Weinig bedrijven hebben rampscenario’s

In de bestuurskamers van bedrijven is vaak geen rampendraaiboek te bekennen. Welke risico's lopen ze?

Inherent aan de Nederlandse cultuur, aan een relatief zorgeloze bevolking, aan een land zonder recente natuurrampen en oorlogen. Anticiperen op dreigend terrorisme en andere onverhoopte ellende komt amper voor op de ‘to do’ lijstjes van onze CEO’s. Dick Berlijn waarschuwde er eerder, tijdens de recente nucleaire dreiging rond Noord-Korea, al voor: het bedrijfsleven maakt zich vooral druk om meer omzet, hogere winsten, lagere kosten.

Trump-tweet

Maar wie niet op ellende is voorbereid, loopt risico juist in de grootste ellende verzeild te  raken. “En dan denk ik niet eens meteen aan een terreuraanslag. Opeens kun je als bedrijf onderwerp zijn van een Donald Trump-tweet”, zegt veiligheidsexpert Marco Zannoni van verzekeraar AON. “Er zijn nieuwe gevaren en risico’s. Fake nieuws, wat vereist dat van je communicatie? En ook aktueel: de politieke onvoorspelbaarheid van het Witte Huis.”
“Het zit gewoon niet in onze volksaard, met de watersnoodramp van 1953 alleen nog in het lange termijn geheugen van oudere generaties”, meent Daan Brink, directeur van Proximities Risk Consultancy in Leusden. Brink adviseert Nederlandse bedrijven en instellingen over veiligheid. Of, zoals hij het zelf liever benoemt: het verminderen van onveiligheid.

Crisisteams

Marco Zannoni werkt al 18 jaar als adviseur acute crisisteams voor bedrijven en gemeenten en evalueerde tientallen incidenten en (bijna) crises. Eerst voor het Instituut voor Veiligheids- en Crisismanagement, tot dat in 2008 wordt overgenomen door verzekeraar AON. Voor, tijdens en na rampen is Zanonni ter plekke. Bijvoorbeeld in Enschede, kort na de allesverwoestende vuurwerkexplosie van 13 mei 2000. En, recenter, in Alphen aan den Rijn, als daar op 4 augustus 2015 twee hijskranen en het brugdek van de Julianabrug op huizen en winkels vallen en een spoor van vernieling door de Hooftstraat trekken.
 
“Elk bedrijf kent risico’s die moeten worden gemanaged”, vertelt hij. “Explosie, terrorisme, cyberaanvallen. Wij hebben onderzoek gedaan onder 83 bedrijven. Met een jaaromzet vanaf 10 miljoen tot boven de 500 miljoen euro. Daaruit blijkt dat de echt grote jongens wel weten wat er speelt of kan gaan spelen. Bij kleinere bedrijven is de situatie anders. Ongeveer 70 procent van de door ons ondervraagde directies weten niet wat de overheid gaat doen bij een crisis. Soms houdt men er rekening mee dat alles wel wordt geregeld.”

Thuis werken

De gijzeling in de NOS-studio, de Amsterdamse zedenzaak, de rellen in Hoek van Holland, naar beneden stortende balkons. Ook in Nederland gaat het mis. En getroffen bedrijven kunnen dan niet met de armen over elkaar afwachten. Maar dat doen ze in de praktijk wel. ‘Bij een aanslag of explosie gaan we wel even vanuit huis werken’, zo krijgen crisismanagers maar al te vaak te horen.
 
Marco Zannoni: “Zo maar een voorbeeld. Weet een internationaal opererende organisatie wat zich op veiligheidsgebied precies in het zuiden van de Filippijnen – medewerkers worden binnenkort uitgezonden – afspeelt? Lijkt een vanzelfsprekendheid om op de hoogte te zijn van global security, maar dat is het lang niet altijd. Wat in de praktijk van alledag werkt, maatregelen die zich hebben bewezen, stoppen wij in de crisisdraaiboeken.”

Risicoanalyses

De consultancy van Daan Brink maakt nationale en internationale risicoanalyses. Bijvoorbeeld voor bedrijven en instellingen die actief zijn in brandhaarden als Zuid-Sudan. “We hebben daar de risico’s voor de Canadese diplomatieke post in kaart gebracht. Bovendien checken we dan ook de antecedenten van lokaal opererende beveiligingsbedrijven. Hetzelfde doen we op dit moment voor een olieverwerkend concern dat in de Nigerdelta actief is. Historisch gevaarlijk territorium met rivaliserende stammen, Biafra-rebellen in het oosten, piraterij op zee, onafhankelijkheidsstrijders; het complete pakket aan gevaar en ellende. Goede voorbereiding en actuele kennis zijn op zo’n locatie een must, een kwestie van leven of dood.”
 
Dat crises en veiligheidsrisico’s zich niet tot oorlogsgebied beperken, wordt bijna zeven jaar geleden op pijnlijke wijze duidelijk. In een veilig en beschaafd land – geen corruptie, geen terreur – gaat het hopeloos mis. Fukushima, Japan, 11 maart 2011. Na een zeebeving en een tsunami volgt een kernramp. Tienduizenden evacuees, verlaten fabrieken, spookdorpen en -steden, zeven jaar later de eerste alarmerende berichten van een schildklierkanker epidemie. En ook een economische ramp.

Nucleaire ramp

“Stel, een Nederlands bedrijf is afhankelijk van toeleveranciers uit de regio Fukushima”, kijkt Marco Zannoni van AON terug op die nucleaire ramp. “En natuurlijk wordt na 11 maart 2011 niets meer vanuit dat gebied aangeleverd. Tja, dan heb je toch echt een zakelijk probleem. Ook dan kan een crisisbeheersingsplan voor alternatieven, voor oplossingen zorgen.”
 
Zannoni bespreekt rampscenario’s geregeld met raden van bestuur. “Terreuraanslag, vlak in de buurt van het hoofdkantoor. Wat doe je, deuren sluiten? Onmenselijk. Maar openblijven betekent een groot veiligheidsgevaar, ook voor de board. Dringen in de stroom van al die vluchtende mensen ook terroristen het bedrijf binnen? Je hoeft niet elke mogelijkheid, elk gevaar en elk scenario tot in details uit te werken, maar als je alle aspecten van voorzorg en beveiliging optelt, hoe weerbaar is je bedrijf dan? Het chanteren van grootwinkelbedrijven, de Makro-aanslagen, het is toch allemaal echt in Nederland gebeurd.” 

Cyberdreiging

Bij de helft van de oefeningen die AOL verzorgt, zo’n 200 op jaarbasis, gaat het om het neutraliseren van cyberdreiging. Kloppen data nog, zijn de systemen veilig? Tijdens speciale trainingen wordt personeel voorbereid op terreur. Bij bedrijven op Schiphol, bij financiele instellingen, op de Zuidas. “De gemiddelde bankdirectie weet natuurlijk alles van omvalrisico’s. Maar zijn ze ook op de hoogte van wat de overheid doet na een aanslag, wat dan de bevoegdheden zijn van bijvoorbeeld de burgemeester, hoe de protocollen luiden?”
 
Daan Brink, CEO van Proximities Risk Consultancy: “Een aanslag, de stroom valt uit, het mobiele netwerk hapert en stopt er uiteindelijk helemaal mee. Nederland gaat op onbereikbaar. Beschikken directeuren van netwerkbedrijven en andere economisch belangrijke spelers over satelliettelefoons om te kunnen blijven communiceren? Het lijkt zo eenvoudig, bijna vanzelfsprekend, maar echte crisisbeheersingsplannen en –draaiboeken zijn er nauwelijks.”

Dataterminals

“Internationaal opererende concerns, met vestigingen in zeg maar minder veilige landen, hebben dataterminals over de hele wereld”, vervolgt Brink. “Zodat continuïteit, ook tijdens en na een ramp, gewaarborgd blijft. Maar in de boardrooms van de kleinere corporates en grotere mkb-bedrijven wordt echt niet stilgestaan bij mogelijke rampen. ‘Ach, we kunnen desnoods ook thuis werken hoor’, antwoordde een directeur toen ik hem vroeg naar zijn plannen, mocht het stadsdeel waar zijn bedrijf – jaaromzet 300 miljoen euro – gevestigd is door een aanslag op slot gaan.”
 
Niet alleen het bedrijfsleven sluit de ogen voor risico’s. Kritiek heeft Brink ook op de overheid. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) maakt volgens de voormalig special operations officer geen onderscheid tussen bedrijven die wel en geen potentieel doel van terroristen zijn. 
Waardoor een olieraffinaderij gelijk wordt gesteld aan een koekjesfabrikant. Niet goed. En datzelfde gebrek aan nuance tekent ook de terreurdreiging, die al sinds tijden op het een na hoogste niveau staat. “Het is dus stabiel onveilig in Nederland. Maar wat kun je als bedrijf nou mee met die al jaren onveranderde status? Je moet bewustzijn creëren, geen angst.”