördinator Jos van der Stap (foto) naar aanleiding van de recent gepubliceerde cijfers over woningovervallen. Uit het onderzoek naar honderden woningovervallen blijkt dat bewoners in bijna de helft van de gevallen gewond raken. Dat komt meestal doordat ze
zich verzetten, zegt de landelijk overvalcoördinator. ‘Een overval komt als een complete verrassing. Mensen raken in paniek en overvallers reageren daar met geweld op. Door verzet van bewoners kan het heel snel escaleren’, aldus Van der Stap. Staatssecretaris Fred Teeven (Veiligheid) heeft fel gereageerd op de uitspraken van Van der Stap. ‘Dit is niet het kabinetsstandpunt en ook niet het standpunt van het OM.’ Hij noemt de woorden van de overvalcoordinator ‘de eigen mening’ van Van der Stap.
Beelden bewakingscamera’s sneller openbaar Beelden van particuliere bewakingscamera’s moeten sneller gebruikt kunnen worden bij het oplossen van misdrijven. De beelden moeten onder voorwaarden op internet, op grote reclameborden in winkelcentra of op beeldschermen in het openbaar vervoer te zien zijn.
aan de oplossing van een misdaad. Voordat een bedrijf of particulier de beelden op internet of billboard mag zetten, moet eerst aangifte bij de politie worden gedaan. Daarna gaan politie en justitie de beelden beoordelen en gebruiken. Pas daarna kunnen de beelden openbaar worden gemaakt na toestemming van justitie.
Het ministerie hoopt dat de nieuwe wet volgend jaar van kracht wordt.
De ministerraad heeft ingestemd met dat voorstel van staatssecretaris Fred Teeven van Veiligheid en Justitie. Het openbaar maken van deze beelden is nu nog een langdurige procedure. Efficiënter gebruik van de beelden moet tot een snellere opsporing leiden. Het gaat niet alleen om camerabeelden van misdrijven bij bedrijven. Ook particulieren mogen volgens het wetsvoorstel beelden van bewakingscamera’s op internet gaan zetten als dat bijdraagt
Bewustwording, Bewustzijn, Bewust veilig Op 21 november organiseert Security Management een middagcongres over security awareness. Want als professional bent u dagelijks bezig met beveiliging en veiligheid. Maar voor uw collega’s in de organisatie ligt dat vaak toch even anders. Hoe krijg je beveiliging en veiligheid bij medewerkers toch ‘tussen de oren’, waardoor zij hun gedrag daadwerkelijk veranderen?
6
Antwoord op deze vraag krijgt u tijdens dit congres van sprekers als Bas Haring (filosoof, wetenschapper en auteur), Arjen Appelman (directeur Aes Security Management), Marcel Loot (manager eenheid gastvrijheid Groene Hart Ziekenhuis), Peter Hepp (security officer provincie Overijssel), Hans Labruyère (directeur LBVD Informatiebeveiligers), Niels Wage-
Security Management nummer 9 september 2012
naar (veiligheidskundig adviseur bij ECN), Jos Schrover (veiligheidskundig manager bij ECN), en Hans Jansen (manager beveiliging van de Tweede Kamer der Staten-Generaal). Meer informatie: Middagcongres security awareness, 21 november, Van der Valk Breukelen, www.securitymanagement.nl
nieuws
Winkeliers willen zwarte lijst helers
Bezoek de Security Management dossiers
Veilingsites en zwarte markten moeten een landelijke zwarte lijst van louche handelaren opstellen om heling van gestolen goederen te bestrijden. Dat bepleit Detailhandel Nederland.
Op www.securitymanagement.nl staan vier dossiers met informatie – nieuws, achtergrondartikelen, columns – over brandveiligheid, cctv, toegangscontrole, en informatiebeveiliging. Neem eens een kijkje, alle informatie is gratis toegankelijk!
In 2011 is voor circa 1,4 miljard euro aan artikelen gestolen uit winkels, zo maakte de belangenorganisatie bekend. Secretaris winkelcriminaliteit Sander van Golberdinge vermoedt dat de helft daarvan verdwijnt in het helerscircuit. Criminelen maken veel gebruik van veilingsites en zwarte markten om gestolen waar te verkopen. Winkeliers die door de diefstallen al directe schade lijden, lopen daardoor ook nog omzet mis, aldus Detailhandel Nederland. Ze vindt dat veilingsites en zwarte markten beter toezicht moeten houden op de aanbieders van producten, bijvoorbeeld via een legitimatieplicht voor professionele handelaren en een zwarte lijst van verdachte kooplieden. Helpt dit niet, dan moet een zwarte markt of veilingsite desnoods worden gesloten. Volgens Detailhandel Nederland moet de wet worden aangepast om dit mogelijk te maken.
Roofovervallen op juweliers nemen af
Het aantal overvallen op juweliers is dit jaar gedaald. In de eerste zes maanden van 2012 zijn in Nederland 28 juweliers overvallen; in de eerste helft van 2011 gebeurde dit nog 58 keer. Volgens een woordvoerder van de raad van korpschefs krijgt de politie tegenwoordig sneller en vaker tips van oplettende burgers die 112 bellen over
overvallen of dreigende overvallen. Ook weten criminelen tegenwoordig dat het Openbaar Ministerie het niet vermijdt om foto’s van daders te publiceren, aldus de zegsman. Volgens de Federatie Goud en Zilver (FGZ), de branchevereniging voor onder meer juweliers, is de daling van het aantal overvallen gevolg van een veel grotere politie-inzet dan vroeger. Ook de maatregelen die ju-
weliers de afgelopen jaren zelf hebben getroffen, werpen hun vruchten af. Veel juweliers doen nu standaard de deur op slot, sommige bouwen een sluis met twee deuren. In de grote steden zijn er juweliers die sieraden en horloges traceerbaar maken door een gps-systeem en in Rotterdam loopt een proef met gezichtsherkenning. Vaak gaat het om investeringen van tienduizenden euro’s.
Senaat akkoord met Nationale Politie De Eerste Kamer is akkoord gegaan met de invoering van de Nationale Politie. De nieuwe Nationale Politie gaat 10 regionale eenheden, 43 districten en 168 zogeheten basisteams tellen. Op momenten dat een basisteam een tekort aan mankracht heeft, kan het een beroep doen op een flexteam. Elk poli-
tiedistrict krijgt een flexteam van minimaal twintig mensen. Hun belangrijkste taak wordt de ondersteuning van de basisteams. De huidige politieorganisatie kent nog 25 regiokorpsen en het Korps landelijke politiediensten. In 2015 moeten die zijn opgegaan in één landelijk korps. De Nationale Politie wordt per 1 januari ingevoerd.
Security Management nummer 9 september 2012
7
nieuws
Cameratoezicht op alle bussen In het convenant Sociale Veiligheid Openbaar Vervoer is afgesproken dat er op alle bussen cameratoezicht komt, dat chauffeurs een noodknop krijgen met verbinding naar de meldkamer en dat goed gekeken wordt naar het minimumaantal toezichthouders dat wordt ingezet. Ook worden afspraken vastgelegd over een veilige werkplek. Het convenant is een van de maatregelen van de Taskforce Veiliger Openbaar Vervoer, waarin vervoerbedrijven, over-
heden en vakbonden vertegenwoordigd zijn. De taskforce heeft al verschillende maatregelen op haar naam staan, zoals het verbeteren van de communicatie tussen openbaarvervoerbedrijven en de politie. Het convenant is ondertekend door de
Meer beveiligers langs het spoor ProRail zet meer particuliere beveiligers in bij de strijd tegen spoorlopen en vandalen. Bovendien staan deze beveiligers op tien locaties paraat om direct te kunnen inspringen bij een vermoeden van koperdiefstal. De beveiligers gaan nauw samenwerken met opsporingsambtenaren van ProRail en de politie. Het gaat om tientallen extra beveiligers
per week, die ook ‘s nachts gaan patrouilleren. De beveiligers komen in actie na bijvoorbeeld signalen van verdacht rondhangen in de buurt van het spoor. Omwonenden kunnen dat melden bij ProRail. Om koperdiefstal en heling tegen te gaan hebben onder meer het ministerie van V&J, ProRail, politie, Openbaar Ministerie en de metaalverwerkingsbranche de handen ineengeslagen.
Bedrijven in zes sectoren moeten hack melden Er komt een meldplicht voor bedrijven die de dupe zijn geworden van een ernstige hack. De meldplicht geldt alleen voor bedrijven in zes sectoren, waar het gevaar bestaat dat een digitale inbraak het maatschappelijk leven ontwricht. De meldplicht moet er nog dit jaar zijn voor onder meer sectoren die zich bezighouden met nutsvoorzieningen, telecom en de luchthavens als Schiphol en Rotterdam The Hague Airport. Maar ook de overheid zelf en de financiële sector moeten zich aan de meld-
plicht houden. Nog voor het einde van het jaar moet de wettelijke verplichting een feit zijn. Het is niet de bedoeling dat alle incidenten worden gemeld. Het gaat vooral om de voorvallen die grote gevolgen hebben. Te denken valt daarbij onder andere aan de DigiNotaraffaire vorig jaar bij de overheid. ‘Voor alle sectoren geldt dat de impact van een verstoring groot is. Er is bij uitval al zeer snel sprake van een domino-effect, waardoor grote maatschappelijke ontwrichting een reëel risico vormt’, lichtte Erik Akerboom, Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), toe. Onder zijn verantwoordelijkheid valt ook het Nationaal Cyber Security Centrum (NCSC). Dat kan bij een melding van een hack advies geven en helpen bij het oplossen van het probleem.
minister van BZK, streekvervoerders, CNV, provincies en stadsregio’s.
Digitale spionage blijft grote dreiging
Digitale spionage en cybercrime zijn nog altijd een grote dreiging voor ons land. Niet alleen de overheid, maar ook burgers en bedrijven zijn een gewild doelwit. Dat staat in het tweede Cybersecuritybeeld Nederland (CSBN) dat minister Ivo Opstelten naar de Tweede Kamer heeft gestuurd. Volgens het Nationaal Cyber Security Centrum (NCSC) zijn kwaadwillenden steeds sneller in staat zwakheden te misbruiken. Dat komt omdat beveiligingsbedrijven soms lang nodig hebben voordat ze nieuwe beveiligingssoftware hebben. Bovendien kunnen zij niet op tegen het doorzettingsvermogen en de middelen die spionerende landen en cybercriminelen tot hun beschikking hebben. Landen die bij andere landen spioneren, zijn vaak uit op geheime politieke of economische informatie, of ze hopen er financieel beter van te worden. Eind december, in het eerste CSBN, werd ook al gewaarschuwd voor een toename van digitale spionage door andere landen.
Security Management nummer 9 september 2012
9
nieuws
Bezuinigingen en decentralisatie dwingen gemeenten om handhaving & toezicht efficiënter aan te pakken. Dit blijkt uit het Benchmarkonderzoek Gemeentelijke Handhaving & Toezicht 2012 van G4S. Net als in de benchmark van 2011 staan de bezuinigingen bovenaan de bestuurlijke agenda. Veel gemeenten vragen zich nu af of ze alle taken op het gebied van Handhaving & Toezicht kunnen blijven uitvoeren. Om efficiënter en effectiever te werken zoeken ze samenwerking met andere gemeenten. Gemeenten doen ook vaker onderzoek naar de tevredenheid van burgers. Ver-
der groeit de hoeveelheid digitaal opgeslagen informatie over klachten en meldingen. Die gegevens worden nu vooral geraadpleegd voor tussentijds bijstellen van het beleid. Maar ze zijn ook bruikbaar voor het doorrekenen van beleidsscenario’s. Bij het aanpakken van problemen is het belangrijk om de resultaten zichtbaar te maken. Dat voorkomt een kloof tussen perceptie en realiteit. Zo dalen de criminaliteitscijfers, maar is het gevoel van onveiligheid niet afgenomen. Ten slotte blijkt uit het onderzoek dat flexibiliteit de hoofdreden is voor inhuur: gemeenten maken nu vooral op piekmomenten of bij tijdelijke vervan-
Foto: G4S
Benchmark Gemeentelijke Handhaving & Toezicht 2012
ging gebruik van externe toezichthouders. Het vermogen tot meedenken wordt vaak genoemd als criterium bij de selectie van een partner voor publiek-private samenwerking.
BYOD is risicobron bij organisaties Veel Nederlandse organisaties staan in grote mate bloot aan risico’s, omdat een groot aantal zaken rondom Bring Your Own Device (BYOD) niet goed is geregeld. Dat blijkt uit onderzoek van LBVD naar het verschijnsel van BYOD. Bij 60 procent van de organisaties wordt het gebruik van privé-apparatuur formeel toegestaan, bij 15 procent zelfs gestimuleerd. Echter, slechts bij 29 procent van de deelnemende organisaties ligt het beleid rondom BYOD schriftelijk vast. Bij een derde van de organisaties wordt BYOD oogluikend
toegestaan. Veel organisaties spreken niets met de medewerker af over het gebruik van privé-apparatuur. Beveiligingsmaatregelen worden nodig geacht, maar in twee van de drie gevallen niet door de organisatie op de privé-apparatuur aangebracht. Als nood-
Winkeliers testen aangifte via smartphone Retailers in de binnenstad van Rotterdam kunnen met een mobiele app aangifte doen van winkeldiefstal. De 310 Winkelapp wordt vanaf augustus getest door tien tot vijftien winkeliers. Het doel is dat winkeliers met deze vorm van aangifte veel tijd besparen. Zo staan de gegevens van de retailer in de app al voorgeprogrammeerd. Een winkelier die de inlogcode invoert, wordt direct doorverwezen naar het deels ingevulde aangifteformulier. Dit formulier wordt vervolgens via e-mail aan de politie gestuurd. Ook de Ondernemers-
federatie Rotterdam City krijgt melding van de winkeldiefstal. Deze federatie beheert een zwarte lijst van winkeldieven met een collectief winkelverbod. De proef met de 310 Winkelapp loopt tot december. Daarna wordt de app mogelijk uitgebreid naar andere delen van Rotterdam
zakelijke beveiligingsmaatregel staan automatische vergrendeling en de mogelijkheid om het device op afstand te wissen op de bovenste plaats. Het gebruik van jailbreaked apparatuur (waarbij de oorspronkelijk door de fabrikant aangebrachte beveiliging is doorbroken) is vaak toegestaan. Er is minder aandacht voor acties die nodig zijn aan het einde van het dienstverband en het beperkt houden van de hoeveelheid informatie op privé-apparatuur. Het inspecteren van privé-middelen lijkt taboe. Het besparen van kosten wordt het vaakst genoemd als voordeel van BYOD.
Adverteerdersindex ARAS Security b.v. Axis Communications BV Bavak Beveiligingsgroep BV Bosch Security Systems BV G4S Beveiliging bv Geutebrück GmbH iLOQ Benelux bv ISS Facility Services Nedap N.V. Security Management Nsecure B.V. Trigion TT Hall Assen
Security Management nummer 9 september 2012
35 8 10 2 22 26 15 30 38 60 59 19
11
t hema | zorg
Jeroen Bosch Ziekenhuis, ‘s-Hertogenbosch
Open én veilig Het afgelopen decennium stond voor het Jeroen Bosch Ziekenhuis in ‘s-Hertogenbosch in het teken van een enorm nieuwbouwproject. Vanuit drie verouderde locaties werd in 2011 een hypermodern zorgcomplex van 100.000 m2 betrokken. Beveiliging ontwikkelde zich tegelijkertijd van uitsluitend operationele dienst tot een afdeling die ook beleidsmatig actief is en daarmee ondersteunend is geworden voor de ambitie van het ziekenhuis om patiëntgericht en patiëntveilig te zijn. ARJEN DE KORT
D
e parkeerplaats staat vol met auto’s, het is een drukte van jewelste op weg naar de entree, eenmaal binnen zijn er winkels en horecagelegenheden, en een roltrap brengt de bezoeker naar een brede boulevard waar de centrale informatiebalie als blikvanger is opgesteld. Wie niet beter weet, zou het gevoel kunnen krijgen op een zaterdagmiddag in een enorm winkelcentrum te zijn beland. Maar wie nog eens goed kijkt, ziet tussen het publiek mensen in witte uniformen, wandelaars met driepoten met daaraan een infuus, of iemand die een rolstoel voortduwt. Dit is dan ook het hypermoderne zorgcomplex van het Jeroen Bosch Ziekenhuis (JBZ) in ‘s-Hertogenbosch. ‘Het is en blijft natuurlijk een ziekenhuis met een openbaar karakter, waarbij we van begin af aan hebben gezegd dat bezoekers hier gastvrij moeten worden ontvangen’, vertelt Letty van den
Aker. Als unithoofd beveiliging & receptie is zij samen met coördinator beveiliging Jeroen Peijnenburg de afgelopen jaren nauw betrokken geweest bij zowel de voorbereiding als de realisatie van de nieuwbouw van het Bossche ziekenhuis.
Portiersfunctie Het JBZ is het resultaat van een tweetal fusies, waardoor de afdeling beveiliging in de jaren voor de verhuizing naar de nieuwbouw verantwoordelijk
Medewerkers Bedden Bezoekers Organisatieonderdeel Afdeling
12
Risicoanalyse In 2007 werd de eerste paal geslagen voor de nieuwbouw. Maar daaraan was al een lang traject voorafgegaan, waar-
‘Waar we voorheen vooral incidentgedreven en reactief waren, zijn we nu proactief’ was voor drie locaties verspreid door de stad. Op deze locaties vervulde beveiliging vaak een portiersfunctie, daarbij in beperkte mate ondersteund door enkele gedateerde beveiligingssystemen.
Kerngegevens Organisatie Ambitie
Van den Aker: ‘We wisten al jaren geleden dat er nieuwbouw zou komen. Toen die plannen zo’n tien jaar geleden concreet werden, resulteerde dat in een ziekenhuisbreed versoberingsbeleid en werd er niet meer of minimaal geïnvesteerd. Dat gold ook voor beveiligingssystemen.’
: Jeroen Bosch Ziekenhuis, ‘s-Hertogenbosch : het meest patiëntgerichte en patiëntveilige ziekenhuis van Nederland zijn : 4.000 : 1.145 : 2 miljoen per jaar : Facilitair Bedrijf, onderdeel van het Servicebedrijf : beveiliging, met 25 medewerkers
Security Management nummer 9 september 2012
in een centrale rol was weggelegd voor het projectbureau nieuwbouw onder leiding van een projectdirecteur. Onder coördinatie van het projectbureau is met diverse gebruikersgroepen, waaronder het Facilitair Bedrijf, het uiteindelijke programma van eisen samengesteld. Maar een en ander werd pas concreet, ook voor de afdeling beveiliging, in de fase dat invulling werd gegeven aan het PvE en het bestek. Peijnenburg: ‘Vanaf die fase werd er gekeken naar de invulling van de bouwkundige en technische zaken zoals de door het JBZ gewenste en in het PvE opgenomen camera- en toegangscontrolesystemen.
t hema | zorg
Toen zaten we als security aan tafel om te bepalen op welke plaats we dachten dat er toegangscontrole moest komen, hoeveel kaartlezers er nodig waren, en waar de camera’s moesten worden opgehangen.’ Daarbij werd gebruikgemaakt van de risicoanalyse die de afdeling beveiliging reeds in de oudbouw had uitgevoerd en waarbij de kritische ziekenhuisprocessen in kaart waren gebracht.
Kleurpotloden Van den Aker schetst beeldend hoe zij dat voor het toegangscontrolesysteem hebben opgepakt. ‘Op basis van die risicoanalyse hebben we een vlekkenplan gemaakt voor de nieuwbouw. We zijn hierbij letterlijk met een doos kleurpotloden aan de slag gegaan en hebben op de overzichtstekeningen de verschillende compartimenten ingekleurd. Publiek en voor iedereen toegankelijk gebied werd groen. Alle poliklinieken die overdag voor iedereen toegankelijk zijn maar ’s avonds afgesloten moeten zijn, werden met geel aangegeven. En de gebieden met een verhoogd en hoog risico, zoals een apotheek of een laboratorium, kleurden we oranje en rood.’ Vervolgens moest het mechanisch sluitplan nog worden ingevuld. ‘Ook dat was heel intensief’, vertelt Van den Aker. ‘We hebben eerst de functionaliteit van een deur bepaald. Toen we van 6.000 deuren wisten of ze al dan niet afsluitbaar moesten zijn en op welke wijze, zijn we daadwerkelijk op al die
Historie 1274: eerste vermelding Groot Gasthuis 1815: Groot Gasthuis omgedoopt in Groot Ziekengasthuis (GZG) 1876: stichting St. Carolus Ziekenhuis 1914: stichting Protestantse Ziekenhuis 1974: Protestantse Ziekenhuis herdoopt in Willem-Alexander Ziekenhuis 1990: GZG en WAZ fuseren tot Bosch Medisch Centrum (BMC) 2002: BMC en Carolus Ziekenhuis fuseren tot Jeroen Bosch Ziekenhuis (JBZ) 2007: eerste paal nieuwbouw 2011: JBZ betrekt nieuwbouw
deuren stickertjes gaan plakken om die functionaliteit aan te geven.’ Voor het camerasysteem werd dezelfde werkwijze gehanteerd. Ook hiervoor werd met kleuren op de plattegronden de zonering aangegeven en werden plekken gemarkeerd waarvan beveiliging vond dat er beelden in de meldkamer binnen moesten komen. ‘We wilden een overzichtscamera voor alle publieke afdelingen en herkenning op plaatsen waarvan we meer detailbeelden wilden hebben’, aldus Peijnenburg. Hij vervolgt: ‘Op basis van die uitgangspunten is het gehele gebouw doorlopen. We hebben een camera op een stok gemonteerd en hadden een kleine monitor bij ons waarop we konden zien of dat de beelden opleverde die we wilden zien. Zo konden we aangeven waar we in het complex camera’s gemonteerd wilden hebben, en of dat vaste of beweegbare camera’s moesten zijn.’
Extra investeringen Tijdens deze gedetailleerde exercitie bleek dat zowel het toegangscontroleals het camerasysteem in het bestek qua omvang wat voorzichtig was inge-
schat. Er bleken beduidend meer camera’s en meer kaartlezers nodig, waardoor het totale budget voor de fysieke beveiliging werd overschreden. ‘Maar het feit dat de meeste van onze aanvullende wensen werden gehonoreerd geeft wel aan dat men de noodzaak inzag van het belang van deze extra investeringen voor beveiliging’, aldus Van den Aker. Pleit dat er dan niet voor om beveiliging eerder in een project van dergelijke omvang te betrekken? Van den Akers antwoord getuigt van realiteitszin: ‘Ik denk dat iedereen het erover eens is dat als het nog een keer zou moeten worden gedaan, het anders zou worden aangepakt. Maar het was zo’n enorm project dat afdelingen er eerder bij betrekken ook vertragend had kunnen werken. Vooral in de beginfase moest er op JBZ-niveau toch eerst een aantal beslissingen op hoofdlijnen worden genomen. Er is met de beste intentie voor deze aanpak gekozen, waarbij uiteindelijk iedereen er wel bij betrokken is en er dus zeker sprake is geweest van een bottom-upbenadering. Ik heb dan ook niet het gevoel dat we er als af-
Security Management nummer 9 september 2012
13
»
t hema | zorg
echt het nodige op. Het signaleert vroegtijdig en we kunnen nu niet alleen fysiek maar ook digitaal surveilleren. Zo kunnen we nu heel snel in een view beelden oproepen van bijvoorbeeld de hele boulevard of van alle liften ingeval we een melding krijgen dat een ongewenst persoon is binnengekomen. Hiermee kun je als beveiliging snel anticiperen op ongewenste situaties. En we hebben al diverse incidenten opgelost, waaronder zelfs een diefstal op heterdaad.’ Van den Aker: ‘Waar we voorheen als beveiliging vooral incidentgedreven en reactief waren, zijn we nu proactief.’
Continu proces
Letty van den Aker (unithoofd beveiliging & receptie, links) is samen met coördinator beveiliging Jeroen Peijnenburg de afgelopen jaren nauw betrokken geweest bij zowel de voorbereiding als de realisatie van de nieuwbouw van het Jeroen Bosch Ziekenhuis. deling beveiliging te laat bij betrokken zijn.’
Verwachtingspatroon Na een lange en intensieve voorbereiding volgde ruim een jaar geleden de verhuizing. Zoals het meestal gaat bij dergelijke grote operaties, verliep ook bij het JBZ niet alles vlekkeloos. Het eerste wat Peijnenburg daarbij opviel, was het verwachtingspatroon van de mensen. ‘Vanuit de oudbouw kwamen de mensen naar de nieuwbouw met de verwachting dat alles nieuw en dus wel goed zou zijn. Maar
jes werkten gelukkig wel, maar met name met de specifieke autorisaties kunnen we onder andere door drukte en tijdgebrek sinds kort pas echt aan de slag.’ ‘Of neem de camera’s die keurig conform het cameraplan waren gemonteerd, maar waarvan de later opgehangen bewegwijzering ineens het zicht voor een deel beperkte waardoor zaken moesten worden aangepast. Maar dat is inherent aan de situatie na zo’n verhuizing’, aldus een nuchtere Peijnenburg. Hij vervolgt: ‘Onze eerste zorg was echter
‘Qua beveiligingssystemen zijn we van een Dafje naar een Rolls Royce gegaan’ dan komt men hier en blijken nog niet alle systemen optimaal te functioneren.’ Zo was de meldkamer nog niet afgebouwd, waardoor bijvoorbeeld slagbomen nog niet konden worden bediend. Of de camera- en toegangscontrolesystemen die nieuw ontwikkeld waren, maar die nog niet op zo’n grote schaal met 4.000 medewerkers waren getest. Van den Aker geeft het voorbeeld van het toegangscontrolesysteem: ‘De pas-
14
dat het primaire proces en de zorg na de inhuizing meteen doorgang konden vinden. Security is dan gewoon even ondergeschikt.’
Proactief Gevraagd naar de ervaringen van het afgelopen jaar reageert Peijnenburg ad rem: ‘Qua beveiligingssystemen en inrichting van de meldkamer zijn we van een Dafje naar een Rolls Royce gegaan. Neem het camerasysteem, dat levert
Security Management nummer 9 september 2012
In deze laatste opmerking wordt de ontwikkeling die de afdeling beveiliging het afgelopen decennium heeft doorgemaakt, fraai gevangen: van een uitsluitend operationele dienst tot een afdeling die met een eigen beleidsplan ook beleidsmatig actief is en daarmee ondersteunend is geworden aan de ambitie van het ziekenhuis om patiëntgericht en patiëntveilig te zijn. ‘Daartoe bood de nieuwbouw natuurlijk een goede gelegenheid en die kans hebben we gegrepen’, aldus Van den Aker. De komende jaren zal deze rol aan de hand van het beleidsplan verder worden uitgebouwd. Van den Aker: ‘Uitgangspunt is dat het ziekenhuis een plek moet zijn waar iedereen – medewerker, patiënt en bezoeker – zich veilig voelt en waar bezittingen goed beveiligd zijn. Ongewenst gedrag zoals geweld, agressie en intimidatie accepteren we niet en willen we voorkomen. Dat beleid, die uitgangspunten willen we borgen. Het moet een continu proces worden.’ ‘Andere speerpunten zijn security awareness en het opstellen van een security managementsysteem, waarmee we nog proactiever kunnen optreden en zodoende kunnen aansluiten bij het thema patiëntveiligheid. Dat laatste is in het JBZ nog vooral medisch gericht. Maar fysieke beveiliging en een veilige omgeving passen hier ook in. Als we dat kunnen realiseren, is er sprake van integrale veiligheid en kunnen we nog beter bijdragen aan een van de kernwaarden van JBZ – ‘veilig’ waarin de patiënt centraal staat.’ ‹‹
IK BEN REVOLUTIONAIR iLOQ is ‘s werelds eerste digitale cilinder met eigen energievoorziening. Zonder batterijen. Zonder bekabeling. Wij bieden een sluitsysteem met een exibel en veilig toegangsmanagement, met aanzienlijk lagere onderhoudskosten ten opzichte van elektromechanische systemen. www.iloq.com
y
rit
u ec S e , s d l 12 n a e ijd D) H 1 t ( s 0 on sen d 5 k s n e zo te E sta e B
t hema | zorg
Bewustwording: de sleu Veel organisaties doen van alles om ongenode gasten en vervelende incidenten tegen te gaan. Zoals het aantrekken van een externe beveiligingsdienst en maatregelen als hekken, sloten, pasjes, camera’s en inbraakdetectie. Maar wat te doen als je slechts twee beveiligers in dienst hebt en 3.000 andere medewerkers die deuren laten openstaan, terwijl de organisatie veel bezoekers binnenkrijgt. De oplossing ligt in het opschalen van de alertheid en het gedrag aanpassen van die medewerkers. ARJEN APPELMAN *
B
eveiligingsmaatregelen worden al langer niet meer alleen ingedeeld in de drie bekende maatregelgroepen OBE. Voor de wat grotere, complexere organisaties is veel meer veiligheid te bereiken door alle medewerkers een duidelijke taak en verantwoordelijkheid te geven. Het instrument om dit te bereiken is Communicatie & Bewustwording als voorname beveiligingsmaatregelen te borgen in de beleidsvisie. Daarbij komt verder nog Meldingen & Stuurinformatie. Ook dit krijgt gelukkig steeds meer aandacht en heeft tot doel beveiliging en ook bewustwording meetbaar te maken. Zo komen we tot het begrip MOBEC. 1
Model voor Bewustwording Alle organisaties kennen een zogenaamde beveiligingscultuur. Dit is de wijze waarop medewerkers binnen de organisatie omgaan met beveiligingsrisico’s. Er zijn veel organisaties waar deze risico’s nauwelijks worden ervaren. ‘Een probleem? Wij hebben helemaal geen probleem, wellicht wel bij onze collega’s in het westen, maar hier in het oosten valt het allemaal zo mee!’ Organisaties zijn daarom in te delen in vier typen wanneer het om de beveiligingscultuur gaat. De eerste stap om te komen tot een sterkere beveiligingscultuur is vast te 2
Onbewust Onbekwaam
4
Bewust Onbekwaam
3 Onbewust Bekwaam
Figuur 1. Leermodel van Maslov / Kolb.
16
Security Management nummer 9 september 2012
Bewust Bekwaam
stellen in welk kwadrant van het model de organisatie zich bevindt.
Schuiven binnen het model Vind je als security manager of als hoger management dat het wenselijk is dat de organisatie zich gaat verbeteren op het gebied van de beveiliging, dan is het nodig de cultuur van de organisatie aan te passen, te laten schuiven binnen het model. Het mooiste zou zijn wanneer je rechtstreeks van 1 naar 4 zou kunnen gaan. In de praktijk blijkt dit echter niet haalbaar, de organisatie zal zich gefaseerd moeten aanpassen gedurende een langere periode langs de rode pijl. Vergelijk een leerproces van een klein kind dat moet leren om het licht in de badkamer uit te doen. De eerste periode wanneer het kind groot genoeg is om zelf naar het toilet te gaan, zal je het er voortdurend aan moeten herinneren dat het licht uit moet. Daarbij vertel je het kind ook waarom. Licht kost energie, energie kost fossiele brandstoffen, verbruik van de energie warmt ook de aarde op, dit vinden de ijsberen niet leuk, het poolijs smelt weg (en wellicht ten overvloede kost energie ook nog geld). Met deze argumentatie blijken veel kinderen te beseffen (kwadrant 2) dat het beter is om het licht uit te doen, want die massale ijsberensterfte willen zij niet op hun geweten hebben. Ze gaan oefenen om het licht uit te doen en proberen het niet te vergeten. Ze werken eraan
t hema | zorg
Fa se
is
2 Onbewust Onbekwaam
4
Bewust Onbekwaam
Fa
se
2 Acties: - Trainen - Instrueren
3 Bewust Bekwaam
ag
dr
se
Ge
3
Onbewust Bekwaam
Fa
Acties: - Evalueren - Borgen Via 7Stappenplan
nn
1
Acties: - Informeren - Confronteren
Ke
1
tel tot meer veiligheid
g
in
d ou
H
Acties: - Continueren / herhalen - Belonen / straffen
Startwaarden / Randvoorwaarden / KSF: - vastgesteld Beleid - Commitment bestuur / directie - Incidentenregistratie - Betrekken van belanghebbenden -Ophangen in cyclisch proces / voortdurend evalueren
Informeren versus confronteren
Figuur 2. Cultuurveranderingsmodel. om meer bekwaam te worden. We plakken een briefje op de deur zodat ze het niet vergeten. Na verloop van tijd blijken de briefjes en schreeuwen niet meer nodig te zijn. Het kind heeft zijn gedrag aangepast en doet consequent het licht uit. Op een vergelijkbare wijze verandert het gedrag van heel veel mensen bij elkaar (de organisatiecultuur) ook.
Hoe verplaatsen we ons dan? Het schuiven binnen het model met de cultuur van de organisatie is geen eenvoudige opgave. Mensen zijn al jaren gewend het op een vaste manier te doen en ervaren in de praktijk nauwelijks situaties waarin het ‘fout’ gaat. Hierdoor is de interne motivatie om het gedrag aan te passen (wat vaak als lastig en tijdrovend wordt beschouwd) veelal afwezig. Laten we als uitgangspunt een organisatie nemen die qua beveiligingscultuur als Onbewust – Onbekwaam aangeduid mag worden. Een grote valkuil is direct aan te geven wat men wel en niet mag c.q. moet doen. Hiermee sturen we op vaardigheden (het doen) en
heerde documenten, overtredingen van regels enz.). Het overleggen van deze informatie (nog veel te weinig organisaties zijn hier open en transparant over) is cruciaal om medewerkers te overtuigen van de aanwezigheid van reële risico’s. Met het overdragen van kennis, statistiek, aanwezigheid procedures, ongewenste situaties, gevolgen van incidenten enzovoort komen medewerkers tot het besef (bewustwording) dat er ook bij hen binnen de organisatie wel eens wat zou kunnen gebeuren met minder prettige gevolgen. Dit geeft een houding waarbij men meer open staat om te leren wat men zelf kan doen om de situatie te verbeteren, de eigen werkomgeving veiliger te maken.
dus de bekwaamheid. Bij stap een moet het uitsluitend gaan om het uitleggen van de risico’s die bestaan, hoe vaak zij zich voordoen en welke situaties binnen de organisatie ongewenst zijn omdat zij tot incidenten kunnen leiden. Veel beveiligers die ik spreek tijdens de opstart van bewustwordingscampagnes, geven aan dat zij al heel lang vertellen dat de medewerkers de deuren moeten afsluiten, omdat er anders gestolen wordt. De medewerkers aan de andere kant vinden dit echter
De aanpak zoals geschetst, valt onder de noemer ‘informeren’. We informeren de organisatie over risico’s, incidenten, ongewenste situaties, calamiteitennummers, aanwezige procedures en de aanwezigheid van een afdeling Beveiliging. In de praktijk blijken mensen, ondanks de posters, kenniskaarten, websites, intranettools en artikelen, toch nog vaak risico’s te ontkennen. Met deze middelen alleen blijkt het leerproces dan ook niet opgestart te kunnen wor-
Zie bewustwording als noodzakelijke beveiligingsmaatregel naast de OBE alleen maar gezeur: ‘Gestolen, er wordt toch niets gestolen!’ Hier komt dan ook de noodzaak van de Meldingen & Stuurinformatie (M) om de hoek kijken. Organisaties die goed registreren, kunnen snel en eenvoudig aantonen dat er wel degelijk gestolen wordt (bijvoorbeeld 124 maal per jaar) of dat er regelmatig ongewenste zaken zijn (open deuren, onbe-
den. Medewerkers ontkennen nog steeds door aan te geven dat de incidenten dan wel binnen de eigen organisatie hebben plaatsgevonden (statistiek), maar dat het daar om andere afdelingen ging. Bij hen zou dat niet mogelijk zijn. Om hier doorheen te breken en iedereen in een modus te krijgen waarbij men verder wil leren, zijn confrontaties nodig.
Security Management nummer 9 september 2012
17
»
t hema | zorg
Bij confrontaties is het de bedoeling medewerkers te laten ‘voelen’ dat er ook bij hen wat fout kan gaan. Hiermee kunnen zij achteraf niet meer ontkennen dat het bij hen niet voorkomt. De confrontaties kunnen worden uitgevoerd door middel van mystery visits. In de opzet wordt altijd de leidinggevende betrokken, bij deze persoon ligt namelijk de voornaamste sleutel om het proces echt op gang te brengen. Door de leidinggevende te betrekken wordt hij/ zij medeverantwoordelijk voor het verbeterproces en gaat hij/zij zich niet afzetten. Afgesproken wordt dat de leidinggevende bepaalt wat er op een geschikt moment gebeurt (rondlopen, foto’s maken, voorwerpen meenemen, informatie vragen) om de afdeling in het tweede kwadrant te krijgen. Regelmatig merken we dat de leidinggevende bij het eerste gesprek ook verwacht dat
het niet zal gaan lukken en direct in actie komt na een geslaagde mystery visit. Ook bij de toelichtingen blijkt dat men het altijd eens is dat er zaken aangepast moeten worden om herhalingen te voorkomen. De meer informatieve middelen kunnen in dit proces goed worden gebruikt om aan te refereren en het kennisniveau te versterken. Zit de organisatie eenmaal in de cultuur Bewust Bekwaam, dan kan er worden gestart met het vaardighedenprogramma. Door middel van interactieve films en e-learning kan medewerkers worden geleerd hoe te reageren in bepaalde ongewenste situaties en hoe zij zelf ongewenste situaties kunnen voorkomen. Om het gedrag uiteindelijk te kunnen verankeren in een cultuur die Onbewust Bekwaam is (kwadrant 4), is het nodig kennis en vaardigheden continu
De vier organisatieculturen voor wat betreft security awareness / risicobewustzijn op een rij: Onbewust / Onbekwaam: de organisatie is zich van geen risico bewust. Er komen wellicht enkele incidenten voor, maar deze geven geen aanleiding tot zorg. Er is geen probleem. In dit klimaat is geld uitgeven aan beveiligingsmaatregelen om de werkplek veiliger te maken onnodig en niet te verantwoorden. Wordt dit wel gedaan, dan zullen zij niet effectief zijn aangezien men nut en noodzaak niet begrijpt. Mocht zich een incident met CBRN voordoen, dan weet men niet wat te doen; er is niet geleerd (onbekwaam) van het verleden. Bewust / Onbekwaam: de organisatie is zich inmiddels bewust van een probleem. Er doen zich incidenten voor die onprettig en onwenselijk zijn, of de dreiging is reëel dat er agentia of kennis wordt weggenomen. Men is zich bewust van de risico’s, maar aangezien de preventieve maatregelen nieuw zijn, weet men nog niet goed wat te doen (onbekwaam). Bewust / Bekwaam: de medewerkers hebben geleerd wat te doen om risico’s beter beheersbaar te maken. Men is zich bewust van de risico’s en kan hierop steeds beter anticiperen. Medewerkers hebben de werkwijze aangepast om incidenten te voorkomen. Helaas moeten medewerkers nog wel gewezen worden op het feit dat er risico’s bestaan en dat zij handelingen moeten verrichten om de eigen werkplek veilig te houden. Zo moet men bewust nadenken bij het afsluiten van deuren, pc’s, kasten et cetera. De kans dat handelingen worden vergeten, is reëel. Zij zijn nog niet verworden tot een algehele gedragsattitude. Onbewust / Bekwaam: organisaties die zich in dit deel van het kwadrant bevinden, hebben het ‘veilig werken’ tot een van de kerncompetenties van de algemene bedrijfsvoering gemaakt. Denk hierbij aan organisaties binnen de petrochemische industrie, banken & verzekeraars, farmaceutische industrie. Men doet automatisch (onbewust) deuren op slot, laat geen documenten voor de schoonmaker achter op bureaus, faxt en telefoneert veilig enzovoort. Veiligheid en beveiliging zijn vaste agendapunten tijdens het werkoverleg en het functioneringsgesprek en op het moment dat regels overtreden worden zijn sancties van toepassing. Veiligheid en beveiliging zijn beleidsmatig hoog binnen de organisatie geborgd.
18
Security Management nummer 9 september 2012
Onderbouwen
Accepteren
te herhalen en aan te passen aan veranderende omstandigheden. Bovendien is het noodzakelijk veiligheid integraal onderdeel te maken van het functioneren en beoordelen. Veiligheidsthema’s moeten structureel op agenda’s van werkoverleggen staan en veilig gedrag moet beloond worden tijdens functioneringsen beoordelingsgesprekken. In figuur 2 worden de overgangen tussen de verschillende culturen benoemd.
Voorwaarden / Checklist bewustwording Om een succesvolle opmars binnen het bewustwordingsmodel te kunnen maken moet aan een aantal randvoorwaarden worden voldaan. Indien deze voorwaarden niet kunnen worden ingevuld, zal het proces aanzienlijk moeizamer dan wel niet slagen. Committment van management Daar waar het topmanagement van de organisatie Onbewust Onbekwaam is en blijft, zal verandering bijzonder lastig zijn. Het topmanagement heeft een voorbeeldfunctie en wanneer het vooroploopt en het vaandel draagt, zal het proces veel soepeler en voordeliger verlopen. Meetinstrument Organisaties die niet weten waar het (bijna) fout gaat, hebben een lastig verhaal. Waarom moeten we veranderen, er gebeurt toch niets? Een goede statistiek van (bijna) incidenten levert input om het proces op te starten en maakt het tevens mogelijk de bewustwording meetbaar te maken. Een reële vraag vanuit het management is aan te tonen of de ingezette middelen inderdaad hebben geleid tot meer bewustwording. Veel organisaties zijn inmiddels in staat dit te motiveren doordat
t hema | zorg
zij veel registreren. Een afgeleide van het meetinstrument is de beschikking hebben over een meldpunt. De organisatie moet een laagdrempelig meldpunt en -procedure hebben om de meldingen te kunnen ontvangen. Het
de aanpak van het Groene Hart Ziekenhuis (zie artikel op pagina 20) waar we de campagne samen met Informatiebeveiliging en Patiëntveiligheid hebben opgezet. Dit werkt elkaar niet tegen, maar versterkt elkaar.
10 procent meer bewustwording zorgt voor 80 procent meer veiligheid liefst met zoveel mogelijk meldpunten: persoonlijk aan de balie, telefonisch via een makkelijk nummer, via de mail en wellicht via webformulieren op intranet. Aansluiten bij andere programma’s Het kan dodelijk zijn wanneer een organisatie meerdere campagnes tegelijk en door elkaar heen laat lopen. Medewerkers worden campagnemoe en verzuchten ‘Wat moeten we nu weer?’. Het is belangrijk vooraf te kijken waarbij aangesloten kan worden. Vergelijk
Binnen steeds meer sectoren vindt de week van de veiligheid plaats in november; sluit hier qua planning bij aan. Betrek het middenmanagement Verandering van gedrag moeten we samen doen, het kan niet vanuit de beveiliging alleen komen. Een cruciale link ligt bij het middenmanagement, dat de medewerkers op de werkvloer aanstuurt en moet toezien en corrigeren (niet Beveiliging). Heb je het middenmanagement voor je gewonnen,
dan zal de kans op succes aanzienlijk toenemen. Aansluiten bij actualiteit Sluit aan bij actuele incidenten uit de eigen organisatie en van vergelijkbare collega’s. Gebruik testimonials van slachtoffers om incidenten meer lading mee te geven. Gebruik bestaande communicatiemiddelen Gebruik bestaande middelen als personeelsbladen, intranet, werkoverlegmomenten om informatie met elkaar te delen. Dit om te voorkomen dat alles nieuw ontwikkeld moet worden en daardoor te kostbaar en te overdreven overkomt. Het moet niet overkomen als iets wat ‘nieuw’ is, maar als iets wat ‘normaal is in een professionele, integere organisatie’. ‹‹ * Arjen Appelman is directeur van Aes Security Management in Amsterdam en ontwikkelt security managementsystemen, beleidskaders, bewustwording en meetinstrumenten voor beveiliging.
(Advertentie)
Security Management nummer 9 september 2012
19
t hema | zorg
Bewustwordingscampagne Groene Hart Ziekenhuis,
‘Veiligheid is jouw, mijn verantwoordelijkheid’ Binnen veel ziekenhuizen is het besef aanwezig dat er meer aan veiligheidsbewustwording moet worden gedaan. In dat kader startte het Groene Hart Ziekenhuis in Gouda afgelopen winter een bewustwordingscampagne met het thema ‘Veiligheid is onze gezamenlijke zorg’. De eerste resultaten zijn inmiddels behaald. Een praktijkverhaal. ARJEN DE KORT
W
ie door het Groene Hart Ziekenhuis (GHZ) loopt, komt het motto ‘Open voor iedereen’ op allerlei uitingen tegen. ‘We willen een gastvrij ziekenhuis zijn, gastvrijheid staat in onze missie’, vertelt Marcel Loot, manager van de Eenheid Gastvrijheid. ‘Maar we willen niet alleen dat mensen zich welkom voelen, tegelijkertijd moet het veilig zijn terwijl de voordeur 24/7 openstaat.’ Daarmee schetst hij meteen het dilemma van de afdeling beveiliging, waarvoor Artur Rebelo, hoofd Gastenservice, verantwoordelijk is. ‘We kunnen niet met alleen de inzet van onze beveiligers het hele ziekenhuis veilig krijgen. Daarbij hebben we ook onze (zorg)collega’s nodig.’
Patiëntveiligheid In de strategie van het GHZ staat het begrip patiëntveiligheid centraal. Dit wordt vooral benaderd vanuit medisch perspectief. De afdeling Kwaliteit zorgt voor de borging ervan. ‘Maar er zijn volop aanknopingspunten met fysieke beveiliging’, aldus Loot. Hij vervolgt: ‘Het biedt dan ook voldoende haakjes om ons fysieke beleid aan op te hangen.’ Rebelo vertelt dat dit heeft geresulteerd in een apart plan voor de beveiliging, waarmee het grotere geheel van patiëntveiligheid wordt ondersteund. ‘Zo leveren wij ook een bijdrage aan een veilige omgeving voor de patiënten en onze collega’s.’ Een aantal jaren geleden heeft het GHZ het programma Veilige Zorg om-
Kerngegevens Organisatie Locaties Bedden Medewerkers Bijzonderheden
20
: Groene Hart Ziekenhuis (GHZ) : Bleuland en St. Jozef in Gouda, een buitenpoli in Nieuwerkerk aan den IJssel : 450 : 2.000 : Samen met drie andere ziekenhuizen participeert het GHZ in de Samenwerkende Ziekenhuizen West-Nederland Coöperatief U.A. De andere drie ziekenhuizen zijn de Stichting BronovoNebo (Den Haag), Stichting Medisch Centrum Haaglanden (Den Haag, Leidschendam), en Stichting het LangeLand Ziekenhuis (Zoetermeer).
Security Management nummer 9 september 2012
armd. Daarmee werden de voor de zorg bekende problemen zoals agressie, geweld en diefstal aangepakt. Tevens werd hiermee een aanzet gegeven om veiligheid bij de zorgmedewerkers ‘tussen de oren’ te krijgen. Dat laatste bleek in de praktijk echter nog best lastig te realiseren. Rebelo: ‘De primaire taak van het verplegend personeel is de verzorging en veiligheid van patiënten, waardoor het accent minder ligt op veiligheid in het ziekenhuis in het algemeen.’
CBRN-subsidie De gelegenheid hier verandering in te brengen deed zich voor toen er vanuit de overheid een programma werd geimplementeerd om de kans op CBRNterrorisme (chemisch, biologisch, radiologisch, nucleair) te minimaliseren. In dit kader werd een traject gestart dat gericht was op de weerstandverhoging bij onder andere ziekenhuizen. Het programma kende een subsidieregeling die kon worden aangewend om de benodigde maatregelen te financieren en om de bewustwording in de instellingen te bevorderen. Loot: ‘Deze subsidieregeling was voor ons een extra stimulans om met deze problematiek aan de slag te gaan en gaf het laatste zetje om een bewustwordingscampagne op te zetten.’
t hema | zorg
Gouda
en onze gezamenlijke
Marcel Loot (manager Eenheid Gastvrijheid): ‘We willen niet alleen dat mensen zich welkom voelen, tegelijkertijd moet het veilig zijn.’ Rebelo licht dit verder toe: ‘Uit een eerste scan kwam een aantal kritische zaken naar voren, waarvoor maatregelen moesten worden getroffen. Een voorbeeld is de afvalopslag die voorheen eenvoudig te bereiken was voor mensen die daar niks te zoeken hadden. Deze opslagruimte is nu beveiligd met hekken en camerabewaking. En we moesten de afdelingen en gangen verder compartimenteren, zodat er deuren afgesloten zouden worden die vroeger gewoon open stonden. Als je de zorgmedewerkers daarin wilt meekrijgen, moet je steeds weer uitleggen waarom je deze maatregelen gaat nemen. Om het te laten slagen kwamen we tot de conclusie dat we naast de maatregelen een bewustwordingscampagne moesten starten.’
Brede campagne De subsidieregeling was in principe alleen bestemd voor een bewustwordingscampagne gericht op de CBRN-proble-
Vandaar dat we de campagne breder hebben ingezet, door ons op alle medewerkers in het GHZ te richten.’ Toen de subsidie eenmaal was toegekend, werd in maart 2011 een stuurgroep aangesteld met een brede vertegenwoordiging vanuit diverse disciplines uit het ziekenhuis. Hiermee sloegen fysieke beveiliging, informatiebeveiliging en patiëntveiligheid de handen ineen. Thema van de campagne werd ‘Veiligheid, onze gezamenlijke zorg’. De campagne startte in september 2011 met de maand van de beveiligingsorganisatie, in oktober de maand van toegangsbeheer en veilige werkomgeving, in november gevolgd door patientveiligheid, en werd in december afgesloten met de maand van de informatiebeveiliging. ‘Vanuit fysieke beveiliging hebben we vooral praktische zaken centraal gesteld, zoals het afsluiten van kantoren, of mensen aanspreken als je ze niet kent. Maar ook kennisoverdracht zoals het communiceren van het telefoonnummer van de beveiliging, en medewerkers overtuigen om incidenten te melden’, vertelt Rebelo.
‘Wij leveren een bijdrage aan een veilige omgeving voor onze patiënten en onze collega’s’ matiek. Voor Loot en Rebelo was het echter al snel duidelijk dat zij de campagne breder wilden aanvliegen. ‘Want een schoonmaker werkt de ene dag op een gewone afdeling, de andere op een CBRN-afdeling. Die moet zich dus in algemene zin bewust zijn van veiligheid.
Mystery visits In de campagne werden diverse middelen ingezet, zoals brochures, posters, kenniskaarten, personeelsblad en intranet. De gewenste gedragsverandering werd echter vooral gerealiseerd door zogenoemde mystery visits. Deze werden
Security Management nummer 9 september 2012
21
»
7IGYVMRK =SYV ;SVPH :SPK SRW SSO ST + 7C20 :IMPMKLIMH &IZIMPMKMRK
1IX ZIMPMKLIMH IR FIZIMPMKMRK LIIJX MIHIVIIR HMVIGX SJ MRHMVIGX HEKIPMNOW XI QEOIR 3J LIX RY KEEX SQ HI ZIMPMKLIMH ZER QIRWIR SJ HI FIZIMPMKMRK ZER KIFSY[IR KSIHIVIR SJ TVSGIWWIR IPOI WMXYEXMI ZVEEKX SQ IIR IMKIR EERTEO %PW LIX SQ FIZIMPMKIR IR ZIMPMKLIMH KEEX MW + 7 ZER EPPI QEVOXIR XLYMW + 7 EREP]WIIVX HI WMXYEXMI HIROX QII IR ZSSV^MIX Y ZER HI NYMWXI QIRWIR IR HI RMIY[WXI XIGLRMIOIR 2MIX XI ZIIP RMIX XI [IMRMK QEEV TVIGMIW [EX Y RSHMK LIIJX MR [ WMXYEXMI 'SQTPIIX FIXVSY[FEEV IR TVSJIWWMSRIIP :SSV QIIV MRJSVQEXMI [[[ K W RP WIGYVMX]
;MPX Y ST HI LSSKXI FPMNZIR ZER EPPI XVIRHW IR SRX[MOOIPMRKIR FMRRIR + 7# 7GER HER HI 56 GSHI IR WGLVMNJ Y MR ZSSV HI + 7 RMIY[WFVMIJ
t hema | zorg
in overleg met de managers bedrijfsvoering georganiseerd. Samen met hen werd besproken welke ongewenste zaken er op hun afdeling speelden – bijvoorbeeld open deuren, toegankelijke dossiers, medicijnen, gevaarlijke stoffen – waarna een visit werd gepland. De bevindingen hiervan werden tijdens het werkoverleg van de afdelingen met de medewerkers besproken. Daarbij vormden foto’s van onveilige situaties vaak de bewijslast. Rebelo: ‘We konden de afdelingen hierdoor confronteren met zaken die niet of juist wel goed geregeld waren. Daarbij ging het ons overigens niet om het uitdelen van een zwarte piet, maar we legden vooral de nadruk op hoe dat soort zaken voorkomen had kunnen worden. Dit is door de zorg positief ontvangen. Door de positieve insteek van de campagne werden de ogen geopend.’
Nulmeting Tegelijkertijd werd een nulmeting gedaan, waarbij een lijst werd gehanteerd met eisen waarvan de stuurgroep vond waaraan veiligheid in het GHZ in zijn algemeenheid moest voldoen. Daarvan is een top 10 met geconstateerde problemen gemaakt, die vervolgens is teruggekoppeld naar de afdelingen en de Raad van Bestuur. Loot: ‘Die nulmeting gaan we jaarlijks herhalen. Let wel, ook hierbij gaat het ons er niet om elkaar het leven zuur te maken. Maar als je collega’s kunt laten zien dat ze hun zaakjes in principe op orde hebben, maar dat het jammer is dat ze net dat
Artur Rebelo (hoofd Gastenservice) is enthousiast over de mystery visits: ‘We konden de afdelingen confronteren met zaken die niet goed geregeld waren. Daarbij ging het ons overigens niet om het uitdelen van een zwarte piet.’ den opgelost met een andere soort deurdranger. ‘Heb je daar nu zo’n campagne voor nodig? Tja, kennelijk wel.’
Ervaringen Uit dit voorbeeld blijkt bovendien dat het mes aan twee kanten snijdt. Niet alleen komt veiligheid bij de zorgmedewerkers steeds meer ‘tussen de oren’, waardoor zij hun gedrag daadwerkelijk veranderen. Tegelijkertijd groeit bij de afdeling beveiliging het begrip voor de zorg. Loot: ‘Het is dus wederzijds. Ook
‘We zijn als beveiliging en zorg dichter naar elkaar toe gegroeid’ ene punt nog niet goed geregeld hebben, dan helpt dat wel.’ Het was voor Loot een eyeopener dat het hierbij soms om hele simpele dingen ging. Hij vertelt het voorbeeld van een deur die volgens de beveiliging dicht moest zijn, maar door de verpleging met een wigje werd opengezet. Navraag waarom dit werd gedaan, leerde dat er een deurdranger op zat waardoor de deur steeds met een enorme klap dichtsloeg wat hinderlijk was voor de patiënten. Het probleem kon wor-
een veilig gevoel geeft onder het personeel en de patiënten. Dat is een duidelijke verandering.’ Om dit vast te houden en verder uit te bouwen is besloten een aantal zaken uit de bewustwordingscampagne, zoals de mystery visits, structureel op te nemen in het beveiligingsplan. Verder is besloten november tot maand van de veiligheid uit te roepen, waarin de campagne steeds zal worden herhaald. ‘Voor nieuwe medewerkers gaan we een introductiefilm maken over veiligheid in het GHZ, die ze te zien krijgen tijdens de bijeenkomst voor nieuwe medewerkers’, vertelt Loot.
Winstpunt
de afdeling beveiliging heeft de afgelopen tijd zaken geleerd en meer inzicht en begrip gekregen voor bepaalde wensen vanuit de zorg.’ ‘We zijn tot de conclusie gekomen dat we elkaar nodig hebben’, vervolgt Rebelo. ‘Een mooi voorbeeld hiervan vind ik dat het vroeger door de verpleging niet werd gewaardeerd als er ’s nachts een beveiliger over de afdeling liep. Tegenwoordig stellen ze het juist op prijs als een beveiliger één of twee keer per nacht over de afdeling loopt, omdat dit
Gevraagd naar wat zij als belangrijkste winstpunt van de bewustwordingscampagne hebben ervaren, reageren beide heren enthousiast. Rebelo: ‘Voor mij is dat de samenwerking met de zorg. We zijn als afdeling beveiliging en zorg daadwerkelijk dichter naar elkaar toe gegroeid.’ Loot is het met zijn collega eens: ‘Het is ons gelukt om bij heel veel mensen helder te krijgen dat veiligheid een gezamenlijke zorg is. Het is jouw, mijn en onze gezamenlijke verantwoordelijkheid. Dat klinkt niet alleen mooi, maar zo voelt het ook.’ ‹‹
Security Management nummer 9 september 2012
23
t hema | zorg
Informatiebeveiliging in de zorg
NEN 7510: zucht of zegen? De nieuwste versie van de norm NEN 7510 - Informatiebeveiliging in de zorg dateert van oktober 2011. Deze versie vervangt de voorgaande versies alsmede de normen NEN 7511-1, NEN 7511-2 en NEN 7511-3. Ondertussen hebben organisaties in de zorg ervaring opgedaan met het overstappen op deze nieuwe versie. In dit artikel gaan we in op de verbeteringen ten opzichte van de oude versie, het toepassen van de norm en het nut van NEN 7510 audits. ANDRÉ VAN SOEST EN REIN DE VRIES *
I
n het begin van dit millennium was er nog geen aparte norm voor informatiebeveiliging voor de zorg. In het Verenigd Koninkrijk werd op het gebied van informatiebeveiliging de norm BS 7799 toegepast die in Nederland werd aangepast in een ontwikkeling met de naam Code voor Informatiebeveiliging (CvIB), de nieuwe NEN-ISO/IEC 17799. In 2004 werd speciaal gericht op de zorg een eigen norm ontwikkeld (NEN 7510 en 7511), met de CvIB in het achterhoofd. Zorgspecifieke elementen zijn aangescherpt en extra aandacht is geschonken aan de beheersing van de toegang tot gegevens. Omdat er grote verschillen - zoals inrichting processen en cultuur - bestonden tussen verschillende zorginstellingen, denk hierbij aan zie-
opgesteld waarvoor de te nemen maatregelen verschilden. De globale aanpak bleef echter voor alle zorginstellingen gelijk.
Wat brengt de nieuwe NEN 7510? De nieuwe NEN 7510 is een substantiele verbetering ten opzichte van de oude versie. Zo is er in de nieuwe versie aandacht voor de inrichting van het managementsysteem voor informatiebeveiliging (ISMS) en voor risicomanagement. Managementsysteem ISMS heeft een prominente plaats gekregen en wordt in separate paragrafen uitgebreid behandeld. Per fase - Plan, Do, Check, Act - is beschreven welke
De nieuwe NEN 7510 is een substantiële verbetering ten opzichte van de oude versie kenhuizen en thuiszorginstellingen, had de normcommissie een clusterindeling opgesteld van zorgorganisaties. Voor drie typen organisaties - complexe organisaties, samenwerkingsverbanden en solopraktijken - zijn aparte normen
24
stappen genomen moeten worden. Met de nieuwe norm kan daardoor een goede basis worden gelegd voor de inrichting van een gecontroleerd managementsysteem. Voor een goede werking dient informatiebeveiliging immers een
Security Management nummer 9 september 2012
levend proces te zijn, waarbij je doorlopend oog moet hebben voor verbetering. Het inrichten van een ISMS is nu als verplicht vastgelegd. De te nemen beheermaatregelen die behandeld worden in de overige hoofdstukken, zijn niet verplicht en zijn alleen van toepassing als de uitkomsten van een risicoanalyse aanleiding geven tot het nemen van maatregelen. Risicomanagement Niet alleen het managementsysteem maar ook het risicomanagement heeft - terecht - een prominentere plaats gekregen. In de nieuwe NEN 7510 bespreekt men twee vormen van risicoanalyses, namelijk de integrale risicoanalyse waarin alle aspecten van informatiebeveiliging behandeld worden en de objectrisicoanalyse waarbij je een risicoanalyse van ‘losse’ objecten uitvoert. Met name als NEN 7510 vraagt om ‘passende’ maatregelen, zul je moeten nagaan wat niet passend is en dat doe je via een objectrisicoanalyse. Dit is een verbetering ten opzichte van de oude versie. Risicomanagement - mits organisatiebreed uitgevoerd - zorgt voor een beter bewustzijn van dreigingen en de noodzaak tot het treffen van
t hema | zorg
maatregelen. Het is niet voor niets dat bij de NEN 7510-audits, zoals deze bij ziekenhuizen in 2010 conform het NVZ Toetsingsreglement Informatiebeveiliging versie 19-04-2010 zijn uitgevoerd, risicoanalyse een prominente plaats had. Indeling Wat betreft de indeling in aandachtsgebieden loopt de NEN 7510 nu in lijn met de huidige normen ISO 27001 en ISO 27002. Hierdoor lopen de indeling in hoofdstukken, paragrafen en titels synchroon. In de oude norm week ongeveer 30 procent van de (sub)paragraafnummers af en de titels van de (sub)paragrafen waren afwijkend. Ook
waren enkele (sub)paragrafen ondergebracht bij andere hoofdstukken. In de nieuwe norm is in lijn met ISO 27002 een duidelijke onderverdeling gemaakt per hoofdbeveiligingscategorie, namelijk een beheerdoelstelling die vermeldt wat er moet worden bereikt en vervolgens een of meerdere ‘Beheermaatregelen’ die kunnen worden toegepast, ‘Aandachtspunten en aanbevelingen voor implementatie’ bij het implementeren van de beheermaatregel en ‘Overige informatie’ (voorheen beschreven onder ‘Toelichting’) waar rekening mee gehouden kan worden. Het met elkaar in lijn zijn van de verschillende normen heeft grote voordelen. Wie goed met ISO 27001 en ISO
27002 uit de voeten kan, kan direct aan de slag met NEN 7510. Voor ‘starters’ - ook buiten de zorg - is NEN 7510 beslist een aanrader, omdat deze door een ander woordgebruik beter te lezen en te doorgronden is dan de ISOnormen en veel voorbeeldmateriaal bevat.
Toepassen van NEN 7510 In de uitvoering van informatiebeveiliging lijkt het er maar al te vaak op dat er door beveiligers beveiligd wordt om het beveiligen. Hiermee bedoelen we dat als een beveiligingsmaatregel mogelijk is, deze dan ook maar moet worden ingevoerd. Een voorbeeld is het onnodig zwaar laten zijn van een wacht-
Security Management nummer 9 september 2012
25
»
NO PATCHWORK!
IN SECURIT Y SOLUTIONS
Neem bij videobeveiligingssystemen geen genoegen met half werk! Vertrouw bij uw videobeveiligingsoplossing op maatsystemen uit één hand. Registreren, opnemen, analyseren, evalueren, documenteren: Onze producten zetten op alle gebieden de maatstaf qua kwaliteit, betrouwbaarheid en functionaliteit. Perfect op elkaar afgestemd, zodat u met professionele producten professioneel kunt werken. Kwaliteit – uit één hand, made in Germany. Bezoek ons op de Security Essen | hal 2.0 stand 409 of onder www.geutebrueck.com
Competence in Video Security
t hema | zorg
woordbeleid. Je kunt een maandelijkse wijziging van het wachtwoord afdwingen, dus laten we dat dan ook maar doen. Te vaak wordt het invoeren van beveiligingsstandaarden door de medewerkers die het ‘ondergaan’ op deze manier ervaren. Dit gevaar loop je ook met NEN 7510. Deze bevat een groot aantal beveiligingsmaatregelen die in de zorg in vol ornaat gevoerd zouden ‘moeten’ worden. Het is jammer dat vaak
2010 dienden de ziekenhuizen in Nederland via het laten uitvoeren van een externe NEN 7510-audit de Inspectie voor de Gezondheidszorg (IGZ) te laten zien dat zij serieus bezig waren informatiebeveiliging structureel in te voeren. De Nederlandse Vereniging van Ziekenhuizen (NVZ) heeft in reactie hierop een NVZ Toetsingsreglement Informatiebeveiliging door een externe certificerende instelling laten samenstellen. Dit toetsings-
Steeds meer patiënten vragen zich af of hun medische gegevens wel afdoende beveiligd zijn op deze wijze met NEN 7510 wordt omgegaan. Het zet NEN 7510 in een slecht daglicht, terwijl deze standaard veel voor de opzet van informatiebeveiliging bij zorginstellingen kan betekenen. Het is raadzaam genuanceerder om te gaan met NEN 7510. Zoals hiervoor aangegeven heeft risicomanagement een prominentere plaats gekregen. Beveiligingsmaatregelen zijn nodig voor het tot een acceptabel niveau terugbrengen van risico’s. Laat een risicoanalyse uitwijzen welke maatregelen nodig zijn en welke niet. Een goed uitgevoerde en gedocumenteerde risicoanalyse vormt de onderbouwing van het te voeren beveiligingsplan. Mits goed onderbouwd en mits het de verantwoordelijkheid neemt, kan het management besluiten tot het nemen van risico. Mede door de nieuwe norm is men zich van de kneedbaarheid meer bewust geworden, alsmede van het feit dat men in het verleden veelal onbewust (al dan niet grote) restrisico’s heeft geaccepteerd.
Nut van NEN 7510 audits De historie wijst uit dat het in het afgelopen decennium niet meeviel om de zorg ‘aan de informatiebeveiliging te krijgen’. De afgelopen jaren is vanuit verschillende hoeken behoorlijk druk uitgeoefend om de zorg meer verantwoord om te laten gaan met informatie. In
reglement moet worden gezien als een ad hoc norm en was ook niet bedoeld als certificatiereglement voor certificatie-audits ter beoordeling van conformiteit met de volledige NEN 7510 norm. Elementen waartegen tijdens de audit moest worden getoetst, waren specifiek een integrale risicoanalyse en een selectie van 33 normelementen uit de ‘oude’ NEN 7510. Een terechte vraag is in hoeverre het zinvol is om externe audits als stok achter de deur te gebruiken om zaken gedaan te krijgen. Immers, in plaats van het op een fatsoenlijk niveau waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie, verschuift het hoofddoel naar ‘compliant zijn’. Veel tijd en aandacht wordt gestoken in compliancy, terwijl het investeren in het treffen van de juiste maatregelen, als uitkomst van risicomanagement en evaluatie, een hoger rendement zou hebben gehad. Daarnaast is het de vraag of audits een ‘klassiek’ probleem - datgene opleveren wat ze zouden moeten opleveren. Het uitvoeren van audits is voor het grootste deel mensenwerk en daar zit dan ook het probleem. Het is een uitdaging om op een zodanige wijze te meten dat gegeven de omstandigheden maar één uitkomst mogelijk is, los van de auditor die de audit uitvoert (uitgaande van eenzelfde niveau
van bekwaamheid). In de praktijk blijkt: zoveel auditors, zoveel uitkomsten. Zelfs wanneer de auditors afkomstig zijn van dezelfde certificerende instantie. Specifiek In plaats van op NEN 7510 in de volle breedte te toetsen, is het vaak zinvoller om specifiek gerichte onderzoeksvragen te beantwoorden, zoals bijvoorbeeld: » Zijn de beschikbaarheid en de continuiteit van de informatievoorziening afdoende gewaarborgd? De zorg gebruikt steeds minder papier. Door verregaande digitalisering is men in het primaire proces meer en meer afhankelijk geworden van de ICT. Zodanig afhankelijk dat de medische staf zich tegenwoordig terecht afvraagt of de continuïteit van de informatievoorziening wel in voldoende mate is gewaarborgd. Een audit ICT-continuïteit kan deze vraag beantwoorden. » Is de privacy van patiënten in voldoende mate gewaarborgd? Steeds meer informatie van en over patiënten wordt digitaal in verschillende systemen bewaard. Tevens worden informatiesystemen gekoppeld tot grotere informatiesystemen. Nieuws in de media over cybercrime en de narigheid die men privé van malware (virussen, wormen, trojaanse paarden enzovoort) en phishing ondervindt, heeft gezorgd voor een toegenomen bewustwording onder afnemers. Steeds meer patiënten - klanten! vragen zich af of hun medische gegevens wel afdoende beveiligd zijn. Een privacy-audit kan hier antwoord op geven. De uitkomsten van specifieke audits maken het mogelijk om gerichter te werk te gaan en informatiebeveiliging aan te laten sluiten op de beleving en belangen van de diverse betrokkenen. ‹‹ * Rein de Vries is senior consultant en partner bij LBVD; André van Soest is adviseur bij LBVD (www.lbvd.nl)
Security Management nummer 9 september 2012
27
t hema | zorg
Compliance in de zorg
Voorkomen is beter dan genezen Compliance is het waarborgen van de naleving van wet- en regelgeving en interne regels om compliancerisico’s te voorkomen en het integriteitsbewustzijn te versterken. In dit artikel beschrijven wij hoe een compliancefunctie zorginstellingen kan helpen compliancerisico’s te beheersen. Hiervoor wordt eerst de ontwikkeling van compliance in de financiële sector kort aangestipt, gevolgd door een adequate aanpak voor de compliance aan de hand van de compliancecyclus. ROSALIE WISSE EN CORA WIELENGA *
D
e beloningscode die ziekenhuizen zichzelf hebben opgelegd, heeft niets opgeleverd, berichtte Elsevier vorig jaar juli. Bestuursvoorzitter Paul Smits van het Rotterdamse Maasstad Ziekenhuis verdiende in 2010 bijna 400.000 euro, ruim twee ton meer dan het afgesproken maximum. Het televisieprogramma ‘Uitgesproken’ van de EO deed verslag van het verhaal van de gehandicapte Brandon, die drie jaar vastgebonden zat aan de muur in zorginstelling ‘s Heeren Loo. Ook de rechtszaak die professor René Diekstra dit jaar aanspande tegen een verzorgster van een familielid van hem, die ervan wordt verdacht tot 9.000 euro te hebben gestolen, staat niet op zichzelf. Zijn
oproep in de media om te reageren heeft uiteindelijk geleid tot een zwartboek met meer dan 2.000 meldingen van diefstal. En de Nederlandse Mededingingsautoriteit (Nma) beboet de Landelijke Huisartsen Vereniging (LHV) niet voor niets met bijna 8 miljoen euro wegens het inperken van de vestigingsvrijheid van huisartsen. Deze voorbeelden zijn slechts een greep uit het nieuws van het afgelopen jaar. Hoe kan een (zorg)instelling deze misstappen voorkomen of ten minste de kans dat dit gebeurt verkleinen? Een goed ingerichte compliancefunctie kan organisaties helpen om het risico van dit soort overtredingen te verkleinen.
Nederlands Compliance Instituut Het Nederlands Compliance Instituut is in 1999 opgericht vanuit de visie dat bij alle financiële ondernemingen in Nederland compliance hoog op de bestuurlijke agenda zou komen te staan. De voorspelling in 1999 is meer dan uitgekomen. Van enkele tientallen compliance officers bij de grootbanken begin jaren negentig is de beroepsgroep uitgegroeid tot honderden complianceprofessionals over de gehele linie van financiële ondernemingen en daarbuiten. Nu, 12,5 jaar later, blijkt dat veel zorginstellingen op hetzelfde punt staan als de financiële sector destijds. Daarom heeft het NCI het aandachtsgebied uitgebreid naar de zorgsector. Het NCI wil als kenniscentrum voor compliance immers zijn ervaring delen. Het NCI heeft in samenwerking met Dirkzwager Advocaten de leergang Compliance in de Zorg ontwikkeld.
28
Security Management nummer 9 september 2012
Of de gevolgen van zo’n misstap in te perken.
Compliance in de financiële sector In de financiële sector ontstond de aandacht voor compliance zo’n zeventien jaar geleden na verschillende schandalen van handel met voorkennis. Het antwoord op dit misbruik was compliance. Veelal interne accountants bij banken kregen de verantwoordelijkheid voor compliance erbij. ‘Compliance? Wat is dat eigenlijk?’ was een veelgehoorde vraag. In die tijd bleef het werk van de compliance officer veelal beperkt tot het monitoren van privébeleggingstransacties. Compliance werd toen nog vaak gezien als een tijdelijk project, maar inmiddels is er in de financiële sector veel gebeurd. De inrichting van een compliancefunctie is een wettelijke verplichting geworden en zodoende heeft bijna elke financiële instelling vandaag de dag één of zelfs een heel team aan compliance officers. De compliancefunctie heeft een zeer groot aandachtsgebied, dat nog steeds lijkt te groeien. De reikwijdte van de compliancefunctie beslaat onder meer good governance, beloningsbeleid,
t hema | zorg
Compliance in de zorg: oude wijn in nieuwe zakken? geschiktheid van bestuurders en werknemers, integere bedrijfsvoering, zorgplicht, bestrijding van witwassen en voorkomen van terrorismefinanciering. We kunnen rustig stellen dat wat aanvankelijk de hoofdtaak van de compliance officer was - monitoren van privébeleggingstransacties – nu slechts een klein onderdeel van zijn werk is. Compliance in de financiële sector is niet meer weg te denken. Onze verwachting is dat compliance in de zorgsector zich eveneens sterk zal ontwikkelen. De verplichte inrichting van de compliancefunctie die de brancheorganisatie Actiz voor de aangesloten VVT-instellingen heeft afgedwongen, is slechts één van de signalen.
Compliance in de zorg De compliance-incidenten in de zorg hebben de sector doen beseffen: ‘Compliance … daar moeten we iets
mee’. Met de wijze waarop dit moet worden aangepakt, worstelen echter nog veel zorginstellingen. Om te beginnen heeft de zorgsector te maken met meer externe toezichthouders en meer wet- en regelgeving dan bijvoorbeeld de financiële sector. Daarnaast is het wegens budgetten niet mogelijk om capaciteit vrij te maken voor een compliance officer die de complian-
te melden en af te handelen. Aan de hand van de compliancecyclus beschrijven wij hoe de compliancefunctie goed vormgegeven kan worden binnen een organisatie. Vaststellen van de reikwijdte Kwaliteitswet zorginstellingen, Wet op de beroepen in de individuele gezondheidszorg, Geneesmiddelenwet,
Zorginstellingen moeten bepalen in hoeverre risico’s acceptabel zijn cefunctie kan oppakken. Het gevaar bestaat dat zorginstellingen voor de doofpot kiezen op het moment dat zij betrokken raken bij een incident. Met een gedegen compliancefunctie kan een organisatie echter leren om incidenten te voorkomen. En als zich toch incidenten voordoen, deze goed
Wet op het bevolkingsonderzoek, Wet klachtrecht cliënten gezondheidszorg, Wet toelating zorginstellingen, Mededingingswet, Wet marktordening gezondheidszorg, privacywetgeving, enzovoort. Dit is nog maar een greep uit de grote hoeveelheid wetgeving die op de zorgsector van toepassing is. Een
Security Management nummer 9 september 2012
29
»
A World of Service
Veiligheid met een glimlach. ISS Security Services. Veiligheid is als gastvrijheid: voor een groot deel een kwestie van gevoel. Moderne beveiligers zorgen daarom niet alleen voor een veilige omgeving, hun bijdrage gaat verder dan dat. Zij dragen zorg voor gastvrijheid en een goede sfeer. Beveiligers met oog voor risico’s en gevaar, maar ook personen met hart voor de mensen in hun omgeving. De beveiligers zijn professionals die zich bewust zijn van de extra waarde die zij kunnen toevoegen: een plek waar medewerkers en gasten zich prettig voelen en met optimaal resultaat hun activiteiten kunnen uitvoeren.
Ons dienstenpakket bestaat niet alleen uit bedrijfsbeveiliging, maar ook uit objectbeveiliging, mobiele surveillance, meldkamersurveillance en winkelsurveillance. Wilt u weten wat ISS Security Services voor u kan betekenen? Bel dan 030 24 24 344 of ga naar www.isssecurity.nl.
t hema | zorg
hoeveelheid en verscheidenheid aan onderwerpen die door een enkele compliance officer niet te behappen is. De organisatie moet een keuze maken welke wet- en regelgeving door de compliance officer kan worden opgepakt. Gezien de geringe capaciteit adviseren wij hier in ieder geval de Mededingingswet, Wet marktordening gezondheidszorg en de privacywetgeving onder het aandachtsgebied van de compliance officer te brengen. Dit is uiteraard wel afhankelijk van wat de andere disciplines als kwaliteitszorg al doen. Ook moet gekeken worden naar wie de stakeholders van de organisatie zijn om hier een definitieve keuze te kunnen maken. Een eerste startpunt voor de reikwijdte van compliance kan de wet- en regelgeving zijn waar externe toezichthouders op toezien. De com-
beloningsbeleid, integriteitsbeleid, gedragscode, screening van nieuw personeel en beleid ter voorkoming van mededinging. Bewustwording Uiteraard is het van essentieel belang dat de gehele organisatie het belang van compliance onderkent. Zonder dit besef worden beleid en procedures immers een papieren tijger. Zonder bewustwording van het belang van compliance kan het gebeuren dat ondanks bestaande beloningsregels toch nog excessieve beloningen worden betaald, zoals in het voorbeeld van de bestuursvoorzitter van het Rotterdamse Maasstad Ziekenhuis. En zijn er ondanks dat zorgmedewerkers een gedragscode hebben ondertekend nog steeds voorvallen van diefstal. Continue aandacht voor het belang van compliance is vereist
De compliance officer in de zorgsector zal het veelal in zijn eentje moeten doen pliance officer is immers de interne toezichthouder. Vanuit die toezichtwetgeving kan dan een andere scope worden bepaald. Risicoanalyse uitvoeren Als de reikwijdte is vastgesteld, moet een risicoanalyse worden uitgevoerd. Er zijn immers tal van risico’s die voort kunnen vloeien uit de niet-naleving van de wet- en regelgeving en interne regels. Ons advies is om de risicoanalyse met een multidisciplinair team uit te voeren om op die manier meer kennis in te brengen. Uiteindelijk zal de zorginstelling moeten bepalen in hoeverre risico’s acceptabel zijn of dat er meer maatregelen genomen moeten worden. Hoe hoger het risico, des te meer aandacht het onderwerp krijgt in het vervolg van de compliancecyclus. Beleid en procedures opstellen Als afbakening van het aandachtsgebied heeft plaatsgevonden en bekend is waar de grootste risico’s liggen, kunnen concrete stappen worden gemaakt. Beleid en procedures kunnen risicogebaseerd worden opgesteld. Hierbij valt te denken aan bijvoorbeeld een beheerst
om het in de cultuur van de organisatie te laten doordringen. Dilemmatrainingen en moreelberaadsessies kunnen hier bijvoorbeeld aan bijdragen. Met enkel bewustwording creëren van het belang van compliance is men er echter niet. Er moet concreet gemeten worden in hoeverre de beheermaatregelen hun werk doen. Monitoring Werken de beheermaatregelen zoals deze er nu zijn? Hiervoor moet de compliance officer op systematische wijze overtuigende informatie verzamelen over de naleving van wet- en regelgeving om vast te stellen in hoeverre de organisatie voldoet aan (interne) wet- en regelgeving om over de naleving te rapporteren en te adviseren aan het management. Uitgangspunt hierbij is dat de compliance officer in eerste instantie zijn oordeel vormt op basis van reeds uitgevoerde controles door andere functionarissen. Handhaven Zoals de NMa is opgetreden bij de huisartsen, zo dient ook in de eigen
organisatie handhavend te worden opgetreden bij niet-naleving van weten regelgeving. Voor het opleggen van sancties is het belangrijk dat er eerst gedegen onderzoek wordt uitgevoerd alvorens de compliance officer een advies uitbrengt aan het management over de op te leggen sanctie. Wat betreft sancties, kan worden gedacht aan verschillende maatregelen. Demissionair staatssecretaris Marlies Veldhuijzen van Zanten (Volksgezondheid) bekijkt of er een zwarte lijst kan komen van medewerkers die gestolen hebben van ouderen in verzorgingshuizen. Ontslag en eventuele plaatsing op deze lijst, als deze er komt, is dan een uiterste maatregel. Heeft de compliance officer al deze stappen genomen, dan vormt de afgelegde weg weer een bron van nieuwe informatie om de route wederom te doorlopen.
Oude wijn in nieuwe zakken? Compliance in de zorg is niet nieuw. Ze bestaat al. Er wordt binnen zorginstellingen al veel ondernomen wat wij hier omschrijven als de compliancecyclus. Wat veelal nog niet gebeurt, is dat compliance gecoördineerd wordt vormgegeven. Dat laatste zou onzes inziens zijn vruchten kunnen afwerpen. Door de te kleine budgetten heeft men liever meer mensen aan het bed dan nog een staffunctie erbij. Een complianceafdeling zal in de zorg altijd utopie blijven. De compliance officer in de zorgsector zal het veelal in zijn eentje moeten doen. Afbakening van het aandachtsgebied is daarom de eerste te nemen stap richting de ontwikkeling van de compliancefunctie in de zorg. Met afbakening tot enkel mededinging schiet men echter te kort. In dit artikel hebben wij kort de te bewandelen route beschreven. Aan de compliance officers en bestuurders bij de zorginstellingen de taak om het juiste pad te volgen. ‹‹ * Rosalie Wisse MSc. LL.M. is compliance officer bij het Nederlands Compliance Instituut. Cora Wielenga is directeur van het Nederlands Compliance Instituut.
Security Management nummer 9 september 2012
31
t hema | zorg
Brandveiligheid in de zorg
‘Er is nog veel te verbeteren’ In de zorgsector staat patiëntveiligheid hoog in het vaandel. Dit heeft echter bijna vanzelfsprekend voornamelijk betrekking op het behandelen of verzorgen van patiënten. De link met de veiligheid van de gebouwen waar deze patiënten verblijven of worden behandeld, wordt nog altijd onvoldoende gelegd. Zo kan het gebeuren dat er nog steeds onnodig gewonden en slachtoffers vallen te betreuren in zorginstellingen als gevolg van brand. FRANK SCHEPERS *
D
e brandveiligheid in zorginstellingen schiet vaak tekort en moet duidelijk worden verbeterd. Velen herinneren zich ongetwijfeld nog wel de brand in de psychiatrische instelling Rivierduinen in Oegstgeest. Hierbij kwamen in maart 2011 drie patiënten om het leven. Naar aanleiding van deze brand heeft de Onderzoeksraad voor Veiligheid (OVV) een rapport opgesteld (Brand in Rivierduinen: veronderstelde veiligheid, 19 april 2012). Uit eerder onderzoek van de overheid bleek dat het merendeel van de zorginstellingen niet voldoet aan de wettelijke eisen rond brandveiligheid. Rivierduinen voldeed volgens de OVV echter wel aan de wettelijke eisen, alleen was dit niet voldoende om de brand adequaat te
gasten zichzelf in veiligheid brengen. Bij een zorginstelling kan dit toch iets anders liggen. Uit het rapport van de OVV bleek dat Rivierduinen te veel van de eigen bedrijfshulpverleners verwachtte en er onvoldoende rekening werd gehouden met de zelfredzaamheid van de bewoners. Ook zagen veel patienten de ernst van de brand niet in en wilden zij niet altijd meewerken aan de evacuatieplannen van de medewerkers.
Bouwbesluit Naast het feit dat de nodige zorginstellingen niet voldoen aan de wettelijke eisen rond brandveiligheid, heeft de wijziging van het Bouwbesluit per 1 april 2012 ook invloed op de brandveiligheid van zorginstellingen. Een
Instellingen zijn zelf verantwoordelijk voor de brandveiligheid bestrijden. Hoe kan een brand toch zo uit de hand lopen, ook ingeval technische installaties in orde zijn en medewerkers voldoende getraind zijn? Een brand in een zorginstelling kan erg complex zijn. Wanneer je bijvoorbeeld te maken hebt met een brand in een hotel, kan het merendeel van de hotel-
32
van de belangrijke wijzigingen heeft tot gevolg dat bedrijven en instellingen voortaan zelf verantwoordelijk zijn voor de eigen brandveiligheid. De verplichte doormelding naar de regionale brandweer komt voor veel gebouwen te vervallen. Een doormelding blijft veelal wel verplicht voor
Security Management nummer 9 september 2012
gebouwen waar zich minder zelfredzamen bevinden, zoals zorginstellingen.
Maatregelen Toch moet dit zorginstellingen aan het denken zetten over de maatregelen die zij rond brandveiligheid nemen. Er zijn verschillende maatregelen die bij een brand een hoop leed kunnen besparen. Denk hierbij aan brandvertragende matrassen en bouwkundige oplossingen, maar ook aan intelligentere brandmelders. Deze maatregelen zijn echter niet wettelijk verplicht. Het is dan ook belangrijk dat zorginstellingen niet alleen kijken naar de maatregelen die wettelijk verplicht zijn, maar ook naar maatregelen die aansluiten bij de geringere zelfredzaamheid van de bewoners. Een factor die in de huidige tijd ook van invloed is, is het budget. Veel zorginstellingen kampen met bezuinigingen en hebben geen geld om grote uitgaven te doen.
Branddetectie De techniek voor branddetectie heeft grote sprongen voorwaarts gemaakt. Een goed voorbeeld is dat een brandmelder tegenwoordig niet meer alleen op rook of warmte detecteert, maar ook gecombineerd kan detecteren op warmte en CO-niveau. Een brand be-
t hema | zorg
staat namelijk uit verschillende stadia met elk andere brandverschijnselen. Het begint vaak met een smeulbrand. Omdat zo’n smeulbrand weinig rook bevat, zal dit niet snel door een standaard rookmelder worden gedetecteerd. Een smeulbrand bevat wel veel CO (koolstofmonoxide) en dat is reukloos. Kortom, zo’n brand ruik, zie en hoor je niet. Dit kan verstrekkende gevolgen hebben voor de ontwikkeling van de brand, want wanneer een smeulbrand zich uitbreidt en er meer warmte ontstaat, komt er meer rook en komen er uiteindelijk ook vlammen. Het is daarom belangrijk dat er binnen zorginstellingen op een combinatie van voornoemde brandverschijnselen wordt gedetecteerd. Alleen dat is een betrouwbare manier om een brand te detecteren. Een rookmelder meldt wanneer er een bepaalde hoeveelheid rook is. De tijd waarin dit gebeurt, is afhankelijk van verschillende factoren. Het COniveau is vanaf het begin van een smeulbrand te detecteren, bij rook kan het lang duren voordat er voldoende is ontwikkeld waar een standaard rook-
lukjes wanneer er een pan te lang op het vuur blijft staan of bij het douchen. De nieuwe generatie brandmelders is in staat om rook, temperatuur en COniveau te meten of een combinatie hiervan. Ook kunnen ze aan de omgeving worden aangepast, waardoor voornoemde meldingen voorkomen kunnen worden.
Ongewenste alarmen Om ervoor te zorgen dat medewerkers binnen een zorginstelling zo paraat mogelijk blijven bij het uitbreken van
Het is belangrijk om ongewenste alarmen te voorkomen melder op reageert. Er zijn testen gedaan met een matras. Door een brandende sigaret op een matras te leggen, is gemeten hoe lang het duurt voordat een CO-melder iets meet en hoe lang dit bij een standaard rookmelder duurt. Het bleek dat hiertussen bijna twee uur verschil in het voordeel van de COmelder zat. Wanneer je bedenkt wat er voorkomen kan worden als een brand al na enkele minuten ontdekt wordt, is het verstandig om de standaard melders te controleren en eventueel te vervangen door multisensorbrandmelders met CO-detectie. Daarnaast kan een standaard rookmelder ook een foutieve melding geven wanneer het bijvoorbeeld om stof, stoom of sigarettenrook gaat. Je kunt je voorstellen dat deze verschijnselen binnen zorginstellingen ook regelmatig voorkomen. Bijvoorbeeld bij kookonge-
een brand, is het belangrijk om ongewenste alarmen zo veel mogelijk te voorkomen. Een multisensorbrandmelder met CO-detectie is daarom een ideale oplossing voor zorginstellingen. De combinatie van detecteren op rook, temperatuur en CO biedt een betrouwbare branddetectie. Juist in de zorgsector is er daarom veel resultaat te behalen door de inzet van zo’n multisensorbrandmelder. Voor deze melders is een kleine extra investering nodig ten opzichte van de standaard melders, maar het biedt veel meer mogelijkheden en betrouwbaarheid. De brandveiligheid verbetert zo niet alleen, maar ook het aantal ongewenste en onechte alarmen zal worden teruggedrongen. Wanneer een multisensorbrandmelder een verhoogde CO-waarde meet, wordt er een interne melding gemaakt. De melder geeft aan dat er iets veranderd is in de ‘normale’
waarden. Zorgpersoneel of een aanwezige bedrijfshulpverlener kan zo in de ruimte controleren of er een brand aan het ontstaan is en zo nodig tijdig maatregelen nemen. De responstijd is zo een stuk sneller en er kan tijdig gezorgd worden dat de brand zich niet verder ontwikkelt, of er kan een adequate ontruiming op poten gezet worden. Mocht de verwachting zijn dat de brand ernstige vormen aan gaat nemen, dan is hiervoor veel meer tijd dan ingeval er sprake is van een uitslaande brand. Een groot verschil met andere panden is dat zorginstellingen vaak te maken hebben met minder zelfredzamen. Voor deze groep is het daarom van essentieel belang dat er stilgestaan wordt bij de brandveiligheid van gebouwen. Ondanks de economische crisis en de vele bezuinigingen, zou dit een punt moeten zijn waarop instellingen juist niet bezuinigen. Wanneer zorginstellingen gebruik gaan maken van andere methoden voor branddetectie, kan er een hoop letsel voorkomen worden. Een situatie als bij Rivierduinen wil niemand meer meemaken en daarom is het belangrijk dat zorginstellingen hun safety & security-beleid goed evalueren en waar mogelijk aanpassen. Brand kun je niet altijd voorkomen, maar er kan veelal wel voorkomen worden dat het uit de hand loopt. ‹‹ * Frank Schepers is senior account manager fire alarms bij ADT Fire & Security Lees ook het artikel ‘Brandveiligheid in de zorg - Werken aan bewustwording’ van Hans Sevenstern en Bas van Vliet in: Security Management nummer 4, april 2012
Security Management nummer 9 september 2012
33
gastcolumn
Integrale beveiliging in de zorg: een tussenstand Na acht jaar actief te zijn op het gebied van integrale beveiliging in de zorg is deze gastcolumn een mooie gelegenheid om de balans op te maken. Wat hebben we met z’n allen inmiddels bereikt en wat zijn enkele actuele ontwikkelingen? Insourcen versus outsourcen In veel sectoren zien we dat alles wat oneigenlijk is aan het primaire proces zoveel als mogelijk wordt uitbesteed. Alleen de regiefuncties blijven binnenboord. In deze ontwikkeling gaat de zorg (nog steeds) niet mee. De grotere huizen laten zelfs een tegengestelde trend zien. Dit is begrijpelijk daar waar een afdeling Beveiliging meer en meer een centrale rol speelt bij crisissituaties. Maar het argument dat externe partijen geen ervaring met de zorg hebben, gaat steeds minder op. Een aantal PBO’s, Securitas in het bijzonder, heeft zich immers goed toegelegd op specifieke aandachtspunten binnen de zorg en een eigen opleiding ontwikkeld. Integrale aanpak Ik heb inmiddels verschillende boeken en artikelen geschreven over een integrale beveiligingsaanpak. Gelukkig pakken steeds meer zorginstellingen beveiliging integraal op en proberen hiermee af te komen van geïsoleerde maatregelen getroffen na incidenten. De werkwijze wordt langzaam maar zeker meer kwaliteitsgestuurd via een plan-do-check-act cyclus. Dit wordt over het algemeen niet geïnitieerd door de afdeling Beveiliging zelf, maar aangegeven vanuit andere zorgdisciplines. Door aan te sluiten bij de aanpak rondom informatiebeveiliging (NEN 7510) en patiëntveiligheid wordt een echte integrale aanpak gerealiseerd. Veiligheid, onze gezamenlijke zorg Meer en meer komt men erachter dat beveiliging geen kwestie is van meer sloten, pasjes en bewakers. Echte beveiliging zit in het bewustzijn van alle medewerkers. Als zij geen rol gaan spelen op het gebied van beveiliging door alert te zijn, verdachte zaken te melden en zorgvuldig om te gaan met patiënten, informatie, kwetsbare processen en waardevolle goederen, dan gebeuren er ongelukken ondanks de aanwezige technische maatregelen. Steeds meer instellingen geven
34
Security Management nummer 9 september 2012
daarom geld uit aan een goede bewustwording. Ook hier liggen kansen om integraal te werken. Bezuinigingen In veel instellingen is dit hét agendapunt. Maar leveren bezuinigingen nu bedreigingen of juist kansen op voor beveiliging? Ik ben van mening dat bezuinigen voor niemand leuk is, maar specifiek voor beveiliging wel degelijk kansen oplevert. Binnen veel zorginstellingen zien we een inkrimping van het aantal formatieplaatsen; zo wordt de bezetting per afdeling geringer, of worden avond- en nachthoofden weggesaneerd. Dit betekent in veel gevallen dat er taken worden overgeheveld naar de beveiliging (die toch al 24 uur per dag in huis is). Wat beveiligers nu zouden moeten doen, is een goede registratie bijhouden van uitgevoerde taken en van assistenties waar zij te laat waren of niet aan toegekomen zijn. Helaas wordt dit vaak niet vastgelegd, waardoor het management moeilijk te overtuigen is van de extra formatiebehoefte. Marktwerking Ook de toenemende marktwerking biedt kansen voor beveiliging. Als een zorginstelling zich kan onderscheiden als plek waar je je auto veilig kunt stallen, je spullen niet verdwijnen en je gastvrij behandeld wordt, heeft ze een pre op instellingen waar dit minder goed georganiseerd is. Het willen onderscheiden zit hem nu nog vooral in een mooie entree, goed eten en aangename geuren maar richt zich in steeds meer ook op gastvrijheid (of hostmanschip) en veiligheid. Is het de afgelopen acht jaar al met al veiliger geworden in de zorg? Ik ben van mening dat er veel bereikt is. Maar we moeten niet de illusie hebben dat er binnen een 24-uurs publiektoegankelijke instelling nooit meer iets zal gebeuren. De zorg is mensenwerk en daar waar veel mensen werken en bij elkaar komen, gebeurt er wel eens iets. drs. ing. Arjen Appelman CPP RSE is directeur en eigenaar van Aes Security Management (www.aessecurity.nl). Hij heeft de afgelopen jaren binnen meerdere zorginstellingen (GGZ, UMC’s, algemene ziekenhuizen) security managementsystemen geïmplementeerd.
INR netwerk recorder met gratis CamTech iNEX software
Klein... maar multifunctioneel
IP
IDEAAL VOOR
MKB
LINUX
time-lapse, motion etc.
FULL
HD
SCAN 3 versies
4, 8 & 16 KANALEN
CASCADE
De INR netwerk recorders van CamTech zijn klein, schaalbaar en multifunctioneel inzetbaar voor bijvoorbeeld het midden- en kleinbedrijf. U creërt een compleet cameraobservatiesysteem door via een netwerk de IP camera’s, de recorder en een PC aan elkaar te koppelen. Een server en een extra monitor zijn daardoor overbodig. Gratis CamTech iNEX software De embedded iNEX Standaard software biedt handige functies voor zowel de configuratie als het uiteindelijke gebruik.
Zo kunt u met een scanfunctie eenvoudig aangesloten netwerkapparatuur vinden en via de handige door u op maat gemaakte interface verschillende gegevens in één oogopslag controleren. Schaalbaar Wanneer er behoefte ontstaat aan de inzet van meer cameras, dan biedt de INR recorder de cascade functie. Dit zorgt ervoor dat u tot 128 apparaten (IP camera’s) kunt aansluiten op een netwerk, maar wel het overzicht via één scherm behoudt.
De CamTech INR recorder is onderdeel van het veelomvattende CCTV IP assortiment van ARAS Security. Wilt u meer informatie? Belt u ons dan op 0416-320042, stuur ons een e-mail via info@aras.nl of kijk eens op www.aras.nl. Hier vindt u ons complete assortiment en ons adres indien u de producten zelf in onze showroom te Drunen wilt bekijken. Een demonstratie op locatie behoort uiteraard ook tot de mogelijkheden.
t hema | zorg
Veiligheid en beveiliging in zorginstellingen
Een strategische aanpak Zorginstellingen geven veel geld uit aan beveiligings- en veiligheidsmaatregelen. Desondanks leveren deze niet altijd het gewenste resultaat op, namelijk een veilige omgeving voor zowel cliĂŤnten als medewerkers. Door een strategische benadering van de problematiek is het mogelijk de beveiligings- en veiligheidsdoelstellingen tegen acceptabele kosten te realiseren. BART VAN HASSELT *
I
n zorginstellingen wordt veel geld uitgegeven aan beveiligings- en veiligheidsmaatregelen met als doel de veiligheid van de bewoners en medewerkers te verhogen. Desondanks komen vaak incidenten voor die grote gevolgen hebben voor de instellingen. Zo kan het gebeuren dat bewoners omkomen door brand, dat medewerkers worden bedreigd, bewoners met elkaar op de vuist gaan, of dat er structureel geld wordt gestolen. Naast het persoonlijk leed dat dit tot gevolg heeft, kunnen deze incidenten een instelling ook imagoschade berokkenen. In de praktijk zien we dat de put meest-
balanceren tussen het uitgeven van geld en de minimale hoeveelheid veiligheid die ter beschikking wordt gesteld. De security manager heeft daarbij behoefte aan een aanpak die investeringsbeslissingen in beveiliging en veiligheid ondersteunt.
Strategisch denken De vraag die nu rijst, is of het mogelijk is om een blauwdruk te maken voor een optimale beveiliging en veiligheid van een zorginstelling. Maar ook of het mogelijk is grip te krijgen op risicomanagement, waarbij niet te veel wordt geĂŻnvesteerd en de doelstellingen ten
Het uitgangspunt is dat de hele organisatie voldoet aan de opgestelde eisen al pas wordt gedempt als het kalf al verdronken is. Er wordt dan ad hoc veel geld uitgegeven om een ongewenste situatie op te heffen en herhaling van een incident te voorkomen. Maar dergelijke investeringen zijn vaak niet doordacht en zijn daardoor per definitie te hoog en niet effectief. Voor de security manager en de directie van de instelling is het dan ook altijd
36
aanzien van veiligheid en beveiliging toch worden gehaald. Dat vereist strategisch denken, wat veronderstelt dat de organisatie in staat is zich een voorstelling te maken van de gewenste situatie over bijvoorbeeld vijf jaar. De duidelijk omschreven gewenste situatie maakt het ook mogelijk stappen vast te stellen die moeten worden gemaakt om tot de gewenste situatie te
Security Management nummer 9 september 2012
komen. Door een strategische benadering van het vraagstuk is het mogelijk een situatie te beschrijven waarin de beveiligings- en veiligheidsdoelstellingen zijn gerealiseerd, tegen acceptabele kosten.
Wat is het resultaat? Het resultaat van deze strategische aanpak is bijvoorbeeld een Operationele Standaard. Dit is in feite een spoorboekje op basis waarvan kan worden vastgesteld of voorgestelde maatregelen in het beleid passen en al dan niet zinnig zijn. De uitgangspunten die in de Operationele Standaard staan, gelden voor de hele organisatie. Dit visiedocument geeft richting aan alle investeringen die moeten worden gedaan en die uiteindelijk leiden tot een optimale invulling van maatregelen om risico’s tegen aanvaardbare kosten te beperken. Voordelen Een van de voordelen van een strategische aanpak is dat er niet te veel, maar ook niet te weinig maatregelen worden genomen. Bovendien heeft deze aanpak tot gevolg dat binnen de organisatie het besef ontstaat dat de zaken op orde zijn. Als de organisatie meerdere instellingen heeft, is een ander voordeel dat de gebruikte technische oplossingen evenals alle procedures in de verschillende
Foto: NS beeldbank
t hema | zorg
Een Operationele Standaard is in feite een spoorboekje op basis waarvan kan worden vastgesteld of voorgestelde maatregelen in het beleid passen en al dan niet zinnig zijn. instellingen op elkaar zijn afgestemd. Dit levert inkoopvoordelen op, kennis is uitwisselbaar, mensen kunnen elkaars werkzaamheden waarnemen, het is mogelijk om op afstand de instellingen te monitoren, en de onderhoudbaarheid van alle systemen neemt toe. Hierdoor zullen de onderhoudskosten afnemen en zal de bedrijfszekerheid toenemen.
Hoe pak je het aan? Het klinkt als een open deur, maar ook in deze aanpak is het belangrijkste punt dat de Raad van Bestuur erachter staat en afdwingt dat er een centrale, eenduidige aanpak wordt uitgerold. Het zou natuurlijk jammer zijn dat als alle zaken op een rij zijn gezet en investeringsplaatjes zijn gemaakt, vervolgens blijkt dat elke afzonderlijke instelling toch weer zijns weegs gaat en zich niets van de centrale richtlijnen aantrekt. Het is belangrijk dat het draagvlak groot is. Daarom moeten alle groepen
worden gehoord, zodat alle belangen worden meegenomen in de uiteindelijke aanpak.
Opzet Operationele Standaard Wat moet er gebeuren om de Operationele Standaard te maken? Processen inventariseren Stel vast welke processen binnen een instelling cruciaal zijn én welke schade er kan worden geleden als er in de processen iets misgaat. Schade kan variëren van imagoschade voor de organisatie tot diefstal en lichamelijk letsel bij bewoners, personeel of bezoekers. Incidenten bedenken Bedenk wat er allemaal mis kan gaan in een instelling. Welke incidenten leiden tot schade? Probeer deze incidenten ten opzichte van elkaar te wegen. Zo wordt achterhaald welke incidenten absoluut moeten worden voorkomen
en welke incidenten geen grote bedreiging vormen. Hoe incidenten voorkomen? Als bekend is welke incidenten absoluut moeten worden uitgesloten, kunnen ook prima maatregelen worden bedacht die zouden moeten worden genomen om te voorkomen dat die incidenten plaatsvinden. Maar net zo belangrijk zijn de te nemen maatregelen om de schade te beperken ingeval er toch een incident plaatsvindt. Bepaal in welke ruimtes het meeste risico wordt gelopen Ruimtes kunnen in risicocategorieën worden ingedeeld. Zo wordt de organisatie ingedeeld in compartimenten die aan een bepaald risicoprofiel voldoen. Deze ruimtes variëren van openbaar terrein buiten met een laag risico, tot bijvoorbeeld technische ruimtes en de apotheek die in de hoogste risicocategorie vallen.
Security Management nummer 9 september 2012
37
»
Security Redefined Het is uw verantwoordelijkheid om het bedrijf te beveiligen. Mensen vertrouwen erop dat u zorg draagt voor een veilige werkomgeving. Dit is niet eenvoudig, omdat de beveiligingstechnologie vaak complex en inflexibel is. Uw taak wordt vaak ondergewaardeerd, ondanks het feit dat het noodzakelijk is. Wat als security management lonend is? Als rapporteren een plezier is en bezoekersmanagement makkelijk? Dit is precies wat het security management systeem AEOS biedt. Het is hét platform van de 21e eeuw waarmee dynamische security management geboden wordt. Als u voor deze droombaan wilt gaan, neem dan contact op met Nedap Security Management www.nedap-securitymanagement.com
s! n o k 012 ezoe
B
sen 2
y Es ecurit
er – ptemb e s 5 er ag 2 ptemb Dinsd e s 8 g2 en Vrijda e Ess 2 Mess nd 61 a t s , Hal 3
S
t hema | zorg
Koppel maatregelen aan risicogebieden Eén van de belangrijkste uitgangspunten van een goed doordacht beveiligingsplan is dat de ruimtes van verschillende risicocategorieën van elkaar gescheiden zijn. Bedenk dus maatregelen die ervoor zorgen dat die scheiding in stand wordt gehouden. Hoe groter de risico’s die in een compartiment worden gelopen, des te robuuster moeten de maatregelen zijn die de scheiding realiseren. Door workshops te organiseren met bewoners, familie van bewoners en het personeel wordt alle informatie boven water gehaald.
Inventarisatie huidige situatie Nadat alle uitgangspunten zijn vastgelegd in de Operationele Standaard, worden de daadwerkelijke inventarisaties in de verschillende instellingen uitgevoerd. Daarvoor zijn de plattegronden van de instellingen nodig. Met de security manager wordt een rondgang gemaakt. Alle bijzonderheden worden op die plattegronden aangetekend. Na de rondgang zijn de compartimenten in kaart gebracht. Ook is duidelijk welke maatregelen er al genomen zijn en wat er nodig is om de beveiligingsmaatregelen op het in de standaard vastge-
stelde niveau te krijgen. Het uitgangspunt is dat in vijf jaar tijd de hele organisatie voldoet aan de opgestelde eisen. Het resultaat is een overzicht van de investeringen die in de komende vijf jaar moeten worden gedaan.
Slimme oplossingen De maatregelen zijn onder te verdelen in organisatorische, bouwkundige en elektronische. De slimme oplossingen ontstaan als de maatregelen uit de verschillende categorieën op elkaar zijn
bruikelijke ad-hocaanpak. Van tevoren wordt goed nagedacht over de veiligheidsrisico’s die een organisatie loopt. Bij de analyses worden mensen uit de hele organisatie betrokken, waardoor draagvlak wordt gecreëerd. De inventarisaties per instelling geven inzicht in het verschil tussen de huidige en de gewenste situatie en welke investeringen moeten worden gedaan om tot de gewenste situatie te komen. Afhankelijk van het beschikbare jaar-
Het resultaat is een overzicht van de investeringen die moeten worden gedaan afgestemd. En helemaal slim wordt het wanneer communicatie (telefoon en intercom) wordt gecombineerd met gebouwbeheersystemen en beveiligingsen brandsystemen. Het blijkt ook dat de koppelingen door de digitalisering steeds eenvoudiger te maken zijn.
Wat is het voordeel? Deze aanpak heeft een aantal grote voordelen ten opzichte van de ge-
Een praktijkvoorbeeld Het eerste gesprek is met een aantal bewoners van de instelling. Al snel blijkt dat het verschil tussen de bewoners groot is. Sommigen weten uitstekend te formuleren waarover ze zich zorgen maken, anderen hebben eigenlijk geen idee. De kunst is de echte pijnpunten boven water te krijgen. Vaak blijkt het neer te komen op de behoefte aan bewegingsvrijheid. Ook blijkt informatievoorziening tijdens incidenten een heikel punt. Mensen verkeren vaak onnodig lang in grote onzekerheid. Vervolgens wordt gesproken met familieleden van bewoners die zelf niet in staat zijn deel te nemen aan een gesprek. De bewoners wonen op gesloten afdelingen. De familieleden maken indruk op ons door hun grote betrokkenheid en hun scherpe analyses. Zij blijken een zeer waardevolle bron van informatie te zijn. Hun zorgen richten zich op de veiligheid van hun familieleden en op de beheersing van agressief gedrag tussen de bewoners onderling. De derde groep bestaat uit het personeel van de instelling. Belangrijk pijnpunt voor deze groep is de lage bezetting in de avond en de nacht en het daaruit voortvloeiende grote onveiligheidsgevoel. Wie laat je ’s avonds binnen als je zelf op de achtste verdieping aan het werk bent? Wie kun je plotseling midden in de nacht tegenkomen? De gesloten afdelingen blijken tenslotte vaak een uitdaging te zijn om goed te beveiligen. Bewoners mogen niet van de afdeling af en mogen vaak ook niet bij elkaar op de kamer komen. Personeel en familie moeten echter eenvoudig de afdeling kunnen bezoeken, maar altijd enorm op hun hoede zijn dat er niet opeens iemand de deur uitglipt.
budget voor investeringen in beveiliging en veiligheid kan worden vastgesteld welke maatregelen per jaar worden gedaan. In de meeste gevallen is het zo dat in een periode van vijf jaar de gewenste situatie bij alle instellingen is bereikt. Een groot voordeel is ook dat er geen situaties blijven bestaan die kunnen leiden tot verwijtbare incidenten. Niets is zo pijnlijk als achteraf te moeten verklaren dat de organisatie de zaken niet op orde had.
Wat is de doorlooptijd? Door de vele inventarisatiebijeenkomsten die ik tot nu toe in zorginstellingen heb gedaan, is het scala van incidenten dat op kan treden in vergelijkbare instellingen redelijk bekend. Daardoor kan in de meeste gevallen de doorlooptijd voor de opzet van de Operationele Standaard worden beperkt. In de praktijk blijkt dat een scan, afhankelijk van de vloeroppervlakte van een instelling, drie tot vier dagen in beslag neemt. De uiteindelijke uitvoering blijkt de grootste uitdaging te zijn. Lang niet iedereen in een organisatie is immers voorstander van standaardisatie, omdat daarmee ook een deel van de lokale autonomie wordt ingeleverd. Je moet het als organisatie dus echt willen! ‹‹ * Bart van Hasselt is senior consultant bij Total Sigma (www.totalsigma.nl)
Security Management nummer 9 september 2012
39
securit y
Predictive profiling of proactief beveiligen
Security questioning & Prikkelen Predictive profiling mag op steeds meer belangstelling rekenen van organisaties die op zoek zijn naar een meer proactieve manier van beveiligen. In een serie van drie artikelen wordt ingegaan op deze methodiek. In dit tweede artikel aandacht voor het meest effectieve wapen van een profiler: het stellen van open vragen, oftewel security questioning. Aan de hand van de resultaten van recent TNO-onderzoek en ervaringen van de Politieacademie wordt ingegaan op afwijkend gedrag en het ‘prikkelen’ van de omgeving. BERT VAN PEL, BERRY VERHAGEN, REMCO WIJN *
P
redictive profiling richt zich vooral op de intentie van een persoon, in plaats van de middelen die criminelen en terroristen gebruiken om hun acties uit te voeren. De vraag is: hoe maak je de intentie zichtbaar van iemand die kwade bedoelingen heeft? Maar ook: waar focussen traditionele beveiligers op? Kijken zij verder dan de omgeving waar zij staan? Het antwoord op deze laatste vraag is helaas vaker ‘nee’ dan ‘ja’.
Onderdeel systeem Zelfs als uw gezicht op een poster zou staan met het woord gezocht eronder, is de kans klein dat u wordt opgemerkt. Dat heeft niet zoveel te maken met de mate waarin beveiligers hun best doen, maar meer met het systeem waarvan zij onderdeel zijn. Beveiligers op bijvoorbeeld luchthavens kijken passagiers niet
of nauwelijks aan, maar concentreren zich op een beeldscherm of detectiepoortje. Het probleem met deze benadering is dat er weliswaar een kans is dat het middel wordt weggenomen van een persoon wiens intentie het is om schade toe te gaan brengen, maar het de vraag blijft of wegnemen van het gevaarlijke item de intentie zal stoppen van iemand die toch al van plan is om zijn plan hoe dan ook uit te voeren. De aanslagen in de VS op 11 september 2001 en alle incidenten in de jaren daarna duiden erop dat dit niet het geval is. Het schaartje en de aansteker worden in beslag genomen, maar de duty free gekochte fles whisky kan - wanneer deze wordt gebroken - als wapen worden gebruikt tegen bemanning of passagiers. Onze tegenstanders zijn altijd op zoek naar mogelijkheden om ongezien alle
In een serie van drie artikelen doet Bert van Pel de predictive profiling methodiek uit de doeken en stelt hij de toepassingsmogelijkheden ervan aan de orde. Zo krijgt u inzicht in de succesfactoren achter de methodiek. Maar hij zal ook kritische kanttekeningen plaatsen, want profiling is geen trucje. Verder zal een aantal security-experts en wetenschappers vanuit eigen ervaring en onderzoek inzicht geven in de mogelijkheden en resultaten die zij met predictive profiling hebben bereikt.
40
Security Management nummer 9 september 2012
stappen te zetten, die uiteindelijk moeten resulteren in een succesvolle criminele of terroristische actie. Zoals in het eerste artikel uit deze reeks al beschreven is, is er een aantal momenten waarop een tegenstander zelf erg kwetsbaar is. Deze kwetsbaarheid wordt in hoge mate vergroot als er een strategie bestaat, waarin het spotten van afwijkend gedrag wordt gekoppeld aan security questioning (SQ). Deze strategie verstoort als het ware het criminele proces, door de regie van aanvaller en verdediger volledig om te draaien. De Amerikaanse kolonel en militair strateeg John Boyd heeft deze strategie van proactief handelen ontwikkeld, die bekendstaat als de OODA loop. Deze militaire invalshoek komt sterk overeen met het profiling- en SQ-proces. De OODA loop staat voor: » Observe » Orientation » Decision » Action Volgens Boyd doorlopen mensen voortdurend vier processen wanneer ze hun doelen moeten bereiken. Ze observeren hun omgeving, interprete-
securit y
ren die en geven er betekenis aan, nemen een beslissing over hoe ze hun doelen het best kunnen bereiken, en gaan vervolgens over tot actie. De kardinale regel in Boyds theorie is dat je je tegenstander moet kennen en snel in zijn loop of aanval moet zien te komen. Dit zal disbalans en onzekerheid veroorzaken en het voor een tegenstander vrijwel onmogelijk maken om zich nog te focussen op zijn doel. Onzekerheid en disbalans veroorzaken namelijk angst en paniek in het hoofd van de tegenstander, waardoor hij fouten zal maken. Deze fouten zullen uiteindelijk leiden tot vlucht of ontmaskering, of in militaire context uitschakeling van een tegenstander.
Niet te veel procedures In deze theorie komt nog een ander aspect aan bod en dat is het dilemma van individueel werken versus in teamver-
band werken. Boyd gebruikt hiervoor de metafoor van een jachtvlieger die tijdens een luchtgevecht in zijn cockpit een enorme hoeveelheid informatie moet verwerken en razendsnel en real time beslissingen moet nemen binnen een continu veranderende omgeving. Tegelijkertijd maakt hij deel uit van een
gen kunnen nemen zonder te worden gehinderd door een overdaad aan procedures of hiërarchische beslissingslijnen.
SQ draait de rollen om SQ is een methode om door middel van het stellen van open vragen de intentie van een persoon te achterhalen. De in-
Een profiler zoekt tijdens het interview niet naar bewijs, maar ontkracht een dreiging squadron van vliegers. Een teveel aan procedures zou in een dergelijke situatie contraproductief zijn. Voor een beveiliger in zijn operationele omgeving geldt feitelijk hetzelfde. Ook een beveiliger moet binnen het kader van zijn opdracht zelfstandig beslissin-
terviewer laat zich hierbij leiden door de suspicious indicators. Een tegenstander die te maken krijgt met SQ, zal bij zichzelf denken: ‘Ik kan hier beter weggaan, ik ben gezien en ze weten waarschijnlijk wat ik van plan ben’. Voor een kwaadwillende die het gevoel heeft dat zijn
Security Management nummer 9 september 2012
41
»
securit y
plan wordt doorzien, zal SQ een zeer intimiderende ervaring zijn. Tegelijkertijd zal iemand die geen slechte intenties heeft, juist het tegenovergestelde denken en de vragen als oprechte belangstelling en als hulpvaardig ervaren. Het SQ-proces heeft een specifiek verloop en duurt in veel gevallen minder dan een paar minuten. Eén en ander is afhankelijk van de omgeving en de suspicious indicators. Ervaren profilers volgen hierbij een logische story line in plaats van het lukraak stellen van vragen. De toon van het interview is (meestal) coöperatief. Het proces verloopt als volgt: » Een eerste indruk van de persoon » Zoeken naar suspicious indicators » Identificeren van mogelijke modus operandi » Proberen de indicators met open vragen te ontkrachten » Bevestigen, checken van de informatie » Vaststellen dreigingspotentieel » Mitigeren van de dreiging door inzetten van procedures Zaken waar de beveiliger bij SQ op let, zijn de houding en het gedrag van de ander. Is de persoon alleen of hoort hij bij een groep, is hij of zij bekend met de omgeving, persoonlijke bezittingen, leeftijd en bijvoorbeeld de fysieke mogelijkheden die een persoon heeft om zijn actie uit te voeren?
Liegen onder druk is lastig De bij voorkeur open vragen gaan van algemeen naar specifiek. Het is daarmee voor een kwaadwillende erg moeilijk om een coverstory te bedenken, waarbij ieder mogelijk antwoord van tevoren kan worden bedacht. Iemand die dat toch doet, valt snel door de mand. Een leugen bedenken eist namelijk meer cognitieve bronnen dan de waarheid vertellen. Wanneer iemand liegt, moet de leugenaar op hetzelfde moment de waarheid onderdrukken, een verhaal construeren en controleren of hij geloofd wordt door de ondervrager. Een eenvoudig praktijkvoorbeeld SQ, van algemeen naar specifiek: V: Waar werkt u? A: Ik werk voor de Belastingdienst. V: Wat doet u daar precies?
42
A: Ik werk op de afdeling Bezwaren. V: Uit hoeveel cijfers bestaat een BSNnummer?
winkelmedewerkers, balie- en servicemedewerkers.
Er zijn voor een profiler talloze vragen te bedenken voor iedere denkbare omgeving of situatie. Tijdens het proces zal een ervaren profiler snel evalueren. Hij let onder meer op de snelheid van antwoord geven, of de persoon van het onderwerp probeert af te gaan, en beoordeelt of de persoon logisch verklaarbare en simpele antwoorden geeft. Het is niet per se nodig dat de interviewer zelf kennis heeft van de antwoorden die hij krijgt. Het helpt uiteraard als dat toevalligerwijs wel het geval is, omdat dan onmiddellijk de juistheid van de antwoorden kan worden beoordeeld. Een persoon die te goeder trouw is – en gelukkig geldt dat voor de meeste mensen – zal misschien niet helemaal begrijpen waarom bepaalde vragen worden gesteld, maar toch gewoon antwoord geven. Een persoon met een slechte intentie zal uit balans raken en kiezen voor
Bij TNO wordt sinds enige tijd gewerkt aan een nog grondiger begrip van afwijkend gedrag. Daarbij staan psychologische en fysiologische processen die zich afspelen wanneer mensen verborgen kwaadwillende intenties hebben centraal. Deze studies tonen aan dat potentiële daders een spotlight-effect ervaren, waarbij ze bijzonder oplettend zijn voor signalen uit hun omgeving en omgevingsprikkels op zichzelf betrekken. Deze oplettendheid kan zich uiten in reflexmatige reacties op de omgeving. In de meest extreme vormen zijn dat bijvoorbeeld de fight, flight of freeze reacties op signalen van gevaar uit de omgeving, zoals wanneer iemand denkt dat hij ontdekt is. Vaak kunnen deze reflexen nog redelijk worden onderdrukt, maar dit wordt moeilijker naarmate de cognitieve belasting hoger is. Ook kan de druk die gepaard gaat met
Prikkelen van publiek
Prikkelen is het uitzenden van subtiele signalen met als doel een reactie te ontlokken een ander, makkelijker doelwit. Een profiler zoekt tijdens het interview nadrukkelijk niet naar bewijs, zoals bij een verhoor gebruikelijk is, maar ontkracht slechts dat er sprake is van een dreiging.
Voordelen Het stellen van open vragen draait de rol van aanvaller en verdediger om. De profiler komt in de loop van zijn tegenstander en kan op die manier een mogelijke coverstory breken en daarmee een aanval al in de voorbereidende fase stoppen. Het voorkomen van incidenten nog ver voordat zij kunnen ontstaan, is daarmee een absoluut voordeel ten opzichte van securitymaatregelen die zich alleen maar richten op de uitvoeringsfase. SQ kan in vrijwel iedere omgeving worden toegepast. Bijkomend voordeel is dat het stellen van vragen vrijwel niets kost. Bovendien kan SQ ook worden geleerd aan andere functionarissen, zoals receptionisten,
Security Management nummer 9 september 2012
het plegen van een delict, leiden tot zichtbare en minder zichtbare stressreacties, zoals verhoogde hartslag, zweten, enzovoort. Van al deze kennis kunnen beveiligers gebruikmaken door actief te interacteren met het publiek op de toezichtlocatie. Predictive profiling doet dat op twee manieren: door security questioning en door het actief prikkelen van publiek. Prikkelen definiëren we als het uitzenden van subtiele signalen door toezichthouders met als doel een reactie te ontlokken aan het publiek in de omgeving. De veronderstelling is dat de manier waarop mensen reageren op prikkels toezichthouders informatie kan geven of iemand probeert om zaken te verbergen of om toezichthouders te ontwijken. Door te prikkelen filtert de beveiliger informatie. Waar normaal gesproken alle gedrag van mensen moet worden meegenomen bij de beoordeling of iemand een dreiging
securit y
Predictive profiling: ervaring Politieacademie Regelmatig wordt mij in het kader van predictive profiling de vraag gesteld of medewerkers binnen de politie en de beveiligingsbranche die zijn belast met opsporing, handhaving en toezichthoudende werkzaamheden, wel over de juiste competenties beschikken, of dat het mogelijk is hen deze aan te leren. Ik realiseer mij dat de focus veelal ligt bij reactief handelen door deze mensen, deels door eerder aangeleerde competenties en deels omdat we leven in een tijd waarin het belangrijk is inzichtelijk te maken wat de resultaten zijn van onze werkzaamheden. Toch ben ik ervan overtuigd en de ervaring leert in deze, dat de mindset en vaardigheden van voornoemde medewerkers om te zetten zijn en aan te leren zijn. Alles staat of valt echter met een aantal basisaspecten zoals daar zijn zelfkennis, zelfvertrouwen, zelfreflectie, en houdingsaspecten. Berry Verhagen, docent Politieacademie & SoSecure
vormt, zijn het bij prikkelen voornamelijk nog de afwijkende gedragingen die ontstaan in reactie op de uitgezonden prikkel. Onderzoek naar prikkelen is nodig om te leren hoe het werkt, wanneer het werkt en aan welke voorwaarden prikkels moeten voldoen om mensen met kwaadwillige intenties te onderscheiden van mensen zonder kwaadwillige intenties. De eerste studies die bij TNO
zijn uitgevoerd in de voorbije jaren, geven ondersteuning aan de theorie dat mensen met kwaadwillige intenties een spotlight-effect ervaren en hypervigilant (extreem waakzaam) zijn voor omgevingsprikkels. In een studie ondervroegen we mensen die een streng beveiligd stationsgebouw binnen waren gekomen. Mensen die aangaven zich bij het naderen van het stationsgebouw verdacht en gespannen te hebben gevoeld, vertoonden meer afwij-
kend gedrag. In een tweede studie lieten we mensen een illegaal pakketje vervoeren waarbij op de route een beveiliger stond. De deelnemers aan deze studie ervoeren inderdaad het veronderstelde spotlight-effect. Bovendien was een andere groep deelnemers beter in staat om uit een groep mensen de illegalepakketjesvervoerders te halen wanneer de beveiliger op de route een prikkel had uitgezonden dan wanneer deze dat niet had gedaan. Deze studies leveren dus ondersteuning voor de prikkelmethodiek zoals onder andere door de Politieacademie wordt onderwezen. Het zijn belangrijke eerste stappen naar effectievere methoden om afwijkend gedrag accuraat te herkennen. ‚‚ * Bert van Pel CSP is directeur van SoSecure Group en is als docent van de European Security Intelligence Foundation (ESIF) betrokken bij de Certified Security Profiler (CSP) post-hbo opleiding. Remco Wijn is onderzoeker bij TNO. Berry Verhagen is docent aan de Politieacademie & bij SoSecure.
(Advertentie)
PLATFORM VOOR SECURITY PROFESSIONALS www.securitymanagement.nl Meld u aan voor onze gratis e-mailnieuwsbrief, samengesteld door onze onafhankelijke redactie: www.securitymanagement.nl/nieuwsbrief
Security Management nummer 9 september 2012
43
risicomanagement
Werken aan vertrouwen en teams In uw functie als securityfunctionaris bent u grotendeels afhankelijk van uw medewerkers. Want ondanks de voortschrijdende techniek blijft security mensenwerk. Uw medewerkers zitten veelal verspreid, in een gebouw of over een regio, en werken op de meest ondankbare tijden met veel verantwoordelijkheden. Hoe geeft u effectief leiding? Vertrouwen is goed, controle is onmogelijk. Wat is dan wél beter? TOM BIJLSMA *
G
root of zelfs blindelings vertrouwen in elkaars functioneren is onwenselijk. Centrale controle is gezien de dynamiek, complexiteit en dislocatie vaak onmogelijk. Dit artikel neemt het samenwerken in militaire teams als uitgangspunt. Het gaat specifiek in op de belangrijke rol van vertrouwen. Vervolgens kijken we steeds naar de overeenkomsten met uw werk. Het ultieme van teamwerk is bijzonder betrouwbaar functioneren on-
kunnen voeren in dynamische en complexe omstandigheden moet een organisatie zich wel in teams organiseren. Anders is voortzettingsvermogen door gebrek aan slaap of kennis onmogelijk. Bij het samenwerken als team vormt vertrouwen een cruciale factor. Elk teamlid heeft zijn eigen taken en verantwoordelijkheden. Daarom moeten militairen een (bijna) blindelings vertrouwen hebben in hun teamgenoten (intra-teamver-
Voorbeeldgedrag van de leidinggevende en goed leiderschap zijn een pre der de moeilijkste omstandigheden. Dit is het onderwerp van de tweede militaire verhaallijn: high reliability organizations. Het blijkt dat heedful trust dan een kernbegrip is; geen blind vertrouwen maar behoedzaam vertrouwen, in mensen, systemen en machines. Het lezen van dit artikel genereert hopelijk nieuwe ideeën, maar zeker inspiratie, om bij uw teams met ‘vertrouwen’ aan de slag te gaan.
Vertrouwen en samenwerken bij militaire eenheden Het team is de belangrijkste bouwsteen van een operationele militaire organisatie. Om gedurende langere tijd dag en nacht haar taak uit te
44
trouwen). Maar bij hun werk moeten ze ook steeds kunnen vertrouwen op de professionaliteit van andere (operationele, logistieke of bevelvoerende) teams (interteamvertrouwen). In de veiligheidssector is het belang van goed teamwerk niet minder. Voor een goede en professionele dienstverlening naar de klant maar ook met het oog op het risicomanagement van het eigen personeel, is een goede samenwerking essentieel. Je moet op je directe collega kunnen vertrouwen (intrateam). Maar ook zeker weten dat de meldkamer of ondersteunende surveillanceauto de juiste acties inzet na jouw melding (interteam). Vooral bij de beveiliging moet de keten haarfijn op elkaar aansluiten,
Security Management nummer 9 september 2012
omdat snel handelen van belang is. En de keten is zo sterk als de zwakste schakel in deze.
Bouwen aan teamvertrouwen Vertrouwen in elkaar en het team is een belangrijke factor voor samenwerken en teameffectiviteit. Uit militair onderzoek blijkt dat andere gerelateerde factoren ook van belang zijn. Groepscohesie bijvoorbeeld, met op het laagste niveau het buddysysteem, blijkt een belangrijke factor te zijn om als groep door te vechten. Ook hebben moreel en leiderschap invloed op vertrouwen en vice versa. Binnen de veiligheidssector gaan deze conclusies vast ook op. Hoe krijgt u dan een goed team? Voorbeeldgedrag van de leidinggevende en goed leiderschap zijn een pre. Verwacht geen panacee in dit artikel, maar wel drie concrete vragen over uw investering in het team. Ten eerste, welk team werkt met een TOP, een Team Ontwikkelplan? Een Persoonlijk Ontwikkelplan, POP, is al gebruikelijk. In hoeverre leidt de optelsom van de POP’s tot beter teamwerk? De juiste start is een TOP, de opzet is net als een POP maar dan voor en met het hele team. Hieruit kunnen dan de POP’s worden afgesproken. Ten tweede, hoeveel dagen en welk budget heeft uw team elk jaar om zich als team te professionaliseren? Bij bijna elke organisatie heeft een medewerker
risicomanagement
recht op vormings- en opleidingsdagen inclusief een bepaald budget hiervoor. Het team, de bouwsteen van de organisatie, komt er vaak bekaaid af in deze. Effectief teamwerk ontstaat zelden spontaan, men moet bouwen aan en met het team. En dit gaat veel verder en vooral gestructureerder dan teambuilding, een jaarlijkse BBQ of een bowlingavond. Als derde ten slotte: hoe vaak hebt u een overleg met het team? Het evalueren, plannen en bespreken met het team over zaken aangaande het werk maakt dat men zich ook als team beschouwt, nog los van de inhoudelijke meerwaarde. Dit is vooral van belang als men in het dagelijks werk nauwelijks als team optrekt. Voorgaande drie antwoorden kosten allemaal tijd en moeite, maar zijn essentieel om te bouwen aan een team en teamvertrouwen.
High reliability organizations (HRO’s) Delen van militaire operationele eenheden zijn als een HRO te beschouwen. Een HRO is namelijk een organisatie die betrouwbaar moet zijn omdat de gevolgen van disfunctioneren grote proporties kunnen aannemen. De processen of output veroorzaken dan een ramp: veel doden, gewonden en/ of schade. Bij militaire organisaties kan dat uitmonden in collateral damage, nevenschade. Positiever geformuleerd: een HRO is een organisatie die erin slaagt catastrofes te vermijden in een omgeving waar ongelukken op de loer liggen gezien de risico’s in haar processen of omgeving. Andere voorbeelden van HRO’s of HR-teams zijn operatiekamers, nucleaire energiecentrales, de procesindustrie waarbij gevaarlijke stoffen betrokken zijn, en politie- en brandweereenheden. Ook de veiligheidssector kent organisatieonderdelen die of als HR-team zijn te beschouwen, of die van een HRO kunnen leren om sneller en effectiever te handelen.
Principes van HRO’s Binnen HRO’s zijn over het algemeen vijf principes herkenbaar om veilig functioneren te garanderen. Het eerste principe is dat men gebrand is op fouten en falen. De kleinste afwijking
ziet een HR-team als een mogelijke fout in het systeem. Het signaleren en rapporteren van fouten is cruciaal. Daardoor blijft een team ook steeds leren. Het tweede principe gaat in op het voorkomen van te snelle conclusies of handelingen. Men is afkerig van vereenvoudiging. Niets gaat vanzelf of is vanzelfsprekend. HR-teams blijven niet hangen in details maar bouwen conscientieus steeds het totaalbeeld op. Voorwaarde hiervoor is dat de teamleden de rol en meerwaarde van hun processen in relatie tot de andere processen in de organisatie goed kennen, en dat is het derde principe. Het blijven communi-
ceren met anderen en het continue scannen van de omgeving is hierbij belangrijk: situational awareness opbouwen en behouden. Het vierde principe houdt in dat systemen en mensen veerkrachtig zijn om onverwachte situaties aan te kunnen. Creativiteit, innovatie en double loop leren passen hierbij. Het laatste principe gaat in op het niethiërarchisch werken en denken. In HRO’s werken vaak veel specialisten. Bij de dagelijkse werkzaamheden en met name bij crises wordt op hun individuele kunde gevaren. Deze principes passen zeer waarschijnlijk ook in uw ideale team.
Security Management nummer 9 september 2012
45
»
over
MASTERCLASS: Het Nieuwe Werken
AAN DE SLAG MET EEN MODERNE WERKSTIJL Shift
Ctrl
Home
Unieke 5-daagse masterclass op inspirerende locaties Tijdens deze 5 masterclasses wordt, op verschillende inspirerende locaties, aandacht besteed aan alle aspecten van het nieuwe werken: de fysieke omgeving, de ICTwereld, de gevolgen op het gebied van cultuur en leiderschap. Tenslotte wordt in de laatste masterclass ook ingegaan op het verander- en communicatietraject. Bestemd voor: project-en programmamanagers, HR-, IT-, FM en communicatieprofessionals en andere (beleids)medewerkers die de eerste verkennende stappen in Het Nieuwe Werken hebben gedaan en er nu concreet mee aan de slag zijn en/of willen.
Nu â‚Ź 250 korting bij elke 2e inschrijving!*
Wegens succes herhaald! Start 4 oktober 2012
*www.ohnw.nl/masterclass
risicomanagement
Niet routinematig maar behoedzaam afstemmen
hun teamleden te kennen. Welk competenties en ambities hebben zij? Om hun meerwaarde in de keten te kunnen overzien dient iedereen de processen in de organisatie te kennen. Maar ze moeten ook inzicht hebben in belangrijke aspecten van mensen, processen en gebouwen van organisaties waarvoor ze hun beveiligingstaak uitvoeren. Pas dan kunnen ze meedenken met de eigen organisatie en met de klant. Ook bij het tot stand komen van de procedures en processen van de organisatie is deze behoedzaamheid te herkennen. Behoedzaam presteren is het resultaat van training en ervaring die het ‘denken, voelen en willen’ verweven. Routinematig presteren is het resultaat van drill en repetitie. Nauwkeuriger uitgedrukt: er is eigenlijk geen sprake van ‘het tot stand komen van procedures en processen’, maar van ‘de continue ontwikkeling in procedures
ken aan de uitvoerdata, procedures, processen, producten, (stand-by) machines, maar ook de omgeving. Gedegen kennis van het hele systeem is een basisvoorwaarde om het concept heedful trust toe te gaan passen. Behoedzaam systeemvertrouwen drijft op een vorm van lichte argwaan naar de harden software, daar waar behoedzaam interpersoonlijk vertrouwen vanuit een positief kritische opstelling naar de teamleden plaatsvindt. Habitueel vertrouwen kan bijvoorbeeld leiden tot tunnelvisie. Tunnelvisie kan enerzijds ontstaan door habitual interpersonal trust (bijvoorbeeld niet kritisch naar andere oorzaken of scenario’s vragen, framing), anderzijds door habitual system trust – bijvoorbeeld een indicatorlampje dat kapot is, een procedure die niet Poka Yoke (foolproof) is) – of door een combinatie van beide.
Behoedzaam vertrouwen, zowel in mensen als in systemen, is een belangrijke factor
Dit artikel kijkt naar uw werk vanuit een militaire context. Het samenwerken in teams blijkt een kernpunt en vertrouwen is een belangrijke component hiervan. Ook is ingegaan op een aantal methoden om te werken aan teamvertrouwen. Dit zijn TOP’s, gestructureerde teambuildingen en teambesprekingen. Alle drie activiteiten zijn laagdrempelig en op zich vrij makkelijk in te voeren. Daarnaast valt veel te leren van het High Reliability-team. Om hun attitude en manier van werken over te nemen is behoedzaam vertrouwen, zowel in mensen als in systemen en machines, een belangrijke factor. Behoedzaam vertrouwen combineert interpersoonlijk en systeemvertrouwen. Teamleden dienen interne en externe signalen op te pikken, ze kritisch te analyseren en (met elkaar) te reflecteren. Teamvertrouwen creëren en behoedzaam werken introduceren, zijn de uitdagingen voor leidinggevenden. Dan zijn ook teams in de veiligheidssector (nog) veiliger, adaptiever en veerkrachtiger. ‹‹
Hoe krijg je een HRO die werkt met voornoemde principes? Heedful interrelations vormen een kern hierbij. Het begrip heedful is te duiden als behoedzaam. Behoedzaam verbinden is anders dan gewoon verbinden. Bij het eerste trek je niet te snel conclusies (gebeurtenissen met elkaar verbinden) en ga je niet oppervlakkig met de ander om (verbinden van mensen in de zin van communiceren en contacten). Bij ‘behoedzaam presteren’ blijven betrokkenen op elkaar letten en dus voortdurend leren. Bij de tegenhanger, routinematig of ‘habitueel presteren’, opereren de medewerkers niet zonder kennis, maar zonder diepere achtergrond, zonder inzicht. Organisaties waar de relaties en afstemmingen routinematig verlopen, kunnen best handelen vanuit een gemeenschappelijk
denkkader, een breed gedragen visie en missie, en hoogstaande kwaliteitsnormen; en ze kunnen ook heel succesvol zijn. Organisaties die vanuit heedful interrelations werken, hebben dit ook, maar medewerkers stellen hierbij steeds kritische vragen aan zichzelf en aan elkaar. Bij hun werk blijven de organisatieleden continu waakzaam, ook al betreft het repeterende processen. Want zij zijn zich bewust van het feit dat niets logisch en vanzelfsprekend is. Zij zijn zich bewust van het feit dat een afwijking of fout in hun werk, elders in de organisatie of bij de klant tot klachten of fouten kan leiden. Dit weten ze omdat ze enerzijds diepgaand inzicht hebben in het werk op hun eigen afdeling, maar anderzijds ook de processen in de organisatie kennen. Hierdoor hebben ze inzicht in de meerwaarde van hun activiteiten ten opzichte van die van de hele organisatie.
Behoedzaamheid in de securitysector Wat hebt u aan het behoedzaam verbinden? Wat kunt u met het voorgaande? Allereerst dienen leidinggevenden
en processen’. En juist deze bijbehorende attitude (‘het kan altijd beter’) en het zelflerend vermogen op teamniveau maken dat heedful interrelations essentieel zijn voor organisaties die zich geen fouten mogen permitteren. Binnen een HR-team is er plaats voor een professionele discussie en mag men elkaar respectvol uitdagen. Daardoor is er ruimte om binnen het team onafhankelijk te denken. Aan een manager is het om die ruimte en tijd te scheppen maar medewerkers ook de vrijheid te geven zaken ter discussie te stellen. Regelmatige evaluaties zijn een eerste opstap hiervoor. Alles aangaande het voorgaande ‘bouwen aan teamvertrouwen’ komt hier weer terug.
Behoedzaam systeemvertrouwen ‘Behoedzaam vertrouwen’ kent twee dimensies. Naast het hiervoor toegelichte interpersoonlijke vertrouwen bestaat het ook uit systeemvertrouwen. Systeemvertrouwen is het vertrouwen dat iemand heeft in de betrouwbaarheid en robuustheid van het systeem waarmee hij werkt. Hierbij valt te den-
Conclusies
* Tom Bijlsma is universitair docent Faculteit Militaire Wetenschappen van de Nederlandse Defensie Academie, Breda. In Security Management 5, mei 2012 verscheen van Tom Bijlsma het artikel ‘Leren van het leger – veilig werken met Crew Resource Management’.
Security Management nummer 9 september 2012
47
publiek- private samenwerking
Winkelboa als vervanger van politie? Momenteel loopt een pilot met winkelboa’s. Deze buitengewoon opsporingsambtenaren zijn bevoegd om handelingen te verrichten die tot nu toe behoren tot de taken van de politie, zoals het opnemen van een aangifte, het horen van getuigen, het opmaken van een proces-verbaal, fouillering, vervoer van de verdachte naar het politiebureau en het voorgeleiden voor een hulpofficier van Justitie. Wat zijn de argumenten voor en tegen dit nieuwe fenomeen? ELINE BLEIJSWIJK EN HETTY GROOT KOERKAMP *
O
p 5 maart 2012 liet minister Ivo Opstelten van Justitie en Veiligheid een brief uitgaan waarin hij informatie gaf over de professionalisering en ordening van gemeentelijk toezicht en handhaving in
de openbare ruimte. De minister liet weten te willen streven naar een snellere afhandeling van winkeldiefstal op heterdaad. Daarvoor wil hij zogenoemde winkelboa’s gaan inzetten. Het betreft boa’s in domein 1 met de
Fictie of werkelijkheid? Op een rustige dinsdagochtend ziet buitengewoon opsporingsambtenaar Willem Gijsbrecht een jongeman een drogisterij binnenkomen. Willem ‘scant’ de persoon: hij vindt dat de man opvallend kijkt naar de spiegels en camera’s die in de zaak hangen. Willem weet dat potentiële winkeldieven ook mensen uit hun omgeving scannen om te kijken of er beveiliging in de buurt is en of er gelegenheid is ongezien wat weg te nemen. Hij blijft daarom wat uit het zicht, maar ziet zijn vermoeden bewaarheid worden als de jongeman een pakje scheermesjes in zijn jaszak stopt. Rustig wandelt de jongeman richting de kassa, maar loopt dan erlangs naar de uitgang zonder te betalen. Vlak nadat de jongeman de winkel heeft verlaten, houdt Willem hem aan en maakt zich kenbaar als buitengewoon opsporingsambtenaar. Willem stelt de meldkamer en de bedrijfsleider in kennis en brengt de jongeman naar het kantoor van de bedrijfsleider. Hij vult het aangifteformulier en de tijdelijke winkelontzegging in en fouilleert de verdachte, die zonder veel tegenstand afstand doet van de gestolen scheermesjes. Kort daarop komt de bedrijfsleider om zijn handtekening te zetten onder de aangifte en het tijdelijk winkelverbod. Na het invullen van de papieren neemt Willem de verdachte geboeid mee in zijn dienstwagen naar het politiebureau, waar hij zorgt voor de voorgeleiding van de verdachte voor de hulpofficier van Justitie. Vervolgens zorgt hij dat de verdachte in het automatiseringssysteem van de politie vermeld wordt. Na het verhoor schrijft Willem een politiestrafbeschikking uit en handelt hij de zaak zo af. Hij stuurt de verdachte het bureau uit en rijdt vervolgens terug naar het winkelcentrum, op naar de volgende klus. Bij de afhandeling van deze diefstal is nauwelijks een politiemedewerker betrokken geweest. Fictie? Nee, binnenkort misschien werkelijkheid!
48
Security Management nummer 9 september 2012
bevoegdheid om op te treden bij een eenvoudige diefstal zonder geweld. De winkelboa’s krijgen dan uiteraard wel de bevoegdheid om enkele handelingen te verrichten die tot nu toe behoren tot de taken van de politie. Te denken valt aan het opnemen van een aangifte, het horen van getuigen, het opmaken van een proces-verbaal van bevindingen, fouillering, vervoer van de verdachte naar het politiebureau en het voorgeleiden voor een hulpofficier van Justitie. Om te bezien hoe dit in de praktijk uitpakt, worden bij wijze van proefproject dit jaar de winkelboa’s geïntroduceerd in vijf gemeenten. Het is uiteraard belangrijk dat dit proces gemonitord wordt. De praktijk zal moeten uitwijzen of alle randvoorwaarden zijn gecreëerd om de winkelboa in staat te stellen zijn werk goed te kunnen uitvoeren.
Win-winsituatie ‘Ik heb veel verwachtingen van dit proefproject’, aldus Adem Toptas, voormalig wijkcontactfunctionaris Winkelgebied Keizerslanden van de politie IJsselland. Hij licht toe: ‘In samenspraak met ondernemers in Keizerslanden zijn we al lange tijd op zoek naar een snellere en efficiëntere afhandeling van winkeldiefstal. Een winkelboa zou een welkome aanvul-
publiek- private samenwerking
ling zijn om te zorgen voor een winwinsituatie. Vaak moet de meldkamer van de politie prioriteiten stellen en is hij sterk afhankelijk van andere meldingen en of agenten binnen afzienbare tijd de winkeldief kunnen ophalen. Soms is het zo druk dat een bedrijfsleider wel een uur met een verdachte opgescheept zit. Die heeft beslist ook wel wat anders te doen. En bovendien vindt een bedrijfsleider het meestal ook beter als er twee mensen bij zo’n verdachte zitten. Dat betekent dat een bedrijf al gauw een uur lang twee medewerkers mist, terwijl de bedrijfsvoering wel gewoon door moet gaan. We zien dat het lange wachten ook tot gevolg kan hebben dat de situatie meer gespannen wordt dan noodzakelijk is. Al met al denk ik dat het voor de gemiddelde winkelier van ondergeschikt belang is door wie de winkeldief wordt opgehaald, áls hij of zij maar snel uit zijn zaak verdwijnt. Het is natuurlijk wel belangrijk dat de afhandeling op de juiste manier plaatsvindt. Ik denk dat de winkelboa kan zorgen voor het ontlasten van de noodhulp van politie en ook de winkelier een dienst bewijst, en daardoor kan zorgen voor een snellere afhandeling van de zaak. Ik wacht de uitkomst van deze pilot met veel interesse af.’
Kanttekeningen Naast positieve reacties zijn er ook kanttekeningen. Zo ziet de Stichting Maatschappij, Veiligheid en Politie (SMVP) door de verruiming van de taken van boa’s een verdere verschraling van de rol van de politie in buurten en wijken ontstaan. De
dekte een bonte verzameling van boa’s. Hij concludeert dat gemeentelijk beleid als het gaat om toezicht en handhaving veelvormig en versnipperd is. Ook is wat de SMVP betreft de vraag
Het is van belang dat ook andere partijen dan de politie zich inspannen om onveiligheid te voorkomen SMPV, onder voorzitterschap van prof. mr. Pieter van Vollenhoven, liet bestuurskundige dr. Ronald van Steden van de Vrije Universiteit Amsterdam onderzoek doen naar de verhouding tussen boa’s en de reguliere politie in zes steden. Van Steden ont-
gerechtvaardigd of de operationele regie goed geregeld is. Boa’s opereren in een grote mate van vrijheid, terwijl volgens de SMVP de aansturing door de politie nu al veel te wensen overlaat. Gezamenlijke briefings en debriefings van politie en boa’s komen
zelden voor. Ook de onderlinge informatie-uitwisseling tussen politie en boa’s is doorgaans niet goed geregeld. Met de introductie van de pilot voor winkelboa’s in vijf gemeenten lijkt de minister te kiezen voor boa’s met een brede (‘integrale’) taakstelling. Dat is anders dan waarvoor de boa’s oorspronkelijk waren bedoeld, aldus de SMVP. De eerste boa’s waren specialistische handhavers op afgepaalde domeinen (openbare ruimte, openbaar vervoer, parken, bossen, et cetera). De SMVP acht het ongewenst dat er enerzijds een gelijkvormig nationaal politieapparaat aan het ontstaan is, terwijl anderzijds een ratjetoe aan boa-regelingen blijft bestaan. Voor het met gezag uitoefenen van politiefuncties is het zaak burgers niet (verder) in verwarring te brengen.
Security Management nummer 9 september 2012
49
»
publiek- private samenwerking
Effectief De invoering van het pilotproject winkelboa werpt dan ook de nodige vragen op. Gebrek aan tijd bij de politie om winkelboeven te pakken? Opstelten zegt er het volgende over: ‘De vraag naar politiecapaciteit is groter dan de capaciteit zelf. Net als bij andere vormen van criminaliteit moeten er daarom door het gezag keuzes worden gemaakt waarvoor de politiecapaciteit wordt ingezet. Daarbij is van het grootste belang dat ook andere partijen dan de politie zich inspannen om onveiligheid te voorkomen of te bestrijden. Dat is ook bij winkeldiefstal het geval: winkeliers spannen zich in om diefstal zo veel mogelijk door eigen preventieve maatregelen te voorkomen. Gemeenten hebben een eigenstandige taak naast de politie waar het gaat om optreden tegen overlast en verloedering. Gemeenten kunnen daarvoor boa’s inzetten. Boa’s zijn geen vervanging of concurrent van de politie, maar een exponent van de verantwoordelijkheid van het lokaal bestuur om zaken op het terrein van leefbaarheid, verloedering en overlast in de openbare ruimte aan te pakken. Tot die openbare ruimte horen ook winkelgebieden. Juist omdat in winkelgebieden soms intensief toezicht plaatsvindt door boa’s, is het effectief om de inzet van boa’s bij een veelvoorkomend delict als winkeldiefstal te beproeven.’ Samenvattend: » Er is een bonte verzameling aan boa’s. » Gemeentelijk beleid gericht op toezicht en handhaving is veelvormig en versnipperd.
Minister Opstelten (Veiligheid & Justitie): ‘Boa’s zijn geen vervanging of concurrent van de politie, maar een exponent van de verantwoordelijkheid van het lokaal bestuur om zaken op het terrein van leefbaarheid, verloedering en overlast in de openbare ruimte aan te pakken.’
Kans van slagen Er zijn dus zowel argumenten voor als tegen wat betreft het nieuwe fenomeen winkelboa. In elk geval zal de introductie ervan gepaard moeten gaan met een
Boa’s zijn geen vervanging of concurrent van de politie » Briefing en debriefing tussen boa’s en politie komen nauwelijks voor. » Boa’s en politie handhaven allebei in het winkelgebied, echter zonder eenduidige afstemming. » Boa’s zijn geen concurrent of vervanging van de politie.
50
goed voorbereid bijscholingsprogramma. Want bij het boevenvangen gaat het niet alleen om de schriftelijke afhandeling in de vorm van het opmaken van een proces-verbaal van aangifte, maar ook om vaardigheden zoals de-escalerend kunnen optreden, het
Security Management nummer 9 september 2012
boeien van een verdachte, getuigenverhoor en - last but not least - het kennen van je bevoegdheden. Wat de kans van slagen van deze pilot ook is, voor al degenen die betrokken zijn bij veiligheid in het publieke domein is het interessant de ontwikkelingen rond de winkelboa’s nauwlettend in de gaten te houden. De pilot loopt tot eind november 2012. De conclusies uit de eindevaluatie worden niet eerder verwacht dan in het voorjaar van 2013. ‹‹ * Eline Bleijswijk en Hetty Groot Koerkamp zijn adviseurs opleidingen bij het Politie Vormingscentrum (SPV) in Vaassen
Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl
Track & Trace oplossing Nsecure heeft samen met Falck een track & trace oplossing ontwikkeld die personen binnen een gebouw, fabriek of magazijn kan volgen. Door personen te voorzien van intelligente tags is exact te zien hoeveel mensen waar op de locatie aanwezig zijn, zonder hinder
van fysieke barrières. Ook voertuigen, materialen, PBMs en gereedschappen kunnen binnen het gebied worden gevolgd, waardoor deze beter vindbaar zijn. De track & trace opstelling is op de trainingslocatie van Falck op de Maasvlakte opgezet en onderzocht.
1 + 1 = 3 cameradetectie Zaken als geografische ligging, beschikbare infrastructuur, omvang en inschatting van het risico op een locatie zijn leidend bij de keuze voor de beveiligingsoplossing. BetaGuard heeft hiervoor het 1 + 1 = 3 concept ontwikkeld. Het concept bestaat uit: 1. Beveiliging door middel van een detectiesysteem met geverifieerde alarmen. 2. Beveiliging door middel van een intelligent camerasysteem met Video Content Analyse. 3. Beveiliging door de koppeling van een detectiesysteem met een geïntegreerd camerasysteem. Door de koppeling van detectie met
camera´s worden de voordelen van beide systemen versterkt, en de nadelen van beide systemen afzonderlijk geëlimineerd. Door verificatie van meldingen kan direct de oorzaak van een alarm worden vastgesteld zodat onnodig uitrukken van de bewakingsdienst wordt voorkomen.
Cloud PTZ camera D-Link breidt het cloud camera assortiment uit met de cloud PTZ (Pan, Tilt en Zoom) camera (DCS-5222L). Deze op afstand bedienbare, 340 graden verstelbare, HD-cloudcamera is een bewakingsoplossing voor eigen huis en kleinere kantoren. Met een pan/tilt-
functie, infrarood licht, automatische dag- of nachtherkenning en een micro SD-kaart voor het opslaan van beelden, is de camera ontworpen om de hoogste kwaliteit beeldmateriaal op te nemen, zowel overdag als ‘s nachts.
Indoor netwerkcamera Axis introduceert de M1013 en M1014 indoornetwerkcamera’s met ondersteuning voor lokale opslag, waardoor ze geschikt zijn voor het beveiligen van locaties zoals kleine bedrijven, winkels, restaurants, hotels en woningen. De M1014 biedt op full frame rate hdtv 720p megapixel resolutie, terwijl de M1013 een svga-resolutie biedt. De kleine indoor M10 netwerkcameraserie wordt geleverd met de volgende functionaliteiten: H.264-compressie die
producten
Dubbele hemisferische camera Mobotix introduceert de eerste dubbele hemisferische camera ter wereld, de S14 FlexMount. Deze camera, die in mono- (S14M) en dual-(S14D)uitvoering leverbaar is, onderscheidt zich door zijn miniatuur lensunits en de flexibele toepassingsmogelijkheden. De S14D is bijvoorbeeld te voorzien van twee hemisferische lensunits met geïntegreerde microfoon, die via aansluitkabels met de camerabehuizing worden verbonden. Zo kunnen twee naast of boven elkaar gelegen ruimtes met slechts één S14 ononderbroken worden bewaakt.
Thermische MIC-camera’s Bosch Security Systems introduceert de MIC612 Thermal Serie. Een robuuste hogesnelheid PTZ-camera combineert een optische en thermische opnamemogelijkheid in één behuizing. Een 36x zoom optische dag-nachtcameramodule met autofocus wordt gecombineerd met een thermische cameramodule met een 35 of 50 mm lens in één behuizing. Hierdoor kunnen objecten op afstanden tot 3,86 km worden gedetecteerd, zelfs bij volledige duisternis, mist of sneeuw. De thermische sensor is beschikbaar in standaard of hoge resolutie waardoor nog meer details weergegeven kunnen worden.
opslag- en bandbreedtebehoefte vermindert en lokale opslag met zowel ondersteuning voor micro sdhc-kaarten als opslag op een medium dat op het netwerk is aangesloten zoals NetworkAttached Storage (NAS).
Security Management nummer 9 september 2012
51
produc ten -/dienstenregister Beveiliging en toegangscontrole
CCTV
Nedap N.V. Security Management Postbus 103 7140 AC GROENLO (T) 0544 471 666 (E) info@nedap-securitymanagement.com (I) www.nedap-securitymanagement.com
Deursloten
Parkeervoorzieningen
Toegangscontrolesystemen
DE PARKEERBEUGEL MET AFSTANDSBEDIENING
072 - 511 59 27 www.privapark.nl
✠Graag ontvang ik meer informatie over de plaatsingsmogelijkheden in het Producten-/ dienstenregister van Security Management.
Organisatie Naam
M/V
Ingevulde coupon kunt u sturen naar:
Postbus Postcode Plaats
U kunt ook bellen: (0172) 46 64 71 of mailen: bumalphen@kluwer.nl
Tel. Email
52
Kluwer t.a.v. Liesbeth van den Hoek Postbus 4 2400 MA Alphen aan den Rijn
Security Management nummer 9 september 2012
TM
Benelux Chapter
recht
Handel met voorkennis Een werknemer van een bank wordt verdacht van een strafbaar en werkgerelateerd feit. Tijdens onderzoek geeft de werknemer daarover onvoldoende openheid van zaken. Dat leidt volgens de rechter tot het wegvallen van het vertrouwen bij de bank in de werknemer, met als gevolg ontbinding van de arbeidsovereenkomst. ROB POORT *
E
en man werkt sinds mei 2007 bij ABN-Amro als Hoofd Acquisitie Preferred Banking. In die functie geeft hij leiding aan een team van vijf tot zeven personen. Doel van de functie is klanten te interesseren voor de bankproducten. Hij krijgt in de jaren 2007 - 2010 goede beoordelingen. De bank kent een interne Gedragscode Privé-Beleggingstransacties, waarin onder meer staat dat een medewerker die beschikt over voorwetenschap met be-
gestuurd met de mededeling dat zijn salaris is opgeschort en dat hij aansluitend op zijn vrijlating geschorst wordt. Hij wordt gesommeerd direct na zijn vrijlating contact op te nemen met de afdeling Security & Intelligence Management (SIM) om een verklaring af te leggen en alle stukken (waaronder de processen-verbaal) ter inzage te geven. De werknemer voldoet aan dit verzoek, maar ontkent dat hij met voorkennis heeft gehandeld. Met een
Van de werknemer mocht worden verwacht dat hij openheid van zaken zou geven trekking tot bepaalde financiële instrumenten geen privétransactie in die financiële instrumenten mag uitvoeren. Het handelen in strijd met de gedragscode wordt beschouwd als een ernstige inbreuk op het vertrouwen van de werkgever in de werknemer. Dat kan leiden tot een passende sanctie, schorsing en andere disciplinaire of arbeidsrechtelijke maatregelen, ontslag op staande voet daarvan niet uitgezonderd.
Aanhouding De werknemer wordt in oktober 2011 aangehouden door de FIOD wegens verdenking van handel in voorwetenschap, in april 2009 gepleegd. Hij zou informatie hebben gekregen van een collega. De FIOD heeft huiszoeking gedaan en de werknemer heeft twee dagen in voorlopige hechtenis gezeten. De werkgever heeft dezelfde dag een brief
54
beroep op zijn privacy weigert hij volledige openheid van zaken te geven. Het onderzoek van de FIOD is nog niet afgerond. De werkgever verzoekt ontbinding van de arbeidsovereenkomst.
Oordeel kantonrechter Volgens het SIM-rapport is het aannemelijk dat de werknemer met voorkennis heeft gehandeld. Die heeft dat ontkend en is (nog) niet veroordeeld. Daar zou nader feitelijk onderzoek voor nodig zijn, maar daar leent een kortgedingprocedure zich niet voor. De werknemer heeft aan het interne onderzoek meegewerkt en daarmee kan hem niet worden verweten, dat hij een redelijke opdracht van de werkgever heeft geweigerd. Het ontslagverzoek, voor zover gebaseerd op een dringende reden, wijst de rechter dan ook af. Maar het gaat hier om een zeer ernstige verdenking van een werkgerelateerd
Security Management nummer 9 september 2012
strafbaar feit. Van de werknemer had mogen worden verwacht dat hij vanaf het begin de grootst mogelijke openheid van zaken zou geven en al het mogelijke zou doen om de verdenking jegens hem weg te nemen. Dit alleen al op grond van goed werknemerschap (art 7: 611 BW) en los van de vraag wat daarover in de Gedragscode (of in de cao) staat. De werkgever moet bij dit soort verdenkingen een eigen inschatting kunnen maken. Dat de werknemer die informatie, met een beroep op zijn privacy, niet wil geven moge zo zijn, maar daarmee blijft er dus wel een ernstige verdenking bij de werkgever bestaan. Volgens de kantonrechter is de werknemer onvoldoende open geweest, met name over de relatie met zijn collega en de reden waarom hij in die aandelen heeft gehandeld. Daardoor is rond die transacties een schimmige, niet geheel duidelijke situatie blijven bestaan en dat kan de werknemer worden aangerekend. Het is daarom begrijpelijk dat de werkgever het vertrouwen in de werknemer heeft verloren. De arbeidsovereenkomst wordt - zonder vergoeding ontbonden.
Aantekening Ook voor de collega is ontslag aangevraagd. Hoe dat is afgelopen, laat zich raden. Voor beide werknemers een duur handeltje. Met of zonder voorkennis! ‹‹ (Kantonrechter Amsterdam, 22 mei 2012, LJN: BW6781) * mr. ing. R.O.B. Poort is jurist en veiligheidskundige (www.bureaupoort.nl)
recherche
De slager die zijn eigen vlees keurt Onlangs voerden wij een onderzoek uit naar een vermoedelijke interne fraude bij een grote kledingfirma. Reden tot het instellen van het onderzoek was dat veelvuldig van deze onderneming afkomstige goederen op de website van Marktplaats werden aangeboden voor bedragen ver onder het voor de winkeliers geldende inkoopbedrag. RENÉ TERWEY *
N
a enkele proefaankopen te hebben gedaan, kon worden vastgesteld dat er een lijn moest liggen tussen de aanbieders en een of meerdere medewerkers van de opdrachtgever. De onderzoekers hadden de betrokken medewerkers al snel in beeld. Teneinde meer informatie over de geldende procedures te vergaren, hebben de onderzoekers vervolgens meerdere medewerkers geïnterviewd.
Ongeschreven regel Tijdens de interviews bleek ons dat de medewerkers de mogelijkheid hebben om via het kantoor in de bedrijfshal zogenaamde ‘B’-keuzekleding aan te kopen. Vrijwel alle medewerkers bleken van deze mogelijkheid gebruik te maken, veelal voor henzelf. Maar naar nu bleek, werden ook voor vrienden en familieleden dergelijke aankopen gedaan. De medewerkers betaalden de aankopen contant aan een van de logistieke medewerkers. Iedereen wist dat deze medewerker het potje met deze inkomsten beheerde en dat er af en toe leuke dingen van werden gekocht voor op kantoor of boodschappen van werden gedaan voor de lunch. Iedereen ging ervan uit dat het resterende geldbedrag aan het bedrijf werd afgedragen. De onderzoekers constateerden dat er in de loop van de jaren veel meer goederen als ‘B’-keuze werden verkocht dan mogelijk was. Er werden nu eenmaal niet zoveel kledingstukken afgekeurd. Dat er veel meer werd ver-
kocht dan mogelijk zou moeten zijn, bleek ook nog eens toen tijdens de interviews naar voren kwam dat enkele logistieke medewerkers wekelijks zelf aanzienlijke hoeveelheden kleding meenamen of deze door bekenden lieten afhalen. De directie wist overigens niets van de mogelijkheid die de medewerkers door deze verkoop werd geboden. Ergens op afdelingsniveau was een manager op de hoogte, maar hij bleek zelf ook ‘om’ te zijn en regelmatig kledingstukken mee te nemen. Ten slotte werd duidelijk dat al het voor de verkochte kledingstukken ontvangen geld door de betrokken medewer-
derden, die de goederen vervolgens aanboden op diverse internetsites, zoals Marktplaats. De door hen geleverde kleding bleek overigens ook geen ‘B’keuze te zijn geweest. De betrokken medewerkers bleken zelf de keurmeesters te zijn en er was geen enkele controle op de afgekeurde kleding! Door deze fout in het scheiden van verantwoordelijkheden en bevoegdheden is de fraude ontstaan.
Zolang niemand iets zegt ... Het dominante en soms agressieve gedrag van de betrokken medewerkers heeft ertoe geleid dat de leiding een en ander in eerste instantie heeft gedoogd en vervolgens zodanig chantabel was
Door een fout in het scheiden van verantwoordelijkheden en bevoegdheden is fraude ontstaan kers is gehouden. De hoogte van het door hen ontvangen bedrag is een veelvoud geweest van de bedragen die voor aankopen ten behoeve van de zaak of hun collegae zijn gebruikt. Niemand weet waar het restant is gebleven. Zeker is dat dit niet in de bedrijfskas is geboekt.
Leveren op bestelling Uiteindelijk is gebleken dat de betrokken medewerkers de spil vormden in een grootschalige fraude. Ze leverden op bestelling grote hoeveelheden kleding uit het logistieke centrum aan
geworden dat ingrijpen niet meer mogelijk was. Alle medewerkers bleken na afloop eigenlijk wel te hebben geweten dat er niets deugde van de door de medewerkers in stand gehouden handel. Maar omdat de leiding niets zei, zijn ze hieraan toch blijven meedoen. Zowel de leiding als de betrokken medewerkers zijn ontslagen en er is een heldere procedure voor het onderscheid tussen A- en B-keuze opgesteld. ‹‹ * René Terwey is directeur van VMB security & solutions te Almere (www.vmbrecherche.nl)
Security Management nummer 9 september 2012
55
contacten en contracten
Hefas en SK FireSafety bundelen expertise
Hefas Branddetectie en SK FireSafety Group gaan intensiever samenwerken. Door het integreren van elkaars producten en kennis, kunnen de twee specialisten in brandbeveiliging slimmere oplossingen ontwikkelen en leveren. Deze intensievere samenwerking past in de strategische ontwikkeling van beide bedrijven.
Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@vakmedianet-alphen.nl
Nieuwe vakbeurs SecuVak De eerste editie van SecuVak vindt plaats op 13, 14 en 15 november in Evenementenhal Venray. In samenwerking met de Nederlandse Organisatie voor Brandveiligheid (NOVB), Post Hoger Onderwijs Veiligheidskunde (PHOV) en het Kenniscentrum Integrale Veiligheid (KCIV) wordt er gedurende de beursdagen extra aandacht geschonken aan diverse thema’s binnen de veiligheid en beveiliging. Meer informatie: Evenementenhal op www.evenementenhal.nl of via twitter @SecuVak_EH
G4S neemt Protekt over G4S en Arbo Unie hebben op 10 juli overeenstemming bereikt over de overname van opleidingsinstituut Protekt, dat sinds 2000 actief is in bedrijfshulpverlening, veiligheid en gezond werken.
De activiteiten van Protekt sluiten aan op de ambitie van G4S om haar aanbod en positie op het gebied van veiligheidstrainingen in Nederland verder te versterken. Het gezamenlijke
Joosten accountmanager Alphatronics
opleidingsaanbod bestaat onder andere uit BHV-trainingen, EHBO-opleidingen, maritieme en brandweertrainingen. De trainingscentra van G4S (6) en Protekt (4) worden samengevoegd tot een landelijk netwerk. Naast training wordt ook voorzien in safety consultancy en incompany trainingen. De gezamenlijke activiteiten zullen worden geleid door Gijs Liesker, business unit directeur van G4S Training & Safety.
FireSense Benelux heeft Marc Niele aangesteld om leiding te geven aan het team van specialisten op het gebied van hoogwaardige branddetectieapparatuur, waaronder Vesda-aspiratiesystemen en List-sensorkabel. Met zijn 25 jaar ervaring in de safety & security branche zal hij zich tevens inzetten om de security managementsystemen van Xtralis te promoten.
Van Diest naar Nsecure
Weber naar Aras Security Hugo Weber RSE is per 1 juli in dienst getreden als commercieel adviseur bij Aras Security. Hij zal de regio Zeeland voor zijn rekening nemen. Weber heeft ruim 27 jaar ervaring in de elektronische beveiligingsbranche, waarvan 21 jaar als commercieel adviseur.
Bas Joosten is per 1 juli aangesteld als accountmanager Nederland bij Alphatronics te Nijkerk. Joosten heeft ruim zestien jaar ervaring in de beveiligingsbranche. Hij is verantwoordelijk voor het onderhouden en uitbouwen van bestaande en nieuwe relaties binnen Nederland.
56
Niele naar FireSense
Security Management nummer 9 september 2012
Martin van Diest is in dienst getreden als accountmanager bij Nsecure. Van Diest heeft ruim twintig jaar saleservaring in de business-to-business markt. Hij startte zijn carrière in de mobiele telecommunicatiebranche waar hij diverse salesfuncties heeft bekleed. Sinds enkele jaren is Van Diest actief in de beveiligingsindustrie. Hij gaat zich binnen de unit Business Solutions van Nsecure bezighouden met de verkoop van duurzame en gebruiksvriendelijke veiligheidsoplossingen.
contacten en contracten
ESIF en SoSecure ondertekenen convenant
Overeenkomst Universiteit van Utrecht en ISS
Op 19 juli heeft de European Security Intelligence Foundation (ESIF) een opleidingsconvenant met SoSecure gesloten.
De samenwerking heeft tot doel het kennisgebied van Predictive Profiling te vergroten. Een belangrijke pijler om dit mogelijk te maken is de leergang Diploma Predictive Profiling (DPP) voor security managers. Deze posthbo-opleiding zal voor het eerst van start gaan op 7 september, aan de Universiteit van Amsterdam. Deelnemers die slagen voor het examen, kunnen na het voltooien van een praktijkopdracht als Certified Security Profiler (CSP) worden ingeschreven in het register van Nlloyd.
ISS Security Services en de Universiteit van Utrecht hebben een overeenkomst ondertekend voor de beveiliging van de universiteit voor de komende vier jaar. ISS gaat het eigen beveiligingsteam van de Universiteit van Utrecht aanvullen met beveiligers en security hosts. Ongeveer 35 medewerkers van de huidige dienstverlener worden overgenomen en daarbij wordt nog een zelfde aantal nieuwe medewerkers aangetrokken.
Ab Verkaik, voorzitter van de ESIF (rechts), tekende het convenant met Bert van Pel, directeur SoSecure.
Security liaison in Italië SFS - Consultancy is medio dit jaar gestart met consultancywerkzaamheden vanuit Italië.
Het adviesbureau werkzaam op het terrein van risicomanagement en particulier onderzoek is al geruime tijd actief in Nederland. Dit voorjaar heeft eigenaar Jan Verkaar - MSec, besloten om bepaalde werkzaamheden zoals die in Nederland worden uitgevoerd, uit te breiden naar Italië. De werkzaamheden worden vanuit Imperia (Ligurië) verricht als onafhankelijk Security Liaison. Dit houdt in dat
SFS - Consultancy beschikbaar is voor Nederlandse en andere (internationale) ondernemingen die een vestiging of locatie in Italië hebben. Het betreft advies- (security) en/of onderzoekswerkzaamheden (loss prevention) voor verzekeraars en onafhankelijke expertisebureaus c.q. onderzoeksbureaus. Daar waar nodig, wordt samengewerkt met Italiaanse experts. De hoofdvestiging van SFS - Consultancy blijft voorlopig in Nederland. Meer informatie: www.sfs-consultancy.eu
Ajax Chubb Varel REOB:2011 gecertificeerd Ajax Chubb Varel is op 2 juli met succes beoordeeld conform het nieuwste CCV-certificatieschema Onderhoud Blusmiddelen (REOB:2011). Hiermee is ze als eerste beveiligingsbedrijf conform de nieuwe eisen gecertificeerd voor al haar onderhoudswerkzaamheden aan blusmiddelen (draagbare en verrijdbare blustoestellen, brandslanghaspels en droge blusleidingen). Het nieuwe CCV-certificatieschema Onderhoud Blusmiddelen is per 1 juli in werking getreden en vervangt de bestaande regeling Onderhoud Kleine Blusmiddelen (REOB:2008/2).
Ineke van Oosten, directeur Facilitair Service Centrum (Universiteit van Utrecht) en Aad de Vries, directeur ISS Security Services, ondertekenen de overeenkomst.
Alpha Security ISO 9001 gecertificeerd Alpha Security uit Haarlem is sinds deze zomer ISO 9001 gecertificeerd en heeft de Keurmerken Beveiliging en Evenementenbeveiliging behaald.
Samsung benoemt Nunez Greg Nunez is benoemd tot Access Control Product Manager voor Samsung Techwin Europe Ltd. Hij zal hoofdzakelijk verantwoordelijk zijn voor de pre- en post-verkoopondersteuning voor installateurs, systeemintegrators en consultants in Europa, die toegangscontrolesystemen van Samsung specificeren en installeren.
Security Management nummer 9 september 2012
57
y o ung prof e ss ional
Bram de Bruijn Leeftijd: 28 Functie: accountmanagement & development
Persoonlijk Ik woon in het prachtige Den Haag dicht bij het Scheveningse strand. Naast mijn werk en studie sport ik veel en onderneem ik zo veel mogelijk dingen om gewoon mee te maken. Uitdaging, daar hou ik van. Ik zie mijzelf als een ondernemend type met een bedrijfskundige kijk op integrale veiligheid.
Opleiding(en) Ik heb Integrale Veiligheid gestudeerd (2008) en werk op dit moment aan mijn thesis voor de parttime studie MSc Bedrijfskunde aan de Nyenrode Business Universiteit (2012).
Carrière In het begin van mijn carrière heb ik vooral veel advies- en projectleiderswerk verricht voor zowel overheid als bedrijfsleven. In 2011 ben ik overgestapt naar Securitas in de functie van branchmanager. Per 1 juli ben ik doorgeschoven naar een functie als accountmanager, de eerste binnen Securitas. Ik beheer de relatie met grote klanten en draag bij aan de ontwikkeling naar integrale oplossingen. Verder ben ik bestuurdslid ASIS Belenux en oprichter/voorzitter van Alumni Integrale Veiligheid.
Wat ik heb geleerd van mijn manager ... Ik sta altijd open voor vernieuwing of verbetering. Mijn manager heeft mij geleerd dat je fouten moet maken om te leren. Een goede manager raapt je dan weer op en houdt een spiegel voor, zonder oordeel. Daarnaast vooral hoe je het maximale uit mensen kan halen door passie te vertalen naar actie.
Wat mijn manager van mij heeft geleerd ... Zoals een goede manager een kader schept om te excelleren en daarin een spiegel voorhoudt wanneer je buiten de lijnen gaat, zo spiegel ik ook mijn manager. Een prettige verstandhouding waar je erg veel voordeel uit kan halen.
maar meedenken in een snel veranderende wereld. Je spreekt dan over een competative advantage, niet over een kostenpost. Op dit moment worden veel beslissingen tot investeringen in bijvoorbeeld securitymaatregelen genomen naar aanleiding van de saleskracht van de leverancier of de jarenlange ‘ervaring’ van een adviseur. Maar wat is dan de correlatie tussen geïmplementeerde maatregelen en de business performance van een organisatie op lange termijn? Dat weten we niet. Ter vergelijking: een schone werkplek leidt tot een betere performance, dat is onderzocht. Maar gechargeerd: welke bijdrage leveren 700 camera’s in een gebouw aan de business performance op de lange termijn? Een bedrijfskundige benadering waarin toegevoegde waarde van veiligheid zal worden gemeten, kan deze vraag beantwoorden. Bij andere vakgebieden is dit al jaren gebruikelijk. Hier wordt gewerkt vanuit andere kostenstructuren (ABC, TCO) en zijn veel meer data beschikbaar waarop beslissingen worden genomen. Gevolg zou wel kunnen zijn dat veel maatregelen overbodig blijken te zijn.
Social media Ik zit op Facebook, Twitter, Linkedin en Google+. Social media hebben mij al veel voordelen gebracht. Linkedin uiteraard voorop, maar ook Facebook zie ik zakelijk steeds meer toepasbaar worden.
Securitytrends Veiligheid als bedrijfskundig vraagstuk, proactieve veiligheid, en focus op realisatie van een ongestoorde bedrijfsvoering. Verdere integratie van de velden safety & security, hospitality & beveiliging, IT & fysieke beveiliging is daar dan een logisch gevolg van.
Over vijf jaar ben ik … werkzaam op internationaal niveau met vernieuwende concepten in een mooi team van gelijkgestemden.
Security management ontwikkelt zich tot… een bedrijfskundig vraagstuk. Het moet bijdragen aan het primaire proces (corporate strategy) om een ongestoorde bedrijfsvoering mogelijk te maken. Sterker nog, denken in dreigingen en zwaktes dient te worden omgezet in kracht en kansen, dan ben je de strategisch partner van beslissers binnen een organisatie, een essentieel adviseur. Geen preventist zijn,
58
Security Management nummer 9 september 2012
In deze rubriek aandacht voor jonge securityprofessionals. Zij komen aan het woord over hun opleiding, hun carrière, het vakgebied en hun ambities. Aanmelden van personen voor deze rubriek kan bij de redactie: adekort@vakmedianet-alphen.nl
De deur staat altijd voor u open
Iedereen waardeert een vriendelijke ontvangst bij het betreden van een kantoor. Maar gastvrijheid mag niet ten koste gaan van veiligheid. Dat weten wij van Trigion maar al te goed. Daarom zetten wij altijd de juiste mensen in. Vriendelijke, uitstekend opgeleide en doortastende professionals. Wij zoeken proactief naar nieuwe oplossingen voor een gastvrije ontvangst ĂŠn efficiĂŤnte bescherming van mensen en eigendommen. Onze opdrachtgevers waarderen dat. Dat blijkt niet alleen uit onze klanttevredenheidsonderzoeken maar ook uit onze langdurige relaties. Omdat we doen wat er van ons verwacht wordt. En eigenlijk net iets meer dan dat. Wilt u weten wat Trigion voor uw organisatie kan betekenen? Kijk voor meer informatie op www.trigion.nl of bel (010) 298 11 33.
Trigion. Toonaangevend in veiligheid
De juiste mensen op de juiste plek