Met een nepwapen de rechtbank binnenkomen? Onderzoeksjournalist Alberto Stegeman liet al eens zien dat het kinderlijk eenvoudig is. Maar veel meer organisaties lopen risico. Dit stelt Jan Paul van der Wallen, Sales Manager bij Securitas. ‘Pasbeheer wordt vaak als bijzaak gezien, terwijl het een cruciaal onderdeel is van de totale beveiliging van je pand.’
In het programma ‘Undercover in Nederland’ wist Stegeman de rechtbank in Utrecht te betreden met een Rijkspas van een medewerker die toegang had tot het gebouw, maar al uit dienst was. Volgens Stegeman zat het lek in de administratie achter de Rijkspas, de multifunctionele smartcard die wordt gebruikt voor de hele Rijksoverheid en moet voldoen aan de hoogste veiligheidseisen.
Het incident in de Utrechtse rechtbank maakte schrijnend duidelijk hoe belangrijk pasbeheer is. En wat er fout kan gaan als pasbeheer als een neventaak bij een administratieve afdeling wordt neergelegd. Want hoewel een Rijkspas bij uitdiensttreding centraal uit het systeem wordt verwijderd, worden toegangsrechten op dit soort passen lokaal toegekend. Van der Wallen: ‘In dit geval had een en ander voorkomen kunnen worden door bij de rechtbank aan te geven dat de ambtenaar geen recht meer had op toegang tot het object.’
Het incident staat niet op zichzelf. Van der Wallen ziet dat het bij vrijwel alle bedrijven fout gaat als pasbeheer niet als primaire taak wordt opgepakt. Met name bij grotere bedrijven is het pasbeheer vaak niet up to date. ‘Oorspronkelijk wordt wel nagedacht over processen en procedures. Er wordt afgesproken welke afdeling en persoon welke rechten krijgen, en welke rechtenprofielen er moeten komen. Na verloop van tijd echter zie je dat er wildgroei ontstaat, dat protocollen worden losgelaten of niet meer worden nageleefd.’
De belangrijkste oorzaken voor falend pasbeheer zijn volgens Van der Wallen het loslaten van werkafspraken door tijdsdruk, het niet overzien van de consequenties van het toekennen van (tijdelijke) rechten en het onregelmatig bijwerken van mutaties. Hierdoor behouden mensen rechten die ze niet meer horen te hebben.
Een complicerende factor van pasbeheer op locatie is het persoonlijke aspect. Van der Wallen: ‘Stel dat jouw neventaak het aanmaken van pasjes en toekennen van rechten is, en een bevriende collega vraagt: ‘Kun je me toegang geven tot de vierde verdieping want ik moet even wat pakken?’ Hoe groot is dan de kans dat je nee zegt? In de praktijk blijkt dat rechten in dit soort situaties vaak worden toegekend. En dat is niet zonder gevaren. Het veelvuldig maken van uitzonderingen leidt tot een minder beheersbaar platform.’
Belangrijk voor goed pasbeheer is volgens Van der Wallen de erkenning dat pasbeheer professioneel moet worden aangepakt. ‘Met name in grote bedrijven is pasbeheer een belangrijke, maar tijdrovende taak. Mensen moeten de tijd krijgen om het goed te doen en voldoende zijn onderlegd. Ze moeten rapportages maken, toegangspassen in de gaten houden die (bijna) verlopen, passen controleren waarbij incidenten hebben plaatsgevonden en werken met protocollen. Zo mag in een uitdiensttredingsprotocol bijvoorbeeld het vinkje ‘pas blokkeren’ niet ontbreken.’
Bij het invoeren van pasbeheer is het verstandig om zowel leidinggevenden en gebruikers als een deskundige te betrekken, weet Van der Wallen. ‘Trainingen van de softwarefabrikanten schieten soms tekort. Met name op het gebied van ondersteuning. Want wie ga je waarvoor toestemming verlenen? En op welke momenten? Het is een vak. Je moet niet alleen begrijpen hoe, maar ook waarom je securitylevels maakt. Je moet weten wat de impact is van compartimentering en het toekennen van rechten.’
Is de werkwijze eenmaal duidelijk, dan is controle noodzakelijk. Van der Wallen: ‘Het is goed om regelmatig, bijvoorbeeld wekelijks of maandelijks, een rapportage uit te draaien zodat je weet welke passen wel en niet worden gebruikt en welke passen toegang hebben tot specifieke ruimtes. Deze actuele informatie kan vervolgens worden getoetst aan de oorspronkelijke rechten en criteria.’
‘In plaats van professionalisering op locatie kiezen bedrijven steeds vaker voor pasbeheer op afstand, oftewel remote pasbeheer’, zegt Van der Wallen. Het voordeel van pasbeheer op afstand is dat de werkzaamheden worden verricht door een gespecialiseerd team dat getraind is nauwgezet te werken met protocollen.
‘De maatschappij verandert snel. Bedrijven werken vaker met flexwerkers of zijn bijvoorbeeld gevestigd in bedrijfsverzamelpanden, waarbij meerdere huurders gebruikmaken van hetzelfde toegangscontrolesysteem. Er vinden hierdoor meer mutaties plaats. Daarnaast zien we dat bedrijven die opereren op meerdere sites zijn geholpen met het uitbesteden van pasbeheer. Het is snel, efficiënt en de kans op fouten is kleiner’, aldus Van der Wallen.
‘Met name protocollen kunnen beter worden beter uitgevoerd’, vindt Van der Wallen. ‘Op het moment dat in de meldkamer een ticket binnenkomt met de vraag of iemand toegang mag tot de derde verdieping, is niet de relatie tussen collega’s, maar het protocol leidend. Heeft een leidinggevende eerder besloten dat er geen toestemming wordt verleend, dan gebeurt dat ook niet. Daarnaast worden tijdelijke rechten beter bewaakt en gecontroleerd.’
Investeren in pasbeheer heeft volgens Van der Wallen meer voordelen dan alleen een veiliger toegangsbeleid. Zo kan steeds meer informatie uit toegangscontrolesystemen worden gehaald. Een mooi voorbeeld is de mogelijkheid van het opschalen van de Bedrijfshulpverlening (BHV) door middel van informatie in het toegangscontrolesysteem. Van der Wallen: ‘Als er meer mensen in een pand aanwezig zijn, dan moeten er ook meer BHV’ers ter plekke zijn. Dat kan worden bewaakt door het systeem. Een ander voorbeeld is het koppelen van een incident op de vijfde verdieping met de dichtstbijzijnde BHV’er. Deze kan na een oproep snel te hulp schieten. In het systeem kunnen competenties en skills worden geregistreerd waardoor het zelfs mogelijk is de BHV-organisatie succesvol op afstand te besturen. Daarnaast sluit goed pasbeheer naadloos aan op het Nieuwe Werken. Zo is het mogelijk precies te zien waar op welke verdiepingen werkplekken over zijn.’
‘Gebleken is dat een goed uitgedacht toegangscontrolesysteem en succesvol pasbeheer grote voordelen heeft voor zowel de beveiliging van een pand, als voor de veiligheid van medewerkers’, zegt Van der Wallen. Pasbeheer is daarom meer dan alleen een administratieve maatregel. ‘Een toegangspas is simpelweg de sleutel van je voor- en achterdeur. Deze is te belangrijk om nonchalant mee om te gaan.’