OVER CERTIFICERINGSADVIES NEDERLAND

De wet overtreden is nergens voor nodig

“Iedereen heeft te maken met veiligheid. Want je kunt wel een veiligheidscoördinator aanstellen binnen je bedrijf, maar als iedereen naar die persoon wijst als het over veiligheid gaat heb je een probleem. Zo werkt dat natuurlijk niet in de dagelijkse praktijk.” Aldus Nelis van de Pol, algemeen directeur en oprichter van CertificeringsAdvies Nederland.

Iedereen in het bedrijf is verantwoordelijk voor veiligheid?

“Ja, iedereen is verantwoordelijk voor kwaliteit of voor veiligheid, voor milieu, voor voedselveiligheid of voor informatiebeveiliging. En ja, dat geldt ook voor de uitzendbranche. Zo kan een uitzendorganisatie wel een veiligheidscoördinator kan hebben, maar als een intercedent bij een klant geen aandacht besteedt aan de risico’s op de werkvloer waar de toekomstige uitzendkracht komt te werken, dan kun je coördineren wat je wilt, maar dan gaat het ergens niet goed.”

De intercedent moet die risico’s kunnen inschatten?

“Dat is uiteindelijk wel de essentie van de VCU-norm. De uitzendorganisatie is verplicht om op het moment dat er met de inlener wordt gesproken over een potentiële opdracht naast de functie inhoudelijke zaken ook de risico’s van de opdracht en de functie te inventariseren. En: de uitzendorganisatie is ook verplicht om de uitzendkracht daarover vooraf te informeren: joh, jij gaat deze klus doen, maar let op, dit zijn de vakinhoudelijke aspecten, dit zijn de risico’s die erbij horen en dit zijn de maatregelen die daarvoor zijn getroffen. Dan gaat het om zaken als voorlichting, instructies en het verstrekken van persoonlijke beschermingsmiddelen en dergelijke. Los daarvan speelt de vraag of het noodzakelijk is dat de uitzendkracht zelf VCA-persoonsgecertificeerd is. Overigens is het volgens de Arbowet wel zo dat op het moment dat er een uitzendkracht bij bijvoorbeeld een bouwbedrijf aan het werk is, dat bouwbedrijf verantwoordelijk is voor de veiligheid van die uitzendkracht.”

Waar begint en eindigt de verantwoordelijkheid van het uitzendbureau dan?

“Het gaat erom dat iedereen in het proces van recruiten en plaatsen zich terdege bewust is van het feit dat het wel om mensen gaat. Dat het om de veiligheid en de gezondheid gaat van een uitzendkracht die gewoon veilig aan het werk wil. Zowel het uitzendbureau als de inlener hebben daar een verantwoordelijkheid in. En dan kun wel zeggen ja, maar iemand kan toch zelf logisch nadenken. Dat is misschien wel zo, maar niemand bepaalt of weet precies hoe iemand nadenkt. Dus er is enerzijds het zakelijke aspect van het ‘moeten’. Maar anderzijds, en dat is gewoon veel belangrijker, gaat het gewoon om het zorgen voor mensen.”

Is de mens met betrekking tot veiligheid de zwakste schakel?

“Interessant. Laat ik zeggen dat de mens wel vaak de kwetsbare factor is als het om veiligheid gaat. Je kan nog zoveel protocollen, werkinstructies en persoonlijke beschermingsmiddelen ter beschikking stellen, maar als mensen zich niet voldoende bewust zijn van de risico’s en de aangeboden maatregelen niet voldoende serieus nemen, schiet je er niet zoveel mee op. Dat geldt overigens voor zowel arbo-veiligheid als voor informatieveiligheid. Dat laatste is in alle opzichten echt een hot topic op het moment. Om de urgentie op dat vlak te etaleren: in 2016 hebben we, denk ik, twee opdrachten gedaan rondom informatiebewaring, in 2017 startten we ongeveer twee opdrachten per maand op en nu zitten we op zo’n vijf tot tien opdrachten per maand. Dat komt onder andere door de veranderde Wet bescherming persoonsgegevens, de meldplicht datalekken en dit jaar de introductie van de AVG. En dat gaat allemaal over privacy en informatiebeveiliging.”

“In al die trajecten gaat het erom de interne organisatie en processen zodanig in te richten dat het bewustzijn rondom risico’s groeit en de maatregelen die getroffen worden ook echt structureel worden toegepast. De opleidingen en trainingen die wij daarin geven, gaan enerzijds over normkennis – waar moet je nou eigenlijk aan voldoen en waarom? – maar vooral ook over dat bewustzijn. Want nogmaals, je kunt zo veel regelen, maar als een medewerker zich niet bewust is van de risico’s, dan is hij of zij de meest kwetsbare schakel in je veiligheidssysteem.”

“Elke organisatie is het eigenlijk aan zichzelf verplicht om harde afspraken te maken met en over medewerkers vanaf de allereerste kennismaking tot soms ver na de uitdiensttreding. Hoe moeten ze met bepaalde informatie omgaan? Tot welke systemen hebben ze toegang? Welke rechten krijgen ze in het gebruik van software? Is het wellicht zinvol om mensen te laten screenen? En als je al dat soort dingen op de rit hebt, kijk dan eens hoe streng je voor jezelf bent? Je kan mensen van voor tot achter en van links naar rechts doorlichten, maar als je dan een IT-project uitbesteedt aan een of ander automatiseringsbedrijfje waar niemand gescreend is, heb je kans dat je toch ergens de mist ingaat. En als iemand uit dienst gaat, regel dan tijdig de blokkades op systemen. Bouw controles in zodat die maatregelen ook daadwerkelijk getroffen worden. Maak beleid.”

Zie je dat soort issues over informatiebewaring ook in de uitzendbranche?

“Ja, zeker. En met name in de uitzendbranche worden informatiebeveiliging en privacy ontzettend belangrijk. Na de automatiseringsbedrijven en de softwareontwikkelaars wordt dat de branche waarin veel werk aan de winkel is. Ik denk dat momenteel, als het over informatiebeveiliging gaat, 99 van de 100 klanten bij ons IT-bedrijven of softwareontwikkelaars zijn. Langzaamaan komen daar andere organisaties zoals uitzendbureaus, waar veel privacygevoelige data aanwezig zijn, bij. En dat is logisch als je ziet waartoe men vanuit de wet- en regelgeving verplicht is; je moet goed beleid voeren.”

“Maar toch, heel veel bedrijven weten heus wel wat er speelt en dat ze iets moeten doen, maar beginnen er niet direct aan omdat ze het niet overzien. Of omdat ze denken dat het te complex voor ze wordt. Dat het te veel gedoe oplevert.”

Hoe gaan we dat met zijn allen oplossen voor 25 mei?

“Niet. De AVG is vanaf 25 mei verplicht, maar het gaat echt jaren duren voordat iedereen daar helemaal aan voldoet. En de inhoud van de AVG laat nog veel ruimte voor interpretatie waardoor het voor organisaties lastig is om concrete stappen te zetten. Er is al wel een Autoriteit Persoonsgegevens ingesteld die straks die wet gaat handhaven, maar deze heeft nog lang niet voldoende capaciteit om alle organisaties in Nederland te controleren.”

“Zoals ik het zie, zijn de hele grote bedrijven er nu heel bewust mee bezig, want die weten dat als er een nieuwe wet wordt ingevoerd er eerst naar hen gekeken wordt bij de handhaving. Niet één bedrijf wil als eerste in de krant staan met de mededeling dat ze niet aan de wet voldoen. Dus die zijn er heel druk mee. En als die grote organisaties, de Shells en Unilevers van deze wereld, compliant zijn, gaan ze dat vervolgens ook van leveranciers en toeleveranciers verwachten. Onder het mom van hé, jij hebt toegang tot mijn data, hoe ga jij daarmee om? Stapje voor stapje kom je telkens een laag dieper en zo waaiert die AVG zich steeds verder uit, de economie in. Op zich is dat een prima methode.”

Schrijf je in voor onze nieuwsbrief
Wellicht ook interessant