Veel organisaties vertrouwen erop goed beveiligd te zijn, wanneer zij voldoen aan de eisen die de verzekeraar stelt. Die hanteert daarvoor vaak de Verbeterde Risico Klasse Indeling (VRKI). Een goed en handig hulpmiddel, dat leidt tot het adequaat verkleinen van de verzekerde risico’s. Goede beveiliging vraagt echter veel meer.

De veel door verzekeraars en beveiligingsbedrijven gehanteerde VRKI volstaat uitstekend bij het bepalen van de benodigde mix van maatregelen tegen inbraak met diefstal als gevolg. Organisaties kampen echter met veel meer dreigingen. Denk maar aan vandalisme, agressie en overvallen. Voor dergelijke zaken is de VRKI niet bedoeld. Ook dient er rekening mee gehouden te worden dat de VRKI slechts minimale eisen stelt. Er kunnen extra maatregelen nodig zijn, als de kans bestaat dat de schade hoger uitvalt dan de kosten van de diefstal en herstel van de inbraakschade. Denk maar aan een onderbreking van de continuïteit, doordat bij de inbraak moeilijk vervangbare bedrijfsmiddelen zijn ontvreemd. Voldoen aan de verzekeringseisen geeft dus nog geen garantie op een goede nachtrust.

Het totale dreigingslandschap
De VRKI is ook niet bedoeld om de continuïteit van de organisatie te borgen. Er zijn dreigingen te bedenken die veel meer impact hebben dan inbraak en diefstal, zoals brand, cybercrime, afpersing en imagoschade. Het is dus van belang om bij beveiliging niet uit te gaan van wat de verzekeraar eist, maar van wat een analyse van het totale dreigingslandschap naar voren brengt. De VRKI is op zichzelf dus een prima instrument, zolang het als onderdeel wordt gezien van een totaal pakket aan noodzakelijke beveiligingsmaatregelen. Dat omvat bijvoorbeeld ook borging van procedures. Een inbraakdetectiesysteem is prima, maar heeft weinig nut als nooit zeker is of het is ingeschakeld of als niet bekend is wie het mag uitschakelen. Hoe vaak wordt het getest en hoe wordt omgegaan met storingsmeldingen? Ook dat is van groot belang.

Grotere gevolgen voor de organisatie
Beveiliging conform de VRKI kan aardig in de papieren lopen. Er niet aan voldoen is geen reële optie, want dan heeft een verzekeraar grond om een schadeclaim af te wijzen. Toch mag het ook niet de bedoeling zijn dat het totale beveiligingsbudget hierdoor opgaat aan maatregelen tegen inbraak, terwijl er wellicht dreigingen zijn met veel grotere gevolgen voor de organisatie. Zolang deze niet niet leiden tot schade voor de verzekeraar, zal die zich er niet direct druk om maken. De schade, bijvoorbeeld door het tijdelijk stilvallen van de bedrijfsactiviteiten, zal dan ook niet worden vergoed als daarvoor geen extra verzekering is afgesloten. Maar dat valt buiten de scope van de VRKI. Dat geldt ook voor schade die veroorzaakt wordt door eigen medewerkers. En vergeet niet de dreiging van imagoschade, als bijvoorbeeld kostbare goederen van klanten worden gestolen.

Het juiste pakket aan beveiligingsmaatregelen
Gesteld kan dus worden dat niet het risico voor de verzekeraar het uitgangspunt van de beveiliging moet zijn, maar het complete dreigingslandschap van de organisatie. Helaas is er geen handig A4-tje, waarmee dat eenvoudig in beeld gebracht kan worden. Welke mogelijke incidenten hebben de grootste impact en hoe groot is de kans dat deze zich voordoen? In hoeverre is de daardoor ontstane schade te verzekeren? Dat zijn de vragen die ten grondslag moeten liggen aan de keuze van het juiste pakket aan beveiligingsmaatregelen. Uiteindelijk zal de scope nog uitgebreid moeten worden naar de ‘keten’. Ook een incident bij een toeleverancier of een grote klant kan ernstige gevolgen hebben, evenals veranderingen in de wet- en regelgeving. Tot slot kan opgemerkt worden dat een dreigingsbeeld nooit een momentopname mag zijn. Het verandert continu en beveiligingsmaatregelen dienen mee te bewegen om effectief te blijven.

Thimo Keizer
RisicoRegisseurs