Eerder hebben we het al gehad over de principes die we moeten stellen en de keuzes die we moeten maken als het gaat om toegangscontrole. Daar hebben we inmiddels over nagedacht en we weten hoe zwaar de toegangscontrole moet worden voor elk van de gebouwen.
We gaan al denken aan het aanschaffen van de toegangsdeuren, de elektronica en de toegangspasjes. Maar als we daar dan toch al over aan het nadenken zijn, kunnen we dat mooi combineren met het beheer van de toegangsautorisaties.
Daarom de vraag:
Zijn er maatregelen vastgelegd rond het beheer van de toegangsautorisaties (toegangspasjes, sleutels), ook in het geval van een calamiteit?
Enerzijds moeten we nadenken over het beheer van de toegangsautorisaties tijdens de dagelijkse gang van zaken, anderzijds moeten we er ook bij stilstaan dat de maatregelen moeten werken tijdens of na een calamiteit. Laten we eerst op de dagelijkse gang van zaken ingaan.
Zodra we besloten hebben dat de toegang gecontroleerd moet worden, moeten we er ook voor zorgen dat de medewerkers (en de bezoekers en leveranciers) nog wel het gebouw in kunnen. We moeten de autorisaties nu ook weer niet zo strikt zetten dat het wel erg leeg blijft binnen de 4 muren. Sterker nog: stellen we de regels te strikt dan gaat men proberen manieren te vinden om er omheen te komen.
We zien dat bijvoorbeeld terug bij het aannemen van nieuw personeel. Alles is geregeld en maandag kunnen ze beginnen. Helaas kunnen we ze nog geen toegangspasje verstrekken…dat duurt altijd even. Maar ja, ze willen graag aan de slag dus een collega houdt wel even de deur voor hen open of we zien hele busladingen medewerkers op hetzelfde pasje door de draaideur gaan. Ja, wat kun je dan nog van de toegangscontrole verwachten?
We moeten dus zorgen voor een zo efficiënt mogelijk proces. Een nieuwe medewerker moet zo snel mogelijk een pasje krijgen, collega’s die hun pasje vergeten zijn moeten we ook naar binnen kunnen laten. Bezoekers willen we vooral ook niet te lang bij de receptie laten wachten en vaste leveranciers (schoonmakers, de monteur van de koffieautomaat, etc.) krijgen natuurlijk ook een leverancierspas.
Al met al wordt het al een hele verzameling personen met toegangsrechten. Maar ja, niet iedereen hoeft dezelfde rechten te hebben. Niet iedereen hoeft onze beveiligde ruimtes in, niet iedereen hoeft in de serverruimte te kunnen. Kortom: we moeten zorgen voor compartimentering binnen onze gebouwen. Afhankelijk van hoe gedetailleerd we te werk willen gaan, kan iedere medewerker persoonlijke autorisaties krijgen en kunnen we ook nog eens per ruimte de autorisaties verstrekken. Een hele wirwar aan rechten die we in autorisatiematrixen vast leggen.
Zo, alles geregeld, toch? Maar wat als er een calamiteit ontstaat? Wat als het brandalarm af gaat? Gaan dan automatisch alle deuren naar buiten toe open? En zo ja, hoe weten we dan wie het gebouw verlaten heeft? Hoe weten we zeker dat er niet een onverlaat juist het alarm af heeft laten gaan om vrij naar binnen te kunnen? Dat weten we niet als we er niet eerst goed over nadenken.
Hier geldt weer dat de veiligheid (vanuit wetgeving) boven onze eigen regelgeving (beveiliging gaat). Natuurlijk moet iedereen veilig het gebouw kunnen verlaten, maar niet iedereen hoeft ons gebouw in te kunnen. Een pasklare oplossing is er niet, dat zul je echt per gebouw en per situatie moeten bekijken…maar dat mag geen reden zijn om er niet over na te denken.