Beoordeling van elektronische toegangscontrolesystemen in het kader van de AEO certificering bij de Douane

Beoordeling van elektronische toegangscontrolesystemen in het kader van de AEO certificering bij de Douane Afstudeerscriptie Postgraduate IT Audit Opleiding Vrije Universiteit Amsterdam Team 924 Johan Alink Frank Joosten

ii Inleiding Voorwoord Voor u ligt onze afstudeerscriptie ter afsluiting van de postgraduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam. Deze scriptie is het resultaat van een leerzaam, interessant en vaak tijdrovend traject dat is uitgevoerd in de periode augustus 2008 tot en met maart 2009. Naar aanleiding van een stage, die we in het kader van deze opleiding bij de Douane hebben gevolgd, zijn we met het onderwerp van deze scriptie in aanraking gekomen. Door het schrijven van deze scriptie hebben wij veel geleerd omtrent Douane processen en fysieke beveiliging in het kader van de AEO regeling. Wij hopen en verwachten dat we met deze scriptie de vragen beantwoorden die, binnen dit onderwerp, door IT-auditors van de Douane gesteld werden. Wij hebben deze scriptie geschreven op persoonlijke titel, deze scriptie vertegenwoordigt niet de standpunten van onze werkgever de Belastingdienst of van de Douane. Het schrijven van deze scriptie was niet mogelijk geweest zonder de hulp van: Belastingdienst: Onze werkgever de Belastingdienst heeft ons in staat gesteld de IT-audit opleiding aan de VU te volgen. Joris Hulstijn: Joris is onze begeleider van de VU. Wij zijn hem zeer dankbaar voor zijn positief kritische inbreng en zijn praktische creatieve insteek. Frans Vermeulen: Frans is onze interne begeleider. Wij danken hem voor de inbreng van zijn kennis en ervaringen uit de praktijk. Medewerkers Douane: Voor de casusonderzoeken hebben wij aansluiting gezocht bij lopende AEO onderzoeken. Zonder de medewerking van de controlemedewerkers van de Douane hadden we de praktijkonderzoeken niet kunnen uitvoeren. Geïnterviewden: In het kader van deze scriptie hebben wij een aantal personen mogen interviewen. Wij zijn hen dankbaar voor de tijd die zij hebben willen vrijmaken voor het geven van het interview evenals hun heldere kijk op ons onderwerp. Docenten: Wij willen onze (gast)docenten danken voor al hun inspanningen bij het verzorgen van de colleges. Onze gezinnen: Het volgen van een opleiding en, meer in het bijzonder, het schrijven van een scriptie vergt veel tijd en inspanning. Dit is soms ten koste gegaan van de besteedbare tijd binnen onze gezinnen. Wij danken hen voor de ruimte die wij hiervoor hebben gekregen. Maart 2009 Johan Alink Frank Joosten

Inhoud iii Inhoud 1 Inleiding... 1 1.1 AEO certificering bij de Douane... 1 1.2 Aanleiding... 1 1.3 De onderzoeksvraag... 2 1.4 Methode van onderzoek... 2 1.5 Samenvatting van deze scriptie... 3 1.6 Leeswijzer... 3 2 Achtergronden AEO... 4 2.1 Achtergrond AEO... 4 2.2 Wet en regelgeving... 5 2.3 Veiligheidseisen AEO vergeleken met andere standaarden... 7 2.4 Certificeringproces AEO... 9 2.5 Samenvatting van dit hoofdstuk... 10 3 Veiligheidseisen AEO... 11 3.1 Van AEO veiligheid naar IT beheer elektronische toegangscontrole... 11 3.2 Risicoanalyse uit verschillende gezichtspunten... 17 3.3 Verkenning elektronische toegangscontrolesystemen... 21 3.4 Conclusies van dit hoofdstuk... 24 4 Aandachtspunten bij onderzoek veiligheidseisen AEO... 26 4.1 Aandachtspunten en de vragenlijst... 26 4.2 Scenario s... 28 5 Casusbeschrijvingen... 30 5.1 Casus 1... 30 5.2 Casus 2... 32 5.3 Casus 3... 34 5.4 Aandachtspunten op risico s praktijkonderzoeken... 37 6 Conclusie... 38 6.1 Beantwoording van de deelvragen... 38 6.2 Beantwoording van de hoofdvraag... 40 6.3 Reflectie... 40 Bijlage 1, Een aantal wetteksten van belang voor AEO certificering... 41 Bijlage 2. Woordenlijst... 44 Bijlage 3. Geïnterviewde deskundigen... 45 Literatuur verwijzingen... 46

Inhoud 1 1 Inleiding Deze scriptie heeft als onderwerp: Beoordeling van elektronische toegangscontrolesystemen in het kader van de AEO certificering bij de Douane In dit hoofdstuk beschrijven we kort wat de AEO certificering inhoudt, beschrijven we de onderzoeksvraag en geven we de onderzoeksmethode aan. 1.1 AEO certificering bij de Douane AEO De afkorting AEO staat voor Authorised Economic Operator of geautoriseerde marktdeelnemer. De AEO certificering is door de EU opgezet om een veilige internationale goederenstroom te bevorderen. Daarnaast wordt gestreefd naar zo min mogelijk oponthoud aan de buitengrenzen van de EU en zo min mogelijk administratieve lasten voor het bedrijfsleven. Mede naar aanleiding van de gebeurtenissen op 11 september 2001 en de aanslagen in Madrid zijn er strengere controlemaatregelen opgelegd aan het internationale goederenverkeer. Deze controles belemmeren de voortgang in de toeleveringsketen ( supply chain ). De AEO certificering heeft als doel deze vertraging te voorkomen. Het goederenverkeer van gecertificeerde bedrijven wordt minder gecontroleerd of wordt sneller gecontroleerd. Voorwaarde voor certificering is dan wel dat de bedrijven passende veiligheidsmaatregelen nemen waardoor zij zelf kunnen garanderen dat de goederenstroom veilig is. Er zijn twee soorten AEO certificaat. Douanevereenvoudigingen (certificaat AEOC = customs simplifications) en Veiligheid (certificaat AEOS = security and safety). Een bedrijf kan ook de combinatie aanvragen (certificaat AEOF = full). Veiligheid nieuw voor Douane Het certificaat AEOC-Douanevereenvoudigingen stelt vooral eisen aan douaneprocessen (tijdige en juiste aangiften). Voor de medewerkers van de Douane is dit bekend terrein. De beoordeling van de veiligheidseisen bij het certificaat AEOS-Veiligheid is voor de Douane nieuw. Hierbij worden vooral eisen gesteld aan het waarborgen van de integriteit van de goederenstroom. De uitvoering van deze certificering is opgedragen aan de nationale douane organisaties van de EU lidstaten. Een AEO certificaat wordt door ander lidstaten erkend. 1.2 Aanleiding Naast de IT-audit opleiding aan de VU hebben wij via onze werkgever de Belastingdienst een stageprogramma doorlopen bij de groene kant van de Belastingdienst, de Douane. De aanleiding voor de keuze van het scriptieonderwerp ligt in gesprekken met Douane medewerkers. Zij vertelden dat IT-auditors van de Douane die zich bezig houden met AEO certificeringonderzoeken ervaren dat het beheer van elektronische toegangssystemen in de praktijk onvoldoende is. Het beheer van de IT van toegangscontrolesystemen is bijvoorbeeld opgedragen aan de facilitaire dienst (gebouwbeheer) die geen kennis en ervaring heeft met IT. Hierbij werd gezegd dat het beoordelen van deze systemen nieuw is voor de Douane en dat er behoefte is aan richtlijnen en aanbevelingen voor het beoordelen van IT-aspecten van elektronische toegangscontrolesystemen. Deze richtlijnen worden niet aangereikt in de interne opleiding op het gebied van veiligheid in het kader van de AEO. Bij het college over fysieke beveiliging door Ernst Oud (28-1-2008) aan de VU IT-audit opleiding werd gesteld dat IT-auditors (te) weinig aandacht hebben voor IT achter fysieke beveiliging. Het doel van deze scriptie is het formuleren van aanbevelingen waarmee medewerkers van de Douane invulling kunnen geven aan het beoordelen van IT-aspecten bij elektronische toegangscontrolesytemen van een AEO aanvraag.

2 Inleiding 1.3 De onderzoeksvraag Aan welke IT-beheersingsvereisten voor elektronische toegangscontrolesytemen moet een aanvrager van een AEO certificaat voldoen? Hoe toetst de Douane dit? Deelvragen: 1. Welke eisen stelt de AEO wet en regelgeving (op Nederlands en Europees niveau) aan beheer van elektronische toegangscontrole? Doel van deze vraag is om te onderzoeken of de AEO regelgeving concrete eisen aan het beheer van elektronische toegangscontrole stelt. 2. Welke normenkaders hanteren ondernemingen in de praktijk voor het beheer van IT systemen in elektronische toegangscontrole? Deze vraag heeft als doel te onderzoeken welke best-practices beschikbaar zijn. 3. In hoeverre kan de Douane algemeen bekende normenkaders gebruiken voor de beoordeling van het beheer van IT systemen van elektronische toegangscontrole? Doel hiervan is te onderzoeken of algemeen bekende normenkaders bruikbaar zijn bij het AEO onderzoek van de Douane. 4. Welke aanbevelingen kunnen worden geformuleerd? Het doel van deze vraag is aanbevelingen te vinden die behulpzaam kunnen zijn bij het AEO onderzoek van de Douane. 1.4 Methode van onderzoek We zijn ons onderzoek gestart met het interviewen van specialisten op AEO gebied van de Douane. Daarna hebben we een literatuurstudie uitgevoerd en hebben we specialisten in het vakgebied fysieke beveiliging geïnterviewd. De resultaten uit de interviews en de literatuurstudie hebben we gebruikt om aandachtspunten te formuleren. Deze aandachtspunten hebben we gebruikt in de casusonderzoeken. Uit de ervaring die we opgedaan hebben tijdens de casusonderzoeken formuleren we aanbevelingen en komen we tot de conclusies van deze scriptie.

Inhoud 3 1.5 Samenvatting van deze scriptie Afhankelijkheid Reguliere gegevensverwerking Risicoanalyse Onderbouwing verklaring Deze scriptie gaat over de vraag welke eisen aan het beheer van IT in elektronische toegangscontrole worden gesteld, in het kader van AEO certificering bij de Douane. Om deze vraag te kunnen beantwoorden hebben we eerst gekeken welke veiligheidseisen de AEO regeling stelt. Deze eisen bestaan voor een deel uit eisen aan toegangscontrole, om te voorkomen dat ongewenste manipulaties aan de goederen plaatsvinden. Toegangscontrole wordt vaak afgedwongen met een elektronisch toegangscontrolesysteem. Hoe meer systemen in de toegangscontrole worden geautomatiseerd, des te afhankelijker wordt de organisatie van het betrouwbaar en continu functioneren van deze geautomatiseerde systemen. Om het betrouwbaar en continu functioneren van deze systemen te kunnen waarborgen is een adequaat beheer nodig, dat onder andere bestaat uit fysieke en logische toegangsbeveiliging van het systeem zelf en wijzigingenbeheer. Wij hebben onderzocht uit welke componenten een elektronisch toegangscontrolesysteem bestaat, en welk specifieke normen bestaan voor het beheer hiervan. Deze specifieke normen hebben wij niet gevonden. De verwerking van gegevens over toegangsrechten van personen tot ruimten verschilt niet essentieel van reguliere gegevensverwerking. Daarom hebben we de conclusie getrokken dat de algemeen bekende normenkaders voor beheer van IT systemen ook op de IT systemen van elektronische toegangsbeveiliging van toepassing is. Naast dit (technische) spoor hebben we ook onderzocht op welke manier een ondernemer van de algemene eis van het voldoen aan passende veiligheidsnormen komt tot concrete maatregelen. Een gebruikelijke methode hiervoor is risicoanalyse. Wij hebben onderkend dat er verschillende invalshoeken voor het selecteren van risico s zijn. We hebben gezien dat de Douanerisico s niet altijd volledig overlappend zijn met risico s die uit de bedrijfsvoering worden onderkend. Bij de risicoanalyse en AEO beoordeling moet hiermee rekening worden gehouden. Bij de beoordeling van een AEO aanvraag toetst de Douane de verklaring van de aanvrager dat aan alle eisen wordt voldaan. De Douane onderzoekt de onderbouwing van deze verklaring, van de risico s die bij risicoanalyse zijn meegenomen, tot de wijze waarop het beheer van IT in elektronische toegangscontrole is ingericht. Daarbij zijn niet alleen de individuele maatregelen van belang maar gaat het vooral om de samenhang in het stelsel van maatregelen. 1.6 Leeswijzer Eisen aan toegangscontrolesystemen zijn een onderdeel van de AEO veiligheidseisen. De achtergrond, Wet en regelgeving en het certificeringproces van AEO komen in hoofdstuk 2 aan de orde. In hoofdstuk 3 beschrijven we de veiligheidseisen binnen AEO, risicoanalyse en verkennen we het elektronische toegangscontrolesystemen. Uit de veiligheidseisen volgen een aantal aandachtspunten. In hoofdstuk 4 passen we de aandachtspunten uit hoofdstuk 3 toe op een aantal scenario s. Deze aandachtspunten hebben we vervolgens gebruikt bij de praktijkonderzoeken die we in hoofdstuk 5 beschrijven. Hoofdstuk 6 bevat onze conclusie.

4 Achtergronden AEO 2 Achtergronden AEO In dit hoofdstuk verzamelen wij informatie over de AEO regeling. In 2.1 de beschrijven we achtergrond van de AEO, in 2.2 de Wet en regelgeving. In 2.3 vergelijken we de veiligheidseisen AEO met andere standaarden en in 2.4 beschrijven wij in het kort het certificeringproces 2.1 Achtergrond AEO 2.1.1 Internationale handel en de logistieke keten De AEO certificering richt zich op de in- en uitvoer van goederen. In- en uitvoer moet hier gezien worden als vervoer van goederen tussen het grondgebied van de EU en landen buiten de EU. Bij de internationale handel zijn verschillende partijen betrokken. De AEO guidelines (Guidelines, 2007) noemt als rollen: producent, exporteur, expediteur (organisator van vervoer), entrepothouder (opslag), douane-expediteur, vervoerder en importeur. Figuur 1, Deelnemers toeleveringsketen Keten Logistieke functie Door de combinatie van verschillende producenten van grondstoffen, halffabrikaten en eindproducten en wereldwijd verschillende locaties van productie, verwerking, op- en overslag, in- en uitpakken en vervoer is een ingewikkeld netwerk van toeleveringsketens ontstaan. Binnen een toeleveringsketen is elke schakel afhankelijk van de snelheid en betrouwbaarheid van de voorgaande schakel. Tijd is voor veel ondernemingen steeds meer een kritisch managementonderwerp geworden. Productlevenscycli zijn korter dan ooit, industriële klanten en distributeurs eisen just-in-timeleveringen, supermarkten willen vijf uur na bestellen worden herbevoorraad en consumenten stappen gemakkelijk over op een ander product, als hun eerste keuze niet ogenblikkelijk beschikbaar is. Door uitgekiend lead time management kan de logistieke functie een belangrijke bijdrage leveren aan het op de juiste tijd en de juiste plaats beschikbaar hebben van goederen en diensten. (Visser en Van Goor, 2008) Het is in logistieke ketens van belang dat de snelheid van leveren niet beïnvloed wordt door onvoorspelbare, langdurige grenscontroles. 2.1.2 Taak Douane Dagelijks gaan miljoenen tonnen aan goederen ons land in en uit: over land, zee en door de lucht. Op de goederenbewegingen aan de buitengrenzen van de EU moeten controles plaatsvinden. Dit is het werkterrein van de Douane. De Douane heeft hierbij te maken met politieke, beleidsmatige en juridische regels. Deze zijn deels Europees en deels nationaal bepaald. Heffen van belasting Stopfunctie De Douane houdt zich bezig met het heffen en innen van belastingen bij de in- en uitvoer van goederen. Dat is de 'heffings- en inningsfunctie' van de Douane. De Douane zorgt er ook voor dat goederen die het land niet binnen mogen komen, aan de grens worden tegengehouden. Dit is de zogenoemde 'stopfunctie' van de Douane. De Douane 'stopt' ook de uitvoer van bepaalde goederen, zoals wapens en munitie. Dit soort goederen mag niet worden uitgevoerd naar bijvoorbeeld landen in oorlog, of landen die te maken hebben met internationale sancties. 2.1.3 Doel AEO regeling Zoals wij in de inleiding schreven zijn, mede naar aanleiding van de gebeurtenissen op 11 september 2001 en de aanslagen in Madrid, de controlemaatregelen in het internationale goederenverkeer aangescherpt. Deze controles belemmeren de voortgang in de logistieke keten.

Inhoud 5 De AEO certificering heeft als doel deze vertraging te voorkomen. Het goederenverkeer van gecertificeerde bedrijven wordt minder gecontroleerd of wordt sneller gecontroleerd. Voorwaarde voor certificering is dan wel dat de bedrijven passende veiligheidsmaatregelen nemen waardoor zij zelf kunnen garanderen dat de goederenstroom veilig is. Individuele bedrijven Olievlekwerking 2.1.4 Invloed van individuele bedrijven op de keten Bij de onderzoeken van AEO aanvragen worden individuele bedrijven beoordeeld, onder andere op de beheersing van veiligheidsrisico s. Een individueel bedrijf dat de veiligheid van het eigen deel van de keten wil waarborgen, zal veel werk hebben aan het veilig maken van de inkomende goederenstroom. Vervolgens zal de veiligheid van de goederenstroom ophouden te bestaan als de volgende schakels in de keten de veiligheid niet kunnen of willen waarborgen. Een AEO gecertificeerd bedrijf zal aan zijn toeleveranciers/dienstverleners eisen stellen op het gebied van veiligheid. Dit vereenvoudigt het waarborgen van de veiligheid van de inkomende goederenstroom. Een eenvoudige manier om vast te stellen dat toeleveranciers de veiligheid van de goederenstroom waarborgen is om van de toeleveranciers te eisen dat zij ook AEO gecertificeerd zijn. De Douane verwacht dat op deze manier de AEO certificering binnen een toeleveringsketen zich als een olievlek zal verspreiden, waardoor uiteindelijk de veiligheid in de gehele toeleveringsketen is gewaarborgd. Commercieel voordeel Tijdens de casusonderzoeken (hoofdstuk 5) is ons gebleken dat AEO aanvragers verwachten dat het commercieel voordelig zal zijn om AEO gecertificeerd te zijn, omdat de kans op het verkrijgen van opdrachten wordt verhoogd. Het AEO certificaat wordt als een kwaliteitskeurmerk gezien. 2.1.5 Soortgelijke initiatieven wereldwijd Naast de Europese AEO certificering zijn er wereldwijd ook andere veiligheidsinitiatieven die te maken hebben met het grensoverschrijdende goederenverkeer. Van Hooff en Klaassen (2006) hebben een groot aantal van deze veiligheidsinitiatieven beschreven. Enkele voorbeelden: Verenigde Staten: C-TPAT, Customs-Trade Partnership Against Terrorism (www.cbp.gov) Canada: PIP, Partners In Protection, Canadees equivalent van C-TPAT (www.cbsaasfc.gc.ca) Australië: Frontline WCO: SAFE Framework, Raamwerk, basis voor onder andere de Europese AEO regeling Zweden: StairWay / StairSec (www.stairsec.se) Internationaal: ISPS, International Ship and Port facility Security code, beveiliging zeehavens Onderlinge erkenning van de programma s wordt nagestreefd. 2.2 Wet en regelgeving In deze paragraaf beschrijven wij waar de veiligheidseisen in de wet en regelgeving zijn opgenomen. CDW Guidelines De AEO certificering is geregeld in het Communautair Douane Wetboek (CDW) (CDW, 2005) en de Toepassingsverordening (TvO) (TvO, 2006). Het CDW is het douanewetboek dat geldt in alle lidstaten van de EU. De TvO bevat regels over de toepassing van de regelingen in het CDW en is ook in alle EU lidstaten geldig. Naast het CDW en de TvO is voor de AEO certificering een Gids voor bedrijven met een AEO certificaat (Guidelines) (Guidelines, 2007) gemaakt. De gids heeft geen wetskracht

6 Achtergronden AEO Rechtstreekse werking van Europese verordeningen maar geeft uitleg. De gids is opgesteld voor Douane en bedrijven om te komen tot gemeenschappelijke opvattingen over de eenvormige toepassing van de wetgeving rond AEO certificering. De gids verwijst naar de COMPACT methode, (Compact-model, 2006) een methode voor risicobeoordeling. Hierop komen we terug in 3.2. Een aantal wetteksten uit CDW en TvO van belang voor AEO certificering, zijn opgenomen in Bijlage 1. 2.2.1 Europese wetgeving Het CDW en de TvO zijn vastgelegd in Europese verordeningen. Beide verordeningen hebben rechtstreekse werking. Rechtstreekse werking betekent dat de verordeningen direct geldig zijn in de lidstaten van de Europese Unie, zonder tussenkomst van de nationale wetgever. Deze rechtstreekse werking is gebaseerd op artikel 249 van het Verdrag tot oprichting van de Europese Gemeenschap. (zie tekst in Bijlage 1) Buitengrenzen EU De Europese Unie is één douanegebied. Vervoer van goederen tussen lidstaten (zogenoemd intracommunautair goederenvervoer) wordt niet gezien als in- en uitvoer in de zin van het communautair douanewetboek. De AEO certificering heeft daarom alleen effect op goederen die het grondgebied van de EU binnenkomen of verlaten, dus het goederenverkeer aan de buitengrenzen van de EU. 2.2.2 AEO criteria Artikel 5 bis lid 2 van de CDW (zie tekst in Bijlage 1) noemt de vier criteria voor het verlenen van de AEO status: een passende staat van dienst op het gebied van de naleving van douanevereisten; een deugdelijke handels- en, ( ), vervoersadministratie die passende douanecontroles mogelijk maakt; ( ), het bewijs van financiële solvabiliteit; en ( ), passende veiligheidsnormen. In het kader van deze scriptie besteden wij geen aandacht aan passende staat van dienst, de deugdelijke handels- en vervoersadministratie en het bewijs van financiële solvabiliteit. Wij richten ons op de passende veiligheidsnormen zoals in Hoofdstuk 1 is aangegeven. 2.2.3 Veiligheidsnormen De veiligheidsmpr,em zijn gespecificeerd in artikel 14 duodecies (lees 12) lid 1 van de TvO. Dit artikel heeft 7 letters (a-g). Wij vermelden hier alleen de tekst van letters a, b en c. De volledige tekst staat in Bijlage 1. Artikel 14 duodecies (passende veiligheidsnormen) 1. De veiligheidsnormen van de aanvrager worden passend geacht, zoals bedoeld in artikel 5 bis, lid 2, vierde streepje, van het Wetboek, indien aan de volgende voorwaarden is voldaan: Gebouw a) de gebouwen die voor de door het certificaat te dekken activiteiten worden gebruikt, zijn gemaakt van materialen die verhinderen dat onbevoegden zich hiertoe onrechtmatig toegang kunnen verschaffen; Toegangscontrole b) er zijn passende toegangscontrolemaatregelen genomen om onrechtmatige toegang tot verzendingsruimten, los- en laadkades en los- en laaddekken te voorkomen; Manipulatie voorkomen c) er zijn maatregelen genomen om het toevoegen, omwisselen of wegnemen van materialen, of andere manipulaties van de goederen bij het laden, lossen, de op- en overslag te voorkomen; De drie letters stellen ieder voorwaarden aan de inrichting van de fysieke toegangscontrole. A: stelt eisen aan fysieke maatregelen om onbevoegden toegang te voorkomen B: stelt eisen aan organisatorische en procedurele maatregelen om de rechtmatige toegang tot de ruimten en of het terrein mogelijk te maken C: stelt eisen aan het toezicht op de fysieke goederenstroom (tellen kwaliteitscontrole/wegen enz.)

Inhoud 7 De handelingen die volgens letter C moeten worden voorkomen zijn: Toevoegen, hiermee wordt bedoeld dat moet worden voorkomen dat misbruik van de goederenstroom wordt gemaakt voor het vervoer van goederen van derden. Dit risico noemen we ook wel bijpakken of smokkel. Dit risico wordt groter als personen die toegang hebben tot informatie over de bestemming van goederen, ook toegang hebben tot de goederen zelf. Wegnemen, hierbij gaat het om het risico van diefstal van goederen. Hierbij kunnen de bezittingen van de onderneming (vervoermiddelen, voorraden, hulpmiddelen) worden misbruikt voor bedreiging van de veiligheid. Bijvoorbeeld: een vliegtuig dat als wapen wordt gebruikt om tegen een gebouw te vliegen, diefstal van goederen die direct een gevaar kunnen vormen voor de veiligheid (bijvoorbeeld wapens of explosieven),maar ook relatief veilige en goedkope stoffen die gebruikt kunnen worden als grondstof voor explosieven (kunstmest + diesel). Daarnaast gaat het ook om het uit de goederenstroom onttrekken van goederen die elders onrechtmatig zijn ingebracht. Omwisselen, hierbij gaat het om een combinatie van het wegnemen van goederen en het toevoegen van andere goederen, wellicht om het wegnemen te maskeren. Op deze risico s komen we terug in 3.2 Risicoanalyse uit verschillende gezichtspunten. Naast deze algemene eisen noemen de toepassingsverordening en de guidelines geen specifieke maatregelen. In de AEO regelgeving is vastgelegd welke beheersingsdoelen worden nagestreefd. De manier waarop (met welke maatregelen) deze beheersingsdoelen worden bereikt wordt overgelaten aan de AEO aanvragers zelf. De AEO regelgeving is principle based, niet rule based. Zie ook de vergelijking tussen TAPA en AEO in 2.3. 2.3 Veiligheidseisen AEO vergeleken met andere standaarden Naast het AEO programma en de in 2.1.5 hiervoor genoemde initiatieven bij grensoverschrijdend goederenverkeer, zijn er ook initiatieven die betrekking hebben op de veiligheid in de toeleveringketen (Supply Chain Security). Twee bekende initiatieven zijn TAPA en ISO 28000. Na een algemene beschrijving vergelijken we in dit hoofdstuk AEO met deze standaarden op de aspecten: het certificeringproces toepassingsgebied gestelde eisen 2.3.1 Algemeen AEO certificering is gebaseerd op wetgeving van de Europese Unie. De eisen hebben betrekking op goederen die worden uitgevoerd of ingevoerd in de EU. Het intracommunautaire vervoer valt buiten de reikwijdte. ISO 28000 is een internationale norm vastgesteld door de International Organisation for Standardisation. Leden zijn de nationale standaardisatie instituten (in Nederland NEN). ISO 28000, Specification for security management systems for the supply chain heeft als doel de beveiliging van de toeleveringsketen (supply chain). TAPA (Technology Asset Protection Association) is van oorsprong Amerikaanse organisatie. Aangesloten zijn producenten en vervoerders. TAPA geeft normen voor de veilig vervoer en opslag van hoogwaardige goederen. AEO 2.3.2 Certificeringproces AEO eisen zijn opgesteld door de EU. Certificering wordt uitgevoerd door de nationale Douane organisaties (overheid). Het proces kan per land verschillen. In Nederland moet het bedrijf bij de aanvraag een samenvatting van een zelfbeoordeling indienen en verklaren dat men de wettelijke eisen kent en dat het bedrijf aan deze eisen voldoet. Gecertificeerde bedrijven moeten relevante wijzigingen in de organisatie melden (art. 14 quatervicies TvO). TAPA

8 Achtergronden AEO TAPA eisen zijn opgesteld door de TAPA organisatie. Certificering wordt uitgevoerd door certificeringbedrijven die door TAPA zijn aangewezen. Het certificaat is twee jaar geldig. Elk jaar moet het gecertificeerd bedrijf een zelfbeoordeling uitvoeren en deze indienen bij de certificeringinstantie TAPA kent twee soorten: FSR (Freight Security Requirements) en TSR (Trucking Security Requirements). Beide soorten kunnen op 3 verschillende niveaus worden gecertificeerd. De eisen zijn sterk op maatregelen gericht. Sommige maatregelen zijn Mandatory (verplicht) om gecertificeerd te kunnen worden, anderen zijn niet verplicht maar er moet een bepaald percentage aan maatregelen uit de lijst gescoord worden. ISO 28000 ISO 28000 eisen zijn opgesteld door de ISO organisatie. Certificering door geaccrediteerde certificeringbedrijven (International Accreditation Forum). Dit is de Third party audit. Een bedrijf kan er ook voor kiezen een zelfbeoordeling uit te voeren en zelf te verklaren dat aan de eisen wordt voldaan of een handelspartner (mede schakel in de toeleveringsketen) een audit te laten uitvoeren (Second party audit) De ISO 28000 eisen zijn niet direct gerelateerd aan maatregelen, maar geven richting aan het proces waarlangs de maatregelen worden geselecteerd (Risicoanalyse, prioriteren, inventariseren van bestaande maatregelen, selectie aanvullende maatregelen, beoordelen restrisico) en het documenteren van dit proces. 2.3.3 Verschillen Het grootste verschil tussen TAPA enerzijds en AEO / ISO 28000 anderzijds is het feit dat TAPA concrete maatregelen voorschrijft waaraan bedrijven moeten voldoen. Risicoanalyse en afweging door het bedrijf is beperkt tot de selectie van de niet-mandatory maatregelen uit de lijst (score van 60% is nodig voor certificering). De AEO regelgeving en ISO 28000 schrijven geen concrete maatregelen voor. Het wordt aan bedrijven zelf overgelaten een risicoanalyse uit te voeren en op basis daarvan zelf passende maatregelen te nemen. Bedrijven hebben de mogelijkheid meer rekening te houden met de specifieke situatie. Het is echter ook moeilijker vooraf aan te geven wanneer maatregelen voldoende zijn in de ogen van de certificeringinstantie. Rule based / Principle based Het voorschrijven van concreet meetbare eisen (maatregelen) in een norm wordt rulebased genoemd. Het aangeven van een beheersingsdoel, waarbij het aan de gebruiker zelf wordt overgelaten op welke manier (met welke maatregelen) het doel wordt bereikt, wordt principle based genoemd. TAPA is rule-based, AEO en ISO 28000 zijn principle based. 2.3.4 De verschillen in een tabel Opgesteld door Gericht op Certificering door AEO TAPA ISO 28000 EU (basis op SAFE TAPA organisatie ISO framework WCO) (marktpartijen) Veilige goederen stroom Beschermen Veiligheid in de tussen EU en niet-eu hoogwaardige goederen toeleveringsketen landen (diefstal) Nationale Douane (overheid) Door TAPA aangewezen certificeringbedrijven Reikwijdte Onderneming Gebouw (of afgescheiden gedeelte) dat gebruikt wordt voor opslag/behandelen van goederen. Geldigheid Onbepaald 2 jaar (Certificaat kan worden geschorst of ingetrokken) Geaccrediteerde certificeringbedrijven (International Accreditation Forum) (Third party audit) Deel van de toeleveringsketen. Deel van bedrijf of meerdere tegelijk.

Inhoud 9 Zelfbeoorde ling Type / Niveau Bij aanvraag. Verplichting relevante wijzigingen te melden. Douanevereenvoudiging en (AEOC) Veiligheid (AEOS) Beide (AEOF) Jaarlijks (rapport naar certificeringinstelling) TAPA-C volledig zelfbeoordeling TAPA-FSR (Freight Security Requirements) A, B en C. TAPA-TSR (Trucking Security Requirements) 1, 2, 3. First party audit (zelf verklaarde naleving mogelijk) First party audit Second party audit Third party audit Insteek Principle based Rule based Principle based Tabel 1, De verschillen tussen AEO, TAPA en ISO 28000 2.4 Certificeringproces AEO Samenvatting van de zelfbeoordeling CMM score De procedure voor het krijgen van een AEO certificaat start in Nederland met uitvoeren van een zelfbeoordeling ( self-assessment ) door de aanvrager. Met dit AEO self-assessment vormen bedrijven een oordeel over de kwaliteit van het eigen interne beheersingssysteem. Nadat geïnventariseerd is welke maatregelen er zijn, hoe procedures zijn vastgelegd en worden toegepast, kan de samenvatting van de self-assessment worden ingevuld. Bij de samenvatting worden volwassenheidsscores op een schaal van 1 tot 5 voor de interne beheersing op dat onderdeel ingevuld. Deze scores en bijbehorende omschrijvingen zijn afgeleid van het Capability Maturity Model (CMM) (Humphrey, 1987). De samenvatting van de self-assessment wordt met de AEO aanvraag ingediend bij het Landelijk Centrum AEO (LC). Bij de aanvraag verklaart het bedrijf dat men de wettelijke eisen kent en dat het bedrijf aan deze eisen voldoet. Het onderzoek van de Douane is gericht op de juistheid van die verklaring. 2.4.1 Beoordeling Douane Na een beoordeling op een aantal vormvereisten formuleert het LC een controleopdracht Veel bedrijven zij bij de Douane bekend door afgegeven vergunningen. Een AEO aanvraag kan ook worden ingediend door bedrijven die bij de Douane niet bekend zijn. De opdracht bij onbekende klanten begint altijd met het uitvoeren van een UTB onderzoek ( understanding the business ). Dit houdt in dat tijdens een bedrijfsbezoek zoveel informatie wordt verzameld dat kennis bij de Douane over de onbekende klant op gelijk niveau komt als over klanten die bekend zijn. Bedrijfsbezoek Daarnaast wordt in alle gevallen een bedrijfsbezoek afgelegd waarmee het totstandkomingsproces van de self-assessment wordt beoordeeld: zijn de juiste mensen er bij betrokken? Is de risicoanalyse op de juiste wijze uitgevoerd? Hoe is men tot de scores gekomen? e.d. Afhankelijk van de bevindingen uit het bedrijfsbezoek en de scores in de self-assessment wordt ook beoordeeld of de volwassenheidsscores terecht op bijvoorbeeld een 3 zijn vastgesteld. Op sommige punten zullen Douanemedewerkers zich altijd baseren op eigen waarnemingen, op andere punten wordt beoordeeld hoe de ondernemer zelf tot de score is gekomen. Het bewijsmateriaal en de restrisico s worden beoordeeld. 2.4.2 Horizontaal toezicht Door zoveel mogelijk aan te sluiten bij de eigen risicoanalyse van de aanvrager is het mogelijk dat het bedrijfsleven zonder aanpassing, of met kleine aanpassingen van administratie en werkwijze, een AEO status krijgt. Zo levert de Douane maatwerk in het AEO concept (www.douane.nl). Dit heeft ook gevolgen voor het toetsen van een aanvraag door de Douane.

10 Achtergronden AEO Uitkomstgericht controleren niet mogelijk Doordat de AEO eisen open normen zijn, is het voor de Douane niet mogelijk om uitkomstgericht de maatregelen te toetsen aan een vaste norm. De aanvrager bepaalt zelf op welke manier en met welke maatregelen hij aan de open norm voldoet. Deze vorm van toetsen sluit aan bij de werkwijze van de Belastingdienst: Horizontaal toezicht, georganiseerd vertrouwen. (Staatssecretaris, 2005) De klassieke controlemethode van de Douane kenmerkt zich door verticaal toezicht en wantrouwen. De Douane selecteert en controleert.(www.douane.nl) Bij horizontaal toezicht geldt het uitgangspunt dat de Douane start op basis van vertrouwen, en niet op basis van wantrouwen. Dat is geen blind vertrouwen maar vertrouwen dat gebaseerd is op ervaringen uit het verleden (hoe staat het bedrijf bij de Douane bekend) en de eigen verantwoordelijkheid van het bedrijf. Die verantwoordelijkheid betekent dat het bedrijf zelf alle waarborgen en veiligheidsprocedures bewaakt en niet wacht op een controle. De beoordeling door de Douane van de bestaande waarborgen, veiligheidssystemen en van een aantal formele aspecten zoals die in de EU wetgeving zijn opgenomen, biedt de douane houvast om het bedrijf al dan niet het vertrouwen te geven. Vandaar het uitgangspunt georganiseerd vertrouwen. De Belastingdienst (inclusief Douane) onderzoekt waar hij de verantwoordelijkheid voor de naleving met maatschappelijke partijen kan delen. De Belastingdienst is van mening dat de meeste burgers, bedrijven en instellingen maatschappelijke verantwoordelijkheid kunnen en willen dragen. Door scherp te onderscheiden tussen risicovolle en minder risicovolle bedrijven, en aan bonafide bedrijven bepaalde toezichtstaken over te laten, ontstaat ruimte om in het eigen toezicht de mensen die het niet zo nauw nemen met de regels aan te pakken. Horizontaal toezicht wordt zo een effectieve aanvulling op het traditionele, verticale toezicht, waarbij de overheid van bovenaf controleert of de regelgeving correct wordt nageleefd. (Belastingdienst, 2008, blz 34) De Douane wil op een slimme manier steunen op en aansluiten bij de waarborgen die deelnemers in de keten zelf al hebben genomen. Het gaat hierbij met name om de interne beheersingsmaatregelen (AO/IB) van een bedrijf. Maar bijvoorbeeld ook om ISPS-, TAPAen ISO-certificeringen en verder om C-TPAT normen of SAS 70-accountantsverklaringen. Zo verhoogt de Douane de effectiviteit van zijn controles, terwijl de lasten voor het bedrijfsleven niet hoger worden. Zo wil de Douane een gezamenlijke verantwoordelijkheid met de onderneming dragen voor naleving van wet- en regelgeving. Het toetsen door de Douane is gericht op het zo snel mogelijk goedkeuren, daarbij gebruik makend van werkzaamheden die door derden reeds zijn uitgevoerd. De Douane wil zo snel mogelijk vertrouwen op het werk van de ondernemer. Daarvoor zoekt de Douane wel een vorm van bewijs. Uitbesteden van toezicht In feite besteedt de Douane een deel van het klassieke toezicht uit aan de ondernemer die een AEO aanvraag indient of aan een externe derde die bij de aanvrager controleert. 2.5 Samenvatting van dit hoofdstuk De AEO regeling heeft als doel het bevorderen van het internationale goederenverkeer, zonder concessies te doen aan de veiligheid en andere douanebelangen. De controle van de goederen aan de buitengrens van de EU wordt deels vervangen door veiligheidsmaatregelen bij de ondernemer zelf. Bij het AEO onderzoek toetst de Douane of de interne beheersing van de ondernemer voldoende veiligheidswaarborgen biedt. In het volgende hoofdstuk gaan wij in op de veiligheidseisen die aan de aanvrager worden gesteld.

Inhoud 11 3 Veiligheidseisen AEO In dit hoofdstuk leggen we in 3.1 de relatie tussen de AEO regeling in het algemeen en het specifieke onderwerp van deze scriptie: de IT van toegangscontrolesystemen. De algemene AEO veiligheidseisen per ondernemer moeten per ondernemer worden geconcretiseerd. De meest gebruikelijke methode hiervoor is risicoanalyse. De risico s die daarbij in aanmerking worden genomen beschrijven we afzonderlijk in 3.2 Risicoanalyse uit verschillende gezichtspunten. Tijdens het specificeren komen we op elektronische toegangscontrolesystemen. De toegangscontrolesystemen bespreken we in hoofdstuk in 3.3 Verkenning elektronische toegangscontrolesystemen 3.1 Van AEO veiligheid naar IT beheer elektronische toegangscontrole Er is een groot verschil in detaillering tussen de eisen die aan AEO certificering worden gesteld en daar binnen het onderwerp van deze scriptie: beheer van IT in elektronische toegangscontrole. In dit onderdeel specificeren we het scriptieonderwerp steeds verder, van AEO veiligheidseisen naar beheer van IT in toegangscontrolesystemen, langs het volgende schema: AEO certificering ( 3.1.1) Veiligheidseisen binnen AEO ( 3.1.2) Fysieke beveiliging van de goederen ( 3.1.3) Toegangscontrole ( 3.1.4) Elektronische toegangscontrolesystemen ( 3.1.5) Beheer van IT in elektronische toegangscontrolesystemen ( 3.1.6) Door bij elke niveau de vraag te stellen hoe is de beheersing op dit niveau geregeld komen wij tot aandachtspunten die we in hoofdstuk 4 verzamelen tot een vragenlijst. 3.1.1 AEO certificering Een AEO onderzoek begint met een understanding the business (zie 2.4.1 Beoordeling Douane). Onderdeel daarvan is een beoordeling van de control environment. Dit omvat de toon van een organisatie en bepaalt hoe de mensen in een onderneming omgaan met risico s, ook op veiligheidsgebied. Inclusief risicomanagementbeleid en risicoacceptatiegraad, integriteit, normen en waarden en de omgeving waarin zij opereren. Veiligheidsbeleid Het risicomanagementbeleid en de risicoacceptatie op het gebied veiligheid is vastgelegd in het veiligheidsbeleid. Dit veiligheidsbeleid is onderdeel van de control environment. Dit leidt tot de vraag: 1.1 Wat is het veiligheidsbeleid van de onderneming? - Hoe wordt het beleid uitgedragen naar betrokkenen? (personeel, leveranciers, klanten) 3.1.2 Veiligheidseisen binnen AEO Om in aanmerking te komen voor een AEO certificaat moet de aanvrager voldoen aan de eisen van passende staat van dienst bij het nakomen van douaneverplichtingen, deugdelijke handels- en vervoersadministratie en fininanciële gezondheid.

12 Veiligheidseisen AEO Om in aanmerking te komen voor het certificaat veiligheid moet de aanvrager ook voldoen aan de eis van het voldoen aan passende veiligheidsnormen. In deze scriptie gaan wij niet in op de eisen van nakoming van douaneverplichtingen, de handels- en vervoersadministratie en de financiële gezondheid van de aanvrager. Passende veiligheidsnormen Verschillende invalshoeken bij risicoanalyse Wij gaan alleen in op de passende veiligheidsnormen. Deze zijn alleen van toepassing op een aanvrager van het AEO certificaat Veiligheid. Om te voldoen aan de AEO veiligheidseisen zal de ondernemer op de één of andere manier tot maatregelen moeten komen. Risicoanalyse is hiervoor de voor de hand liggende methode. Maar AEO is niet de enige reden waarom de ondernemer veiligheidsmaatregelen neemt. Ook zonder AEO is er reden veiligheidsmaatregelen te nemen. In hoofdstuk 3.2 hierna hebben wij een aantal verschillende invalshoeken vergeleken. We hebben vastgesteld dat verschillende invalshoeken tot een andere lijst van risico s leiden of tot een andere waardering van die risico s. Dit verschil in risicoperceptie kan tot andere maatregelen leiden. De AEO onderzoeker moet inzicht hebben in de wijze waarop de risicoanalyse is uitgevoerd en welke risico s (perspectieven/invalshoeken) daarbij in aanmerking zijn genomen. Dit leidt tot de vragen: 1.2 Is er een risicoanalyse uitgevoerd op fysieke veiligheid? - Wie zijn daarbij betrokken geweest? (intern en extern) 1.3 Welke invalshoeken zijn gehanteerd bij identificeren van risico's? - bescherming waardevolle goederen, - interne veiligheid personeel, - externe veiligheid publiek, - mogelijk misbruik van goederen en bedrijfsmiddelen 1.4 Welke kosten/baten afweging is gemaakt, welke prioriteiten zijn gesteld? 3.1.3 Fysieke beveiliging van de goederen Een belangrijk deel van de AEO veiligheidseisen bestaat uit de fysieke beveiliging van de goederen. De AEO guidelines (Guidelines, 2007, blz 22) beschrijft dit als volgt: Wat het AEO veiligheidscertificaat betreft wordt opgemerkt dat de veiligheidscriteria voornamelijk betrekking hebben op de beveiliging van de ruimten waar de goederen zijn opgeslagen of de beveiliging van de containers. Verschillende ruimten Zonering Een onderneming maakt voor de bedrijfsprocessen gebruik van verschillende ruimten. Bijvoorbeeld het buitenterrein, een kantoor of magazijn. De leiding van de organisatie of de eigenaar van het bedrijfsproces bepaalt welke ruimte voor de voortgang van het bedrijfsproces, kritische middelen en/of mensen huisvest. Niet-kritische ruimten vereisen minder specifieke beveiliging. In de fysieke beveiliging wordt zonering gebruikt om het niveau van beveiliging voor de verschillende soorten ruimten te groeperen en op elkaar af te stemmen (Coumou, 2002).. Ook de te beschermen goederen moeten op beveiligingsrisico worden geclassificeerd. Hierbij kan de bestemming van die goederen (de plaats waar ze naar toe worden vervoerd) een verhoogd risico vormen voor bijvoorbeeld bijpak (smokkel). De keuze voor de mate waarin een ruimte als kritisch worden aangemerkt is het uitgangspunt voor het treffen van maatregelen. Door de ruimten die een gelijke beveiliging vereisen bij elkaar te concentreren, wordt het eenvoudiger het beveiligingsniveau te realiseren en te handhaven. Daarvoor wordt gebruik gemaakt van zonering. Dit houdt in dat een rangorde wordt aangegeven van ruimten en sterkte van beveiligingsmaatregelen, bijvoorbeeld: Zone 0: openbare ruimte, geen toegangsbeheersing (vrije toegang). Bijvoorbeeld de receptie.

Inhoud 13 IT ondersteunt fysieke beveiliging Zone 1: beperkt toegankelijke ruimte met toegangsbeheersing (alleen eigen personeel en bezoekers toelaten). Deze zone kan op zijn beurt in van elkaar gescheiden ruimten worden onderverdeeld, de zogenoemde compartimenten. Bijvoorbeeld kantoorruimte en magazijn/productie. Zone 2: zeer beperkt toegankelijke ruimte met strenge toegangsbeheersing (uitsluitend specifiek aangewezen eigen personeel toelaten). Bijvoorbeeld computerruimten, highrisk/high value goederenopslag. Per zone wordt vastgesteld welke (groepen) mensen er mogen komen. Kennis over de bestemming van goederen in combinatie met toegang tot de goederen zelf vormt een verhoogd risico. Daarom moet bij het vaststellen van het beleid rekening worden gehouden met scheiding tussen toegang tot gegevens (kantoor) en toegang tot de goederen (magazijn). Voor de beoordeling van de fysieke beveiliging is het van belang te weten hoe de organisatie deze indeling de zonering en de toegang van personen heeft opgezet, in relatie tot de aard en de omvang van de onderneming. Dit leidt tot de vragen: 2 Welk beleid wordt gehanteerd voor het verlenen van toegang tot bedrijfsterrein, kantoor, goederenopslag? - Is dit gebaseerd op een classificatie / zonering van ruimten? - Is dit gebaseerd op classificatie van goederen en de bestemming daarvan? - Is functiescheiding in het beleid verwerkt? - Is het beleid vastgelegd? - Hoe wordt het uitgedragen? Relatie IT en fysieke beveiliging De relatie tussen IT en fysieke beveiliging gaat twee kanten op: IT ondersteunt de fysieke beveiliging van goederen en gebouwen, bijvoorbeeld door een elektronisch toegangscontrolesysteem gebaseerd op pasjes. IT componenten, zoals apparatuur en kabels, moeten fysiek worden beveiligd om de blijvende goede werking van informatiesystemen te waarborgen. Deze scriptie gaat over de eerste vorm: IT ondersteuning van fysieke beveiliging, als onderdeel van de veiligheidseisen voor AEO certificering. IT ondersteuning van fysieke beveiliging De fysieke beveiliging wordt op verschillende manieren ondersteund door IT-systemen. Een aantal voorbeelden hiervan: Camera s (CCTV) Beelden van videocamera s worden vastgelegd op harde schijf van een computersysteem Inbraakalarm Het inbraakalarm bestaat uit sensoren (beweging, geluid) verbonden met een centrale verwerkingseenheid die een alarm kan laten afgaan (stil alarm naar meldkamer, geluid of lichtsignalen op locatie) GPS Satellietnavigatie De satelliet zender/ontvanger op een vrachtwagen, trein of boot bepaalt zijn positie, snelheid en richting via GPS satellietgegevens en stuurt deze door naar het kantoor van de vervoerder. TREC Tamper Resistant Embedded Controller Het elektronische zegel op een container meet positie snelheid, richting, temperatuur, druk, luchtvochtigheid van de container en stuurt deze door naar het kantoor van belanghebbenden. Het zegel geeft ook door wanneer de container geopend wordt. (Sjouwerman, 2008) Elektronische toegangscontrole Met kaartlezers wordt de identiteit van de persoon die toegang vraagt vastgesteld

14 Veiligheidseisen AEO waarna een centrale verwerkingseenheid toetst of de pashouder toegangsrechten heeft en op afstand de deur of poort ontgrendelt. Uit deze voorbeelden blijkt dat op veiligheidsgebied uitgebreid gebruik wordt gemaakt van ondersteuning van computersystemen. Om dit verantwoord te kunnen doen moet kunnen worden vertrouwd op deze systemen. De systemen moeten robuust genoeg zijn om dit vertrouwen waar te maken. Afhankelijkheid geautomatiseerde systemen Hoe meer systemen in de fysieke beveiliging worden geautomatiseerd, des te afhankelijker wordt de organisatie van het betrouwbaar en continu functioneren van de geautomatiseerde systemen. In deze scriptie beperken wij ons tot de systemen van toegangscontrole. Deze keuze is ingegeven door de volgende overwegingen: De meeste van de bovengenoemde systemen zijn onderdeel van detecterende maatregelen. Die maatregelen voorkomen niet direct dat ongewenste situaties zich voordoen, maar registreren alleen. De preventieve werking van deze systemen is indirect via het vergroten van de ontdekkingskans of herkenning van de daders. Een toegangscontrolesysteem is actief in het wel of niet toelaten van personen tot gevoelige ruimten en goederen. Als dit systeem niet (goed) werkt kunnen onbevoegden toegang krijgen tot ruimten en goederen en kunnen zij toevoegen, omwisselen of wegnemen van materialen, of andere manipulaties aan goederen uitvoeren. Dit raakt direct de veiligheidseisen in de AEO regelgeving (art 14 duodecies lid 1 letter c TvO. Zie ook 3.1.3). De Nederlandse Douane heeft in 2008 enkele tientallen bedrijven gecertificeerd. Het betrof met name grote ondernemingen. Er worden nog enkele duizenden aanvragen verwacht. Voor de meeste van deze middelgrote bedrijven is de verwachting dat er wel een elektronisch toegangssysteem aanwezig is maar dat er geen gebruik gemaakt wordt van de overige geavanceerde systemen die genoemd worden bij het begin van deze paragraaf. Toegangsrechten 3.1.4 Toegangscontrole Zoals hiervoor in 3.1.3 Fysieke beveiliging van de goederen is vermeld moet het te beveiligen terrein en de te beveiligen gebouwen worden ingedeeld in risicoklassen: de zonering. Ook de te beschermen goederen moeten op beveiligingsrisico worden geclassificeerd. Aan de hand van de zonering en de classificatie wordt aangegeven welke personen (of groepen personen) toegang mogen hebben tot de geclassificeerde goederen en ruimten Deze indeling wordt vervolgens gebruikt bij het instellen van de toegangsrechten van een elektronisch toegangsbeveiligingssysteem. Bij toegangscontrole wordt in de regel gebruik gemaakt van pasjes waarmee een persoon toegang kan krijgen tot bepaalde ruimten. De pas heeft daarbij twee functies: Bij de poort krijgt de persoon vrije doorgang na tonen van de pas (visueel aan een bewaker, of elektronisch bij een paslezer) In de ruimte is de pas het bewijs dat de drager gerechtigd is om zich in die ruimte te bevinden. Om dit ook visueel te kunnen verifiëren kan op de pas een pasfoto zijn afgedrukt en is het meestal verplicht de pas zichtbaar te dragen. Bron: Casusonderzoeken en beleid Belastingdienst. Uitgifte van sleutels voor toegang tot een gebouw is beperkt. Een toegangspas heeft dezelfde functie als een sleutel. Passen worden breed verspreid. Vanwege de rechten die aan het bezit van een pas kunnen worden ontleend is het belangrijk dat passen alleen in het bezit zijn van personen die volgens het beleid inderdaad recht van toegang hebben. Bezit van passen door personen die volgens het beleid geen toegangsrechten (meer) hebben moet zo veel mogelijk worden voorkomen. Als personen tijdelijk toegang hebben gekregen tot bepaalde ruimten, moet dat recht worden ingetrokken als de noodzaak van de toegang is vervallen.

Inhoud 15 Dit leidt tot de vraag: 3.1 Hoe is het passen/sleutelbeheer ingericht? - Uitgifte / inname van toegangspassen / sleutels - In dienst treden, uit dienst treden, functiewijzigingen personeel - Tijdelijk personeel - Personeel van dienstverleners (schoonmaak, kantine) Technisch, organisatorisch, procedureel Toegangscontrole bestaat echter niet alleen uit de technische maatregelen van een elektronisch toegangsbeveiligingssysteem. Buiten dit systeem dient er ook aandacht te zijn voor organisatorische en procedurele maatregelen. Als voorbeelden hiervan noemen we: Schriftelijke vastleggingen van bevoegdheden ten aanzien van toegang tot ruimten en goederen. Deze vastleggingen moeten ook in functie en taakomschrijvingen worden opgenomen. Opleiding van personeel op veiligheidsgebied. Hieronder valt ook het bewust maken van het naleven van de voorschriften zoals draagplicht toegangspas. De Tone at the top met betrekking tot toegangscontrole. Het naleven van de beveiligingsvoorschriften door leidinggevenden kan het gedrag op dit gebied van de overige werknemers beïnvloeden. De controleomgeving (cultuur in de onderneming) speelt hierbinnen een belangrijke rol en is hier mede van afhankelijk. Dit leidt tot de vraag: 3.2 Hoe worden personeel en bezoekers bewust gemaakt van het belang van toegangscontrole? - Vastlegging van bevoegdheden ten aanzien van toegang tot ruimten en goederen in functie- en taakomschrijving - Voorlichting - Aanspreken op (niet-) naleven voorschriften De controleomgeving (cultuur), hebben we al meegenomen in vraag 1 over het beveiligingsbeleid. In deze scriptie richten wij ons verder op de elektronische toegangscontrole. 3.1.5 Elektronische toegangscontrolesystemen Een verkenning van elektronische toegangssystemen hebben wij opgenomen in 3.3 Daar gaan wij in op de componenten van zo n systeem, leveranciers in de markt en certificaten en normen die op dit gebied worden gebruikt. Als de toegangscontrole wordt afgedwongen door een elektronisch systeem (en niet door een sleutel of een bewaker bij de deur), zijn de toegangsrechten van personen vastgelegd in een computer. Eerst wordt (conform het beleid) door een bevoegde functionaris het besluit genomen dat een persoon bepaalde deuren mag passeren (of bepaalde ruimten mag betreden). Vervolgens worden de toegangsrechten conform het besluit vastgelegd in een registratie in een computer. Daarna kan de computer de deur automatisch openen als een persoon via zijn pasje toegang vraagt. De beslissing over toegangsrechten mag alleen door een bevoegde functionaris worden genomen, de beslissing moet overeenstemmen met het beleid. Er moet bijzondere aandacht zijn voor tijdelijke autorisaties, die moeten ook tijdig weer worden ingetrokken. De genomen beslissing over toekennen of intrekken van toegangsrechten moet juist en tijdig in de computerregistratie worden vastgelegd. Deze computerregistratie moet beschermd zijn tegen ongeautoriseerde wijzigingen om te voorkomen dat toegangsrechten in het systeem worden toegekend die niet overeenstemmen met het beleid.

16 Veiligheidseisen AEO Dit leidt tot de vragen: 3.3 Hoe is het autorisatiebeheer ingericht? - Wie mag de beslissing nemen voor autorisatie voor toegang tot ruimten? - Wie voert de autorisaties in in het elektronische toegangscontrolesysteem? - Hoe wordt gewaarborgd dat autorisaties tijdig worden ingetrokken? - Hoe wordt gecontroleerd of autorisaties in het systeem overeenstemmen met de genomen beslissingen? 3.4 Hoe wordt omgegaan met tijdelijke autorisaties? Bijvoorbeeld: - Bijstand bij grote drukte (kantoorpersoneel meehelpen In productie) - Toegang voor BHV personeel tot ruimten waar zij op grond van hun normale functie geen toegang hebben 3.5 Hoe wordt de werking van het toegangscontrolesysteem vastgesteld? - Logging van ongeautoriseerde toegangspogingen - Wordt deze logging geanalyseerd en wordt hierop gereageerd? (aanspreken van overtreders) Wijzigingenbeheer Beveiliging van systeem zelf Wijzigingbeheer van het systeem zelf Het elektronische toegangscontrolesysteem moet voldoen aan de eisen die voortvloeien uit het beveiligingsbeleid. Bij nieuwbouw en bij latere wijzigingen worden de eisen voor de aannemer/installateur opgenomen in het programma van eisen (zie 3.3.2). Bij de oplevering van het nieuwe of gewijzigde systeem wordt het systeem geaccepteerd door de gebruiker. Die moet wel eerst testen of het opgeleverde systeem aanvaardbaar is (acceptatietest). 4.1 Hoe worden wijzigingen aan het toegangscontrolesysteem beheerd? - Hoe worden de eisen samengesteld die worden gesteld aan aannemer/installateur? - Hoe is de acceptatie van wijzigingen in de inrichting van het toegangscontrolesysteem georganiseerd? (bij oplevering door de installateur) 3.1.6 Beheer van de IT in elektronische toegangscontrole De toegangsregels in een elektronische toegangscontrolesysteem zijn opgeslagen in een centrale verwerkingseenheid. Een computer. Deze computer(s) moeten beveiligd zijn tegen ongeautoriseerde wijzigingen en tegen storingen. Hiervoor gelden in het algemeen de zelfde eisen als voor de computers die voor de reguliere gegevensverwerking worden gebruikt. In 3.3.4 stellen wij vast dat er geen specifieke normenkaders zijn voor het beheer van de centrale verwerkingseenheid in elektronische toegangscontrolesystemen. Wij concluderen daarbij dat algemeen bekende normenkaders, maar ook de onderdelen 1.2.3.06 08 van de Guidelines toepasbaar zijn op deze centrale verwerkingseenheden. Het onderwerp van deze scriptie is deels gebaseerd op de mededeling van sommige deskundigen dat in de praktijk is gebleken dat computers voor elektronische toegangscontrole op dit punt minder adequaat worden beheerd dan de computers voor de reguliere gegevensverwerking. Dit wordt onder andere veroorzaakt door het feit dat deze computers niet in beheer zijn bij de reguliere IT-afdeling van de onderneming, maar bij een facilitaire dienst (gebouwbeheer), die IT niet als kerntaak heeft.