Wat wij hebben
opgelost en geborgd
Geen referentielijst. Concrete situaties — wat er speelde, wat wij deden, wat het opleverde.
Elk project hieronder is een weergave van een werkelijke situatie, geanonimiseerd maar inhoudelijk volledig. Geen succesverhalen zonder context, geen resultaten zonder eerlijk beeld van waar het van uitging. Want de waarde van advies zit niet in wat er uiteindelijk hangt — maar in wat er was, wat er miste, en welke keuzes zijn gemaakt om dat te veranderen.
Zes projecten, zes situaties
Ongecontroleerde toegang na jaren van groei
Bij een steekproef bleken 68 actieve badges te behoren aan medewerkers die de organisatie al verlaten hadden. Drie externe onderhoudsbedrijven hadden onbeperkte sleuteltoegang, inclusief tot ruimten met medicatie en cliëntendossiers. Er was geen koppeling met het HR-systeem, geen beheerproces, geen eigenaar.
Volledige audit van alle actieve rechten. Nieuw autorisatiemodel op basis van functieprofielen. Koppeling instroom/uitstroom HR aan toegangssysteem. Contractuele toegangsbeperking voor leveranciers met tijdregistratie. Beheerplan met kwartaalreview.
68 badges gedeactiveerd in week één. Toegangsbeveiliging operationeel als veiligheidsmaatregel in plaats van registratiesysteem. Eerste kwartaalreview toonde nog 11 aanpassingen — bewijs dat het proces werkt.
Camerasysteem dat AVG-risico was in plaats van veiligheidsmaatregel
De Functionaris Gegevensbescherming wist niet dat twee van de zes locaties camerabewaking hadden. Bewaartermijnen waren ingesteld door een medewerker die al vijf jaar uit dienst was. Ex-medewerkers en stagiairs hadden toegang tot live beelden. Geen DPIA, geen verwerkersovereenkomsten met de leverancier.
Volledige inventarisatie van alle camera's, gebruikers en configuraties. DPIA per locatietype. Bewaartermijnen hersteld conform AVG en doelbinding. Toegang beperkt op basis van functie met logging. Verwerkersovereenkomsten opgesteld en getekend. Dekkingsanalyse met blinde-hoekenaudit.
Camerabeveiliging volledig AVG-compliant. Drie camera's verplaatst op basis van dekkingsanalyse. FG geïnformeerd en betrokken in beheer. Risico op boete en reputatieschade gemitigeerd.
Systeem dat alarm sloeg op de verkeerde locatie
Medewerkers die alleen werkten 's nachts en in de ochtend, hadden in de praktijk geen betrouwbaar alarm. Signalen kwamen door, maar locatiebepaling wees systematisch naar de verkeerde bouwlaag. De situatie had zich meerdere keren bijna kritisch ontwikkeld. Er was geen formele melding gedaan, omdat het systeem immers "wel werkte".
Volledig dekkingsonderzoek met locatiemeting per bouwlaag. Realtime locatiebepaling als harde eis meegenomen in de leveranciersselectie. Opvolgproces herzien met heldere rolverdeling per ploeg. Training op alle afdelingen in kleine groepen met praktijkoefening. Jaarlijkse oefening verankerd in beheercyclus.
Nieuw systeem met ±2 meter nauwkeurigheid op alle bouwlagen. 100% van medewerkers getraind binnen drie maanden. Responstijd als KPI in beheerrapportage. Eerste nachtdienst na livegang: alarm correct opgevolgd binnen 45 seconden.
Veiligheid ingebouwd — niet achteraf toegevoegd
Een zorgorganisatie bouwde een nieuw locatiegebouw voor een intensieve doelgroep. De architect had geen veiligheidsadvies gevraagd; de opdrachtgever nam aan dat dit in het ontwerp zat. Bij de eerste rondgang door het bouwdossier bleken cruciale keuzes al vastgelegd: vluchtrouteposities, cameradode hoeken en de locatie van de nachtpost.
Vroegtijdige betrokkenheid bij resterende ontwerpkeuzes. Veiligheidseisen per ruimtetype gedefinieerd. Cameraposities en dekkingsontwerp afgestemd op risicokaart. Toegangscontrole-architectuur meegenomen in bouwspecificaties. DPIA opgestart voor het totale locatieontwerp.
Vijf ontwerpwijzigingen doorgevoerd die na oplevering onmogelijk waren geweest zonder sloopwerk. Veiligheidssystemen bij opening volledig operationeel en geborgd — niet toegevoegd als noodoplossing achteraf.
Systemen aan het einde van hun levensduur — zonder budget
Een organisatie ontdekte dat camera- en alarmeringssystemen op vijf locaties tegelijk hun technische levensduur hadden bereikt. De leverancier stopte met ondersteuning. Vervanging was acuut nodig, maar stond niet in de begroting. Bestuur en facilitaire dienst wisten het allebei niet — omdat er nooit een beheerregister was.
Noodplan voor meest kritieke locaties. Levensduurregister opgesteld voor alle 23 systemen. Meerjarenplanning met vervangingsmomenten en indicatieve kosten. Beheerplan met eigenaar en jaarlijkse toetsing. Aanbestedingsbegeleiding voor de eerste vervangingsfase.
Kritieke locaties beveiligd binnen zes weken. Bestuur voor het eerst met volledig overzicht van investeringsplanning veiligheid. Structureel budget opgenomen in meerjarenbegroting.
Data die er al was — maar niemand gebruikte
De organisatie registreerde elk incident al jaren nauwkeurig. De gegevens lagen in drie verschillende systemen die niet met elkaar spraken. Managers kregen eens per kwartaal een tabelletje met aantallen. Patronen werden niet gezien, verbindingen niet gelegd, beleid niet gestuurd.
Datakoppeling tussen meldsysteem, alarmeringssysteem en cameraregistratie. Dashboardstructuur ontworpen per managementniveau. Tijdstip-, locatie- en cliëntgroepanalyse. Privacy by design toegepast op alle datakoppelingen. Presentatie aan bestuur en IGJ-rapportage.
Eerste analyse toonde drie tijdvensters verantwoordelijk voor 61% van de incidenten. Roosteraanpassing op twee locaties op basis van data. Bestuur kon voor het eerst aantoonbaar verantwoording afleggen over veiligheidsbeleid bij IGJ-inspectie.
Elk van deze projecten begon met een organisatie die het goed wilde doen — maar die miste wat nodig was om te weten waar te beginnen. Dat is precies waar wij voor zijn.