Wat heeft HR met security te maken?

Alles natuurlijk. Het humanresourcesproces is een cruciale bouwsteen van corporatesecuritymanagement. Uiteindelijk gaat het over wat iemand doet om een organisatie, de mensen erin en eromheen en de belangen van die organisatie veilig te maken en te houden. Veiligheidszorg is mensenwerk. Alle spullen, methoden, instrumenten; uiteindelijk komt het er altijd weer op neer wat iemand doet als er daadwerkelijk iets gebeurt of geconstateerd wordt: optreden of negeren. Voorbereid zijn en de bereidheid voelen om op te treden, bewust en alert zijn, en competent en bevoegd zijn. Dat zijn de drie aspecten waar je mensen op selecteert, aanstelt, traint en beoordeelt.

En dat doe je met het securitypersoneel?

Nee, dat doe je met iedereen in de organisatie. Alle interne dreigingen en de risico's die daaruit voortvloeien beperk je in eerste instantie met HR-maatregelen. Dat is niets nieuws overigens; dat geldt voor iedere organisatie met meer dan één medewerker. Het hele idee van een arbeidscontract is dat je daar de rechten en plichten opneemt van zowel de werkgever als de werknemer; dat kun je opvatten als omgaan met risico. Omgaan met risico's in en om de organisatie gaat iedereen in en om de organisatie aan. Dat is de grote valkuil voor ieder securityonderdeel in iedere organisatie. Doordat het een securityonderdeel is, gaan mensen in de organisatie ervan uit dat het geregeld is: dat is wat de security doet.

Noem eens een voorbeeld?

Toegangspasjes; eigenlijk identity and access management. Het meest voor de hand liggende en zichtbare element in organisaties zijn toegangspasjes. In Nederlandse organisaties overigens vaak onzichtbaar: we hebben in Nederland de merkwaardige gewoonte ze niet te dragen, of in de broekzak of half verscholen onder je jasje. Het handhaven van toegang tot gebouwen en delen daarbinnen, zeker in grote complexe organisaties waar mensen elkaar maar beperkt kennen, werkt alleen als mensen zichtbaar die pasjes dragen. En vervolgens elkaar aanspreken als het erop lijkt dat iemand zich ongeautoriseerd ergens bevindt, en security informeren.

Dat is vooral een cultureel ding dus

Ja, deels wel. Het is de leidinggevende en/of HR die bepaalt dat iemand geautoriseerd wordt. Op grond van zijn of haar functie en rollen die iemand vervult voor de organisatie wordt besloten waar diegene toegang toe heeft, in welke systemen hij of zij mag werken en over welke gegevens iemand mag beschikken. Het is in feite pas in tweede instantie securitybeleid: als een medewerker zich niet houdt aan de afgesproken autorisaties of gedragsregels, is er HR-beleid om hierop te handhaven. En inderdaad, het is ook zeker cultuur. Verwachten dat de security het gebruik van toegangspassen afdwingt, kan en mag, maar echt effectief wordt het pas als dat een breed gedragen maatregel is door de hele organisatie. Het punt is dat veiligheid in en om organisaties een aangelegenheid is voor iedereen in de organisatie, niet alleen een aangelegenheid voor de afdeling security.

Wat kun je aan HR-maatregelen treffen op het vlak van security?

Een gedegen screeningsbeleid pas je toe op alle nieuwe medewerkers. In de arbeidsvoorwaarden kun je opnemen dat mensen herhaald worden gescreend in de loop der tijd. Je kunt in de arbeidsvoorwaarden opnemen dat medewerkers zich houden aan het veiligheidsbeleid van de organisatie en dat zij een gedragscode naleven, voor henzelf en in de samenwerking met hun collega's. Geheimhoudingsverklaringen, een reputatiebeding, een relatiebeding, een concurrentiebeding: het zijn allemaal instrumenten die je kunt inzetten vanuit HR ten behoeve van veiligheidszorg in de organisatie. Dit zijn de voor de hand liggende instrumenten. Minder voor de hand liggend is het om HR en security op regelmatige basis met elkaar om de tafel te zetten en met elkaar uit te wisselen wat er over en weer in het kader van beperking van risico te doen is in de organisatie.

Klinkt wel een beetje als een kooi van papier…

Dat is het als je niet zorgt voor naleving. Ethische normen, gebruik van e-mail en internet, gedrag op social media, nevenwerkzaamheden: als je mensen er niet op aanspreekt, zijn alle afspraken die je maakt in feite non-existent. Dit werkt alleen als je als organisatie bereid bent om toe te zien op naleving, ontvankelijk bent voor meldingen, daaraan opvolging geeft en consequenties verbindt aan het niet naleven door een medewerker. Een sanctiebeleid, het niet verhogen van salaris, het beperken van promotiemogelijkheden en in ultimo ontslag, hoort daar bij. Maar dit is niet een kooi. Het is bedoeld om met elkaar de juiste dingen te doen, en de mensen die twijfelen over wat dat juiste is, daarbij te helpen. Dat komt ten goede aan iedereen in een organisatie.