Een verhaal met twee kanten

De ene kant van het verhaal

De ondernemer die uit het raam kijkt ‘overziet’ zijn bedrijf en zijn bedrijfsactiviteiten. Hij ziet overal mensen rondlopen. Veel mensen. Mensen die aan het werk zijn en mensen die op bezoek komen. Een deel is bij hem in dienst, een ander deel werkt via subcontractors. Sommigen kent hij, anderen niet.

Wie zijn deze mensen, vraag hij zich af. Wat doen ze hier? Wie heeft ze uitgenodigd, ingehuurd of gecontracteerd? Mogen ze hier wel zijn? Mogen ze doen wat ze doen? Zijn ze daarvoor bevoegd en gekwalificeerd? Zijn ze wel gescreend? Is hun privacy daarbij voldoende gewaarborgd? Welke risico’s loopt de onderneming eigenlijk? En welke risico’s loop ík?

Veel zaken onttrekken zich aan zijn gezichtsveld. Mensen die thuis werken of elders aan de slag zijn. Er zijn trouwens ook steeds meer veiligheidssystemen waarvan hij denkt: wat doen ze precies? Hoe duurzaam zijn ze? Moeten er alweer nieuwe, kostbare, systemen bij komen? En hoe lang redden we het daar dan mee?

Tegelijkertijd vraagt hij zich af of het niet beter kan. Of de mensen die hij ‘binnen’ heeft wel efficiënt samenwerken. Of alle processen en systemen die binnen zijn organisatie zijn gegroeid niet beter op elkaar afgestemd kunnen worden. Hij wil niet alleen weten wat de risico’s zijn, hij is ook benieuwd naar manieren om zijn bedrijfsvoering te verbeteren.

Hoe groter zijn organisatie, hoe groter en ingewikkelder de vragen die op hem afkomen. De ondernemer die uit het raam kijkt. Uiteindelijk vraagt hij zich maar één ding af: ben ik wel ‘in control’? Vandaag, maar ook morgen?

Wij zijn Nsecure. Ons motto luidt: Control your access. Dat gaat (veel) verder dan de fysieke toegangscontrole. Het gaat om ‘in control zijn’ en om ‘toegankelijkheid’ in de meest brede zin van het woord. Om het kennen van de mensen en de partijen die bij je aan het werk zijn. Om het beheersen van risico’s op talloze terreinen. En om het efficiënter, veiliger en duurzamer maken van vitale bedrijfsprocessen.

Onze ‘roots’ liggen in de securitywereld. Een wereld waarin in de afgelopen decennia heel veel en tegelijkertijd juist heel weinig is veranderd.

Ooit was het heel overzichtelijk en begrijpelijk. De man bij de poort had een handgeschreven of uitgetypte lijst voor zich liggen. Daarop stond wie er die dag naar binnen mocht. En zijn collega maakte regelmatig een rondje op het bedrijfsterrein om te kijken of er geen gekke dingen gebeurden.

Met de ontwikkeling van de elektronica werd hun werk gemakkelijker. Camera’s en beeldschermen maakten het mogelijk om vanaf één plek voortdurend alles in de gaten te houden. En de slagboom of de voordeur kon op afstand worden geopend nadat iemand zich had aangemeld via de intercom.

Dankzij de komst van de moderne computers en processors zijn deze procedures sinds een jaar of tien, vijftien ‘IP-gestuurd’ geworden. Digitale informatie, gekoppeld aan scanners, pasjes en poortjes hebben het toegankelijk maken en beveiligen van gebouwen en gebieden nog verder geautomatiseerd.

Maar aan het principe op zich is al een hele tijd niet heel veel gewijzigd. De hoogwaardige techniek staat op de meeste plaatsen vooral in dienst van de vraag of iemand ergens naar binnen mag. Of niet.

Intussen is de wereld om ons heen snel aan het veranderen. Op allerlei gebieden. Onze samenleving is veelzijdiger en veelkleuriger geworden. Steeds meer culturen leven en werken naast en met elkaar. Met name de digitale technologie ontwikkelt zich in een adembenemend tempo en dat heeft grote gevolgen. We zitten middenin een transformatie die allerlei processen versnelt. Veel bedrijfstakken zijn bezig - al dan niet gedwongen - zichzelf opnieuw uit te vinden. De economie verandert, arbeidsverhoudingen veranderen en ook de manier waarop we werken krijgt een nieuwe invulling.

De eisen die aan mensen en organisaties worden gesteld, worden steeds groter en vooral complexer. Niet in de laatste plaats door strengere regels van toezichthouders en de wetgever. Het thema ‘compliance’ heeft een vaste plek op de directieagenda’s gekregen. De vraag ‘of iemand ergens naar binnen mag’ is allang niet meer de enige die van belang is. Er zijn hele andere vragen bijgekomen.

Tegelijkertijd brengt deze tijd ons talloze nieuwe kansen. De technologie zorgt ervoor dat we meer weten en dat we die kennis dankzij de snelle ontwikkelingen op het gebied van datatechnologie beter kunnen verwerken en combineren.

Nsecure speelt als enige partij in de securitywereld met volle overtuiging in op deze ontwikkelingen. Wij zien security, risicobeheersing en de continuïteit van een organisatie als één geheel. Daarom zetten we de nieuwe mogelijkheden die de digitale transformatie biedt in om onze security (en toegangs-) systemen te integreren in andere vitale organisatieprocessen. Zodat organisaties en ondernemingen niet alleen veiliger, maar ook efficiënter worden.

Om dat mogelijk te maken, bouwen we boven op de fysieke toegangs- en securitysystemen tailor made dataplatforms waarin verschillende bedrijfsinformatiesystemen op intelligente manier aan elkaar gekoppeld worden. Deze platforms zijn duurzaam, in de zin dat ze voortdurend geactualiseerd worden en meegroeien met de eisen die iedere periode stelt. In plaats van steeds méér systemen en controles, wordt het vooral: beter en intelligenter. En gegarandeerd actueel.

Welke systemen versmelten en ‘samenwerken’, is afhankelijk van de behoefte, de omvang en de aard van de organisatie in kwestie. In de ene situatie is een koppeling met de programma’s op het gebied van opleidingen en accreditatie het meest relevant. In een ander geval wordt gekozen voor het ‘aan elkaar knopen’ van systemen waarin zich alle persoonsgegevens bevinden, waaronder informatie over nationaliteit en eventuele illegaliteit. Maar ook een koppeling met systemen op het gebied van technisch beheer, inkoop, facilitaire diensten, juridische zaken en personeelsadministratie (denk aan urenadministratie, verzekeringen en pensioenpremieafdracht) zijn mogelijk. En dat in alle denkbare combinaties. Ook het naleven van alle wet- en regelgeving op het gebied van privacy is op deze manier naadloos geïntegreerd én gegarandeerd.

Of het nu een kantooromgeving, een industriecomplex, een ziekenhuis of een buitenlocatie betreft, onze geïntegreerde platforms zorgen ervoor dat mensen niet alleen op efficiënte wijze ‘binnenkomen’ en aan de slag kunnen, maar ook dat er voldaan wordt aan de geldende wet- en regelgeving. Waardoor een ondernemer niet alleen antwoord krijgt op de vraag of iemand ergens mag zijn, maar ook op de vraag of hij dit werk mag doen en of de risico’s zijn afgedekt. Dankzij de state of the art rapportages is hij bovendien van alles op de hoogte. Hij is, kortom, volledig ‘in control’.


De andere kant van het verhaal

De opzichter die zich ergert In het benauwde kantoortje van het autoverhuurbedrijf op de kleine luchthaven van Bergerac heeft de 40- jarige Nederlander Jos Driesprong zojuist een uitgebreid formulier ingevuld. Daarna heeft hij behalve zijn creditcard, ook zijn paspoort en rijbewijs afgegeven, waar nu door een norse Fransman achter de balie fotokopieën van worden gemaakt. Hij wil snel weg, want zijn vrouw staat buiten in de brandende zon te wachten met hun twee jonge kinderen. De vragen die op dit moment door zijn hoofd schieten, stelt hij maar even niet hardop. Dat zou alleen maar meer oponthoud opleveren. En vooral: meer gedoe.

Het ergert hem. Waar is dit nou allemaal voor nodig? Wat gebeurt er eigenlijk met dat formulier en die kopieën? Ook als over tien dagen die auto weer is ingeleverd? Zijn al die gegevens wel veilig? Wie kan erbij? En bovendien: hij had weken geleden op de site van het verhuurbedrijf toch ook al heel veel zaken ingevuld? Grotendeels dezelfde…

Het is niet de eerste keer dat Jos zich dit soort vragen stelt. In zijn werk als opzichter bij een groot aannemersbedrijf komt hij steeds vaker op bedrijfslocaties. Met name grote industriële complexen, waar sprake is van stringente veiligheidsmaatregelen. Soms komt hij er alleen voor een gesprek. Maar doorgaans komt hij er om een kortere of langere periode te werken, meestal vergezeld van een aantal mannen uit de ploeg waar hij leiding aan geeft. Hij begrijpt als geen ander dat de opdrachtgevers waarvoor hij werkt van alles moeten weten, voordat ze hem en zijn collega’s toegang verschaffen tot (delen van) hun complex. Niet alleen de vraag ‘ben je wie je zegt te zijn’ is dan van belang, maar ook vragen over kwalificaties, veiligheidsdiploma’s, werkvergunningen en arbeidsverleden. Je kunt van een raffinaderij niet verwachten dat ze je op je blauwe ogen geloven en binnenlaten.

Maar wat hij zich steeds vaker afvraagt is hoe het toch kan dat hij dezelfde informatie steeds opnieuw moet verstrekken? Of eigenlijk: “weggeven”? Want zo voelt het. Het irriteert hem dat zijn privégegevens onnodig op talloze plekken terecht zijn gekomen, terwijl hij daar allang weer weg is of misschien maar één keer is geweest. Hij vraagt zich af of hij dat wel wil. Wat gebeurt ermee? Wie is daarvoor verantwoordelijk? Vroeger verdween het kopie van zijn paspoort in een ordner en vervolgens in een kast. Dat voelde vaak al ongemakkelijk. Maar in deze digitale tijden is alles mogelijk. Ten goede, maar ook ten kwade. Daarnaast vraagt Jos zich regelmatig af of het niet veel slimmer en efficiënter kan. Ieder bedrijf dat hij bezoekt, lijkt zijn eigen toegangssysteem te hebben. En elke keer opnieuw kost het tijd. Kostbare tijd. Tijdens je vakantie een keer wachten op een huurauto, diep in Frankrijk, is tot daaraan toe. Maar als je aan het werk bent, telt toch elke minuut?

Tot zijn opluchting ziet Jos dat de Fransman op hem afloopt met in zijn hand niet alleen een stapeltje paperassen, maar ook een autosleutel.

Data is het nieuwe goud. Je kunt geen krant of vakblad openslaan of het gaat over de waarde van digitale gegevens over mensen en hun gedrag. Vooral de marketingwereld is erdoor geobsedeerd. Daar lijkt alles te draaien om de vraag: hoe komen we aan die data en wat kunnen we er vervolgens mee? Met de juiste data en de juiste interpretatie ervan kun je veel geld verdienen.

Ook in de wereld van security en toegangssystemen speelt data een steeds grotere rol. Sinds een jaar of 15 zijn veel van die systemen ‘IP-gestuurd’. Digitale informatie, gekoppeld aan scanners, pasjes en poortjes hebben het toegankelijk maken en beveiligen van gebouwen en bedrijfsterreinen nog verder geautomatiseerd en geperfectioneerd. De data die bedrijven en organisaties daarbij verzamelen, levert bovendien hele nieuwe mogelijkheden op. Je kunt deze gegevens koppelen aan andere organisatieprocessen, zoals opleiding en accreditatie, technisch beheer, facilitaire diensten en personeelszaken. Op die manier worden organisaties niet alleen veiliger, maar ook efficiënter en duurzamer.

Deze ontwikkeling kent echter ook een keerzijde. Er is namelijk een groot verschil tussen de klantdata waar de wereld van de marketing zo mee bezig is, en de toegangsdata die verzameld wordt door de verschillende security- en toegangssystemen.

Die tweede soort data dient eigenlijk slechts één doel: ‘groen licht’ geven. Of rood licht, natuurlijk. Er moet (snel) antwoord gegeven worden op een aantal vragen die vanuit security-overwegingen cruciaal zijn. Mag deze persoon naar binnen, c.q. mag hij hier, op dit moment zijn? Klopt zijn identiteit? Is hij gekwalificeerd? Enzovoort.

De grote vraag is of toegangsverleners de gegevens die nodig zijn om deze vragen goed te kunnen beantwoorden ook echt in bezit moeten hebben. En vooral: of ze dat wel moeten willen.

De huidige situatie leidt namelijk tot steeds meer ‘ongemak’. Niet alleen de bezoeker - kijk naar het verhaal van Jos - vraagt zich af wat er met zijn persoonlijke data gebeurt. De toegangsverlener vraagt zich op zijn beurt af wat hij ermee aan moet. De hoeveelheid gegevens die organisaties verzamelen bij het bepalen of iemand ergens naar binnen mag en of hij er bepaalde werkzaamheden mag verrichten, is immens en wordt elke dag groter. En het verkrijgen, verwerken en bewaren van die gegevens brengt enorme verantwoordelijkheden en risico’s met zich mee. En dus hoge kosten.

Er is trouwens nog een derde partij die zich ongemakkelijk voelt: de overheid. Die stelt zich steeds kritischer op en ontwikkelt nieuwe privacywetgeving. Kortom, er is sprake van een systeem dat tegen zijn grenzen aan begint te lopen.

Nsecure heeft samen met een aantal ICT partners een hele nieuwe visie ontwikkeld op data gestuurde security en toegangssystemen. Een visie waarin mensen centraal staan en niet het systeem. En die afrekent met alle hiervoor genoemde nadelen. Deze visie is gebaseerd op een aantal belangrijke ontwikkelingen:

- Op de eerste plaats is dat de beweging van bezit naar gebruik die je overal ziet. Denk aan Green Wheels, Spotify of Airbnb. Niet het bezit, maar het gebruik van een product of een dienst staat centraal. Datzelfde moet naar onze overtuiging gaan gelden voor data, voor persoonsgebonden informatie.

- Een tweede belangrijke ontwikkeling is die van de personalisatie. Ieder persoon is uniek en is in toenemende mate gewend zijn eigen voorkeuren te bepalen en te beheren. Auto’s worden op maat geproduceerd, televisiekijken verandert in kijken on demand (Netflix, HBO), enzovoort. Mensen willen zelf de regie hebben, ook als het gaat om datgene wat het meest privé is: het beheren van hun persoonsgegevens.

- Onder invloed van de nieuwe wetgeving rondom de bescherming van persoonsgegevens, gaan bedrijven en instellingen zich profileren als betrouwbare ‘hoeders’ van privacygevoelige data. Ze worden identity providers. Denk aan DigiD, Ideal (Idin), het VCA register, maar ook aan werkgevers, pensioenfondsen en opleidingsinstituten zoals universiteiten. Zij kunnen antwoord geven op vragen van toegangsverleners zonder de gegevens waarop dat antwoord gebaseerd is ook daadwerkelijk te verstrekken. Zolang zij maar door zowel de toegangsverkrijger (de bezoeker, de werknemer) als door de toegangsverlener voor 100% in deze rol worden vertrouwd.

Het belangrijkste uitgangspunt in de visie van Nsecure en haar partners is dat de regierol verschuift van de toegangsverlener naar de toegangsverkrijger. Mensen bepalen straks zélf bij welke identity providers ze (stukjes van) hun persoonsgegevens hebben liggen. En ze bepalen ook zélf wie vervolgens bij die identity providers om ‘groen licht’ mag vragen, zonder die gegevens in bezit te krijgen.

Dit proces vindt plaats op een centraal, onderliggend platform. Hier beheren mensen (toegangsverkrijgers) hun eigen dossier. Daarin is vastgelegd welke persoonlijke gegevens door welke identity providers worden beheerd. Maar ook onder welke voorwaarden ze door welke toegangsverleners mogen worden geverifieerd. Op ditzelfde platform kunnen de toegangsverleners aangeven op welke punten ze bevestiging willen hebben voordat er toegang wordt verleend. Dit noemen we ‘sleutels’. De identiteit van de bezoeker is de meest voor de hand liggende sleutel. Maar het kunnen ook specifieke kwalificaties zijn. Een veiligheidsdiploma. Of een keurmerk. De toegangsverkrijger kan zijn dossier zo nodig aanvullen met nieuwe identity providers en extra gegevens om bepaalde sleutels te verkrijgen.

Op de plek waar de feitelijke toegang wordt verleend, zorgen identifiers als een vingerafdruk, een gezichtsof irisscan of een mobiele telefoon voor de bevestiging van de gevraagde sleutels: de betreffende persoon mag naar binnen.

De voordelen zijn voor alle partijen groot. Bedrijven en organisaties die toegang willen verlenen, hoeven niet meer alle data zelf te verzamelen en op te slaan. Ze besparen veel geld en voldoen aan alle complianceeisen. Bovendien verloopt het proces van toegangsverlening veel sneller en efficiënter. Identity providers kunnen van het beheren van de gegevens en het verstrekken van ‘groen licht’ een businessmodel maken.

En - last but not least - bezoekers, contractors en werknemers ervaren veel meer gemak bij het binnenkomen van bedrijfsterreinen of het gebruik maken van diensten en houden daarbij onder alle omstandigheden zelf de regie over hun persoonsgegevens. Ze zijn volledig ‘in control’.


Control, Your Access

Het is één verhaal

Ontelbare keren per dag krijgen we ergens toegang. Soms hebben we het niet eens in de gaten, bijvoorbeeld als we een winkel binnenstappen, een restaurant bezoeken of een park. Of onze eigen werkplek bijvoorbeeld; al hebben veel mensen daar al een pasje of een ander soort sleutel voor nodig.

Hoe gemakkelijk het is om ergens toegang te krijgen, hangt sterk af van de aard van de organisatie of het bedrijf. Iedereen vindt het normaal dat je een ziekenhuis zo kunt binnenlopen. Je hoeft jezelf pas bekend te maken bij de balie van de afdeling waar je een afspraak hebt. Maar er zijn ook veel plekken waar toegang krijgen uit veiligheidsoverwegingen bewust een stuk lastiger is gemaakt. Denk aan een raffinaderij of het hoofdkantoor van een bank. Dan krijg je te maken met security en met serieuze, elektronische toegangssystemen. Hoe ze werken, verschilt van geval tot geval.

Wat de meeste moderne toegangssystemen gemeen hebben, is dat ze data gestuurd zijn. Dat betekent dat digitale gegevens over de bezoekers worden gekoppeld aan scanners, pasjes en poortjes. Zo is het binnenkomen van gebouwen en terreinen vaak volledig geautomatiseerd. Het bedrijf weet wie er binnen is, maar ook met welk doel. Bijvoorbeeld om iemand te bezoeken, of om er aan een bepaalde opdracht te werken.

Die data gestuurde toegangssystemen hebben veel voordelen. Het binnenkomen verloopt snel en efficiënt en dat ervaart een bezoeker als prettig. Voor de toegangsverlener geeft het niet alleen zekerheid, maar biedt het nog meer voordelen. Hij kan de gegevens uit zijn toegangssysteem koppelen aan andere bedrijfsprocessen. Bijvoorbeeld aan het technisch beheer van zijn gebouwen en bedrijfsterrein. Maar ook aan de eisen die worden gesteld aan de contractors die bij hem komen werken; denk aan opleidingen en accreditatie. Zo worden bedrijven en organisatie niet alleen veiliger, maar ook een stuk efficiënter en duurzamer.

Maar data gestuurde toegangssystemen hebben ook een keerzijde. Het woord zegt het al: ze verzamelen data. Bezoekers moeten persoonlijke gegevens ‘weggeven’ om naar binnen te mogen. En ze vragen zich steeds vaker af wat daarmee gebeurt. Zijn die gegevens wel veilig? Maar ook bedrijven en organisaties zélf ervaren het beheren van die data als een last. Ze lopen risico’s en de beveiliging ervan kost veel geld. En er komt bovendien steeds meer data bij. Ook de overheid kijkt met argusogen toe. Zij ontwikkelt strengere wetten als het gaat om het opslaan en bewaren van persoonsgegevens.

Nsecure werkt daarom met een aantal ICT partners aan een nieuw, onderliggend platform, waarop verificatie van persoonsgegeven kan worden verkregen en verleend, zónder dat deze gegevens worden uitgewisseld. Op dit platform – werknaam: ‘Petrus’ - heeft een bezoeker of toegangsverkrijger een eigen privédossier. Dat dossier is gekoppeld aan zijn persoonsgegevens, die elders opgeslagen zijn bij verschillende identity providers. Denk aan Digid, het VCA register, maar ook aan werkgevers of opleidingsinstituten. Hij heeft zelf de regie over zijn dossier en bepaalt ook zelf wie er in mag kijken. Toegangsverleners kunnen op het platform aangeven wat er vereist is om bij hen binnen te komen. We noemen dit sleutels. De aard en de hoeveelheid van die sleutels zal van geval tot geval verschillen. Maar iemands identiteit is er natuurlijk altijd één. Vervolgens krijgen toegangsverleners op dit platform verificatie van de sleutels, zónder de eigenlijke data in handen te krijgen. Ze krijgen slechts ‘groen licht’, maar wel uit de meest betrouwbare bron.

Ter plekke, zeg maar ‘aan de poort’, zorgen zogenaamde identifiers zoals een vingerafdruk, een gezichts- of irisscan of een app op een telefoon voor de bevestiging van de bestaande sleutels. En wordt er meteen toegang verleend. Of niet natuurlijk…

Dit platform biedt grote voordelen voor alle partijen. Bedrijven en organisaties die toegang willen verlenen, hoeven niet meer alle data zelf te verzamelen en op te slaan. Ze besparen veel geld en voldoen aan alle compliance-eisen. Bovendien verloopt het binnenkomen nog sneller en efficiënter. En bezoekers, contractors en werknemers ervaren veel meer gemak en houden onder alle omstandigheden zelf de regie over hun persoonsgegevens.

Iedereen is kortom volledig ‘in control’. Nsecure. Control Your Access