Brandweer Nederland Overleg marktpartijen en vakgroepleden RI&E-instrument Datum:
18 december 2013
Locatie:
Provinciehuis te Utrecht, Archimedeslaan 6
Verslag:
De heer J.B. Verhoef van Het Notuleercentrum
Aanwezig: Mevrouw T. Aupers Mevrouw D. Baecklandt Mevrouw P. Beurskens De heer H. Bolt De heer M. Dubbeld De heer J. Gerkes (vanaf de pauze) De heer J. Gulden (voorzitter) Mevrouw S. Hage De heer F. van Hengst De heer B. Hilt De heer B. Kerseboom De heer R. van der Maas De heer H. Munneke (tot en met punt 6) De heer P. Nederveen De heer M. Ridder De heer H. Scholing De heer S. Schouten De heer O. Strijland (tot de pauze) De heer H.J. Verkerk De heer P. Vogel De heer G. de Vries (tot de pauze)
Veiligheidsregio Kennemerland Veiligheidsregio Utrecht - inkoop Arbo Unie Veiligheidsregio Groningen NG Compliance Protiviti Veiligheidsregio Utrecht - projectleider Veiligheidsregio Amsterdam-Amstelland Veiligheidsregio Rotterdam Rijnmond Veiligheidsregio Rotterdam Rijnmond KMO NG Compliance Veiligheidsregio Kennemerland Changer bv Raatwerk Veiligheidsregio IJsselland Lid projectgroep Protiviti Changer bv Veiligheidsregio Hollands-Midden Arbo Unie
Afwezig m.k.: De heer J. Brugging De heer C. Kamp De heer M. Luijten De heer W. Stoelinga
Veiligheidsregio Noord- en Oost-Gelderland Veiligheidsregio Midden- en West-Brabant Brandweer Nederland Brandweer Flevoland
1. Opening en voorstelronde De voorzitter opent de vergadering om 13.07 uur en heet een ieder hartelijk welkom. Een ieder stelt zich kort voor.
2. Korte introductie van het project De voorzitter geeft aan dat het project moet leiden tot een advies voor een keuze voor een digitaal RI&E-instrument voor Brandweer Nederland. Hij benadrukt dat deze fase van het traject geen inkooptraject is, maar bedoeld is om een advies te geven aan Brandweer Nederland. Daarna zal een landelijk dan wel regionaal inkooptraject starten. Doel van deze bijeenkomst is het uitwisselen van informatie. Hij geeft een korte introductie van het project aan de hand van een presentatie (zie bijlage IV). Er zijn hierover geen vragen.
Overleg marktpartijen en vakgroepleden RI&E-instrument 18 december 2013
pagina 1/5
3. Bespreking eerste onderwerp: inrichting van het product / flexibiliteit De voorzitter stelt de vraag aan de orde op welke wijze het RI&E-instrument ingericht moet worden en hoe flexibel het moet zijn in de toepassing ervan door de regio's. De vragenlijst en de oplossingen zijn vanmiddag nog niet aan de orde. De voorkeur gaat uit naar maatwerk boven een standaard format, omdat de veiligheidsregio's nogal verschillen qua opbouw en samenstelling in de organisatie. Objectrisico-inventarisatie is in deze fase nog niet aan de orde. Het is de bedoeling dat de lijnorganisatie zelf met het RI&E-instrument gaat werken. Dat gegeven stelt eisen aan het gebruiksgemak ervan. De regio's geven aan dat zij nu voor een werkwijze kiezen die bij een specifieke situatie goed werkt. Voor sommige situaties is dat een pakket vragen, aangevuld met werkplekinspecties en interviews. In complexere situaties waar niet alle vragen voorhanden zijn, worden in aanvulling hierop BowTietechnieken toegepast. BowTie wordt door twee regio's gebruikt om risico's te visualiseren. Zij pleiten ervoor dat het uitvoeren van de RI door de werkvloer moet gebeuren en dat de veiligheidsfunctionaris ondersteunend is aan dat proces. De werkvloer moet de meerwaarde van het RI&E-instrument gaan ervaren. Het is ook belangrijk dat de regio's onderling informatie uitwisselen over risico's om van elkaar te leren en om synergie te bereiken. In de toekomst moeten best practices met elkaar worden gedeeld. Van leverancierszijde stelt men dat een RI&E-instrument dat gebaseerd is op workflow, generiek bruikbaar is. De content is dan gericht op de specifieke situatie van een regio. Geadviseerd wordt om bij aanpassingen voor maatwerk onderscheid te maken tussen programmeren en configureren. Bij aanpassingen in de programmering wordt de software aangepast aan de eisen, bij configureren wordt gebruik gemaakt van de vrijheidsgraden binnen de standaard software. Aanpassingen in de software zijn bij toekomstig onderhoud zeker problematischer en dus duurder dan het benutten van de vrijheidsgraden bij configureren. In het pakket van eisen moet meegenomen worden dat een RI&Einstrument voor meer partijen dan alleen de brandweer, bijvoorbeeld ambulancezorg, geschikt moet zijn, en dat het flexibel aangepast moet kunnen worden aan organisatieveranderingen. Als implementatie op verschillende niveaus binnen de organisatie mogelijk moet zijn, moet dat als eis van flexibiliteit geformuleerd worden. Het gebruiksgemak hangt niet zozeer van het RI&E-instrument zelf af, maar veel meer van de structuur en de inhoud van de vragen. Men heeft goede ervaringen met het inrichten van een feedbackgroep hiervoor. Bij inventarisatie van de risico's speelt de veiligheidskundige een centrale rol, bij de evaluatie heeft de auditor een coördinerende rol, aangevuld met experts vanuit de organisatie. Opgemerkt wordt dat de RI nieuwe stijl in opkomst is, waarbij niet zo zeer gevraagd wordt naar risico's, maar naar oplossingen. De ervaring bij andere landen is dat risico's per omgeving niet veel van elkaar verschillen, ook al verschillen de organisaties van elkaar. De uitwisseling van informatie op het gebied van oplossingen, controls en auditstrategieën, op basis van benchmarking van gegevens kan dus veel synergie opleveren. Het RI&E-instrument moet dat kunnen faciliteren. Het is wel belangrijk om voor de uitwisseling van gegevens draagvlak te krijgen bij de regio's. Veiligheidsbewustzijn vergroten Vanuit het project wordt de wens geuit om het veiligheidsbewustzijn op de werkvloer te vergroten en het RI&E-instrument hierbij in te zetten. Is het mogelijk dat men uitgaande van het vermeende risico, met trefwoorden of zoekfunctionaliteit oplossingsrichtingen kan vinden met het RI&E-instrument? Ook wil men daarom dat het RI&E-instrument een attenderings- en signaleringsfunctie bevat. Vanuit de leveranciers wordt gesteld dat dit niet primair hun insteek is. Geredeneerd vanuit risico's komen bepaalde thema's niet aan de orde. De essentie is om vanuit de risico-inventarisatie te kijken naar de eisen die de wet stelt, en daarbij de vraag te kiezen waarmee men in het werkveld scoort. Het is ook belangrijk om het RI&E-instrument in te richten als lekeninstrument. Schakel de preventiemedewerkers erbij in en verzamel op die manier laag in de organisatie veel informatie. Aan de andere kant is er meer flexibiliteit als de andere benadering niet wordt uitgesloten, maar keuzes binnen het RI&E-instrument mogelijk zijn afhankelijk van waar de verantwoordelijkheid in de organisatie gelegd wordt. Flexibiliteit is met name nodig bij het oplossen en evalueren van knelpunten. Op de vraag van de leveranciers of een e-learningmodule nodig is, wordt vanuit projectzijde geantwoord dat dit van twee aspecten afhangt. Ten eerste van de bereidheid om risico's te signaleren en te melden en ten tweede van de mate van laagdrempeligheid om dat te registreren zonder dat er eerst een heel programma doorgewerkt moet worden.
Overleg marktpartijen en vakgroepleden RI&E-instrument 18 december 2013
pagina 2/5
BowTie Vanuit het project wordt gesteld dat BowTie nog geen onderdeel is van het pakket van eisen. BowTie is niet direct een RI&E-instrument, maar wordt gezien als een hulpmiddel voor laagdrempelige uitleg naar de werkvloer. De vraag is of men aan het barrière-evaluatiesysteem van BowTie vastzit als er beheersmaatregelen geformuleerd moeten worden. Vanuit de regio's wordt gesteld dat dit niet zo is. Het werkt goed, maar kan alleen gebruikt worden als er iemand in huis is die de techniek beheerst. Alles wat kan bijdragen aan de veiligheid op de werkvloer, is goed. De leveranciers melden dat er nu nog geen aanbieders zijn die een RI&E-instrument kunnen leveren waar BowTie onderdeel van is. Wel is het mogelijk om de software aan elkaar te koppelen. Laagdrempelige uitleg naar de werkvloer is noodzakelijk voor het gaan toepassen van het RI&Einstrument. Modulaire opzet Een belangrijke eis van de regio's is dat het RI&E-instrument modulair moet kunnen werken, gericht op specifieke deskundigen zoals duikers, of onderwerpen zoals bestrijding van gevaarlijke stoffen. De leveranciers geven aan dat het mogelijk is om bepaalde modules gericht op specifieke deskundigheden in het RI&E-instrument op te nemen. De organisatiestructuur van het RI&Einstrument is daarop aan te passen.
4. Bespreking tweede onderwerp: laagdrempelig gebruik De projectgroep vraagt in hoeverre de evaluatie van risico's als eis meegenomen moet en kan worden in het RI&E-instrument. Of is het hanteren van een apart systeem beter? Van de zijde van de leveranciers wordt enerzijds geadviseerd om dat niet in te bouwen in het RI&Einstrument, omdat het te specialistisch is. Andere leveranciers stellen dat de risicoclassificering en de evaluatie per risico wettelijk een integraal onderdeel horen te zijn van de risico-inventarisatie die in het RI&E-instrument zit ingebouwd. Er zijn RI&E-instrumenten die de evaluatie al bij de vragen en de risico's benoemd hebben. Daarmee wordt de laagdrempeligheid van het RI&E-instrument bevorderd. Belangrijk is dat het RI&E-instrument helpt om daarbij prioriteiten te kunnen stellen. Ook is kennis van risico-evaluaties uit andere omgevingen belangrijk om aan de hand daarvan de eigen controls te verbeteren. Indien zich nieuwe risico's manifesteren is het van belang dat het RI&E-instrument het zoeken in bestaande oplossingen faciliteert. Een koppeling tussen inzet onderzoeksrapporten en RI&E is dan van belang en toepasbaar. De regio's onderschrijven het belang van een koppeling maar vinden het belangrijk dat er gefaseerd onderdelen worden ingevoerd om het werkbaar te houden: eerst de belangrijkste zaken, daarna stap voor stap uitbreiden met wat nodig is. Hoe meer mogelijkheden er zijn, hoe ingewikkelder het werken ermee wordt, hetgeen ten koste gaat van de laagdrempeligheid. De voorzitter concludeert dat flexibiliteit van het RI&E-instrument en aanpassingsmogelijkheden op de organisatie uiterst belangrijke eisen zijn. Het moet geen ongevallenregistratiesysteem worden, maar een koppeling tussen het ongevallenregistratiesysteem en de RI&E's geeft wel een beeld van hoe goed de RI&E ingericht is. Van de zijde van de leveranciers wordt daarop gezegd dat zij adviseren bij ongevallen geen koppeling te maken, maar wel gebruik te maken van de kennis die is opgebouwd in het RI&E-instrument, en de vragenlijsten gelijke tred te laten houden met de vorderingen van de techniek. Via trefwoorden leidt het RI&E-instrument de medewerker naar de juiste plekken. [Er is een pauze van 14.30 uur tot 14.47 uur.]
5. Bespreking derde onderwerp: informatieveiligheid Informatieveiligheid betreft persoonsveiligheid en informatiebeveiliging. Van de zijde van het project wordt gevraagd hoe de formulering moet zijn om de informatieveiligheid onderdeel te laten uitmaken van het RI&E-instrument volgens de normen die gesteld zijn. Gegevens moeten wel toegankelijk zijn vanaf de werkvloer, maar beschermd zijn tegen gebruik door buitenstaanders. Informatiebeveiliging volgens ISO 27001 is niet per se een eis. Men is wel verplicht om inzage te geven in de uitkomsten van RI&E, maar er staat in de wet niet beschreven op welke manier dat moet. Met het neerzetten van een deel van de informatie op een personeelsinformatiesite, is wel voldaan aan de wet. Overleg marktpartijen en vakgroepleden RI&E-instrument 18 december 2013
pagina 3/5
De regio's geven aan dat op dit moment de beveiliging van de gegevens niet goed is geregeld. Omdat sommige regio's webbased werken, willen zij deze eis ook in het pakket van eisen van het RI&Einstrument meenemen. De leveranciers geven aan dat er oplossingen in de cloud beschikbaar zijn. Als iedere regio dat buiten de cloud voor zichzelf zou gaan regelen, wordt de samenwerking tussen de regio's lastiger. De toegang tot de gegevens in de cloud wordt op basis van een zogenaamde strong identification geregeld. Een belangrijk issue daarbij is waar op de wereld, onder verantwoordelijkheid van welke overheid, de informatie dan is opgeslagen. Een zogenaamde safe harbour binnen Nederlandse grenzen is een veilige oplossing, maar een voldoende beveiligd serverpark in eigen beheer is het beste. Voor dit soort beslissingen is een classificatie van alle gegevens nodig met per klasse een risicoprofiel. Daarnaast moet de projectgroep de eisen op dit gebied expliciet maken: als een medewerker vanuit huis het RI&E-instrument moet kunnen benaderen, moet er meer geregeld worden dan wanneer dat niet het geval is. De vraag is of er voor het RI&E-instrument een hele zware beveiliging nodig is. Er wordt op aangedrongen om ook de rollen en de rechten van de medewerkers goed te beschrijven.
6. Bespreking vierde onderwerp; ondersteuning bij regionale implementatie De voorzitter leidt dit onderwerp kort in aan de hand van een sheet (zie bijlage III, pagina 11). Op basis van de inschatting van de positie op de ladder zullen de eisen gesteld worden aan het RI&Einstrument voor de invoering per regio. Het RI&E-instrument zal de flexibiliteit moeten hebben om elke organisatie aan te kunnen, op welk niveau van de ladder die organisatie zich ook bevindt. De voorzitter vraagt de leveranciers of zij rekening hebben gehouden met het feit dat de organisaties zich op verschillende niveaus van de ladder kunnen bevinden en of het RI&E-instrument flexibel genoeg is om op meerdere niveaus tegelijk ingezet te worden. Sommige organisaties hebben al een kwaliteitsmanagementsysteem, maar andere organisaties zijn nog niet zover. Hoe is het risicoinventarisatiesysteem op een goede manier te koppelen aan het eventueel aanwezige kwaliteitsmanagementsysteem? Van leverancierszijde wordt aangegeven dat de software vooral geschikt is voor gebruik door de werkvloer: makkelijk interpreteerbaar en intuïtief bruikbaar. Daarbij maakt het niet uit op welk niveau van de ladder een organisatie zich bevindt. In het communicatieplan van de implementatie kan dat niveau wel verschil maken. Koppeling van het RI&E-instrument aan een kwaliteitsmanagementsysteem via een API is altijd mogelijk. Het RI&E-instrument is inpasbaar in de processen van de plando-check-actmethodiek, ook zonder een technische koppeling. In het RI&E-instrument kan geregeld worden dat de beheerder of uitvoerder een terugkoppeling krijgt, als een beheersmaatregel niet of gedeeltelijk wordt uitgevoerd. Het genereren van goede managementinformatie zou op RI&E-niveau geregeld kunnen worden en zou dan een onderdeel moeten zijn van het pakket van eisen. Het bereiken van hogere niveaus op de ladder draait uiteindelijk om cultuurverandering en gedrag van mensen. Dat gedrag kan gestimuleerd worden door gedrag zichtbaar te maken en daarover te rapporteren. Sommige leveranciers raden ernstig af om de in het RI&E-instrument ingebouwde acties en de opvolging daarvan buiten het RI&E-instrument om te doen vanwege het zo laag mogelijk houden van de workload. Geadviseerd wordt om de implementatie niet in een keer voor de hele organisatie te doen, maar per arbothema omdat daar beduidend meer winst is te behalen. De projectgroep vraagt of het RI&E-instrument ook ondersteunt in het hoger op de ladder komen van de organisatie? In de traditionele werkvorm wordt alleen rekening gehouden met de voorzienbare risico's, maar hogerop moet er ook gewerkt worden aan de voorstelbare risico's die zich nog niet gemanifesteerd hebben. Daarbij is het zaak om realistisch te blijven, omdat sommige regio's nog lang niet zover zijn. Van leverancierszijde meent men dat het ervan afhangt wie men bij de RI&E betrekt. Als de verantwoordelijkheid bij de werkvloer gelegd wordt, levert dat automatisch een bijdrage aan de veiligheid. Hoger in de organisatie zijn vragenlijsten alleen niet meer voldoende, maar moet er meer met open normen gewerkt worden. Er is dan een module in het RI&E-instrument nodig dat meer free format is, waarmee andere risico's in beeld komen dan de door de wet voorgeschreven checklist. Men zal dan met de werkvloer in gesprek moeten gaan en daar conclusies aan verbinden. De last minute riskanalyse, het allerbelangrijkste in het kader van de veiligheid van de mensen, blijft altijd een verantwoordelijkheid van de brandweerman zelf. Daarnaast is een RI&E-instrument noodzakelijk om alle andere gradaties van beleid tot aan de werkvloer te tackelen. Eén van de leveranciers kan een app leveren om via het web of mobiel een last minute risicoanalyse te doen en incidenten te melden.
Overleg marktpartijen en vakgroepleden RI&E-instrument 18 december 2013
pagina 4/5
Per applicatie kan ook managementinformatie worden gegenereerd, die met behulp van een BIhulpmiddel geanalyseerd kan worden. De regio's menen dat in het implementatieplan meegenomen moet worden dat het borgen van de veiligheidscultuur staat of valt met de mensen en dus ook met commitment van het management. Aanpak regionale implementatie Van leverancierszijde doet men de suggestie om de regionale implementatie, met name de training en instructie, aan te pakken door eerst een kernteam op te leiden en dat team vervolgens intern de training te laten verzorgen. Dat is het zogenaamde "train de trainer"-concept, waardoor opleiding in de tijd gespreid kan plaatsvinden. Dat is mogelijk omdat de autorisaties flexibel ingericht kunnen worden. Een algehele training van de eindgebruikers is een kolossale operatie die duur is. De training zou ook per onderwerp (module) aangepakt kunnen worden. Geadviseerd wordt de gewenste flexibiliteit op dat gebied in het pakket van eisen mee te nemen. Diverse punten De leveranciers stellen dat het mogelijk is om zonder in te loggen in het beveiligde systeem individuen te laten signaleren en attenderen. Dit is alleen mogelijk in de cloudoplossing. Zij adviseren om na te gaan welke andere hulpmiddelen nu gebruikt worden en wat daar goed aan is, zodat niet het kind met het badwater wordt weggegooid. Het is ook verstandig om de harde kern van het RI&E-instrument, de basisset met vragen, te blokkeren voor wijzigingen door mensen uit het veld. Geadviseerd wordt om in het RI&E-instrument een rolmodel te hanteren. Ook is het belangrijk om eisen te formuleren op het gebied van de technische implementatie, zoals de toegangssnelheid tot het systeem, hoe snel moet men online zijn, of er plug-ins nodig zijn, et cetera. De leveranciers pleiten ervoor om bij de standaardisatie van de branche-RI ook de erkenning van het RI&E-instrument en de voorwaarden die daarvoor nodig zijn mee te nemen. Het is verstandig om de ontwikkeling van de content parallel te laten lopen aan de ontwikkeling van het RI&E-instrument om de samenhang ertussen te bewaken. De projectgroep geeft aan dat het nieuwe RI&E-instrument voor het totale pakket gebruikt moet gaan worden door de hele veiligheidsregio. RI-gemeente zal straks niet meer gebruikt worden. De regio's zelf beslissen of er een migratie nodig is voor implementaties die al draaien. Het advies zal aan Brandweer Nederland worden gegeven om goed na te denken over de landelijke regierol.
7. Afronding van het gesprek met de leveranciers Er zijn op dit moment geen vragen meer.
8. Korte nabespreking met vertegenwoordigers uit de regio Dit onderdeel vindt na de vergadering plaats en wordt niet genotuleerd.
9. Sluiting De voorzitter dankt alle partijen voor hun aanwezigheid en sluit de vergadering om 15.47 uur.
Overleg marktpartijen en vakgroepleden RI&E-instrument 18 december 2013
pagina 5/5