Toestemming voor bedrijfsmiddelen voor het verlaten van het gebouw

Nu we weten hoe we met de bedrijfsmiddelen en attractieve zaken om moeten gaan, kunnen we gaan kijken naar de controle daarop. Dagelijks komen de medewerkers ons gebouw binnen en aan het eind van de dag verlaten ze de werkplek ook weer. Maar welke spullen nemen ze allemaal mee en welke zouden ze mee mogen nemen?

De vraag:
Zijn er maatregelen genomen die er zorg voor dragen dat (kwetsbare, kapitale) bedrijfsmiddelen niet zonder toestemming (registratie) het gebouw verlaten?

De betreffende vraag gaat twee kanten op. Enerzijds wil je niet dat medewerkers allerlei eigen apparatuur meenemen het gebouw in terwijl je aan de andere kant ook niet wil dat de apparatuur van de organisatie zonder toestemming wordt meegenomen.

Laten we eerst inzoomen op de eigen apparatuur van medewerkers. Hoe vaak zien we de waterkokers en Senseo-apparaten niet in de vensterbank staan? Dat mag dan misschien onschuldig lijken, maar weten we zeker dat onze stroomvoorziening die apparatuur ook allemaal aan kan? Houden we er rekening mee dat een medewerker aan het eind van de dag kan vergeten om het apparaat uit te zetten? Geeft dat geen extra risico’s voor brand en kortsluiting? Prima als het binnen onze organisatie is toegestaan om dergelijke apparatuur mee te nemen, maar dan moeten we wel de risico’s onderkennen en daar misschien wat mee doen.

Tot zover de waterkokers en koffiezetautomaten. Die staan we misschien toe. Maar mag een medewerker dan ook zijn eigen laptop meenemen en daar onze bedrijfsgeheimen op opslaan? Misschien roepen we nu volmondig: “nee”. Maar er ontstaat een nieuw principe dat we “bring-your-own” noemen. Dat houdt zoveel in als dat de medewerker maar lekker zelf moet zorgen voor zijn laptop.

Op zich helemaal geen probleem, het heeft alleen impact op de soort en de hoogte van de risico’s. Kwestie van een risico analyse uitvoeren en de juiste maatregelen nemen en eventuele beveiligingsmiddelen aan de medewerkers beschikbaar stellen. De 2.0 Security Manager ziet het als een uitdaging en denkt graag met de organisatie mee.

Naast het meebrengen van eigen apparatuur willen we natuurlijk ook voorkomen dat medewerkers apparatuur mee naar buiten nemen. Ze mogen dan een laptop hebben (liefst met een geleideformulier of iets dergelijks) maar andere apparatuur moet misschien wel gewoon in ons gebouw blijven. De laptop is voorzien van encryptiesoftware dus de informatie daarop is goed beveiligd. Maar wat als de informatie is opgeslagen op USB-sticks of externe harde schijven? Is die informatie ook goed beveiligd?

Vertrouwen is goed, controle is beter. Als we dus willen voorkomen dat bedrijfsmiddelen ons gebouw verlaten dan zullen we dat ook moeten controleren. Leuk dat we formulieren en een dikke administratie voeren, maar als we het nooit controleren dan heeft dat weinig zin. Bij controles geldt dan weer dat we de medewerkers daarvan op de hoogte moeten stellen en de kans is groot dat we even langs de OR moeten om zaken formeel te regelen.

We willen natuurlijk niet als politie agent gezien worden. We doen het dan ook niet om de medewerkers terecht te kunnen stellen. Nee, we doen het vanuit de optiek van de organisatie. Willen we dat het slaagt dan zorgen we er eerst voor dat een medewerker zijn werk zo makkelijk mogelijk kan doen, is dat gelukt dan is er helemaal geen noodzaak meer om bedrijfsmiddelen mee het gebouw uit te laten.

Opslag van attractieve zaken

We hebben gekeken naar het plaatsen en verplaatsen van apparatuur en daarmee kwamen we al automatisch bij de voorschriften voor kritische bedrijfsprocessen waarmee we ook al de bedrijfsmiddelen aan haalden. Daarbij kunnen we onderscheid maken in de dagelijkse bedrijfsmiddelen maar natuurlijk ook de meer attractieve zaken.

De vraag:
Is er een voorschrift waarin is vastgelegd hoe en waar attractieve (kostbare) zaken dienen te worden opgeborgen en hoe medewerkers met dergelijke goederen om dienen te gaan?

Voor meer attractieve zaken zullen we ook de voorschriften op orde moeten hebben, iemand moet verantwoordelijk zijn voor het beheer er van en we willen dat de administratie altijd op orde is. We stellen waarschijnlijk een proces op waarbij we ook de standaard formulieren toevoegen. Daarnaast kijken we dan weer goed naar functiescheiding en naar degene die tekenbevoegd zijn.

Daarmee zijn we al een heel eind. Periodiek kunnen we natuurlijk nog controleren of de aanwezige attractieve goederen ook echt overeen komen met de bijbehorende administratie. We zorgen er daarnaast voor dat degene die de goederen beheert ook de richtlijnen kent. Wie mag er tekenen voor welk bedrag, welke medewerker mag welke goederen op komen halen en ga zo maar door.

Mag iedereen bijvoorbeeld een BlackBerry hebben of is dat voorbehouden aan bepaalde management lagen? En hoe gaan we er mee om als een lagere manager probeert op zijn strepen te staan (omdat hij nu eenmaal belangrijk gevonden wil worden)? Degene die de voorraden beheert moet natuurlijk wel gesteund worden, hij moet de medewerkers op de richtlijnen kunnen wijzen en iedereen zal zich aan de processen en formulieren moeten houden.

We belanden al snel bij de bekende tone-at-the-top. Te vaak zien we nog dat alle medewerkers zich netjes aan de procedures moeten houden maar dat hoe hoger de manager, hoe minder de regels lijken te gelden. Diefstal door een medewerker zullen we hard bestraffen en we trekken een duidelijke lijn zodat een andere medewerker zich wel 3x zal bedenken om ook iets te stelen.

Maar ja, als die (hooggeplaatste) manager de regels overtreedt dan gelden er ineens andere wetten en regels. Dan willen we nog wel eens een stuk milder zijn, omdat hij nu eenmaal belangrijk is voor de organisatie. Hij haalt zoveel omzet binnen, we kunnen en willen hem echt niet kwijt.

Toch sluipt hier een gevaar in. Als je niet op past beïnvloed dat de cultuur binnen de organisatie op een negatieve wijze. Het gat tussen de “werkvloer” en de managementlagen wordt vergroot en voor je het weet staan de medewerkers met spandoeken voor de poort om te demonstreren.

Zo zie je maar waar de opslag van attractieve zaken zoal toe kan leiden. Ik geloof natuurlijk best dat we waardevolle zaken veilig achter slot en grendel opslaan. Of de processen en formulieren er ook bij aansluiten is alweer een andere vraag. Trekken we het nog breder dan kan het zelfs de cultuur binnen de organisatie negatief beïnvloeden. Dat geeft maar weer aan dat beveiliging toch ook maar gewoon een bedrijfskundig aspect is.

Voorschriften voor en toezicht bij gevoelige bedrijfsprocessen

De voorschriften voor kwetsbare apparatuur en waardevolle goederen zijn inmiddels opgesteld, medewerkers zijn er mee bekend, we controleren het regelmatig en het blijkt ook nog voor een groot deel te worden nageleefd. Hartstikke goed. In lijn van die voorschriften gaan we ook kijken naar de gevoelige bedrijfsprocessen.

De vraag:
Zijn er voorschriften voor en toezicht op het, uitsluitend geautoriseerd, personeel bij de uitvoering van (zeer) gevoelige bedrijfsprocessen?

We hebben al vaker gezien dat de bedrijfsprocessen worden ondersteund door informatie, materieel en personeel. Die moeten we dus beschermen. Maar het doel van die ondersteunende middelen is er voor te zorgen dat de bedrijfsprocessen gecontinueerd kunnen worden. Ja, ik weet het, we vallen misschien in herhaling: maar de continuïteit van de processen is waar we het voor doen, daarmee helpen we nu juist onze klanten om hun behoefte te bevredigen. Maar goed, laten we vooral niet te abstract worden.

Als het goed is hebben we inmiddels ook zicht op onze bedrijfsprocessen. Daarbij maken we misschien onderscheid in onze primaire en secundaire processen en we hebben ook gekeken naar hoe kritisch of vertrouwelijk dat proces is voor onze organisatie.

Voor die processen die we belangrijk vinden stellen we extra voorschriften op. We willen niet dat ongeautoriseerd personeel die processen kan verstoren. Nee, we willen alleen goed getrainde medewerkers en we houden strikt toezicht op de naleving van onze voorschriften.

Werken we bijvoorbeeld met geldstromen, dan willen we niet dat iedereen zomaar bij grote sommen geld kan komen. We zetten niet de eerste de beste medewerker in, nee we hebben een screening uitgevoerd, we hebben Verklaringen Omtrent Gedrag, we hebben hem goed getraind en we laten hem in het begin meelopen met een medewerker die we vertrouwen. Vervolgens laten we hem stukje bij beetje los en we houden toezicht op wat hij nu precies doet.

Een voorbeeld met geldstromen is redelijk concreet. Maar dit geldt net zo goed voor andere processen. Werken we met giftige stoffen dan volgen we een vergelijkbaar pad. Vinden we ons bedrijf niet zo spannend omdat we niet zulke spannende processen hebben, dan nog willen we niet zomaar iedereen binnen halen en aan onze processen laten werken. Vertrouwen moet groeien en als dat vertrouwen er eenmaal is, dan moet dat niet geschaad worden.

Welke voorschriften je precies op stelt, wat wel en wat niet mag, ja dat is een keuze van de organisatie. Op hoofdlijnen kun je uitgaan van twee principes: alles mag, tenzij…of juist: niets mag, tenzij… De Security Managers 2.0 zijn natuurlijk voorstander van het eerste principe, we geven de medewerker verantwoordelijkheid, we controleren wat nodig is, maar bemoeien ons niet met zaken waar we ons niet mee moeten bemoeien.

Doen we dat goed, dan gaan medewerkers zelf nadenken. Ze nemen hun verantwoordelijkheid en niet alleen op het gebied van beveiliging. De organisatie kan er alleen maar beter van worden.

Het verplaatsen van kwetsbare apparatuur en goederen

Na de risico analyses, de rondes door de gebouwen en aan de hand van onze CMDB weten we waar de kwetsbare apparatuur en goederen staan…of stonden, want weten we het nog echt of zijn er verplaatsingen geweest waar we ons niet van bewust zijn?

De vraag:
Zijn er voorschriften voor het verplaatsen van kwetsbare (kapitale) apparatuur/goederen?

We willen niet dat onze processen stil komen te liggen omdat iemand besluit dat die server mooier zou staan aan de andere kant van de serverruimte. We willen ook niet dat onze waardevolle goederen de organisatie verlaten omdat men ze ook wel mooi thuis op de schouw vindt staan.

We zullen dus voorschriften op moeten stellen en daarbij maken we onderscheid in die apparatuur die kritisch is voor onze bedrijfsprocessen en die waardevol zijn waardoor ze aantrekkelijk kunnen zijn voor medewerkers. Het moet voor een ieder duidelijk zijn dat we niet zomaar spullen in ons gebouw kunnen verhuizen. We willen zicht houden op waar deze zaken zich bevinden.

Het lijkt misschien of dit een non-issue is. Maar als het goed is hebben we het gebouw dusdanig ingericht dat de risico’s zo goed mogelijk beheerst worden. Daarom staan de servers in de serverruimte en zorgen we er met bouwkundige en elektronische maatregelen voor dat die serverruimte zo goed mogelijk beveiligd is. Stel dat we zomaar een server zouden verhuizen naar een andere ruimte dan wordt het risico profiel van die server anders. We lopen meer risico’s en moesten we bij wijzigingen in de omgeving niet de risico analyses opnieuw uitvoeren?

Natuurlijk is het helemaal niet erg om na verloop van tijd te besluiten de serverruimte te verhuizen. Maar dan wel op projectmatige wijze waarbij we de risico’s inzichtelijk maken. Zo voorkomen we dat er een mismatch ontstaat tussen de maatregelen die we genomen hebben en de apparatuur die we willen beveiligen.

Daarnaast willen we ook niet dat waardevolle of attractieve goederen ons gebouw verlaten zonder dat we er zicht op hebben. We willen niet dat ze door medewerkers voor langere tijd “geleend” worden, maar we willen ook niet dat we voorraden uitleveren zonder dat we dat goed administreren.

Laten we de medewerkers inderdaad toe om spullen te lenen, dan wel volgens de regels. Men mag misschien best de bedrijfswagen lenen om in het weekend te verhuizen. Maar dan willen we wel weten wie op welk moment de bestuurder was. We willen natuurlijk de bekeuring gewoon op het bordje van die medewerker kunnen leggen die de snelheidsovertreding veroorzaakt heeft.

Hebben we die regels niet opgesteld en niet gecommuniceerd, dan bevinden we ons al snel op een glijdende schaal. Mag die medewerker een pen mee naar huis nemen? Vast wel. Maar mag hij ook een pak papier mee nemen? Of koffiebekertjes als hij op vakantie gaat? Al snel worden toners mee naar huis genomen en voor je het weet verdwijnen de bijbehorende printers. Je begrijpt het al, voor je het weet staan er meer van jouw spullen bij je medewerkers thuis dan op kantoor.

Het gaat er continu om dat we de risico’s inzichtelijk hebben en daar waar nodig maatregelen nemen. Een risico analyse is dus ook geen eenmalige activiteit. Nee, periodiek moeten we kijken of de uitgangspunten nog kloppen, we moeten kijken of er geen gewijzigde omstandigheden zijn die zorgen voor nieuwe risico’s. Doen we dat op een goede manier dan levert dat een belangrijke bijdrage in het garanderen van de continuïteit van de bedrijfsprocessen.

Administratie van kwetsbare activa

Hopelijk zijn we inmiddels van de schrik bekomen en accepteren we dat beveiliging inderdaad een lijnverantwoordelijkheid is. Als dat zo is, dan zijn we misschien geneigd om direct aan de slag te gaan en allerlei maatregelen te bedenken waardoor de boel beter beveiligd wordt. Maar, ho, stop, voor we dat doen, moeten we stil staan bij de aspecten die voor onze organisatie kritisch zijn en op basis daarvan gaan we de beveiliging inrichten.

Vraag je je af hoe je dat moet doen en waar je rekening mee moet houden? Ja, dan kan ik je alleen maar adviseren mijn blogs van de afgelopen maanden er nog eens op na te slaan. Doorlopen we die vragen nog eens en plaatsen we die binnen de juiste kaders dan zijn we al een heel eind.

Maar voor diegene die op dit moment geen tijd hebben om alles te gaan lezen (misschien is het niet zo’n gek idee om me eens uit te nodigen voor een goed gesprek) en die gewoon aan de slag moeten, stellen we de volgende vraag:
Is er een administratie bijgehouden van de kwetsbare (kapitale) activa (zoals apparatuur en daarop geplaatste programmatuur) waaruit blijkt welke apparatuur waar vastgelegd moet zijn?

We willen een briefje van 10 euro niet beveiligen met een kluis van 1.000 euro. Logisch, toch? Zeker, hier kan iedereen zich wat bij voorstellen. Plaatsen we dit in een ander licht dan zien we toch nog vaak dat het middel erger is dan de kwaal. We nemen meer, veel meer, beveiligingsmaatregelen dan nodig zijn. Dat geeft ons immers een gevoel van veiligheid…schijnveiligheid, dat dan weer wel.

Het lijkt misschien vreemd dat ik, als adviseur op dit gebied, adviseer om juist minder beveiligingsmaatregelen te treffen. Toch is dat niet meer dan logisch (althans, dat vind ikzelf natuurlijk). Iedere maatregel die we treffen heeft weer een nieuw risico in zich…en risico’s afdekken, dat is nu juist waar het allemaal om ging. Als je tussen de regels doorleest adviseer ik je dus niet direct om minder maatregelen te nemen maar ik adviseer je om de risico’s als uitgangspunt te nemen. Doen we dat dan komen die maatregelen vanzelf wel. Doen we dat ook nog eens goed dan is er een grotere kans op een match tussen risico en beveiligingsmaatregel. We voelen ons dus niet alleen veiliger, nee we zijn ook daadwerkelijk beter beveiligd.

Maar goed, terug naar de vraag. Kijken we naar de apparatuur dan moeten we de link leggen naar de bedrijfsprocessen die ze ondersteunen. Hoe belangrijk is dat bedrijfsproces voor het voortbestaan van onze organisatie en hoeveel risico kunnen we daarmee lopen. Zo krijgen we zicht op de kritieke apparatuur die we gewoon nodig hebben. Daar moeten we dus iets mee.

Aan de andere kant hebben we misschien nog apparatuur of activa die niet zo zeer kritisch maar wel erg kostbaar is. Hebben we ons geld gestopt in een goudbaar dan is dat een kostbaar goed waar we ook iets mee moeten. Enerzijds omdat het ons teveel geld kan kosten om kapitale activa te vervangen (kost geld, misschien teveel geld waardoor we problemen krijgen met de liquiditeit) anderzijds omdat het best zo kan zijn dat die apparatuur belangrijk voor ons is.

Stel dat je een robotstraat geïnstalleerd hebt om jouw product te maken. Die robotstraat was niet goedkoop en moet jaren mee omdat we anders niet goed af kunnen schrijven. We moeten er dus iets mee. Maar die robotstraat zorgt er ook voor dat we ons product kunnen fabriceren. Ons product, waarmee we omzet maken. Ligt die robotstraat er uit omdat we de risico’s verkeerd hebben ingeschat dan kost ons dat dus omzet.

Leggen we de relatie tussen de bedrijfsprocessen en de ondersteunende middelen en houden we daarbij rekening met de risico’s die we lopen. Dan komen we vanzelf tot de kwetsbare activa (in de breedste zin van het woord) die we voldoende moeten beveiligen. Niet door nog meer maatregelen te treffen maar door te kijken naar die set (technische, procedurele, organisatorische, bouwkundige en elektronische) maatregelen die de risico’s afdekt.

Eigenaarschap van bedrijfsmiddelen

We hebben een Security Manager of Officer en die regelt de hele beveiliging wel voor ons. Goede zaak, dan hoeven we er als managers niet meer naar om te kijken en als het fout gaat kunnen we massaal een verantwoordelijke aanwijzen wiens kop het gaat kosten. Zo, lekker ons straatje schoongeveegd.

Helaas zien we dat nog te vaak gebeuren. We hebben nog niet allemaal op ons netvlies dat beveiliging een lijnverantwoordelijkheid is waarvoor de Security Manager de kaders schept, maar waar iedere manager iets aan moet doen. Dit roept misschien een berg discussie op, maar ben je als manager ook niet verantwoordelijk voor de kwaliteit die je levert? Juist. Laat beveiliging nu een kwaliteitsaspect zijn.

De vraag:
Is voor alle bedrijfsmiddelen vastgelegd wie de eigenaar of de houder is, zodat duidelijk is wie verantwoordelijk is voor een beveiligingsmaatregel?

We kunnen niet van een Security Manager verwachten dat hij de beveiliging voor ons regelt en we zelf lekker achterover kunnen leunen. Sterker nog, dat moet je als manager helemaal niet willen. Stel dat hij maatregelen voorschrijft waardoor jij je product of dienst niet meer kan leveren? Wie wordt er op aangekeken als jij je targets niet haalt?

Om onduidelijkheden te voorkomen moet je dus goed vastleggen voor welke bedrijfsprocessen en bedrijfsmiddelen je verantwoordelijk bent. Jij hebt die spullen nodig om je proces te kunnen laten draaien en jij mag bepalen hoe goed je die beveiligd wilt hebben. De Security Manager schept de abstracte kaders waarbinnen jij kunt acteren. Zo zorgen we er niet alleen voor dat de boel veilig is, maar zorgen we er ook voor dat jij je targets kunt halen. Besluit een manager om een risico te accepteren, dan is dat zijn goed recht…tenzij hij daarmee de organisatie in gevaar brengt.

Het management van de organisatie stelt het risicogedrag vast. Willen we nu juist risicodragend, risico neutraal of toch liever risicomijdend zijn? Dan zijn de kaders van de Security Manager daarop ingericht en mag jij, als manager, binnen die kaders je eigen spel spelen. Het management blij, de Security Manager blij en jij blij.

Als je verantwoordelijk bent voor een bepaald bedrijfsproces of een bepaald bedrijfsmiddel, dan ben je daarmee ook automatisch verantwoordelijk voor de beveiligingsmaatregelen die je genomen hebt. Natuurlijk mag je de Security Manager om advies vragen, geen probleem. Maar jij maakt de uiteindelijke keuze…ook als je je daar niet helemaal goed bij voelt. Met je rol als manager komen ook verantwoordelijkheden, niks nieuws onder de zon.

Toch zien we nog te vaak dat de Security Manager de verantwoordelijkheid in zijn of haar schoenen geschoven krijgt. Dat is jammer en teveel Security Managers laten dit gebeuren waardoor ze een onuitvoerbare taak krijgen. Zo lang het goed gaat en er weinig incidenten plaatsvinden worden ze gekort op hun budget en als het dan toch een keer fout gaat komen ze op straat te staan.

Een rol als Security Manager is een enorme uitdaging en goed uitvoerbaar, mits je de juiste kaders stelt. Een van die kaders is de simpele zin in je beleid dat beveiliging een lijnverantwoordelijkheid is. De Security Manager kan niet verantwoordelijk zijn voor de beveiliging van een bepaald proces dat door een ander wordt uitgevoerd. Zo kan een manager niet verantwoordelijk gesteld worden voor de beveiligingskaders die de Security Manager schept.

Willen we zorgen dat de boel goed beveiligd is? Dan gaan we dus samenwerken. Niet om het elkaar moeilijk te maken maar juist om de continuïteit van de organisatie op een zo goed en efficiënt mogelijke wijze te garanderen.

Vluchtwegen en periodieke ontruiming

We hebben de blusmiddelen aanwezig en een aantal van onze mensen zijn goed getraind. Niets dat ons meer kan overkomen…of toch wel?

We willen natuurlijk niet dat andere medewerkers in het gebouw blijven als we met een brand te maken hebben. Nee, we willen dat ze veilig en snel naar buiten kunnen. Dat moeten we oefenen. Maar voordat we kunnen oefenen moeten we er wel voor zorgen dat er voldoende vluchtwegen zijn om het gebouw te kunnen verlaten.

De vraag:
Is het gebruik van vluchtwegen met de brandweer doorgesproken en is periodiek ontruiming van het gebouw geoefend?

We beginnen natuurlijk met zelf eens een rondje te lopen door ons gebouw. Zijn de vluchtwegen duidelijk aangegeven, zijn de nooduitgangen bereikbaar en kunnen ze met een klap open worden geslagen als dat nodig is? Twijfelen we, dan kunnen we natuurlijk preventief contact leggen met de brandweer en hen om advies vragen. We willen er toch alles aan doen om er zeker van te zijn dat onze medewerkers veilig zijn?

Loop maar eens zo’n rondje, geloof me, je zult je verbazen. Plantenbakken die voor een nooduitgang staan, fietsen die we in de gang zetten (die omvallen bij een ontruiming). Deuren die niet open gaan omdat ze op slot zitten (“dat moest van de beveiliging”). Nooduitgangsbordjes die ooit op de juiste plaats hebben gehangen maar met de verbouwing ons een doodlopende gang in sturen. Je kunt het zo gek niet bedenken of je kunt het tegen komen.

We beginnen dus eens met het lopen van zo’n rondje. Maken we gebruik van beveiligingsbeambtes dan zorgen we ervoor dat zij in hun dagelijkse rondje ook hun ogen open houden. Hebben we die luxe niet, dan lopen we zelf af en toe een rondje extra door het gebouw. Komen we obstakels tegen dan verwijderen we die en zorgen we ervoor dat ze ook niet meer terugkomen. Die plantenbak kan best ergens anders staan en die fiets hoort gewoon in het fietsenrek.

Als we er zeker van zijn dat de vluchtwegen goed zijn, dan gaan we oefenen. We kunnen ervoor kiezen medewerkers vooraf te informeren, maar dan zul je zien dat er veel thuis gewerkt wordt op die dag. We kunnen ook geheel onverwachts de alarmbellen af laten gaan. Natuurlijk kijken er een berg collega’s chagrijnig maar het is voor hun bestwil.

Nadat we de alarmbel af hebben laten gaan, gaat de stopwatch aan. Hoe lang duurt het voordat de laatste persoon naar buiten is gekomen? En waarom duurde dat zo lang? Zo’n oefening is er natuurlijk om de mensen te trainen maar ook om te kijken waar we zelf nog verbeteringen aan kunnen brengen.

Zijn er bijvoorbeeld mensen in een rolstoel aanwezig op de 4de etage? Beschikken we dan over de middelen om ze veilig de trap af te krijgen? Zijn er meerdere nooduitgangen maar komt iedereen door de hoofdingang naar buiten? Dan moeten we analyseren waarom ze dat doen.

Natuurlijk moet je met ontruimingsoefeningen ook weer niet overdrijven. We moeten ze periodiek houden, maar niet meer dan dat. Een ontruimingsoefening kost een berg geld en het management gaat het niet waarderen als je om de haverklap de mensen in de kou laat staan. Reken maar uit: een beetje ontruiming duurt al snel een half uur (naar buiten, wachten en weer naar binnen). Hoeveel medewerkers zijn er in het gebouw en wat kosten zij gemiddeld per uur? Juist. We moeten zorgen dat ze voldoende getraind zijn en wat voldoende precies is, mag je zelf bepalen (binnen de wettelijke kaders, dat dan weer wel).

De omgang met brandblusmiddelen

Inmiddels weten we welke brandblusmiddelen we nodig hebben en we hebben het gebouw rijkelijk voorzien van de juiste middelen op de juiste plaats. Onze leverancier komt jaarlijks de blusmiddelen controleren zodat we altijd over voldoende materiaal beschikken. Nu alleen de medewerkers nog.

De vraag:
Zijn de medewerkers opgeleid in het gebruik van de aanwezige blusmiddelen?

We kunnen niet van ongetrainde medewerkers verwachten dat ze eens flink de brand te lijf gaan. De risico’s zijn gewoon te groot. We zagen al dat zo’n 90% failliet gaat na een grote brand, maar we willen zeker geen mensenlevens in gevaar brengen of collega’s verliezen tijdens een brand, toch?

We kunnen en mogen er niet van uit gaan dat onze medewerkers weten wat ze moeten doen, als we ze niet getraind hebben. Sterker nog: een medewerker die in de dagelijkse gang van zaken heel stabiel lijkt, zou tijdens een brand wel eens helemaal kunnen flippen. Voer dat maar terug op de oerinstincten van de mens: vluchten of vechten.

Vanuit de wetgeving zijn er allerlei regels als het gaat om EHBO, BHV en brand. Hoe ze exact in elkaar steken moet ik je hier helaas schuldig blijven. Persoonlijk vind ik dat ook niet zo erg. Het is dan misschien je goed recht om het minimale te doen dat de wet je voorschrijft. Maar heb je, als werkgever, niet een verantwoordelijkheid naar je medewerkers toe? Voel je je niet verplicht om ze aan het eind van de werkdag weer veilig naar huis te kunnen laten gaan?

In grotere organisaties zijn er hele BHV-afdelingen waar veelal ook getraind wordt met het omgaan met kleine blusmiddelen. In kleinere organisaties doen we niets of hebben we misschien net een BHV-er rondlopen (die altijd vrij zal zijn als je hem of haar net nodig hebt, zul je altijd zien). Toch is het ook voor kleinere organisaties niet zo’n gek idee om je medewerkers goed te trainen. Zij zijn veelal directer betrokken bij jouw bedrijf en gaan misschien zelfs letterlijk voor je door het vuur.

Doe je het niet vanuit je eigen gevoel, hou dan nog even rekening met de statistieken: 90% kans op een faillissement na een brand. Dat zou toch moeten overtuigen. Wellicht kun je zelfs een modus vinden om EHBO en training kleine blusmiddelen te zien als een teambuilding. Misschien kunnen we er zo zelfs nog meer van profiteren. Natuurlijk kan zo’n training best spannend zijn, maar is dat nu niet juist waar we naar op zoek zijn bij teambuilding?

Als je volgende keer voor de keuze staat om weer vlotten te gaan bouwen voor de teambuilding, dan kun je ook eens overwegen of je niet iets kunt doen waar iedereen bij gebaat is. Een win-win-win situatie. Jij weet zeker dat je medewerkers getraind zijn, je medewerkers voelen zich onderdeel van het team en ook buiten het werk zijn deze skills te gebruiken (stel je voor dat een medewerker in het weekend iemands leven kan redden, misschien zelfs dat van je concurrent).

Je kunt er niet vanuit gaan dat mensen een brand te lijf gaan als ze niet weten wat ze moeten doen en welk blusmiddel ze moeten gebruiken. De kosten voor training staan zeker in verhouding tot het risico dat je loopt. Zit er een teamuitje aan te komen? Dan zou je dit toch eens moeten overwegen.

Aanwezigheid van brandblusmiddelen

We doen er van alles aan om het te voorkomen, we slaan brandbare materialen veilig op, we zorgen dat apparaten goed worden onderhouden en we hopen dat het ons nooit overkomt, toch is de kans op brand altijd aanwezig. Juist daarom willen we middelen hebben om een brand snel te ontdekken (rook- en brandmelders) maar daarna moeten we ook de middelen hebben om die brand te blussen.

De vraag:
Zijn de juiste soort brandblusmiddelen vastgelegd en aanwezig?

Natuurlijk bellen we eerst 112 als we een brand constateren. Maar wat doen we daarna? Rennen we hard naar buiten en hopen we dat de brandweer snel arriveert? Of gaan we met water en brandblusmiddelen aan de gang om te voorkomen dat de brand zich verder uitbreidt? Wat je ook besluit, zorg ervoor dat de medewerkers weten wat ze moeten doen. Zorg ervoor dat ze het gebouw snel kunnen verlaten en zorg ervoor dat er medewerkers zijn die om weten te gaan met kleine blusmiddelen.

Misschien zijn we snel geneigd om de waterslang erbij te pakken en de boel flink nat te spuiten. Dat kan, maar niet in alle gevallen. Het kan zomaar zijn dat water de brand alleen maar verergert. Elektriciteit, vetten, olie en benzine blussen we nooit met water. Voor je het weet staat de boel echt in lichterlaaie.

We moeten onderscheid maken in het soort blusmiddel dat we gaan gebruiken. Eigenlijk is het blussen een ABC-tje. De meeste poederblussers zijn geschikt voor:

  • Het blussen van vaste stoffen (A-Branden)
  • Het blussen van vloeistofbranden (B-branden)
  • Het blussen van een gas brand (C-branden)

Daarnaast zijn er nog koolzuursneeuwblussers (CO2) en sproeischuimblussers. Je ziet al dat het kiezen van het juiste blusmiddel een ingewikkelde zaak kan zijn. Juist daarom is het goed een aantal medewerkers te trainen in het gebruik van dergelijke middelen.

Bij die training leren ze dan direct op welke wijze ze met welk middel welke brand moeten blussen. Ze leren dat ze een brand moeten blussen met de wind in de rug en ze weten dat ze met meerdere blussers tegelijk een grotere brand te lijf moeten gaan.

Zo, de brand is achter de rug, het smeult en stinkt nog wel een beetje maar verder is er weinig meer aan de hand. De blusmiddelen kunnen we weer opbergen, toch? Nou, misschien is het verstandig om ze eerst weer bij te laten vullen. Je weet immers nooit wanneer we ze weer nodig hebben. Het is sowieso een goed plan om de blusmiddelen periodiek te laten controleren. Zijn ze niet over de datum? Zijn ze nog gevuld? Zijn ze klaar voor gebruik?

Wie zich nu nog afvraagt waarom we al die moeite zullen nemen, raakt misschien overtuigd als we de statistieken er bij pakken. Zo’n 80% van de bedrijven gaat in het eerste jaar na een flinke brand failliet en nog eens 10% gaat het tweede jaar failliet. De kans dat jouw organisatie dus nog bestaat na een grote brand is maar 10%. Toch een feit om over na te denken en een aspect om niet al te lichtzinnig mee om te gaan.

Opslag van gevaarlijke en brandbare materialen

Na de verhalen over de maatregelen voor de beveiligde ruimtes is het een kleine overstap naar de opslag van gevaarlijke en brandbare materialen. We gaan er hierbij vanuit dat jouw bedrijf geen petrochemische industrie is met allerlei gevaarlijk materiaal. Nee, we gaan uit van een gemiddelde kantooromgeving die eventueel nog een klein fabriekje of een magazijn heeft.

De vraag die er bij hoort:
Worden gevaarlijke, brandbare materialen, reserveapparatuur en reservekopieën op veilige afstand van kritische objecten (computerruimten, magazijnen, personeelsruimten) opgeslagen?

Deze vraag omvat meerdere onderwerpen. We willen de processen niet in gevaar brengen en denken daarom goed na waar we de gevaarlijke en brandbare materialen veilig op kunnen slaan. Maar we denken ook na over de reserveapparatuur en kopieën die we nodig hebben na een calamiteit.

Gaan we even kort door de bocht dan zullen die gevaarlijke en brandbare materialen voor een calamiteit (kunnen) zorgen terwijl we die reservespullen juist nodig hebben na die calamiteit. Niet wijs en verstandig dus om ze in een ruimte bij elkaar te zetten.

Bij reserveapparatuur en kopieën hebben we een aantal keuzes. Zo kunnen we ze aan de andere kant van het gebouw opslaan (met het risico dat het hele gebouw afbrandt), we kunnen ze naar een andere locatie brengen (met het risico dat ze onderweg van de vrachtwagen vallen), we kunnen zaken virtueel of in “the cloud” uit gaan voeren (met het risico dat de bandbreedte niet goed genoeg is om weer in de lucht te gaan). Een ding dat we in ieder geval niet moeten doen is de reserveapparatuur en kopieën in de serverruimte opslaan bij de rest van de informatie. Het risico dat er iets met deze ruimte gebeurt is te groot en als dat gebeurt zijn we alle gegevens ook echt kwijt.

Gevaarlijke en brandbare materialen slaan we natuurlijk ook het liefst niet in ons gebouw op. Stel je voor dat het lekker gaat liggen broeien of dat de giftige gassen ontsnappen. Nee, liefst hebben we die helemaal niet op ons terrein, dus we laten ze na gebruik zo snel mogelijk af voeren. Tot die tijd slaan we ze op in een ruimte die los van ons gebouw staat (als dat mogelijk is). Maar ja, dan zitten we nog met zaken als schoonmaakmiddelen, diesel voor de noodstroom en ga zo nog maar even door. Kunnen we dat in kleine concentraties houden dan is er niet zoveel aan de hand, worden het grotere bergen dan zullen we daar ook iets aan moeten doen.

Opslag van gevaarlijke en brandbare materialen is een vak apart en er gelden zeker wetten en regels voor. Zaak is om die voor jouw organisatie en jouw situatie goed te kennen. Weten we het zelf niet, dan schakelen we het best een deskundige in. Maar dan niet iemand die alles dicht wil timmeren, maar die in alle redelijkheid uitgaat van onze processen. We kunnen de materialen wel veilig opslaan, maar als we ze iedere dag nodig hebben dan is het nu juist de kunst om daar ook een veilige en efficiënte wijze voor te vinden.