Beveiliging in de logistieke keten Een praktische aanpak
COLOFON Uitgave
: PROTECT, December 2005
Auteurs
: Dr. A. Veenstra, Erasmus Universiteit Ir. J.F.F. Becker, TNO Mobiliteit en Logistiek Drs. J. Beukema, Buck Consultants International
Bijdragen
: Voor de totstandkoming van dit document is input gebruikt uit het PROTECT project waarin de volgende partijen samenwerken: RSM Erasmus University, Buck Consultants International, de Douane, EVO, Havenbedrijf Rotterdam NV, NDL, TLN en TNO
Fotomateriaal : De foto’s in deze brochure zijn afkomstig van ECT (www.ect.nl) en EVO. Disclaimer
PROTECT
: Ondanks de nauwkeurigheid waarmee dit document tot stand is gekomen dragen de auteurs en het gehele PROTECT consortium geen enkele verantwoordelijkheid voor enige onvolledige of onjuiste informatie die in welke vorm dan ook leidt tot schade ontstaan uit het gebruik van deze informatie door de lezer.
2
Inhoud
Pagina
1
Waarom deze brochure
4
2
Relevante initiatieven en ontwikkelingen
5
3
Maatregelen in de keten
9
4
Stappenplan
11
5
Waar vindt u meer informatie?
15
PROTECT
3
1
Waarom deze brochure?
Beveiliging is een belangrijk thema voor overheden, bedrijven, en individuen. Iedereen heeft met meer en nieuwe beveiligingsmaatregelen te maken gekregen, zowel privé (bijvoorbeeld op vakantie) als op het werk. De aanslagen in Madrid en Londen hebben aangetoond dat terrorisme nog steeds dichtbij kan komen. Naast de aandacht voor terrorisme is er de laatste paar jaar ook opnieuw meer aandacht voor criminaliteit waar ondernemingen mee te maken krijgen. Dit blijkt uit diverse initiatieven zoals het Actieplan Veilig Ondernemen en de Stichting Aanpak Voertuigcriminaliteit. De transport- en logistieke sector is, door haar aard en organisatie, gevoelig voor misbruik door kwaadwillenden en criminelen. Uit onderzoek van het KLPD blijkt bijvoorbeeld, dat criminelen voor smokkel veelvuldig gebruik maken van (Nederlandse) vervoerders, vaak zonder dat die zich daar direct van bewust zijn. Dezelfde kwetsbaarheden waar criminelen gebruik van maken zijn ook beschikbaar voor terroristen. De kwetsbaarheid van de transport- en logistieke activiteiten is onderdeel van de ketens en netwerken waarin bedrijven tegenwoordig hun bedrijvigheid organiseren. Deze ketens bestaan uit meerdere lagen van partners en onderaannemers, waarbij veel bedrijven alleen zicht hebben op de partners waar ze direct zaken mee doen. Wat er verder in de keten wel of niet gebeurt, onttrekt zich vaak aan het zicht. In deze ketenstructuren bestaan kwetsbaarheden die kúnnen leiden tot crimineel misbruik of tot grote verstoringen in productie en distributie. Het project PROTECT beoogt inzicht te krijgen in de kwetsbaarheden van logistieke structuren en ketens van bedrijven, om vervolgens aanbevelingen te kunnen doen over concrete beveiligingsmaatregelen. Die aanbevelingen moeten praktisch zijn, en vooral inzicht bieden in de voordelen die bedrijven kunnen behalen met het invoeren van beveiligingsmaatregelen in de keten. Het onderzoek dat tot eind 2005 in PROTECT is uitgevoerd bestaat uit drie onderdelen: onderzoek naar ‘dreigingen’ in de logistiek, onderzoek naar kosten en baten van beveiligingsinitiatieven, en onderzoek naar kwetsbaarheden in logistieke ketens. Het project PROTECT loopt nog tot 2008. Deze brochure geeft inzicht in een deel van de praktische resultaten van het onderzoek tot nu toe. De brochure geeft een overzicht van initiatieven, de belangrijkste beveiligingsmaatregelen in deze initiatieven, en een handreiking voor een stappenplan waarmee u met het beoordelen en invoeren van beveiligingsmaatregelen in de keten aan de slag kunt. De initiatieven komen uit allerlei verschillende bronnen, maar omvatten allemaal in grote lijnen dezelfde soort beveiligingsmaatregelen die een bedrijf kan nemen.
PROTECT
4
2
Relevante initiatieven en ontwikkelingen
De afgelopen jaren is een groot aantal nieuwe beveiligingsinitiatieven geïntroduceerd. Een aantal daarvan is ingevoerd, maar een ander deel zit nog in de ‘pijplijn’. Onderstaande tabel geeft een overzicht van de belangrijkste initiatieven waar Nederlandse bedrijven, actief in internationale transport en logistiek, mee te maken hebben en krijgen. Niet alle initiatieven zullen voor uw bedrijf relevant zijn. In de tabellen die hierop volgen zal aangegeven worden wat de reikwijdte van de verschillend initiatieven is. Sommige initiatieven bestonden al lang, maar hebben nu een security paragraaf (bijvoorbeeld ADR/ADNR). Tenslotte, deze lijst is niet uitputtend, maar bedoeld om de reikwijdte van de huidige initiatieven te schetsen. In de onderstaande tabel is een onderscheid gemaakt tussen wetgeving en overheidscertificering, private certificering, nationale programma’s en technische initiatieven. Tabel 1
Belangrijkste beveiligingsinitiatieven
Actueel
In ontwikkeling
Wetgeving en overheidscertificering 1. ISPS Code 2. ADR/ ADNR 3. Adv.Manifest Rule (VS)/24 hour Rule 4. Air transport security 5. 6. 7.
Authorized Economic Operator (security) Adv. Manifest Rule (EU) Security Management System (EU)
Private certificering 8. TAPA – FSR 9. Eurowatch 10. ACN security certificaat
11. TAPA – TSR 12. TAPA – Airfreight 13. ISO Security Management System standard
‘Nationale’ programma’s Technische initiatieven 14. C-TPAT (VS) 20. Smart and secure tradelanes 15. BASC (Zuid Amerika) 21. VACIS®/BAWS/Zoca/... 16. Red Shipper (China) 22. Operation Safe Commerce 17. PIP (Canada) 23. Portkey 18. Stairsec (Zweden) 24. ACN pas 19. Frontline (Australië) De afkortingen zijn achter in deze brochure terug te vinden. De cursief gedrukte initiatieven zijn nog in ontwikkeling. Actueel
Initiatieven vanuit wetgeving en/of gericht op overheidscertificering zijn initiatieven die wettelijk verplicht zijn of zullen worden. Daarbij zijn het vooral de initiatieven die nog in ontwikkeling zijn die voor belangrijke veranderingen zullen zorgen. Met name de Europese ketenverordening, die maatregelen 6 ‘advanced manifest rule’ en 7 ‘security management system’ omvat, zal gevolgen hebben voor Nederlandse transport en logistieke bedrijven. Met de term ‘air transport security’ wordt een pakket aan maatregelen aangeduid dat grotendeels via de International Civil Aviation Organisation geïnitieerd is. De invoering van de authorized economic operator (security) zal ook belangrijke gevolgen hebben, onder andere, omdat de meeste voordelen vanuit de douane (in de sfeer van afhandeling) aan dit concept gekoppeld zullen worden. Hier zijn voorstellen voor gedaan in het recente Wereld Douane Organisatie (WCO) security initiatief. PROTECT
5
Initiatieven gericht op private certificering zijn initiatieven die door bedrijven worden genomen om hun eigen goederenstroom te beveiligen. Deze initiatieven kenmerken zich door een kwaliteitsbenadering voor de dienstverleners, die gecertificeerd kan worden door een onafhankelijke instantie of ge-audit door het bedrijf zelf. Deze maatregelen zijn in zoverre vrijwillig dat zij gevraagd kunnen worden tijdens contractonderhandelingen. Bedrijven die de gewenste maatregelen niet kunnen nemen lopen de kans van verdere dienstverlening uitgesloten te worden. In PROTECT is gebleken dat vrij veel logistieke bedrijven met name door klanten met beveiligingseisen worden geconfronteerd. De nationale programma’s zijn unilaterale programma’s die door één of een groep landen zijn geïnitieerd om de inkomende of uitgaande goederenstroom te beveiligen. BASC, bijvoorbeeld, is een programma van een aantal Zuid-Amerikaanse landen dat beoogt de exportstroom uit die landen te beveiligen. Het Amerikaanse C-TPAT is waarschijnlijk het belangrijkste en bekendste voorbeeld. Dit programma beoogt de inkomende goederenstroom naar de Verenigde Staten te beveiligen. Als tegenprestatie belooft de Amerikaanse douane o.a. een soepelere afhandeling van de goederen bij binnenkomst. Dit wordt ook wel het ‘green lane’ concept genoemd. Veel aandacht gaat in diverse media uit naar de technische initiatieven. Dit zijn vaak proeftrajecten waarbij een bepaalde beveiligingstechnologie, zoals RFID-tags of elektronische sloten, wordt uitgeprobeerd. Regelmatig nemen verladers, ook in Europa, aan dit soort projecten deel. De Portkey is een persoonsidentificatie-initiatief in de Haven van Rotterdam.
8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24.
√ √ √ √
√
√ √ √ √ √ √ √ √ √ √ √ √
√ √
√
√ √ √
√ √ √
Luchttransport
√
Afhandelaar (luchtvracht)
√
Binnenvaart/ spoor
√
Expediteur
√
Rederij
√ √ √ √ √
√
Stuwadoor
ISPS Code ADR/ADNR Adv. Manifest Rule (VS) Air transport security AEO Adv. Manifest Rule (EU) Security Management System (EU) TAPA – FSR Eurowatch ACN security certificate TAPA – TSR TAPA – Airfreight ISO Security Management Syst C-TPAT BASC Red Shipper PIP Stairsec Frontline Smart & Secure Tradelanes VACIS®/BAWS/ZOCA/... Operation Safe Commerce Portkey ACN pas
Distributiecentrum
1. 2. 3. 4. 5. 6. 7.
Weg-transporteur
Beveiligingsinitiatieven in de keten
Verlader
Tabel 2
√ √ √ √ √ √
√ √ √
√ √ √
√ √ √ √
√
√
√ √ √ √
√
√ √
√ √
√ √
√ √
√ √
√ √
√ √ √
√ √ √
√
√ √
√ √
√
√ √ √
√
√
√
√ √ √
√ √ √ √
√ √ √ √
√
√
√ √
√ √
De focus in deze tabel is op Europese/Nederlandse bedrijven. De afkortingen zijn achter in deze brochure terug te vinden. De cursief gedrukte initiatieven zijn nog in ontwikkeling.
PROTECT
6
Een van de belangrijkste aspecten van de bovenstaande initiatieven is welke partij in de keten met welk initiatief te maken krijgt. Dit kan direct of indirect, via een ketenpartner, zijn. Hierin zijn grote verschillen per initiatief. Tabel 2 geeft de werking van de verschillende initiatieven voor allerlei ketenpartners weer. Initiatieven kunnen ook worden ingedeeld op basis van hun geografische reikwijdte. De indeling die hieronder is weergegeven geeft aan of een maatregel wereldwijd geldt, of regionaal. Tabel 3
Geografische reikwijdte van initiatieven
Initiatief 1. 2. 3. 4.
ISPS-code ADR/ADNR Adv. Manifest Rule (VS) Air transport security
5. 6. 7.
AEO Adv. Manifest Rule (EU) Security Management System (EU) 8. TAPA – FSR 9. Eurowatch 10. ACN security certificate 11. TAPA – TSR 12. TAPA – Airfreight 13. ISO Security Management System standard 14. C-TPAT 15. BASC 16. Red Shipper 17. PIP 18. Stairsec 19. Frontline 20. Smart & Secure Tradelanes 21. VACIS®/BAWS/Zoca 22. Operation Safe Commerce 23. Portkey 24. ACN pas De afkortingen zijn achter in deze ontwikkeling.
Geografische reikwijdte Wereldwijd Regionaal IMO EU 725/2004 UN-ECE EU VS ICAO ATSA (VS) 2320/2002 (EU) 648/2005 EU EU Ketenverordening EU Ketenverordening TAPA Pan-Europees (incl. Rusland) Nederland (Schiphol) TAPA TAPA ISO VS Zuid-Amerika China Canada Zweden Australië Privaat initiatief Privaat initiatief VS Nederland (Haven van Rotterdam) Nederland (Schiphol) brochure terug te vinden. De cursief gedrukte initiatieven zijn nog in
Ten slotte kunnen maatregelen worden ingedeeld naar functionele doelstelling: • beveiliging tegen diefstal • beveiliging tegen smokkelen • terrorisme preventie Deze indeling is weergegeven in Tabel 4.
PROTECT
7
Tabel.4 Initiatief:
Doelstelling per initiatief Preventie doel: Diefstal van goederen
Smokkel Terrorisme ISPS √ ADR/ADNR √ Adv. Manifest Rule (VS) √ Air transport security √ √ AEO √ √ Adv. Manifest rule (EU) √ Security Management √ System (EU) 8. TAPA - FSR √ 9. Eurowatch √ 10. ACN security certificate √ √ √ 11. TAPA – TSR √ 12. TAPA – Airfreight √ 13. ISO Security Management √ √ System standard 14. C-TPAT √ 15. BASC √ 16. Red Shipper ? 17. PIP √ 18. Stairsec √ 19. Frontline √ √ √ 20. Smart & Secure Tradelanes √ 21. VACIS®/BAWS/Zoca/... √ √ 22. Operation Safe Commerce √ √ 23. Portkey √ √ 24. ACN pas √ √ √ De afkortingen zijn achter in deze brochure terug te vinden. De cursief gedrukte initiatieven zijn nog in ontwikkeling. 1. 2. 3. 4. 5. 6. 7.
PROTECT
8
3.
Maatregelen in de keten
In het vorige hoofdstuk zijn een groot aantal initiatieven besproken die door bedrijven kunnen worden geadopteerd en ingevoerd. Deze initiatieven bestaan allemaal uit een verzameling maatregelen die voor een deel technisch van aard zijn, en voor een deel organisatorisch. Dit hoofdstuk geeft een overzicht van de meest voorkomende concrete maatregelen. In Amerikaans onderzoek werd recent het volgende overzicht gegeven van maatregelen: Tabel 5: Maatregelen-structuur Niveau 1: basis maatregelen • • • • • •
Fysieke beveiliging Personele beveiliging Standaard risico analyse Basis informatiebeveiliging Opstellen continuïteitsplan Goederenstroombeveiliging
Niveau 3: preventieve maatregelen • • • • • •
Beveiligingsportefeuille in management team Nieuwe vaardigheden ontwikkelen Gestructureerde risicoanalyse Geavanceerde informatiebeveiliging Strategische focus op bedrijfszekerheid Samenwerken in beveiliging
Niveau 2: reactieve maatregelen • • • • •
Inrichten beveiligings-, risico-management of bedrijfscontinuïteitsorganisatie C-TPAT compliance Analyse van toeleveranciers Continuïteitsplan toeleveranciers Beperkte beveiligingstraining
Niveau 4: geavanceerde initiatieven • • • • • •
Ketensamenwerking Leren van incidenten Formele beveiligingsstrategie (kpi’s) Ketenbeveiligingsoefeningen, simulaties, tests Meldkamer voor incidenten Kosten/baten afwegingen
Bron: Rice & Caniato (2003) ‘supply chain response to terrorism – creating resilient and secure supply chains’. MIT Center for Transport and Logistics, Interim report 8/11/2003.
Belangrijke voorbeelden van maatregelen op niveau 1 zijn: cameratoezicht, hekwerken plaatsen, persoonscontrole aan de poort, clean-desk beleid, gestandaardiseerde laad- en losprocedures, extra sloten op deuren, autorisaties voor bepaalde handelingen (afsluiten van containers), passwords op de computer, enzovoort. Uit internationaal vergelijkend onderzoek naar de inhoud van een aantal van de initiatieven die genoemd zijn in het vorige hoofdstuk blijkt dat veel van die initiatieven inhoud geven aan maatregelen in niveau 1, en soms niveau 2 en 3. Er is heel weinig aandacht voor de geavanceerde initiatieven, terwijl daar nu juist de meeste mogelijkheden liggen voor het creëren van (efficiency) winst uit beveiligingsmaatregelen. Onderzoek in het kader van PROTECT bevestigt dat veel bedrijven al bezig zijn met sommige van de hierboven genoemde maatregelen, en dat dat met name maatregelen uit niveau 1 en 2 zijn. Er zijn echter ook voorbeelden van partijen die met het oog op security de relatie met hun ketenpartners anders inrichten. Dit doen zij door bijvoorbeeld het aantal PROTECT
9
toegestane subcontrators te beperken, specifieke operationele zaken (technologie, routes, partners) voor te schrijven, en het recht op beveiligingsaudits te claimen. Voor wat betreft de voordelen die gerealiseerd zouden kunnen worden met ketenbeveiliging wijst een PROTECT enquête onder verladers en logistiek dienstverleners uit dat bedrijven die maatregelen aan het invoeren zijn daar wel voordelen mee associëren. Die voordelen zijn nog niet heel precies te kwantificeren, maar omvatten: beter imago, betere relaties in de keten en met de overheid, zekere doorlooptijden, en minder diefstal van lading. Of de kosten van die maatregelen terugverdiend worden blijft voor beide categorieën bedrijven nog onzeker 72% van de verladers, en 77% van de logistieke dienstverleners zegt op deze vraag ‘nee’ of ‘weet niet’. In de scheepvaart is al enige ervaring met de advanced manifest rule. Die regel schrijft voor dat manifestgegevens voor vertrek van het schip naar de douane in het ontvangende land (dwz de Verenigde Staten) gestuurd moeten zijn. Na een stroeve implementatie zeggen veel betrokkenen nu dat het vooraf beschikbaar maken van de gegevens weliswaar geen tijdwinst (of andere logistieke voordelen) oplevert, maar wel leidt tot een betere spreiding van de organisatorische activiteiten rond een afvaart. Niet alles hoeft meer op het laatste moment in orde te worden gemaakt. In recent Amerikaans onderzoek is een uitgebreid overzicht gemaakt van allerlei bijkomende voordelen (zgn. collatoral benefits) van beveiligingsmaatregelen. Die voordelen lopen van grotere efficiency in de keten, het reduceren van bepaalde kosten, het verkrijgen van meer inzicht in wat er precies met de lading gebeurt tot het voorkomen van schade en diefstal. Echter, de afweging tussen de kosten van de benodigde investeringen (in bijvoorbeeld wereldwijde tracking & tracing technologie) en de opbrengsten in geld van deze bijkomende voordelen is nog nergens gemaakt. Deze afweging is eigenlijk ook alleen te maken in de specifieke context van een bedrijf en een keten. Een bekend voorbeeld is de claim van Savi Technology dat het voordeel uit het toepassen van de Smart and Secure Tradelane aanpak (wereldwijde tracking & tracing van containers door middel van RFID) op kan lopen tot $400 per container. Samenvattend kan dus gesteld worden dat bedrijven, al of niet met ketenpartners, zelf een afweging moeten maken over kosten en baten van hun veiligheidsbeleid. Voor die afweging is op dit moment weinig referentiemateriaal beschikbaar uit onderzoek of praktijkervaringen. Om bedrijven te helpen gestructureerd met de invoering van beveiligingsmaatregelen in de keten om te gaan bevat het volgende hoofdstuk een eenvoudig stappenplan.
PROTECT
10
4
Stappenplan
Beveiliging speelt op allerlei niveaus in uw bedrijf een rol. Een gestructureerde en doordachte aanpak voor ketenbeveiliging is daarom belangrijk. Voor u gaat het daarbij om het vervullen van een passende rol die gerelateerd is aan uw rol in de keten. Dit handboek stelt het volgende stappenplan voor: Figuur 1 Schematische weergave van het stappenplan
Stap 1: Bewustwording
Stap 2: Definitie beveiligingsmissie
Stap 3: Afweging van beschikbare maatregelen
Stap 4: Opstellen bedrijfsbeveiligingsplan
Stap 5: Implementatie en evaluatie
Stap 1: Bewustwording De eerste stap voor een organisatie is het creëren van bewustzijn. Vaak is het een security of logistiek manager die als eerste met het onderwerp ketenbeveiliging in aanraking komt en besluit dat hier binnen het bedrijf iets mee gedaan zal moeten worden. Hiervoor is echter commitment nodig van het management van het bedrijf en medewerking van verschillende afdelingen. De centrale vraag in deze eerste stap is dan ook: hoe en waarmee kan een security of logistiek manager de organisatie overtuigen van nut en noodzaak tot het nemen van actie op het gebied van ketenbeveiliging.
Voorbeeld: laat uw personeel een veiligheidcursus volgen bij een beveiligingsbedrijf. U kunt via uw branchevereniging informeren naar goede cursussen en cursusaanbieders.
PROTECT
11
Stap 2: Definitie beveiligingsmissie De tweede stap is het definiëren van een beveiligingsmissie voor het bedrijf. Deze missie is van belang vanwege de variëteit aan security-initiatieven. Er moeten keuzes worden gemaakt: waar spelen we als bedrijf wel / niet op in? Ten einde deze keuzes te kunnen maken kan een ‘beveiligingsmissie’ worden gedefinieerd die in ieder geval duidelijk maakt wat het bedrijf met beveiligingsmaatregelen wil bereiken. Onderwerpen die aan de orde komen zijn bijvoorbeeld: • • • •
Wil het bedrijf een voorloper zijn op dit gebied of een volger? Welke eisen leggen andere ketenpartijen ons op? Is het doel om slechts aan de wet te voldoen of om de logistieke keten maximaal te beveiligen? Ligt de focus op beveiligingsmaatregelen of op het realiseren van logistieke voordelen door middel van dit type initiatieven?
De rol van het top management is in deze fase essentieel. Niet alleen bepalen zij op welke wijze de beveiligingsmissie en strategie passen in het plaatje van de totale bedrijfsstrategie. Ook zullen zij een stimulerende rol moeten vervullen bij het bewustmaken van het overige deel van de organisatie wanneer het gaat om beveiligingsaangelegenheden. Voor het vervolg van het beveiligingsinitiatief binnen het bedrijf kan een kern-team worden samengesteld dat verantwoordelijk is voor de coördinatie van de te ontwikkelen beveiligingsinitiatieven. Wanneer een organisatie heeft vastgesteld hoe haar beveiligingsmissie luidt en een kern-team heeft aangesteld, kan gestart worden met het zoeken van relevante initiatieven en daaraan gekoppelde maatregelen.
Voorbeeld: Organiseer een threat-analysis workshop om te bepalen welke kwetsbaarheden in het bedrijf en in de keten bestaan.
Stap 3: Afweging van maatregelen Nadat de beveiligingsmissie vastgesteld is, kan er een keuze worden gemaakt in de vele potentiële initiatieven die op het bedrijf afkomen. Centrale vragen in dit proces zijn: • • •
Welke nieuwe initiatieven zijn relevant en wat zijn de implicaties daarvan voor het bedrijf? In hoeverre wil het bedrijf ook ketenpartners bij de invoering van initiatieven gaan betrekken? Wat zijn de budgettaire gevolgen van de verschillende initiatieven en daaraan gekoppelde maatregelen?
PROTECT
12
Voorbeeld: voer een gedetailleerde scan uit om te bepalen in hoeverre uw organisatie nu al voldoet aan de eisen van ISO 28000.
Stap 4: Opstellen bedrijfs-beveiligingsplan De volgende fase in het proces is het daadwerkelijk opstellen van een bedrijfsbeveiligingsplan. Wanneer de relevante initiatieven in kaart gebracht zijn, komen de praktische zaken aan bod. Er zal samen met de ketenpartners gekeken moeten worden naar de effecten van de maatregelen. De implementatie van beveiligingsmaatregelen raakt vrijwel altijd de andere partners in de keten. Zo zullen voorgaande schakels goederen of informatie op een aangepaste wijze moeten aanleveren en zal ook de opvolgende schakel met veranderingen geconfronteerd worden. Om het beveiligingsinitiatief te laten slagen is een gedegen projectaanpak nodig. Deze project aanpak moet tenminste bestaan uit een aantal onderdelen: • • • •
Implementatieteam (projectleiding, verschillende expertises, externe experts) Planning (oplevermomenten, evaluaties, etc.) Budget (financiële middelen voor implementatie van maatregelen) Communicatie (rapportages in- en extern, communicatie met externe partijen)
Verder is vroegtijdige communicatie naar de verschillende belanghebbenden binnen en buiten het bedrijf van groot belang. Voor iedere (groep van) belanghebbenden geldt dat er verschillende zaken zullen veranderen. Door de betrokkenen tijdig in te lichten over de redenen voor en de aard van de verandering kan een groot deel van de natuurlijke weerstand van mensen tegen verandering worden weggenomen.
Voorbeeld: werk samen met een beveiligingsadvies-bedrijf dat middels een toolkit een beveiligingsplan kan opstellen dat voldoende bedrijfsspecifiek is en voldoet aan allerlei internationale normen. Verzekeringsmaatschappijen bieden soms ook dergelijke ondersteunende tools aan.
Stap 5: Implementatie en evaluatie Bij de uiteindelijke implementatie is monitoring belangrijk. Door de vorderingen te spiegelen aan de planning, het budget en andere elementen van het vooraf vastgestelde plan kunnen op deze wijze vroegtijdig afwijkingen en problemen worden gesignaleerd en verholpen. Het kern-team kan hier weer een rol in spelen.
PROTECT
13
Tijdens de evaluatie van het beveiligingsplan wordt niet alleen gekeken naar de wijze waarop het implementatieproject is verlopen. Het gaat ook om het toetsen in welke mate de effecten van de genomen beveiligingsmaatregelen voldoen aan de vooraf vastgelegde verwachtingen. Resultaten worden dus getoetst aan de in stap 2 vastgestelde beveiligingsmissie. Evaluatie kan uiteraard leiden tot het teruggrijpen naar eerdere fasen in de aanpak om bij te sturen. ISO 28000, bijvoorbeeld, geeft naast een gedetailleerde beveiligingsstrategie ook richtlijnen voor de evaluatie en het continue verbeteringsproces voor gerelateerde bedrijfsprocessen. Aangezien beveiliging in de keten voor veel bedrijven een relatief nieuw onderwerp is zal in deze evaluatie soms ook de conclusie worden getrokken dat het proces zoveel nieuwe inzichten opgeleverd heeft dat de beveiligingsmissie bijgesteld dient te worden.
Voorbeeld: u organiseert een jaarlijks terugkerende beveiligingsdag waarbij terug gekeken wordt op de beveiligingsincidenten in het afgelopen jaar, en waar u met het relevante personeel het huidige beveiligingsplan tegen het licht houdt. U kunt daarbij gebruik maken van een landelijke incidentenregistratie of met ketenpartners zelf een dergelijk systeem opzetten.
Tot slot Het bovenstaande stappenplan geeft inhoud aan het idee dat bedrijven zelf in de hand moeten houden wat ze aan security doen. Van buitenaf komt er veel op bedrijven af aan beveiligingsinitiatieven, maar die initiatieven hebben vergelijkbare doelen, en bevatten veel dezelfde maatregelen, ook al lijkt dat niet altijd zo. Bovendien zijn die opgelegde maatregelen niet altijd het soort maatregelen waarmee de keten echt veiliger wordt. Het is daarom van belang dat bedrijven zelf een beveiligingsstrategie formuleren, en daarbinnen de maatregelen doorvoeren die zij met ketenpartners afspreken. Daarbij is het anticiperen op wettelijk verplichte maatregelen erg belangrijk. Alleen zo is het mogelijk om te beveiligen op het ‘juiste niveau’ en om naast kosten, ook daadwerkelijk efficiency- en andere voordelen te behalen.
PROTECT
14
5
Waar vindt u meer informatie?
Belangrijkste bron voor meer informatie over beveiligingsmaatregelen is het internet. In onderstaand overzicht vindt u per security maatregel de webpagina die meer uitleg geeft over de maatregel zelf en implementatie ervan. Daarnaast worden ook wijzigingen aan de desbetreffende regelingen bijgehouden zodat een actuele stand van zaken gegarandeerd is. Initiatief:
Link:
1. 2. 3. 4. 5.
ISPS ADR/ADNR Adv. Manifest Rule (VS) Air transport security AEO
6. 7.
Adv. Manifest rule (EU) Security Management System (EU)
8. 9. 10. 11. 12. 13.
TAPA - FSR Eurowatch ACN security certificate TAPA – TSR TAPA – Airfreight ISO Security Management System standard C-TPAT BASC Red Shipper PIP Stairsec Frontline Smart & Secure Tradelanes VACIS® BAWS ZOCA Operation Safe Commerce Portkey ACN pas
http://www.imo.org/home.asp www.tln.nl http://www.cbp.gov http://www.tsa.gov http://www.europa.eu.int/comm/taxation_customs/customs/ policy_issues/customs_security/index_en.htm http://www.europa.eu.int http://www.europa.eu.int/comm/taxation_customs/customs/ policy_issues/customs_security/index_en.htm http://www.tapaemea.com http://www.eurowatchcentral.com http://www.acn.nl http://www.tapaemea.com http://www.tapaemea.com http://www.iso.org
14. 15. 16. 17. 18. 19. 20. 21.
22. 23. 24.
http://www.cbp.gov http://www.cbp.gov http://www.cbsa-asfc.gc.ca/general/enforcement/partners/menu-e.html http://www.stairsec.se http://www.scst.info http://www.saic.com/products/security/mobile-vacis/ http://www.dtic.mil/matris/sbir/sttr03/a020.pdf http://www.zoca.nl http://www.worldshipping.org http://www.acn.nl
Overige links: International Road Transport Union European Shippers Council Transport en Logistiek Nederland EVO Nederland Distributieland WCO framework of standards to secure and facilitate global trade
PROTECT
http://www.iru.org http://www.europeanshippers.com http://www.tln.nl http://www.evo.nl http://www.ndl.nl http://www.wcoomd.org
15
6
Lijst van afkortingen
Tot slot volgt hieronder nog een lijst met verklaringen van de afkortingen van de in dit document genoemde initiatieven en organisaties. Afkorting:
Verklaring afkorting:
ACN ADR/ADNR
Air Cargo Nederland (vereniging van luchtvrachtbedrijven) Accord européen relatif au transport international des marchandises Dangereuses par Route Advanced (in advanced manifest rule) Authorized Economic Operator Aviation and Transportation Security Act Business Anti-Smuggling Coalition Biological Agent Warning Sensor Customs Trade Partnership Against Terrorism International Civil Aviation Organisation International Maritime Organisation
Adv. AEO ATSA BASC BAWS C-TPAT ICAO IMO ISPS Code ISO KLPD PIP RFID TAPA - FSR
International Ship and Port Facility Security Code International Organization for Standardization Korps Landelijke Politie Diensten Partners in Protection Radio frequency identication Technology Asset Protection Association – Freight Security Requirements
TAPA – TSR
Technology Asset Protection Association – Truck Security Requirements
TRANSUMO VACIS VS UN-ECE WCO
TRansition SUstainable MObility Vehicle and cargo inspection system Verenigde Staten van Amerika United Nations Economic Commission for Europe World Customs Organisation
PROTECT
16
Beveiliging is een belangrijk thema voor overheden, bedrijven, en individuen. Het wordt steeds duidelijker dat de aandacht voor veiligheid niet van voorbijgaande aard is en dat serieus moet worden nagedacht over het beveiligen van internationale handel en internationaal vervoer van goederen en personen. In PROTECT doen RSM Erasmus University, Buck Consultants International, de Douane, EVO, Havenbedrijf Rotterdam NV, NDL, TLN en TNO onderzoek naar veiligheid in internationale goederenstromen. Het project is bedoeld om praktische aanbevelingen te doen waarmee bedrijven de logistieke ketens waar zij deel vanuit maken, kunnen beveiligen. PROTECT is gefinancierd door TRANSUMO.
Wilt u meer weten over PROTECT of TRANSUMO? http://www.transumo.nl