Bij risico-gedreven beveiligen vormen de risico’s van een organisatie het uitgangspunt bij alles wat je doet. De afgelopen maanden is onderzocht welke risico’s als gevolg van bewust kwaadwillend handelen realistisch en onacceptabel zijn voor ziekenhuizen en Universitair Medische Centra (UMC’s). Het resultaat van dit onderzoek, een generiek dreigingsprofiel, is beschikbaar als bijdrage aan het risicobewustzijn van alle gezondheidsinstellingen in Nederland.
André Severs
Het is van belang om te weten met welke dreigingen je te maken hebt en wat de gevolgen hiervan kunnen zijn als deze werkelijkheid worden. In een dreigingsprofiel beschrijf je deze dreigingen en ook wie de daders kunnen zijn en met welke aanvalsmiddelen deze kunnen verschijnen.
Expliciet dreigingsprofiel voor ziekenhuizen en UMC’s
Inzicht in het relevante dreigingsprofiel voor ziekenhuizen en UMC’s geeft inzicht in de onacceptabele risico’s die deze organisaties lopen en daarmee inzicht in de benodigde fysieke beveiliging om deze risico’s beheersbaar te maken. Niet iedere organisaties in de branche beschikt over een expliciet dreigingsprofiel, waardoor er geen totaalbeeld is van de risico’s waarmee ze geconfronteerd kunnen worden. Met het Dreigingsprofiel ziekenhuizen en UMC’s wordt dit inzicht wel verkregen.
Dreigingsprofiel geeft bestaansrecht aan beveiliging
Eenieder binnen de branche kan dit generieke profiel gebruiken en toepasbaar maken op de eigen organisatie. Hierbij bestaat de overtuiging dat als de overwegingen en discussies zich toespitsen op de baten van de beheersing van de risico’s in plaats van op de maatregelen en de kosten hiervan, er een betere betrokkenheid en samenwerking is tussen de proceseigenaren en de voor de beveiliging verantwoordelijke functionarissen. Dit komt ten goede aan het bestaansrecht van beveiliging: het leveren van een bijdrage aan de continuïteit van de organisatie door het leveren van een veilige omgeving voor patiënten, medewerkers en bezoekers.
Verantwoordelijkheden van ziekenhuizen en UMC’s
In het dreigingsprofiel staan de dreigingen van bewust menselijk handelen gericht tegen fysieke zaken, mensen en informatie van ziekenhuizen en UMC’s centraal. Voor de realistische risico’s wordt gekeken wat de potentiële impact daarvan is op de te beschermen belangen van de organisatie. Door hierbij inzichtelijk te maken wat de gevolgen voor de bedrijfsvoering kunnen zijn, worden risico’s beter begrepen. Hiervoor is het volgende format gebruikt.
Ziekenhuizen en UMC’s hebben primair de verantwoordelijkheid om het beschikbare budget zo goed mogelijk in te zetten voor kwalitatief goede zorg. Anderzijds hebben ze de maatschappelijke en wettelijke verplichting zorg te dragen voor een veilige omgeving voor patiënten, bezoekers en medewerkers van de organisatie. Laten ze dit na, dan kan dit grote nadelige consequenties hebben. Op het gebied van aansprakelijkheid in geval van nalatigheid. Maar ook op het aantal patiënten dat gebruik wenst te maken van de diensten van het betreffende ziekenhuis of UMC en daarmee op de inkomsten en het toekomstige budget. Bij een onvoldoende beheersing van de risico’s kan de instelling niet voldoen aan de maatschappelijke en wettelijke verplichting om kwalitatief goede zorg te leveren.
Minder waar het kan, meer waar het moet
Met een gestructureerde aanpak van beveiliging kan aan de zorg voor een veilige omgeving de best mogelijke bijdrage worden geleverd. Door hierbij de dreigingen centraal te stellen, wordt het mogelijk om een afgewogen logische keuze te maken in de beveiligingsmaatregelen en het daarvoor benodigde budget. Doelstelling is om het optimum te vinden waarbij de getroffen maatregelen zo goed mogelijk opwegen tegen de risico’s die de organisatie loopt: minder waar het kan, meer waar het moet.
Generieke dreigingen voor ziekenhuizen en UMC’s
Uit het onderzoek blijkt dat ziekenhuizen en UMC’s voor fysieke beveiliging rekening moeten houden met onderstaande 24 dreigingen die in meer of mindere mate realistisch zijn.
Van generieke naar specifieke risico’s
Gesteld wordt dat de genoemde 24 dreigingen voor ieder ziekenhuis of UMC realistisch zijn, tegelijk dat per organisatie en zelfs per gebouw van eenzelfde organisatie de risico’s van iedere dreiging in zwaarte kunnen verschillen. Een beoordeling van de zwaarte van het risico per dreiging kan op basis van de attractiviteit en het belang door belanghebbenden worden beoordeeld en vastgesteld. Bij de attractiviteit wordt gekeken naar de aantrekkelijkheid voor een dader om diens motieven te kunnen realiseren. Bij het te beschermen belang wordt rekening gehouden met directe financiële schade als gevolg van een incident, maar ook met het maatschappelijk belang en eventuele gevolgschade, bijvoorbeeld imagoschade en de impact daarvan op de organisatie. De combinatie tussen attractiviteit en belang resulteert in een voor ziekenhuizen en UMC’s te hanteren risicoklasse-indeling die er als onderstaand uitziet.
In het dreigingsprofiel wordt een voorstel gedaan voor de indeling van de classificatie 1 t/m 4. Afhankelijk van de eigenschappen van de specifieke zorginstelling, waaronder organisatie, specialisme, omvang, aantal laboratoria, aantal studenten, enzovoort, kan het wenselijk zijn deze beschrijvingen aan te passen om tot een zo goed mogelijk passende risicoklasse te komen.
Koppeling tussen dreiging en maatregelen leidt tot beter inzicht
Door een goed doordachte koppeling tussen de dreigingen enerzijds en de maatregelen anderzijds, ontstaat beter inzicht in de redenen waarom bepaalde maatregelen getroffen zijn en aan welke risico’s deze een bijdrage leveren.
Hernieuwde afwegingen
Tijdens het onderzoek bespraken we de mogelijkheden van het inzetten van maatregelen die bij moeten dragen voor een beter zicht op het omliggende terrein. Tot op heden was de noodzaak hiertoe niet aanwezig toen slechts gekeken werd naar het risico op inbraak en hier afdoende maatregelen tegen zijn getroffen. Door veranderingen in de nabije omgeving trekt nu het terrein rond het ziekenhuis en de parkeergarage meer dan gewone aandacht, neemt het risico op vandalisme en vernieling toe en wordt er gehandeld in diverse middelen met bijkomende risico’s op geweld, zeker ook voor medewerkers en bezoekers. Deze verandering in de dreigingen vraagt om hernieuwde afwegingen om de bijbehorende risico’s beheersbaar te maken.
Beheersbaar maken en houden van de risico’s
Het voorgaande maakt duidelijk dat je door de risico’s als uitgangspunt te nemen, je vrijwel automatisch de argumenten aandraagt om de toepassing van maatregelen te rechtvaardigen. Daarmee doe je recht aan beveiliging: het beheersbaar maken en houden van de risico’s, met het besef dat de maatregelen hier slechts een afgeleide van zijn.
Conclusie
Een dreigingsprofiel helpt bij het in kaart brengen van de relevante dreigingen en het vaststellen van de hoogte van de risico’s. Daarmee vormt het dreigingsprofiel de basis om met beveiliging een zo goed mogelijke bijdrage te laten leveren aan het primaire doel van de zorginstelling: het leveren van kwalitatief goede zorg en de daarbij behorende verantwoordelijkheid: bescherming van patiënten, bezoekers en medewerkers.
Door de dreigingen te kennen, wordt het mogelijk om de juiste beveiligingsmaatregelen te kiezen
Alleen door de dreigingen te kennen en deze centraal te stellen, wordt het mogelijk om een afgewogen keuze te maken in de benodigde beveiligingsmaatregelen. Door een goede koppeling tussen de dreigingen en de maatregelen ontstaat verbeterd inzicht in aan welke risico’s maatregelen bijdragen en daarmee in de redenen waarom de maatregelen worden getroffen. Een beter inzicht helpt je bij het maken van keuzes, zoals bij de beoordeling van incidenten, als dreigingen veranderen, maar ook in alledaagse zaken zoals bij verhuizingen of verbouwingen.
André Severs werkt bij RisicoRegisseurs. Je kunt bij hem het Dreigingsprofiel fysieke beveiliging voor ziekenhuizen en UMC’s opvragen via info@risicoregisseurs.nl. Eerder publiceerde hij het Dreigingsprofiel onderwijsinstellingen in het middelbaar en hoger beroepsonderwijs