#8 Vragen van luisteraars

Show Notes

Wat als je directie vraagt waarom er geïnvesteerd moet worden terwijl er nooit iets misgaat? Wij nemen je mee in hoe je dat gesprek kantelt: weg van incidentgedreven beslissingen, richting risicosturing met duidelijke keuzes, eigenaarschap en aantoonbaar effect. We delen hoe een audit wel een nuttige trigger kan zijn, maar geen eindstation. Het echte werk begint bij een scherpe risicoanalyse, een vastgelegde risicobereidheid en maatregelen die passen bij wet- en regelgeving én de praktijk op de vloer.

We duiken daarna in beveiligingsbewustzijn dat wérkt. Geen holle posters, maar campagnes die aansluiten op diverse doelgroepen, met simpele taal en helder handelingsperspectief. Actualiteit en interne cases maken urgentie voelbaar, mystery visits laten de realiteit zien en zorgen voor gesprek. Door continu te meten en bij te sturen blijft awareness levend, relevant en effectief. Zo wordt gedrag de drager van je fysieke weerbaarheid, niet alleen techniek.

Tot slot ontrafelen we de vraag die elke security professional kent: je kunt niet alles tegelijk, wat eerst? We bekijken prioritering door de lens van toprisico’s, kiezen maatregelen die meerdere risico’s tegelijk verlagen en bewaken de samenhang tussen organisatorische, bouwkundige en elektronische maatregelen. Cruciaal: borg beheer, autorisaties, procedures en competenties vóór je opschaalt in techniek. Betrek IT, facilitair en operations, werk gefaseerd en maak zichtbaar wat je bereikt.

Luister, denk mee en bouw aan fysieke beveiliging die klopt van strategie tot drempel. Vond je dit waardevol? Abonneer je in je favoriete app, geef een beoordeling of like, en deel de aflevering met een collega die keuzes moet maken over audits, awareness of investeringen.

Stap mee naar binnen en luister naar risicoafwegingen en besluitvorming in de wereld van fysieke weerbaarheid.

Chapters

• 0:00: Laatste aflevering van seizoen 1
• 4:52: Vraag 1: Hoe onderbouw je maatregelen
• 9:53: De kernvraag beantwoord krijgen
• 13:05: Vraag 2: Hoe kom je tot onderwerpen voor bewustwording?
• 18:32: Gebruik de uitkomst van de risicoanalyse
• 21:11: Vraag 3: Hoe bepaal je prioriteit?
• 25:22: Maak een plan en bepaal gezamenlijk prioriteit
• 26:19: Waar je direct al mee kan starten
• 29:15: Terugblik op de vragen en antwoorden

Transcript

SPEAKER_02: 0:00

Ruben Milan, daar zijn we weer in de studio. Welkom. Ik heb een mededeling. Dit is alweer de laatste aflevering van dit seizoen. Ja, helaas. Ja, de weken vlogen voorbij. Nou, laten we vooral ook even terugkijken naar de oorsprong van de podcast. Ruben, denk dat jij daar een mooie rol in kan spelen.

SPEAKER_00: 0:21

En dat is misschien wel leuk om aan het eind even terug te blikken over het begin. De reden eigenlijk dat wij deze podcast zijn begonnen, is meervoudig. Maar voornamelijk kwamen wij erachter dat we met wij bedoel ik, ik en Milan. We kwamen erachter dat we vaak bij opdrachtgevers hetzelfde gesprek hadden. En we hadden ook, en dat is een beetje aflevering één, we hadden ook vaak het idee dat we aan onze omgeving niet goed konden uitleggen wat wij nou precies doen.

SPEAKER_01: 0:54

Dat hebben we natuurlijk al verteld, hè? In die verjaardag settings. Ja, precies. Dat iemand vraagt wat doe je eigenlijk? En je begint te praten. En na een half minuut zegt iemand, nou, is er nog koffie?

SPEAKER_00: 1:03

Ja, en we merkten ook dat niet alleen wij dat hadden, maar heel veel vakbroeders in het werkveld. Die worstelen ermee om dat een beetje uit te leggen.

SPEAKER_02: 1:11

Goeie koffie trouwens, hier even tussendoor. Nou ja, ik probeer maar te kijken. Want het is leuk dat jullie dat. Heb je het gevoel nu dat je dat verjaardagsfeestje hebt kunnen verbeteren, eigenlijk, althans de uitleg die je daar gaf hier in deze setting?

SPEAKER_00: 1:24

Nou, dat misschien is wel een goed punt, want dat gaat natuurlijk niet veranderen. Maar wat wel een goed punt, wat een verbetering is, is dat je. Nou, nou ga ik dat denk ik niet doen op een verjaardag. Maar je kan iemand verwijzen naar de podcast. Dus wat wij merken is dat je een gesprek hebt met iemand. En dat heel veel dingen die wij zeggen zijn nieuw. En dat valt nog niet in één keer. Dus dat is nu terug te luisteren.

SPEAKER_01: 1:48

Nou ja, wat het laatst toch? Vaak de aanleiding waarom mensen ons uitnodigen om even te komen spreken over dit onderwerp. Zodat we kunnen proberen hun te helpen of om iets te duiden. Ja, die is vaak op basis van er is iets gebeurd, of we hebben een gesprek gehad of we moeten iets. En we hadden toevallig laatst dat we met z'n tweeën ergens op bezoek waren om zo'n gesprek te hebben. En dat we aan het einde van het gesprek elkaar aankijken. Ja, dit is bijna de aflevering die we twee weken geleden hebben opgenomen.

SPEAKER_00: 2:16

Dat is echt zo bijzonder. Dat is bijzonder en dat is fijn. En wat ik daar nog over kan aanvullen, is dat deze persoon hoort allemaal dingen nieuw. En die wil daar vervolgens intern mee verder. En dan moet hij dat allemaal gaan doorvertellen. Terwijl hij kan nu ook zijn leidinggevende aflevering X van de podcast sturen. Dus ja, zo zijn we een beetje begonnen. En we hebben natuurlijk een leuk oproepje gedaan. Elke aflevering, om te kijken of mensen ons kunnen ondersteunen in onderwerpen. En dat is volgens mij best wel gelukt. En daar gaan we natuurlijk deze laatste aflevering over maken.

SPEAKER_01: 2:57

Deze laatste aflevering, maar we hebben nog wel de leuke mededeling. Er komt ook nog wel een nieuw seizoen.

SPEAKER_02: 3:03

Je is alvast vrijgegeven, dat is zeker.

SPEAKER_00: 3:05

Dat gaan we doen. Beveiliging Binnenskamers is een podcast over fysieke beveiliging bij complexe organisaties. Security professionals bespreken de afwegingen achter de maatregelen, zoals toegangscontrole, cameratoezicht, sleutelbeheer en meldkamers. Gesprekken die normaal binnenskamers blijven. Je hoort praktijkdilemma's, inzichten en reflecties van professionals uit het veld. Stap mee naar binnen en luister naar risicoafwegingen en besluitvorming in de wereld van fysieke weerbaarheid. Ja, zoals net al een beetje aangegeven, hebben we natuurlijk een e-mailbox en podcast.beveiligingbinnenkamers.nl. Ik zeg het nog maar een keertje. Want alle vragen zijn welkom. En we beantwoorden ook elke vraag. Altijd persoonlijk. Dus je krijgt altijd van ons een antwoord. Maar sommige en een aantal daarvan hebben we geselecteerd. Sommige die kunnen we dan in de aflevering behandelen. En de ene vraag is een hele aflevering waard. En de andere kunnen we gegroepeerd doen. En dat is deze aflevering. Vragen van luisteraars. Ja, we hebben een paar e-mails. Jij hebt zelfs een geprint setje, zie ik hier voor je. Hoeveel hebben we er?

SPEAKER_02: 4:26

Nou, genoeg, maar we hebben een selectie moeten maken. En ook omdat sommige overlap hadden. Dus we hebben nu drie vragen geselecteerd, die hopelijk alle vragen ook beantwoorden van ook andere inzenders.

SPEAKER_01: 4:38

Ja, dus dat gaan we een beetje proberen om naast het specifieke antwoord van een luisteraar, misschien het ook iets in bredere context te trekken, zodat we ook andere vragen kunnen beantwoorden.

SPEAKER_02: 4:52

Ja, nou, laten we beginnen. Hooi Milan en Ruben. Toen ik de aflevering slecht gescoord bij de audit zonder mensen zeggen ze audit, maar ik doe het even Nederlands als je het niet erg vindt, luisterde, was dit zeer herkenbaar voor mij. Ook binnen onze organisatie was een audit die directe aanleiding om verbetermaatregelen in gang te zetten. Onze audit is al even geleden. Inmiddels wordt steeds duidelijker dat de benodigde inspanningen omvangrijker zijn dan afhankelijk werd gedacht. Men vraag zich af of dit allemaal wel nodig is. Er is toch al die jaren niet gebeurd? Mijn vraag aan jullie is: hoe ik kan onderbouwen dat aanvullende beveiligingsmaatregelen noodzakelijk zijn, ondanks het ontbreken van incidenten tot op heden. Succes met de podcast, zegt Marloes. Misschien lekker goed.

SPEAKER_00: 5:35

Oké, dankjewel, Marloes, voor je vraag.

SPEAKER_01: 5:39

Leuke vraag. Ik denk dat ik gelijk even ga inspringen op het feit dat ik deze wel begrijp, waar deze vraag denk ik, vandaan komt. We horen dit best wel vaker. Dat als je als onderdeel van een audit, ik weet niet wat voor een soort audit dit is geweest, maar ervan uitgaande dat dit gaat over een onderwerp rondom fysieke beveiliging, dat als je op een bepaald punt slecht scoort in een hele grotere audit. Dat je gezamenlijk na gaat denken over verbetermaatregelen. En dat je met iets heel onvangrijks terugkomt. En dat management denkt: ja, maar we had een klein puntje wat we moesten verbeteren, en jij komt met zo'n plan aan zetten, loop je uit de hand eigenlijk.

SPEAKER_00: 6:17

Ja, ik snap hem ook. En tegelijkertijd is er een klein beetje verwarring aan de gang. Want wat Marloes schrijft, zag ik in de mail, is dat er een verband wordt gelegd tussen het treffen van maatregelen en het niet hebben van incidenten. En dat is ook een beetje een klassieke fout. Een klassieke denkfout. Dat het niet hebben van incidenten, betekent dat je niks hoeft te doen. Maar dat is helemaal de vraag niet. Want het ontbreken van incidenten is helemaal geen bewijs dat er geen risico's zijn. Of het is ook geen maatstaf voor de mate waarin je bereid bent om risico's te nemen. Dus je wil eigenlijk het management aangeven dat we niet incidentgedreven moeten handelen, maar risico gestuurd. Want incidentgedreven handelen, dat is een beetje paniekvoetbal. Dat betekent er wordt een fiets gestolen van een directeur. Dus moeten er voor 40.000 euro camera's op de fietsverstalling komen. Dat is incident gedreven. Dit is ook een letterlijk voorbeeld die ik een keer heb meegemaakt. Maar dat is helemaal niet hoe je hiernaar wil kijken. Je wil kijken van wat zijn nou de risico's? In welke mate ben ik bereid hier te nemen en wat moeten we daar dan voor doen?

SPEAKER_01: 7:43

Ja, en ik denk wat Marloes misschien ook wel kan helpen, is door niet direct antwoord te proberen te geven op de vraag: er is geen incident gebeurd, waarom moeten we dit nog doen? Maar de intrinsieke vraag in eerste aanleg kwam natuurlijk uit het feit dat we slecht hebben gescoord in een bepaald auditpunt. Daar zat een behoefte om een verbetermaatregel door te voeren. Dus leg de vraag dan even terug. Stappen we dan ineens van dat punt af? Of hoeven we niet meer te scoren op die audit? Dus probeer ook die verantwoordelijkheid van waarom we dingen doen, terug te leggen daar waar die hoort.

SPEAKER_00: 8:14

Ja, goed punt. W die audit. Of audit. Ja, dan ga je weer. Die is er omdat waarschijnlijk over het algemeen, directie zelf een bepaalde doelstelling heeft. We willen voldoen aan ISO 27.001, of et cetera. Of het moet vanuit wetgeving, wat ook nog kan, dat je aan een bepaalde audit moet voldoen. En ja, als je dus niet gaat antwoorden van is het nou allemaal wel nodig, maar gewoon aangeven, vinden jullie het wel nodig? Maar wel met daarbij de juiste verantwoordelijkheden. Want dat is ook vaak wat er gebeurt, ik merk ook een beetje aan de toon. Nou, niet de toon, maar de manier waarop Marloes het verwoord, is dat eigenlijk zij zich genoodzaakt voelt om hier antwoord op te geven. Maar eigenlijk, wat Milan ook al een beetje zegt, zij moet de vraag terugleggen. En zij denken het antwoord te weten, maar daarmee.

SPEAKER_01: 9:12

Ja, je kunt natuurlijk wel proberen die vraag terugleggen door daar ook een beetje extra context en gewicht aan te geven. Nee, dat idee wat ik aandraag, dat verbeterpunt, waar misschien een lange doorlooptijd aan zit om het te doen. En er zit de kost aan, draagt niet alleen bij aan het voldoen aan die audit, aan het voorkomen dat het incident gebeurt. Maar we hebben ook na gedacht over bepaalde risico's die we als organisatie misschien niet willen lopen. En het is veel meer de vraag, hoe willen ze daarmee omgaan? Dus niet willen we dat pakket aan verbijtenmaatregelen doorvoegen. Maar het is vooral meer de vraag: zijn we bereid bepaalde risico's te accepteren. Of het risico te accepteren dat als we dit niet doen, we niet door de audit heen komen. En dus niet het ISO 27.000 één certificaat kunnen krijgen.

SPEAKER_02: 9:53

Ik snap dat ook heel goed. Maar ik denk toch dat de vraag van Marloes ook, die wil het liefst een paar boerits van jullie. Van nou concreet, wat, hoe kun je het onderbouwen? Dat er extra maatregelen nodig zijn. En ik begrijp wel dat je ook uitzoomt. Maar als je toch inzoomt binnen de realiteit van budgetten, tijdsbestek, tijdslijnen. Hoe ga je dan Marloes bedienen hier met hele behapbare, concrete onderbouwing?

SPEAKER_00: 10:14

Goed punt. Ik denk dat zij dat dat wel veel is, dingen terugleggen. Want dat is waar we nu echt wel op uitkomen. Maar de kernvraag is ook aan het bestuur, willen jullie een vinkje bij de audit? Of willen jullie in controle zijn en de juiste dingen doen en daardoor minder risico lopen, en daar kunnen zij een antwoord op geven. En daar zouden je dan ook moeten bij neer moeten leggen. En wat nog een ander punt is, is dat dit dansje wat ze aan het doen is met directie, het betekent niet alles of niets. Dus het feit dat ze het nu te veel en te omvangrijk vinden, betekent niet dat ze niets hoeft te doen. Ze kunnen ook zeggen van nou, we hebben de audit gehad, daar zijn heel veel punten uitgekomen en we beginnen met punt één. En om dan toch een beetje een stap te zetten in de richting die jij aangaf, Joris, wat kan je nou concreet doen? Er is een audit, een audit-audit geweest. En dat is de aanleiding om te kijken naar hoe gaan we dit verbeteren. Maar dat is een externe kracht. Je kan ook zeggen, we gaan niet alles meteen doen, maar we gaan een risicoanalyse doen. En daarmee ook draagkracht creëren intern binnen de organisatie en ook bij onze directie. En dat is het enige wat we gaan doen. Dus we maken het helemaal niet groot en omvangrijk. Dat is het enige wat we gaan doen. En als we dat hebben gedaan, dan is de volgende stap. Hé, nou hebben we inzicht in risico's. Nu hebben we intrinsiek het gevoel, oké, hier moeten we echt wel wat mee gaan doen. Dus dat zou denk ik mijn advies aan Mares zijn. Als je heel weinig kan doen, ga dan in ieder geval die risicoanalyse doen en pak dat op een manier aan zoals we dat eerder in een aflevering hebben besproken.

SPEAKER_01: 12:01

En toch, misschien wat ook wel een beetje kan helpen, is als management of directie dat eigenaarschap niet voelt, dat zij zich niet bewust zijn van het feit dat zij op dat niveau keuzes moeten maken in wat we wel of niet gaan doen. Dat daar bijvoorbeeld de komst van nieuwe wetgeving bij kan helpen. Dus als Maloes bij een organisatie werkt die tegenwoordig als kritiek wordt aangemeld, dan zit er een nieuw stukje wetgeving aan te komen. Wat organisaties dwingt hier actief over na te denken. Waar ligt nou het eigenaarschap van dit onderwerp? En het dwingt organisaties actief na te denken over wat doe ik wel en wat doe ik niet. En ja, dan vrees ik dat Maloes op den duur op een gegeven moment genoegen moet nemen met de keuze die binnen management wordt gemaakt om dingen wel of niet te doen.

SPEAKER_02: 12:42

Dus eigenlijk, als ik het vertaal naar de daily reality, dan kan ik zeg maar een autoverzekering of inbraakverzekering, laat ik zo zeggen, die heb ik, maar ik heb hem nooit ingebroken. Dus dat kan ze terugleggen als een heel concreet voorbeeld. Twee is ze terugvragen van god, wat vinden wij eigenlijk met elkaar? Drie, de risicoanalyse als basis om samen in verder te gaan.

SPEAKER_00: 13:01

Ik denk dat dat mooie begeensstappen zijn.

SPEAKER_02: 13:05

Nou, dank jullie wel. Laten we doorgaan naar een andere inzending. Ik heb een bericht binnen van Lonneke. Beste Milan, Joris en Ruben, interessante podcast. Ik luister al vanaf het begin. Dat is leuk om een van te wij zijn gestart met een bewustwordingsproject voor alle medewerkers. We willen dit graag goed aanpakken en hebben daarom onze communicatieafdeling gevraagd om mee te denken. Zij geven aan dat de inhoud vooral vanuit ons moet komen. We zijn inmiddels zelf gaan nadenken en brainstormen, maar merken dat het lastig is om te bepalen welke onderwerpen we moeten kiezen. Onze vraag is daarom vrij simpel: zijn er vaste of veel gebruikte onderwerpen als het gaat om beveiligingsbewustzijn. Dan kunnen wij beter inschatten of de juiste kant op denken. Ik ben benieuwd naar jullie antwoord goed te van Lonneke.

SPEAKER_00: 13:52

Nou, Lonneke, dit is een mooie vraag. En eigenlijk is het nog wel een klein aanvulling op de vorige vraagsteller. Want ook bewustwording is iets wat relatief goedkoop is. En met eigen mensen vaak te organiseren. Dus het is ook nog iets om misschien rekening mee te houden. Maar goed, bewustwording is wat ons betreft heel belangrijk. Dus ik vind het mooi dat Lonneke aangeeft daarmee bezig te zijn. Omdat je kan nog zoveel techniek en andere maatregelen binnenhengelen als mensen niet begrijpen waarom en ze niet meewerken, dan schiet het nog zijn doel voorbij. Als een deur op slot kan, maar niet op slot gedaan wordt, wat heeft dat toch dan voor zin? Dus complimenten, Lonneke, goed op de goede weg, denk ik. En jij vraagt eigenlijk naar, is er een lijst? Zoiets gaf ze aan met dingen die je eigenlijk zou kunnen doen.

SPEAKER_02: 14:53

Ja, veel gebruikte maatregelen.

SPEAKER_00: 14:54

Veel gebruikte maatregelen. Nou, ik denk dat je dat er een aantal dingen van belang zijn sowieso. En die zijn wel een beetje organisatieafhankelijk. Maar wat een van de belangrijkste dingen is, is dat jouw boodschappen aansluiten op de medewerkers zijn beleving. Maar ook dat die medewerker een bepaald handelsperspectief heeft. En wat bedoel ik daarmee? Is dat je kan bijvoorbeeld zeggen, ja, harde schijven moeten encrypt zijn, ik noem maar wat. Maar daar kan ik niks mee als medewerker. En je kan hele complexe termen gebruiken die allemaal kloppen en wat allemaal van toepassing is op medewerkers, maar als ze niet snappen, dan komt het ook niet aan. Dus het moeten simpele dingen zijn waar je zelf invloed op hebt als medewerker. Dus dat kadert al meteen jouw soorten boodschappen, kadert dat een beetje af. En het moet ook in de belevingswereld zijn. Dus als jij hele grote cultuurverschillen hebt in jouw organisatie, bijvoorbeeld een middenkader en een directie die allemaal hoger opgeleid zijn, maar een organisatie die aan de onderkant allemaal lager opgeleide medewerkers hebben, dan moet je misschien denken aan twee verschillende campagnes. Omdat de een zich anders betutteld voelt, en de ander denkt, ja, maar dit zijn zulke open deuren. Waar gaat dit allemaal over? Dus je moet eigenlijk zorgen dat je ook even nadenkt over wie zijn eigenlijk mijn doelgroepen, waar richt ik mij precies op. En ja, dat is best wel groepsafhankelijk. En dat kan gaan over opleiding, maar ook over andere dingen die verschillen maken.

SPEAKER_01: 16:32

En iets wat altijd werkt, is de actualiteit. Voorbeelden uit actualiteit benoemen om mensen wakker te schudden. Of zelf in de eigen organisatie te kijken naar incidenten die er gebeurd zijn en die te gebruiken in campagnes om te laten zien dat dingen wel degelijk gebeuren en waar de mensen zelf invloed op heeft om het niveau van beveiliging beter te maken. En ik denk dat een uitspraak van Confucius, vulde me aan als ik me niet goed zeg. Maar dat is volgens mij rondom bewustwording wel echt belangrijk. Tell me, I will forgot. Show me, I will remember, and involve me en I will understand. Dat is een veel gezegde uitspraak die ik ooit eens van een oud collega heb gehoord. Maar wel echt het kernpunt volgens mij in bewustwording. Dat als je mensen meeneemt in waarom je bepaalde maatregelen neemt. Dus vertel niet wat ze moeten doen. Zeg niet dat die harde schijf encrypted moet worden. Maar neem ze ook mee in de gedachtegang waarom je dingen doet. En dan gaan mensen het ook begrijpen. En dan voelen mensen ook dat eigenaarschap. Dus stap niet te snel over het feit heen dat mensen wel begrijpen waarom we bepaalde dingen doen. En dat kun je dus op verschillende niveaus in een organisatie doen. Maar besteed daar echt veel aandacht aan. Waarom doen we dit?

SPEAKER_00: 17:46

Je trekt het me, Milan. Want een valkuil is, die heb ik zelf ook meegemaakt. Is dat je zeg maar met een beperkt clubje mensen, jij hebt het dan, Lonneke, over jullie communicatieafdeling. Dus je gaat met een aantal mensen die thema's bepalen. En dat zijn vaak de mensen die al bovengemiddeld kennis van dit soort dingen hebben. En ja, zorg dat je het vooral in het begin dat je het simpel houdt. En misschien ook wel dat het meetbaar is. Dus dat je kan met vragen, questionnaires gaat werken, zodat je weet over nu volgend jaar. En dan en dan, dat je ziet van is er wel progressie, wat slaat aan, wat slaat niet aan, en dat je daar ook een beetje wendbaar in bent. En ik zit nog steeds even met, ik heb hem hier ook voor me liggen, maar ze had het over een standaard veel gebruikte onderwerpen, zei ze. Dat verschilt dus. En ik zat even te denken, hoe kom je daar nou achter? Maar als jullie al een risicoanalyse hebben gedaan, wat natuurlijk wel op zich heel zinvol is, waar we het net ook over hebben gehad in de vorige vraag. Dan zijn de risico's die daarin staan, dat zijn natuurlijk prima onderwerpen waar je iets mee kan. Dus dan heb je al een lijst. Als je een risicoanalyse hebt en het gaat over inbraak, diefstal, agressie, noem maar op. Dan zijn dat thema's waar je wat mee kan. En misschien ook nog even goed om te noemen, is dat jullie gaan nu een campagne starten, een bewustwordingscampagne. Maar ik zeg altijd zo, dat bewustwording is net als reclame. Dus zodra je ermee stopt, dan zakt het weg bij mensen. Dus je moet denken in een campagne die misschien het hele jaar doorloopt en volgend jaar weer een nieuwe campagne. Want je moet daar steeds maar weer op terugkomen. Dat lijkt me denk ik een goede tip. Ja, en ik denk, oh, sorry.

SPEAKER_01: 19:53

Ik dacht nog de ene aanvulling te hebben. Misschien eigenlijk wel twee. Eén is je kunt ook zelf. Een incident genereren om bewustwording te creëren. Dus ja, anteneer zelf maar eens een mystery visit. En maak daar, nou ja, goed, we hebben het al eens over gehad, maar maak daar maar foto en videomateriaal van. En gebruik dat maar in een sessie om aan te tonen hoe goed je bij iemands werkplek kan komen of persoonlijke spullen. En anderzijds, schroom ook niet om deze vraag die je nu hier neerlegt, ook in de organisatie terug te leggen. Wat zijn ideeën van mensen om meer bewustwording te creëren? Hoe zien zij dat? Want dan zeg maar begint de oplossing in hoe we zo'n bewustwoningscampagne gaan starten, die komt al vanuit de organisatie. Die komt vanuit de werkvloer, die komt vanuit het directieniveau, die komt vanuit het MT niveau. En dat draagt wel bij aan dat jij het niet zelf allemaal hoeft te bedenken, maar dat het een gedrage oplossing is die vanuit de organisatie komt.

SPEAKER_02: 20:51

Alright, nou, wat veel te zeggen, jongens. Dank ook voor de laatste input. Natuurlijk, een beetje mijn pakje. Mystery visits: incidenten creëren en daarmee bewustwordingssies erachteraan en awareness sessies. En even nog fysieke maatregelen die altijd als ondersteunend zijn en communicatie die heel belangrijk is. Even nog over de vraag van Lonneke, maar laten we doorgaan naar de volgende vraag, als jullie ook een goed idee vinden. Bouken, hallo heren, jullie hebben een oproep gedaan voor vragen. Voor mijn vraag zal geen kant-enklaar antwoord zijn, maar ik ben benieuwd naar hoe jullie kijk erop. We hebben inmiddels beleid gemaakt en er zijn risicoanalyses gedaan. De directie staat hierachter en we kunnen met een goede uitleg budget aanvragen. We hebben offertes opgevraagd voor camera's, toegangscontrole en het inbraakalarmsysteem. Daarmee hebben we een beeld van de kosten en mogelijke investeringen. De veiliging staat nu duidelijker op de agenda en de directie wil dit jaar ook zichtbare verbeteringen zien. Wij merken dat we moeten kiezen, omdat niet alles tegelijk kan. Hoe bepaal je nu wat je nu oppakt en wat je bewust uitstelt, wat zijn jullie inzichten hierin? Rete van Bouke.

SPEAKER_01: 21:56

Oké, mooie stappen gezet al.

SPEAKER_00: 21:59

Die zijn flink op weg, inderdaad. Dus zij hebben al beleid en dat is vastgesteld, dus dat is heel belangrijk. Dus daarmee heb je dat draagvlak. Er is een risicoanalyse gedaan, dat is ook gedeeld met de directie. Dus de rectie is best wel aangehaakt al. Maar nu gaat het er even om van ja, het is toch wel veel. Wat gaan we nou precies doen?

SPEAKER_02: 22:26

Ja, dat heeft direct te maken met de investeringen, de tijd en het geld wat ermee gaat.

SPEAKER_00: 22:32

Ja, precies. Wat mij trouwens wel opvalt, is, hij noemt een aantal dingen waar ze offertes voor hebben. En dat zijn allemaal elektronische maatregelen.

SPEAKER_01: 22:43

Jij hint natuurlijk op de organisische kant van het verhaal. Ja, ik weet het niet, Bouke. We weten alleen wat hier staat. Maar als je dat zo leest, dan denk je, misschien is er ook wel goed nagedacht over de interne beheersorganisatie, hoe je al dit soort maatregelen die je niet eenmalig investeert, maar later ook moet gaan beheren oplost.

SPEAKER_02: 23:06

Even onderbreken, interne beheersorganisatie. Wat bedoel je met?

SPEAKER_01: 23:10

Nou ja, als je besluit om offertes uit te vragen en je besluit iets te kopen, een product of een oplossing of een systeem. Dan wordt dat vaak in een project gerealiseerd. En op een gegeven moment is een project klaar. En dan moet een organisatie daar zelf mee aan de slag. En dat betekent dat je wel de expertise en de handjes moet hebben om dat ook zelf te kunnen beheren. Dus dat is ook iets waar je over na moet denken. Misschien maken we nu de vraagstelling van bouwen alleen nog maar groter. Maar dat is wel een heel belangrijk iets. De interne organisatie moet er ook klaar voor zijn.

SPEAKER_00: 23:40

Ja, niet alleen het beheren. Dat noemen wij dan beheren, maar eigenlijk ook het gebruiken. Dus het uitgeven van passen, het autoriseren, het opslaan van beelden, terugkijken. Gewoon het gebruik van de producten die je gaat aanschaffen. Maar nog heel even een klein stukje terug. Want ik zei: opvallend is dat we hier het hebben over de. En jij hebt het over de O. Maar laten we hem dan even afmaken. We hebben het OB en E.

SPEAKER_02: 24:05

Oké, ik moet je even onderbreken hoor. Kun je noemen wat de E, de O en de W zijn voor de luisteraar. Dat wilde ik niet.

SPEAKER_00: 24:11

We hebben het er eerder over gehad al. De meeste luisteraars die in het vakgebied zitten, die kennen dit. Maar dat zijn de organisatorische, bouwkundige en elektronische maatregelen. En die zet samen is één indeling en die moeten in samenhang getroffen worden. En ja, bouwkundig wil je ook het een en ander realiseren. Want je kan wel een paslezer erop doen. Maar als je vervolgens zo door een karton het muurtje heen trapt daarnaast, dan ben je alsnog binnen. Dus dat moet allemaal in samenhang met elkaar zijn. En wat ik ook merk, is dat Bouken was het, Bouke, die geeft aan van directies helemaal mee. En waar is directie op mee? Op alles wat geld kost, dat zijn die elektronische dingen, dat gaat vaak in de tonnen lopen. Maar die organisatiekant, die moeten we niet onderschatten. Dus dat is wat Milan net al even aangaf. Dus ja kijk er in ieder geval, ik hoop dat je dat al gedaan hebt, Bouken, maar kijk er breder na. En zorg dan dat je dat integraal bekijkt. En dat maakt ook meteen weer de reden waarom dingen meteen zo groot en complex worden. Omdat je er veel breder naar moet kijken dan alleen het aanschaffen en alleen maar het akkoord geven op een offertetje.

SPEAKER_01: 25:22

Ja, en ik weet natuurlijk niet hoe de keuze tot die maatregelen tot stand is gekomen. Dus hopen we dat je daarin inderdaad het integrale karakter hebt gebruikt om andere afdelingen, zoals bijvoorbeeld je techniek of je IT-afdeling ook te betrekken. Want zij zullen er ook iets van vinden. Zij moeten straks iets met deze maatregelen om het überhaupt te kunnen realiseren, dan wel te kunnen beheren. Die hebben natuurlijk ook een capaciteitsvraagstuk. Dus wat helpt, Bouke, is dat geldt ook voor Maloes, maar dat geldt dus ook voor Bouken. Jij hoeft niet per se te bepalen in welke snelheid we dingen doen. Je kunt dat het beste gezamenlijk met elkaar bepalen. Dus maak iets van een projectplan en probeer de capaciteit die je van de verschillende afdelingen nodig hebt inzichtelijk te maken. En probeer gezamenlijk te prioriteren. Wat gaan we eerst doen en wat gaan we laten doen. En neem dan vooral die directie daarin ook mee, zodat zij die keuzes of die adviezen die hij geeft onderschrijven. Zodat het niet de keuze van bouwken is wat we eerst gaan doen en wat we laten gaan doen, maar dat de gezamenlijke organisatiekeuzes.

SPEAKER_02: 26:20

En als we daar vanuit gaan dat dat allemaal wel een orde is, de Ook, de organisatie staat, alles is eigenlijk echt klaar daarvoor. Ja, dan heb je het over die prioritering. Wat is er een vuisregel van waar je mee begint, zoal, meestal? Of kun je dat echt niet algemiseren?

SPEAKER_00: 26:35

Nou ja, misschien niet de vuistregel, maar wat wij door gaan zien is dat er bepaalde redenen zijn om ergens mee te beginnen voor het ander. Wat zagen we ook in de vorige vraag, we willen eigenlijk gaan starten. Maar we moeten ook nog dingen doen. Maar er moet ook zichtbaarheid zijn. Dus dingen die zichtbaar zijn, is bijvoorbeeld als we het over toegangscontrole, stel dat je een nieuw toegangscontrolesysteem wil, dan weet je misschien nog niet welk toegangscontrolesysteem dat wordt. Maar je kan wel al nadenken over je autorisatieprofielen. Dus los van het systeem zelf, kan je wel gaan nadenken van wat nou de administratieve acties en interne handelingen die we allemaal moeten doen om dat op te vragen. En datzelfde geldt voor als we bijvoorbeeld naast het toegangscontrolesysteem ook een pasje willen gaan voeren met een foto erop, en die hadden we nog niet. Nou, dan moeten er misschien honderden of duizenden mensen op de foto komen. Dat zijn allemaal dingen die al in gang gezet kunnen worden. Maar je kan niet zeggen van start met je camera's, doe dan je toegangscontrole. Zo werkt het niet. Daar zit niet echt een. Het moet er eigenlijk allemaal al zijn. Vaak. Daar zit niet echt een volgorde in.

SPEAKER_02: 27:47

Ja, want als je terug gaat naar de vraag van bouwen, wat ga je nu doen? Wat ga je straks doen? Die vraag valt dan niet te beantwoorden.

SPEAKER_01: 27:54

Nou ja, je kunt natuurlijk wel kijken naar de acties die hij zelf al heeft uitgevoerd. En ik zie dat er hier risicoanalyses is gedaan. En niet iedere risico zal hetzelfde gescoord zijn. Dus je zou kunnen kijken, wat zijn nou mijn toprisico's? En laat ik daar nou eens de focus op leggen welke maatregelen kan ik nou implementeren. En die kunnen elektronisch, maar ook welkundig van aard zijn of organisatorisch. Welke maatregelen kan ik nou eerst implementeren om die risico's beter beheersbaar te maken. En misschien nog aanvullend daarop zou je ook eens kunnen kijken welke maatregelen kan ik nou treffen die impact hebben op meerdere risico's. Dus die meerdere risico's tegelijkertijd adresseren. Zodat je met de maatregen die je implementeert direct invloed hebt op meerdere risico's. Maar goed, dat is een aanname die ik doe, maar ik denk wel dat die investeringen die Bouwk je beoogte te doen gedaan worden om die risico's naar een beter beheersbaar niveau te brengen. Dus kijk van ja, waar moet ik eerst beginnen? Wat zijn mijn toprisico's?

SPEAKER_00: 28:48

We maken deze podcast om kennis met je te delen over onze praktijkervaringen. Maar de praktijk, dat ben jij. En misschien sta je in jouw organisatie wel voor een lastig beveiligingsvraagstuk. Of heb je een vraag over hoe iets in de praktijk werkt en wil je weten hoe je dit kan aanpakken? Mail ons dan op podcast.beveiligingbinnenskamers.nl. Je krijgt altijd persoonlijk antwoord van ons. En misschien behandelen we jouw vraag wel in een nieuwe aflevering. Oké, nou, we hebben er maar een paar vragen gehad. En Milan, wij hebben geprobeerd daar een beetje antwoord op te geven. Maar ik ben wel even benieuwd, Joris, hoe zijn de antwoorden bij jou gevallen?

SPEAKER_02: 29:25

Nou, heel goed, ik heb kennis op gedaan, sowieso, zoals altijd. Het enige is, ik merk aan de vragenstellers, Marloes, Lonneke, ook Bouken. Eigenlijk steeds hetzelfde. Je wil vooruit, je wil concrete advies, concrete maatregelen, concrete actiepunten, maar je moet een stap terug doen. Dat is wat ik je door zeggen.

SPEAKER_00: 29:43

Ja, dat kan soms voelen als een stap terug. Dit is wel een valkuil, Milan, die wij ook wel vaker tegenkomen. Als je zo'n vraag krijgt, dat je ook geneigd bent om hem te beantwoorden.

SPEAKER_01: 29:54

En het antwoord geven op die keuze van hoe snel we dingen gaan doen, is misschien helemaal niet de verantwoordelijkheid van Loes of Loeneke of Bouken. Maar het is wel hun verantwoordelijkheid om de juiste context mee te geven om die mensen binnen Directie of MT de keuze te kunnen laten maken. Dus daar liggen wel hun verantwoordelijkheden in.

SPEAKER_02: 30:12

Oké, helder voor nu, denk ik, ik wil hem ook graag afhonden voor deze aflevering, maar niet al in de aflevering, nog het hele seizoen. En natuurlijk wil ik graag de luisteraar bedanken. Jullie waren er voor meter aan bij. Heel veel enthousiaste reacties gehad. En ook dus inzendingen en blijft dat vooral doen. Vragen stellen, die beantwoorden we graag.

SPEAKER_01: 30:31

En uiteindelijk jij ook bedankt, Joris. Graag gedaan. En we zijn er natuurlijk nog niet. We gaan vol goede moed en heel veel zin een nieuw seizoen maken binnenkort.

SPEAKER_00: 30:41

Ja, en ben je er ook weer bij, Joris? Wie ik? Ja, dat lijkt me heel leuk. Zeker helemaal top. Je luisterde naar Beveiliging Binnenkamers via Spotify, YouTube of Apple podcast. Wil je geen aflevering missen? Abonneer je in je favoriete podcast app. Geef een beoordeling of like. Dit helpt ons om door te blijven gaan. En zo help je anderen deze podcast ook te vinden. Bedankt voor het luisteren en tot de volgende keer een podcast van Security Risk Watch.