Revalidatie Friesland gaat de fysieke beveiliging inbedden in een continu proces. In een aantal blogs geven we inzage in het verloop van het proces. Vanuit haar maatschappelijke en wettelijke verantwoordelijkheid wil Revalidatie Friesland alerte gastvrijheid realiseren. En de risico’s, die impact hebben op personen, processen en middelen, doelmatig beheersbaar maken. Het beveiligingsmodel van ‘RisicoRegisseurs’ vormt hierbij het uitgangspunt.
In dit vijfde en laatste blog vatten we nog even kort samen wat we inmiddels bereikt hebben. En waar we verder nog aandacht aan besteed hebben om het proces continu te kunnen verbeteren.
Inrichten van het kader
We zijn begonnen met het opstellen van het beveiligingsbeleid. Daarin hebben we onder meer vastgelegd welke bereidheid er is voor het nemen van risico’s en wie verantwoordelijk is voor welk deel van het proces. Daarna hebben we een dreigingsprofiel voor de organisatie opgesteld, zodat we duidelijk hebben wat de risico’s zijn. De maatregelen, die we kunnen nemen, hebben we vastgelegd in een programma van eisen. Die maatregelen zijn, op hun beurt, weer gekoppeld aan de bestaande risico’s.
Risico’s en verbeteringen per locatie
De inrichting zorgt ervoor dat we in staat zijn betere keuzes te maken voor de verschillende locaties. Daarvoor bepalen we de hoogte van de risico’s. Voor twee locaties hebben we dat inmiddels gedaan. Zo komt het beveiligingsplan tot stand. Daarin ligt vast welke maatregelen we tegenover de risico’s kunnen zetten.
Doordat we ook de bestaande maatregelen voor die twee locaties in kaart hebben gebracht, weten we welke maatregelen nog niet voldoen. En omdat we de relatie tussen maatregelen en risico’s gelegd hebben, weten we exact welke risico’s nog niet voldoende zijn afgedekt. Voor die risico’s hebben we keuzes gemaakt. Willen we het risico verder verlagen of kunnen we het risico accepteren? Daarbij speelt het risico-acceptatieproces een belangrijke rol.
Risicoacceptatie
De zorgmanagers zijn eindverantwoordelijk voor de risico’s binnen de organisatie. Zij moeten er immers voor zorgen dat de risico’s beheersbaar zijn én blijven. De Facilitaire Dienst ondersteunt hen hierbij en faciliteert het risico-acceptatieproces. Omdat duidelijk is welke risico’s nog niet voldoende zijn afgedekt, kunnen we gezamenlijk bepalen wat ertegen gedaan kan worden. Voor de risico’s die niet acceptabel zijn, worden aanvullende maatregelen getroffen.
Aanvullende maatregelen
Met behulp van het programma van eisen en de relatie tussen de maatregelen en de risico’s, weten we precies welke aanvullende maatregelen nodig zijn. Deze maatregelen vormen het verbeterplan voor de locatie. Voor de risico’s die geaccepteerd worden, zorgen we ervoor dat ze gedocumenteerd en periodiek beoordeeld worden.
Risico-acceptaties vormen één van de randvoorwaarden om de risico’s continu in voldoende mate af te dekken. De andere twee randvoorwaarden waar invulling aan wordt gegeven zijn incidenten en audits.
Incidenten analyseren en audits uitvoeren
Nu het proces is ingericht en we voor twee locaties de verbeteringen hebben doorgevoerd, doorlopen we de komende tijd het proces ook voor de andere locaties. Om de beveiliging ook in de toekomst op orde te houden, registreren en analyseren we incidenten. Zo krijgen we inzichtelijk of de gekozen maatregelen (nog) voldoen. Dit zorgt ervoor dat de beveiligingsmaatregelen steeds zo goed mogelijk afgestemd zijn op de dreigingen die zich voor kunnen doen.
We voegen nog een laatste stap aan het proces toe: het regelmatig uitvoeren van audits
Om dit te borgen voegen we nog een laatste stap aan het proces toe: het regelmatig uitvoeren van audits. Daarbij kijken we enerzijds of het proces gevolgd wordt, anderzijds kijken we naar de beveiligingsmaatregelen en de mate waarin die werken zoals ze bedoeld zijn.
Door beveiliging in te richten als structureel proces kunnen wij erop vertrouwen dat we een gastvrije organisatie zijn die de bijbehorende risico’s serieus neemt. Op basis van de risico’s treffen we een afgewogen set aan beveiligingsmaatregelen om de personen, processen en middelen steeds zo goed mogelijk te beschermen.
• Risico-gedreven beveiligen (#1)
• Risico-gedreven beveiligen (#2)
• Risico-gedreven beveiligen (#3)
• Risico-gedreven beveiligen (#4)
Alida Dienaar-Boers, manager facilitaire dienst en marketing & communicatie bij Revalidatie Friesland