Er is een zone waar de operator met zijn hand bij kan. Er is een bewegend deel dat een hand kan grijpen. Er is een handeling die mensen echt uitvoeren: een blokkade vrijmaken, reinigen, instellen, controleren na een stop.
En daarna verschijnt in de risicobeoordeling een nette regel: restrisico — informatie in de gebruiksaanwijzing — niet met handen in het werkgebied komen.
Op papier ziet dat er keurig uit. Gevaar benoemd. Risico benoemd. Gebruiksaanwijzing aangevuld. Alleen: in machineveiligheid dekt zo’n zin het probleem vaak niet af, maar legt hij er een doek overheen.
Restrisico is niet de zak waar alles in verdwijnt wat in het ontwerp niet is opgelost. Het is ook geen handige manier om verantwoordelijkheid van de fabrikant naar de gebruiker te schuiven. Restrisico is wat overblijft nadat het ontwerpwerk serieus is gedaan: nadat is gekeken of het gevaar constructief kan verdwijnen, nadat technische beschermingsmaatregelen zijn gekozen en nadat is beoordeeld of die maatregelen de blootstelling van mensen echt verlagen.
Pas dan kun je eerlijk zeggen: hier blijft nog iets over en de gebruiker moet dat weten.
In de praktijk wordt die grens vaak vaag gemaakt. De fabrikant zegt: we hebben het in de gebruiksaanwijzing gezet. De integrator zegt: de gebruiker moet zijn mensen trainen. De gebruiker hoort: dat is nu jullie werkorganisatie. Maar ISO 12100 en de Machineverordening (EU) 2023/1230 zetten die volgorde veel scherper neer: eerst ontwerp, dan beschermingsmaatregelen, als laatste informatie.
Hetzelfde speelt nu bij machines die met een netwerk verbonden zijn. Toegang op afstand, serviceaccounts, configuratie van de besturing, updates en data zijn niet alleen een zaak van de IT-afdeling van de gebruiker als ze de veiligheid van de machine kunnen beïnvloeden. Ook daar is de zin gebruiker moet het netwerk beveiligen te mager. De fabrikant moet een machine leveren die zulke risico’s vanaf het begin meeneemt.
De vraag is dus niet: staat er een waarschuwing in de gebruiksaanwijzing? De vraag is: wat heeft de fabrikant gedaan voordat die waarschuwing daar terechtkwam?
Restrisico is geen vrij veld in de tabel
Bij ISO 12100 moet je niet alleen naar de definitie kijken. Kijk vooral naar het schema dat risicovermindering vanuit de ontwerper laat zien. Dat schema is geen decoratie voor een training. Het trekt een harde lijn.
Eerst is er het risico dat bij de machine hoort. Daarna komt de bijdrage van de ontwerper: inherent veilige constructie, technische beschermingsmaatregelen, aanvullende beschermingsmaatregelen en informatie voor gebruik. Vervolgens blijft er mogelijk restrisico over na die bijdrage van de ontwerper. Pas daarna komt de bijdrage van de gebruiker: organisatie van het werk, procedures, toezicht, vergunningensystemen, aanvullende technische maatregelen, persoonlijke beschermingsmiddelen en training. Aan het eind blijft het restrisico over na alle maatregelen.
Dat betekent iets belangrijks. Restrisico ligt inderdaad op het raakvlak tussen fabrikant en gebruiker. Maar niet in de zin dat iedereen daar kan dumpen wat hem goed uitkomt. De fabrikant mag een gevaar dat hij constructief had kunnen aanpakken niet doorschuiven naar deze zone. De gebruiker mag op zijn beurt niet doen alsof de gebruiksaanwijzing en training er niet toe doen wanneer de fabrikant de resterende risico’s eerlijk en concreet heeft beschreven.
Daarom is het woord restrisico soms gevaarlijk. Het klinkt technisch. Het klinkt volwassen. En precies daardoor kan het een gebrek aan ontwerpbesluitvorming afdekken.
Iemand ziet een intrekpunt. Iemand weet dat de operator blokkades gaat vrijmaken. Iemand weet dat bij reinigen een hand dicht bij een bewegend deel komt. En toch staat er in de tabel: restrisico — niet met handen in de machine. Zo’n tekst bewijst nog niet dat je met restrisico te maken hebt. Hij bewijst alleen dat iemand het probleem zo heeft genoemd.
Wil je het begrip eerlijk gebruiken, dan moet je de route ernaartoe laten zien. Wat is in de constructie gedaan? Kon de geometrie anders? Kon de afstand groter? Kon energie, snelheid of kracht omlaag? Kon de toegang worden verplaatst? Kon het instellen buiten de gevarenzone? Welke afschermingen, interlocks, vergrendelingen, bedrijfsmodi of veiligheidsfuncties zijn overwogen? Waarom moet een deel van het risico echt aan de gebruiker worden meegedeeld?
Pas zo’n antwoord brengt het onderwerp van we hebben het opgeschreven naar een risicobeoordeling volgens ISO 12100. Die norm maakt duidelijk dat maatregelen in de ontwerpfase de voorkeur hebben boven maatregelen aan de gebruikerskant, omdat ze meestal betrouwbaarder werken. ISO/TR 14121-2 versterkt dat: informatie voor de gebruiker moet leiden tot juist en veilig gebruik van de machine en waarschuwen voor risico’s die overblijven na reductie door ontwerp en beveiligingen.
Procedures, training en LOTO hebben hun plaats. Absoluut. Maar ze zijn er niet om te redden wat de fabrikant in de constructie niet heeft uitgewerkt. Anders praten we niet over restrisico. Dan praten we over risico dat bij de gebruiker is achtergelaten.
Drie situaties waarin restrisico een handig alibi wordt
1. Grijpgevaar: de waarschuwing komt te vroeg
Kijk naar een simpele machine. Er is een bewegend deel. De operator kan erbij tijdens het vrijmaken van een blokkade, reinigen, handmatig invoeren of instellen. In de risicobeoordeling staat: gevaar voor grijpen of intrekken. In de kolom met beschermingsmaatregelen staat: waarschuwing in de gebruiksaanwijzing. En in de gebruiksaanwijzing staat: niet met handen in het werkgebied van de machine komen.
Klinkt bekend?
Op het eerste gezicht is het document gevuld. Gevaar aanwezig. Risico aanwezig. Waarschuwing aanwezig. Maar machineveiligheid gaat niet over het vullen van lege vakjes in een tabel. De vraag is anders: wat gebeurde er vóór die waarschuwing?
Heeft iemand geprobeerd het intrekpunt weg te ontwerpen door de geometrie te wijzigen? Zijn kracht, snelheid of bewegingsenergie beperkt? Kon de instelhandeling buiten de gevarenzone? Is een instelmodus met verminderd risico voorzien? Is gekeken naar een afscherming, interlock, vergrendeling, hold-to-run bediening of vrijgavevoorziening? Is gecontroleerd hoe de operator een blokkade echt gaat vrijmaken, niet hoe hij dat volgens een perfecte gebruiksaanwijzing zou moeten doen?
Als het antwoord is: nee, maar we hebben opgeschreven dat hij zijn handen er niet in mag steken, dan praten we nog niet over restrisico. Dan praten we over een risico dat de naam restrisico heeft gekregen omdat dat het makkelijkst was.
2. Toegang voor onderhoud: een ladder uit de hal is geen ontwerpconcept
Het tweede voorbeeld lijkt minder spectaculair, maar op de werkvloer is het minstens zo belangrijk. Stel: een filter moet wekelijks worden vervangen. Een sensor moet bij elke formaatwissel worden gereinigd. Een smeerpunt zit twee meter boven de vloer. Een onderdeel moet periodiek uit het binnenwerk van de machine worden gehaald. De fabrikant schrijft in de gebruiksaanwijzing: werkzaamheden uitvoeren volgens de geldende arboregels en geschikte toegangsmiddelen gebruiken.
Prima. Maar welke toegangsmiddelen?
Een losse ladder uit de hal? Een bordes dat de technische dienst ergens vandaan haalt? Op het frame van de machine klimmen? Op een constructieprofiel gaan staan omdat dat altijd zo gebeurt? Of moet de monteur zich met één hand vasthouden aan de afscherming, met de tweede hand een onderdeel losdraaien en met een derde hand — die hij niet heeft — het gereedschap vasthouden?
Hier botst theorie op praktijk. Als de fabrikant een regelmatige bedienings-, onderhouds-, reinigings- of afstelhandeling voorziet, moet hij vragen: hoe komt een mens daar veilig, waar staat hij en hoe voert hij het werk uit zonder improvisatie?
Niet elke handeling op hoogte betekent automatisch dat er een uitgebreid platform moet worden gebouwd. Maar de andere kant is even fout: doen alsof toegang tot een punt voor frequent onderhoud uitsluitend een probleem van de gebruiker is. ISO 12100 geeft aan dat routinematige bediening, afstelling en onderhoud waar mogelijk vanaf vloerniveau moeten kunnen plaatsvinden. Kan dat niet, dan moet veilige toegang worden voorzien: platforms, trappen, looproutes, leuningen of andere oplossingen. Daar komt de ISO 14122-reeks voor vaste toegangsmiddelen tot machines in beeld.
En dan wordt het interessant. Als er een technische maatregel bestaat waarmee frequente vervanging, afstelling of onderhoud veilig kan worden uitgevoerd, waarom schuiven we dat dan meteen organisatorisch naar de gebruiker? Waarom is een vast platform niet in het ontwerp meegenomen? Waarom eist de gebruiksaanwijzing wekelijks werk op een slecht bereikbare plek, maar geeft het ontwerp geen veilige werkplek?
Dat zijn geen academische vragen. Dit zijn vragen bij afname, audit en productie. Als een gebruiker een taak regelmatig moet uitvoeren, is toegang geen bijzaak. Het is onderdeel van de machineveiligheid of minimaal onderdeel van de installatie-eisen die de fabrikant helder moet specificeren. Anders verschijnt weer de makkelijke zin: restrisico — gebruiker moet passende toegangsmiddelen toepassen. Vaak beschrijft die zin geen restrisico. Hij beschrijft een ontbrekende ontwerpbeslissing.
3. Cybersecurity en toegang op afstand: niet alles is IT
Het derde voorbeeld ziet er moderner uit, maar het mechanisme is hetzelfde. De machine heeft toegang op afstand. Er is een besturing, HMI, industriële computer, serviceaccount, updatefunctie, dataverkeer en soms een koppeling met een bovenliggend systeem. De fabrikant zegt: de gebruiker moet het netwerk beveiligen. IT krijgt het onderwerp na oplevering. De technische dienst wil dat service snel kan inloggen. Productie wil dat de machine draait. Iedereen heeft zijn redenen.
Maar stel de eenvoudige vraag: kan aantasting van deze laag de machineveiligheid beïnvloeden?
Als toegang op afstand parameters, bedrijfsmodi, besturingslogica, HMI-configuratie of gegevens voor veiligheidsfuncties kan wijzigen, is dit niet alleen een kwestie van de bedrijfsfirewall. Als een machine wordt geleverd met standaardwachtwoorden, onduidelijke accounts, open toegang op afstand of een vage updateprocedure, dan kun je moeilijk zeggen dat het hele cybersecurityrisico bij de gebruiker ligt.
De gebruiker heeft natuurlijk verplichtingen. Hij moet netwerken, accounts, toegangsrechten, back-ups, updates, segmentatie en wijzigingsprocedures beheren. Maar de fabrikant kan geen machine afleveren in de stand regelen jullie zelf maar wat beveiliging en dat restrisico noemen. De Machineverordening (EU) 2023/1230 trekt cybersecurity nadrukkelijk dichter naar machineveiligheid wanneer aantasting van hardware, software of data tot een gevaarlijke situatie kan leiden.
Ook hier geldt dezelfde volgorde: eerst ontwerp, dan technische maatregelen, daarna informatie voor de gebruiker. Niet andersom.
In alle drie de voorbeelden — grijpen, toegang op hoogte en cybersecurity — komt dezelfde vraag terug: heeft de fabrikant het risico werkelijk verlaagd, of het alleen aan de gebruiker beschreven?
Wanneer is restrisico echt restrisico?
Niet elk risico dat bij een machine blijft bestaan, verdient meteen de naam restrisico. De scherpe vraag is: wat betekent blijft bestaan?
- Blijft het bestaan na wijziging van de constructie?
- Blijft het bestaan na afscherming, interlock, vergrendeling of een veilige instelmodus?
- Blijft het bestaan nadat het smeerpunt buiten de gevarenzone is gebracht?
- Blijft het bestaan nadat vaste toegang tot een onderhoudspunt is ontworpen?
- Of blijft het bestaan omdat niemand het wilde aanpakken en een waarschuwing sneller was?
Dat zijn twee totaal verschillende werelden.
ISO 12100 scheidt dit scherp. Er is restrisico na maatregelen door de ontwerper en er is restrisico na alle maatregelen, dus ook na de maatregelen aan de kant van de gebruiker. Daartussen zit het gebied waarin informatie van de fabrikant echt moet worden gebruikt door de werkorganisatie van de gebruiker. Daarom is restrisico geen losse rubriek voor gebruiker moet voorzichtig zijn. Het is de conclusie na zichtbaar ontwerpwerk.
| Vraag | Als het antwoord ja is | Als het antwoord nee is |
|---|---|---|
| Is het gevaar concreet beschreven: waar, wanneer, wie wordt blootgesteld en bij welke handeling? | Je kunt verder beoordelen of het om restrisico gaat. | Dit is nog geen risicobeoordeling, maar een algemene gevarenbeschrijving. |
| Heeft de fabrikant onderzocht of het gevaar constructief kan worden weggenomen? | De aanpak volgt de logica van ISO 12100. | De waarschuwing in de gebruiksaanwijzing komt te vroeg. |
| Zijn technische beschermingsmaatregelen overwogen: afschermingen, interlocks, vergrendelingen, bedrijfsmodi, hold-to-run, beperking van energie, snelheid of kracht? | Er kan worden onderbouwd waarom een deel van het risico overblijft. | Het risico is waarschijnlijk niet resterend, maar onvoldoende uitgewerkt. |
| Heeft de fabrikant onderbouwd waarom een maatregel niet is toegepast? | De documentatie laat een technisch besluit zien. | Er is een gat. Een gat wordt geen restrisico omdat iemand het zo noemt. |
| Is de informatie voor de gebruiker concreet? | De gebruiker weet wat hij moet doen: wanneer, hoe, waarmee en onder welke voorwaarden. | Voorzichtig zijn of handen weg is niet genoeg. |
| Heeft de gebruiker echt invloed op de maatregel? | Dit kan gebruikersgebied zijn: training, LOTO, toezicht, werkprocedure, onderhoud, persoonlijke beschermingsmiddelen of organisatie van het werk. | Je mag niet doen alsof de gebruiker iets overneemt wat hij niet effectief kan beheersen. |
| Is de maatregel aan gebruikerskant in de praktijk vol te houden? | Dan kun je spreken over gedeelde verantwoordelijkheid. | Als het neerkomt op permanent mensen in de gaten houden terwijl een technische maatregel mogelijk was, schuift het probleem terug naar de fabrikant. |
| Is na toepassing van de beschermingsmaatregel gecontroleerd of er geen nieuw risico is ontstaan? | De risicobeoordeling heeft een gesloten lus. | Het proces is niet af. ISO/TR 14121-2 herinnert eraan dat na maatregelen opnieuw moet worden gecontroleerd of het risico echt is gedaald en of nieuwe gevaren zijn ontstaan. |
Deze tabel is geen formeel algoritme. Het is een nuchter filter. Als je erdoorheen loopt en aan het eind blijft alleen de zin operator moet opletten over, dan ben je te vroeg. Dan ben je nog niet bij restrisico.
Verdeel ook de verantwoordelijkheid helder. Niet op hoofdlijnen, maar per gebied.
| Gebied | Wat moet de fabrikant doen? | Wat neemt de gebruiker realistisch over? |
|---|---|---|
| Grijpen, knellen, contact met beweging | Ontwerp, geometrie, beperking van energie, afschermingen, interlocks, bedrijfsmodi, veiligheidsfuncties en een duidelijke beschrijving van het risico dat niet kon worden weggenomen. | Training, toezicht, onderhoud van afschermingen en interlocks, werkwijzen voor blokkades vrijmaken en verbod op omzeilen van beschermingsmaatregelen. |
| Reinigen, instellen, onderhoud | Deze taken meenemen in de risicobeoordeling, toegang tot gevarenzones beperken, service- of instelmodi voorzien, instelpunten buiten de gevarenzone brengen en veilige toegang ontwerpen. | Werkorganisatie, vakbekwaamheid van personeel, LOTO, onderhoudsplanning en controle van de staat van beschermingsmaatregelen. |
| Toegang op hoogte, platforms, looproutes | Beoordelen of de taak frequent en voorzienbaar is; vaste toegang ontwerpen of de eisen daarvoor duidelijk specificeren als die nodig is. | Toegangsroutes vrijhouden, orde en netheid, juiste personen toelaten en de door de fabrikant aangegeven procedures en middelen gebruiken. |
| Cybersecurity en toegang op afstand | Veilige architectuur, beperkte toegang, accountbeheer, beschrijving van interfaces, updatebeleid en bescherming van veiligheidsrelevante data en software. | Netwerksegmentatie, accountbeheer, wijzigingsprocedures, back-ups en toezicht op servicetoegang. |
| Informatie in de gebruiksaanwijzing | Concrete waarschuwingen, risicobeschrijving, voorwaarden voor veilig gebruik, vereiste maatregelen aan gebruikerskant, verboden en gebruiksbeperkingen. | Informatie in de praktijk brengen: training, lokale werkvoorschriften, toezicht en handhaving. |
Hier zit de kern. Restrisico kan gedeeld zijn. Maar gedeeld betekent niet onduidelijk. Gedeeld betekent niet: de fabrikant schrijft iets op en de gebruiker is klaar om de schuld te dragen. Gedeeld betekent ook niet: de arbodienst maakt wel een procedure, dus het ontwerp is goed.
Gedeeld betekent iets zwaarders: de fabrikant laat zien wat hij aan de machine heeft gedaan, en de gebruiker neemt over wat werkelijk afhangt van werkorganisatie, toezicht, onderhoud en gebruiksomstandigheden.
In een goede risicobeoordeling is restrisico dus niet de laatste reddingsplank. Het is het einde van eerlijk redeneren: hier was het gevaar, dit is in het ontwerp gedaan, dit is technisch gedaan, dit is niet zinvol verder weg te nemen zonder een groter probleem te maken, en deze informatie en eisen geven we aan de gebruiker mee.
Dan klinkt restrisico als een conclusie uit de risicobeoordeling. Niet als een deksel op ontbrekende beslissingen.
Een tabel ordent het onderwerp, maar vervangt geen echte ontwerpkeuzes
Zo’n verdeling van verantwoordelijkheid ziet er pas goed uit als hij afdaalt naar echte taken aan de machine. Het is makkelijk om te schrijven: gebruiker organiseert het werk, gebruiker gebruikt geschikte toegangsmiddelen, gebruiker beveiligt het netwerk. Moeilijker is controleren of de gebruiker een machine krijgt die veilig te bedienen, schoon te maken en te onderhouden is.
Neem een serviceplatform. Op de tekening lijkt alles netjes: staalconstructie, rooster, leuning, toegang. Toegang voorzien? Ja. Klaar? Niet per se.
Eerst moet je vragen: voor welk werk is dat platform bedoeld?
Als een medewerker eens per jaar naar boven gaat om een indicator af te lezen, is dat één situatie. Als vanaf hetzelfde platform regelmatig een motor, tandwielkast, cilinder, rol, kop, filter of ander slijtageonderdeel moet worden vervangen, praten we niet meer alleen over toegang. Dan praten we over een onderhoudswerkplek.
En dan is een algemene zin in de gebruiksaanwijzing niet genoeg. Wie gaat daar werken? Eén persoon of twee mensen van de technische dienst? Wat nemen ze mee? Welke delen demonteren ze? Waar leggen ze het onderdeel neer? Is er een transporthek, hijspunt, takel, uitneemroute en werkruimte voor twee personen? Is het platform berekend op mens, gereedschap, onderdeel, lokale belasting en krachten tijdens losmaken?
Dit zijn vragen uit de hal, niet uit een trainingspresentatie.
Als de gebruiksaanwijzing zegt dat een motor van 500 kg vanaf een platform wordt vervangen, dan moet het platform passen bij dat werk. Niet bij een ideaalplaatje van een operator met een sleutel, maar bij de echte taak: twee monteurs, gereedschap, gedemonteerd onderdeel, manoeuvreerruimte, valbeveiliging, transport van onderdelen en veilig neerlaten naar de vloer.
Anders heb je schijnveiligheid. Het platform is er, maar lost de taak niet op. De toegang bestaat, maar maakt het onderhoud niet veilig. De gebruiksaanwijzing beschrijft de handeling, maar het ontwerp levert de voorwaarden niet.
Is dat restrisico? Als de fabrikant een regelmatige onderhoudstaak voorziet maar niet voorziet hoe die veilig moet worden uitgevoerd, dan is dat moeilijk eerlijk restrisico te noemen. Het is eerder een onaf concept voor onderhoud aan de machine. De gebruiker is verantwoordelijk voor werkorganisatie, kwalificatie van mensen, LOTO, toezicht en het in goede staat houden van het platform. Maar hij zou na afname niet moeten ontdekken dat hij voor vervanging van een zwaar samenstel moet improviseren.
Bij cybersecurity zie je hetzelfde patroon. De machine komt binnen met een serviceaccount. Het wachtwoord is admin/admin. Toegang op afstand staat open, want service moet toch kunnen verbinden. De documentatie zegt dat de gebruiker het netwerk moet beveiligen. IT krijgt het onderwerp na inbedrijfstelling. De technische dienst wil de toegang niet blokkeren, want de machine moet produceren. Service wil snel reageren. Elke partij heeft argumenten.
Maar de vraag blijft simpel: heeft de fabrikant de machine in een veilige standaardconfiguratie geleverd?
Het gaat er niet om dat de fabrikant verantwoordelijk is voor het hele fabrieksnetwerk van de gebruiker. Dat zou losstaan van de realiteit. De gebruiker moet toegangen, segmentatie, back-ups, wijzigingsprocedures, accounts, updates en toezicht op serviceverbindingen beheren.
Maar de fabrikant kan geen machine met een voor de hand liggende zwakte afleveren en zeggen: dat is jullie IT. Als toegang op afstand, accounts, software, HMI-configuratie of data het gedrag van de machine kunnen beïnvloeden, hoort die laag bij de veiligheidsbeoordeling. Net als een afscherming, interlock of servicemodus.
admin/admin is geen detail. Het is het digitale equivalent van een platform dat wel bestaat, maar niet sterk genoeg is voor het echte werk. In de documentatie staat iets. In werkelijkheid krijgt de gebruiker een probleem dat hij eerst moet repareren.
Goede informatie voor de gebruiker klinkt dus niet als: beveilig het netwerk. Goede informatie zegt welke accounts er zijn, welke toegangsrollen zijn voorzien, wat bij de eerste inbedrijfstelling moet worden gewijzigd, hoe service op afstand werkt, wie software mag bijwerken, welke configuratieonderdelen veiligheidsrelevant zijn, hoe instellingen kunnen worden hersteld en welke netwerkvoorwaarden de fabrikant aanneemt voor veilige werking.
Pas dan kun je eerlijk praten over verantwoordelijkheid van de gebruiker. Dan weet de gebruiker wat hij overneemt. Dan ligt restrisico werkelijk op het raakvlak van machine en werkorganisatie.
Zonder dat is het alleen doorschuiven.
Daarom mag het begrip restrisico nooit licht worden gebruikt. Het is er niet om lastige vragen af te sluiten. Het moet laten zien wat aan de kant van de fabrikant overblijft, wat naar de gebruiker gaat en welke voorwaarden beide partijen moeten invullen om de machine veilig te houden tijdens normaal gebruik.
Want een machine eindigt niet bij de EU-conformiteitsverklaring of CE-markering. Zij werkt door: bij ombouwen, reinigen, onderhoud, storingen, updates, servicetoegang en vervanging van zware samenstellen.
Als het ontwerp die situaties niet voorziet, repareert de gebruiksaanwijzing ze niet.