Sander is sinds 1999 werkzaam bij het HagaZiekenhuis en heeft zich in de loop der jaren ontwikkeld op het gebied van Bedrijfscontinuïteit & Crisisbeheersing. In zijn huidige rol als manager zorgt hij ervoor dat het ziekenhuis voorbereid is op verstoringen – van kleine incidenten tot grootschalige crisissituaties. In dit interview deelt hij zijn visie op Integraal Risicomanagement (IRM) en Bedrijfscontinuïteitsmanagement (BCM), en hoe deze thema’s strategisch zijn ingebed in de organisatie.
Wat versta jij onder Risicomanagement (IRM) en Bedrijfscontinuïteitsmanagement (BCM)?
Integraal Risicomanagement (IRM) gaat voor mij over het systematisch identificeren, analyseren en beheersen van risico’s die de realisatie van onze organisatiedoelen kunnen bedreigen. Het gaat dus niet alleen over veiligheid of compliance, maar over het geheel van strategische, operationele, financiële en reputatierisico’s.
Bedrijfscontinuïteitsmanagement (BCM) is meer toekomstgericht: wat doen we als het toch misgaat? BCM richt zich op het voorbereiden op verstoringen, zoals ICT-uitval, personele krapte of leveringsproblemen, en het borgen van de voortgang van de cruciale processen in zulke situaties. Je zou kunnen zeggen dat IRM draait om het voorkomen van risico’s, en BCM om het veerkrachtig reageren als die risico’s toch werkelijkheid worden.
Waarom is IRM/BCM van belang voor een organisatie?
Zorgorganisaties opereren in een complex en steeds dynamischer speelveld. Denk aan digitalisering, personeelstekorten, cyberdreigingen en wetgeving zoals de Wet weerbaarheid kritieke entiteiten. IRM en BCM helpen ons om hier strategisch en gestructureerd op te anticiperen.
Voor een ziekenhuis betekent dat bijvoorbeeld: hoe zorgen we dat de spoedeisende hulp blijft functioneren als het EPD uitvalt? Of hoe houden we de zorgverlening overeind tijdens een pandemie?
IRM/BCM bieden een kader om risico’s bespreekbaar te maken, prioriteiten te stellen en maatregelen te nemen die passen bij de risicobereidheid van het ziekenhuis. Uiteindelijk draait het om patiëntveiligheid, continuïteit van zorg en vertrouwen van medewerkers, patiënten en ketenpartners.
Hoe zorg je ervoor dat IRM/BCM onderdeel wordt van de bedrijfscultuur?
Dat begint bij bewustwording: Organiseer kennissessies, geef trainingen en werk met herkenbare praktijkvoorbeelden, zoals scenario’s rond ICT-uitval of personele schaarste. Betrek ook het management en de medewerkers actief bij risico-inventarisaties en business impact analyses.
Daarnaast helpt het om IRM/BCM te verankeren in bestaande structuren, zoals de planning- & controlcyclus, audits en kwaliteitsmanagement. Ontwikkel samen met sleutelfunctionarissen concrete draaiboeken en oefenen deze regelmatig. Zo wordt continuïteitsdenken vanzelf onderdeel van het dagelijkse werk en wordt de weerbaarheid van de organisatie vergroot.
Welke onderdelen vallen volgens jou onder een goed IRM/BCM programma?
Een goed programma bestaat uit meerdere lagen:
- Organisatie en governance: Duidelijke rollen en verantwoordelijkheden, bijvoorbeeld via een RASCI-matrix.
- Risico-identificatie en -analyse: Wat zijn onze grootste bedreigingen, intern én extern?
- Business Impact Analyse (BIA): Welke processen zijn cruciaal, wat zijn de afhankelijkheden, wat is de maximale uitvalduur (MTU)?
- Planvorming: Denk aan het ontwikkelen van crisisplannen, continuïteitsstrategieën, communicatiedraaiboeken en escalatiematrices.
- OTO-programma (Opleiden, Trainen, Oefenen): Geen plannen zonder testen. Oefenen is cruciaal voor effectiviteit.
- Rapportage & evaluatie: Meten is weten. We gebruiken onder meer heatmaps, KPI’s en managementrapportages.
- Borging & doorontwikkeling: Jaarlijkse audits en integratie in beleidsprocessen zorgen voor continu verbeteren.
Een volwassen programma maakt IRM en BCM tot een strategisch instrument voor de hele organisatie.
De Wet weerbaarheid kritieke entiteiten heeft een directe link met IRM/BCM en stelt specifieke eisen aan instellingen die aangemerkt worden als kritieke entiteit. Het inrichten van IRM/BCM is een flinke klus voor instellingen in de zorg; hoe pak je het aan?
De WWKE vraagt van zorginstellingen die als ‘kritieke entiteit’ worden aangewezen, dat zij hun weerbaarheid vergroten tegen álle relevante risico’s. Bij het HagaZiekenhuis wilden we dit gefaseerd en gestructureerd aanpakken.Allereerst is het crisismanagement binnen het HagaZiekenhuis aangescherpt. Vervolgens starten we met een brede risicoanalyse, gebruikmakend van onder andere het regionaal (zorg)risicoprofiel. Daarna voeren we een Business Impact Analyse uit om onze kritieke processen en afhankelijkheden scherp te krijgen. Tenslotte stellen we continuïteitsstrategieën en draaiboeken op, inclusief herstelprocedures. We koppelen dit aan een OTO-programma waarmee we onze plannen ook echt oefenen.
Samenwerking met NAZW
In samenwerking met het NAZW heb ik een groeimodel opgesteld met een bijbehorend stappenplan en verschillende tools die instellingen ondersteund bij deze stappen om zich voor te bereiden op de wet en om IRM/BCM te borgen binnen de instelling. Daarnaast hebben we in de regio een aantal sessies voor de care en cure sector georganiseerd om de stappen en de tools toe te lichten. Instellingen kunnen nu zelf of met elkaar aan de slag gaan. Dit jaar richten we ons op de interne processen en vanaf volgend jaar op ketenbrede aandachtspunten. Het stappenplan en de tools zijn voor iedereen beschikbaar.
Wil je weten hoe jouw organisatie dit kan aanpakken?
Ga dan naar onze speciaal ingerichte pagina met meer informatie over de toolkit
