Binnen het stelsel van integrale beveiliging van de Rijksdienst speelt de departementale beveiligingsambtenaar (BVA) een prominente rol. Sinds 1 januari 2019 is Berndt Rif de BVA van het ministerie van Volksgezondheid, Welzijn en Sport. Hij vertelt wat de functie inhoudt en over zijn uitdaging ervoor te zorgen dat de organisatie op een veilige manier zijn werk kan doen.
Berndt Rif heeft een rijke carrière in de beveiliging, die via onder andere Randon Beveiliging, Seceurop Nederland, het AMC, ING, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en De Nederlandsche Bank in 2019 naar het ministerie van Volksgezondheid, Welzijn en Sport (VWS) leidde. Met zowel ervaring in het private als het publieke domein maakte hij bij die laatste overstap een weloverwogen keuze om weer voor de overheid te gaan werken.
Ik weleens geroepen dat de functie van BVA wel een hele mooie zou zijn
“Mijn vorige baan was een adviesfunctie op een operationele beveiligingsafdeling, maar ik kreeg op een bepaald moment behoefte aan meer uitdaging in een bredere functie. In het verleden had ik weleens geroepen dat als ik nog een keer terug zou gaan naar de overheid de functie van BVA wel een hele mooie zou zijn. En dan het liefst bij het ministerie van VWS. Toen die mogelijkheid zich voordeed, hoefde ik niet lang na te denken.”
Vanwaar die voorkeur voor het ministerie van VWS?
“Departementen zijn, binnen kaders die in het Beveiligingsvoorschrift genoemd worden, vrij in de inrichting van de BVA-functie. VWS heeft de concerngedachte omarmd en vult de functie breed in. Dat betekent dat de BVA een toezichthoudende taak heeft voor het integrale beveiligingsbeleid bij zowel het kerndepartement als de ruim twintig concernonderdelen die eronder vallen. Denk daarbij aan bijvoorbeeld het RIVM, de Dopingautoriteit, of de Inspectie Gezondheidszorg & Jeugd. Die grote verscheidenheid maakt het ministerie van VWS voor mij zo interessant.”
Wat is de plek van de BVA in de ambtelijke organisatie?
“Voor de Rijksdienst kennen we het begrip integrale beveiliging. Voor onder andere het toezicht hierop wordt door de voor de beveiliging van de Rijksdienst verantwoordelijke minister een rijksbeveiligingsambtenaar aangesteld. Op departementaal niveau is echter de secretaris-generaal eindverantwoordelijk voor de integrale beveiliging, de inrichting en werking van de departementale beveiligingsorganisatie, en de vaststelling van het departementale integrale beveiligingsbeleid binnen rijsksbrede kaders. Hij wijst tevens de departementale beveiligingsambtenaar aan die zorg draagt voor het toezicht op de integrale beveiliging van het departement. Deze BVA wordt functioneel aangestuurd door de rijksbeveiligingsambtenaar.”
Hoe is de beveiligingsorganisatie van het ministerie van VWS ingericht?
“Beveiliging is onderdeel van de bedrijfsvoering van het ministerie en dat valt bij VWS onder de plaatsvervangend secretaris-generaal. Ik word als BVA voor de uitvoering van mijn taken ondersteund door een eigen bureau op het kerndepartement, bestaande uit vier mensen. Vanuit dit bureau ondersteunen we de verschillende dienstonderdelen en zorgen we ervoor dat kennis wordt gedeeld en informatie uitgewisseld. Daarnaast ben ik toezichthouder en kijk ik binnen ons concern hoe we tot een integrale structuur kunnen komen. De verschillende onderdelen zijn echter vrij om dit op basis van hun organisatiecontext in te vullen. Zo heeft het RIVM bijvoorbeeld een eigen beveiligingscoördinator, waarmee ik wel een functionele maar geen hiërarchische lijn heb en volg ik vanuit mijn toezichthoudende rol hoe daar de integrale beveiliging is ingericht.”
Wat zijn taken en verantwoordelijkheden van de BVA?
“Mijn primaire taak is het adviseren en ondersteunen van het lijnmanagement bij het selecteren, implementeren en periodiek evalueren van een samenhangend stelsel van beveiligingsmaatregelen voor de beveiliging van de ‘te beschermen belangen’ op basis van risicomanagement. Daarnaast heb ik als taak toezichthouden op de integrale beveiliging van het departement, met name op de coördinatie en organisatie van de integrale beveiliging binnen de onderdelen en tussen de verschillende functionarissen die daar werkzaam zijn. Als BVA laat ik incidenten onderzoeken en adviseer ik over de aanwijzing van vertrouwensfuncties. Dit zijn functies waarbij een functionaris de mogelijkheid heeft om de nationale veiligheid schade toe te brengen en daarom, voordat hij of zij op zo’n functie geplaatst mag worden, eerst een zogenaamd veiligheidsonderzoek uitgevoerd door de AIVD moet ondergaan.”
Wat is de scope van jouw functie bij VWS?
“Binnen het ministerie van VWS onderscheiden we de domeinen fysieke beveiliging, personele beveiliging en informatiebeveiliging. Met de daarbij behorende functionarissen zoals de Chief Information Security Officer, de Chief Privacy Officer, de Chief Data Protection Officer (functionaris Gegevensbescherming) en de Integriteitscoördinator van het concern VWS. Als BVA ben ik voorzitter van het integraal beveiligingsoverleg, waaraan deze functionarissen deelnemen. Ik ben daarin niet leidinggevend, maar wel de verbindende factor die ervoor zorgt dat de verschillende kolommen samenwerken en dat de maatregelen die worden getroffen samenhang vertonen zodat we tot een integrale aanpak kunnen komen.”
Er zijn zogenaamde rijksbrede kaders voor beveiliging. Wat betekent dat?
“Die kaders moet je vooral zien als structuur. De ministeries werken al geruime tijd samen op het gebied van de organisatie van de bedrijfsvoering bij het Rijk. De afspraken die zij maken om op de rijksbrede organisatie en bedrijfsvoering te kunnen sturen, leggen ze vast in beveiligingskaders. Die kaders omvatten normen, maar ook te doorlopen processtappen op het vlak van risicomanagement. De rijksbeveiligingsambtenaar geeft vervolgens samen met de BVA’s van alle departementen de handvatten aan het lijnmanagement voor de invulling op departementaal niveau.”
Het lijkt erop dat daardoor veel vastligt en van bovenaf wordt voorgeschreven. Is BVA daardoor een uitvoerende functie?
“Nee, zeker niet. Het is echt een strategische functie, waarbij ik in mijn werk soms raak aan het tactische niveau. Maar verder dan raken gaat dat niet, want ik zit niet in de operatie en stuur niemand hiërarchisch aan. Vanuit mijn toezichtrol heb ik echter wel een verbindende functie. Als BVA ben ik bovendien nauw betrokken bij het opstellen van het strategisch integrale beveiligingsbeleid van VWS voor de komende jaren en ik bied het beleidsplan ter vaststelling aan. In die zin ontzorgt de BVA de departementale leiding.”
Kan je de functie van BVA bij de overheid vergelijken met die van securitymanager in het bedrijfsleven?
“Ik denk dat je de functies zeker met elkaar mag en kunt vergelijken. Maar dan trek ik wel de vergelijking met grotere organisaties in het bedrijfsleven en heb ik het over de functie van Chief Security Officer (CSO). Procesmatig zit er niet veel verschil tussen de BVA van een departement en een CSO van een groot bedrijf of multinational. Ook de CSO zet de grote lijnen uit, schrijft het beleid en zorgt ervoor dat de randvoorwaarden er zijn voor de verschillende bedrijfsonderdelen.”
De CSO zit dicht tegen de Raad van Bestuur aan. Hoe is dat voor jou als BVA?
“Met name bij grote bedrijven en multinationals zie je dat de CSO korte lijnen heeft naar de RvB. Maar bij de wat kleinere bedrijven moet de securitymanager zijn plek binnen de organisatie in veel gevallen bevechten en verdienen. Bovendien is het vaak persoonsafhankelijk of hij gesprekspartner van de ‘board’ wordt. Daarentegen is binnen de overheid de BVA vanuit de regelgeving al goed gepositioneerd, waardoor hij in beginsel meteen toegang heeft tot het juiste niveau en de juiste mensen. Ik heb bijvoorbeeld een directe lijn met de secretaris-generaal en de plaatsvervangend secretaris-generaal en heb regelmatig overleg met hen. Die structuur staat er, in beginsel is het pad geëffend. Natuurlijk blijft het dan nog mensenwerk, want je moet wel kunnen verbinden en de taal van het hoogste niveau spreken. Anders sta je ook zo weer buiten.”
Zijn er verder nog verschillen?
“Een verschil is dat de BVA werkzaam is binnen de Nederlandse context , terwijl een CSO binnen een internationaal opererend bedrijf met internationale wet- en regelgeving te maken heeft. Bij de BVA is dat beperkt tot EU- en NAVO-regelgeving. In die context heeft de BVA het iets eenvoudiger. En een voor mij persoonlijk belangrijk verschil is dat het binnen het bedrijfsleven gebruikelijker is om van bovenaf een oekaze op te leggen, daar waar de BVA meer een verbinder is die mensen moet meenemen bij beslissingen. Ik voel mij daar prettiger bij, want ik wil dat mensen bewust met iets aan de slag gaan en vanuit hun eigen verantwoordelijkheid de juiste keuzes maken.”
Je werkt nu twee jaar als BVA. Voldoet de functie aan je verwachtingen?
“Dat doet ’ie zeker. Ik zit op een positie waarin het erom gaat verschillende expertises bij elkaar te brengen en waarbij ik samen met vakgenoten voortdurend kijk of en hoe we tot een gedragen oplossing of gedragen beleid kunnen komen. Dat is het mooie aan deze functie, dat ik echt die verbinder en bruggenbouwer moet zijn. Samenwerken met mensen die zich realiseren dat ze allemaal voor hetzelfde staan – namelijk ervoor zorgen dat de organisatie op een veilige manier zijn werk kan doen – dat vind ik niet alleen heel leuk, maar is ook mijn grootste uitdaging.”
Arjen de Kort
Hoofdredacteur Security Management