Beveiligingsvoorschriften in functiebeschrijvingen

Zoals we inmiddels allemaal weten, is beveiliging een lijnverantwoordelijkheid. Iedereen is voor zijn of haar deel verantwoordelijk voor de beveiliging. De algemeen directeur, de lijnmanager, de medewerker en natuurlijk ook de security officer. Daarom is het goed om in de functiebeschrijvingen vast te leggen welke verantwoordelijkheid een ieder heeft.

De vraag:
Wordt in de functiebeschrijvingen verwezen naar de beveiligingsvoorschriften?

We zien nog wel eens (of eigenlijk erg vaak) dat de medewerkers in de organisatie denken dat de security afdeling verantwoordelijk is voor de beveiliging. Natuurlijk spelen zij een belangrijke rol in het beschikbaar stellen van beleid, kaders en ondersteunende informatie. Maar feit blijft dat beveiliging pas gaat werken als iedereen zijn verantwoordelijkheid neemt.

De functiebeschrijving van de security officer bulkt natuurlijk van de inhoudelijke punten op beveiligingsgebied. Maar ook in de functieomschrijvingen van de lijnmanagers en de medewerkers moeten we minimaal beschrijven dat beveiliging een lijnverantwoordelijkheid is en dat men geacht wordt zich aan het beleid en de richtlijnen te houden.

In het beveiligingsbeleid hebben we ook al in een eerder stadium beschreven dat het de lijn is die verantwoordelijk is. En we kunnen natuurlijk hopen dat iedere medewerker dat beleid gaat lezen…maar dat is een utopie. Juist daarom moeten we in de functieomschrijving ook iets opnemen, we moeten het er met de medewerker over hebben tijdens het functionerings- of beoordelingsgesprek. Dat klinkt misschien allemaal wat zwaar, maar het kan gewoon in 1 zin worden afgedaan.

We moeten natuurlijk niet doorschieten en we moeten zeker niet alle beveiligingsdetails opnemen in de functieomschrijvingen, dan wordt het allemaal wel erg veel papier (want naast beveiliging zullen we dan ook andere aspecten volledig uit willen schrijven). Nee, het volstaat om aan te geven dat beveiliging een gedeelde verantwoordelijkheid is waaraan iedereen zijn of haar bijdrage levert. De details die werken we dan wel uit in beleid en procedures die we beschikbaar stellen via het intranet.

Net als bij de geheimhoudingsverklaring gaat het natuurlijk niet zozeer om de formaliteit van het vastleggen. Nee, het gaat erom dat de medewerker zich bewust wordt. Het ging om kennis, houding en gedrag en dat bereiken we niet door het alleen maar in de functieomschrijving op te nemen. Dat is slechts een klein stapje in het grotere geheel, maar wel een stapje dat we zullen moeten nemen op weg naar ons einddoel: een goede beveiliging, passend bij de organisatie.