Het beoordelen van risico’s, in het bijzonder op het gebied van informatiebeheer, staat centraal in deze handreiking. Voordat je start met een DUTO- risicobeoordeling, is het belangrijk te weten wat we onder risico verstaan.
Deze module gaat over:
- wat een risico is;
- hoe je risico’s beschrijft;
- hoe je risico’s beoordeelt;
- wat het verschil is tussen een risico en een kans.
Daarnaast zetten we op een rij welke risico’s kunnen ontstaan als duurzame toegankelijkheid niet geborgd is. En welke kansen er liggen als duurzame toegankelijkheid wél geborgd wordt:
Lijst risico’s en kansen op het gebied van duurzame toegankelijkheid
Definitie van risico
In deze handreiking gebruiken we de volgende definitie voor ‘risico’:
Risico is het gevolg van onzekerheid op het behalen van je doelen.
Deze definitie is afgeleid uit NEN-ISO-norm 31000 (Risicomanagement – Richtlijnen)
- Onzekerheid
Binnen overheidsorganisaties is het niet altijd zeker dat zaken precies zo lopen als je verwacht. Door te erkennen dat deze onzekerheid er is, kun je de nodige maatregelen treffen. Zodat je bent voorbereid en passend kunt reageren. - Gevolgen
Als zaken anders lopen dan gepland kan dit gevolgen hebben voor de organisatiedoelen. Soms kan dit positief zijn. Een aanpassing in het proces leidt bijvoorbeeld tot een betere dienstverlening richting de burger, tevreden klanten en meer vertrouwen. Maar het kan ook leiden tot financiële schade voor een organisatie. - Doelen
Overheidsorganisaties hebben doelen die ze willen bereiken. Ze organiseren het werk zodanig dat ze de doelen halen. Door in te spelen op onzekerheden die deze organisatiedoelen kunnen bedreigen, kunnen organisaties zichzelf verbeteren en doelen blijven behalen.
Hoe beschrijf je een risico?
Een goede risicobeschrijving bevat de volgende onderdelen:
- De bron van het risico is een feit waardoor het risico ontstaat.
- Een mogelijke gebeurtenis die voortkomt uit de bron van het risico.
- De implicaties van die gebeurtenis voor de doelstellingen van de overheidsorganisatie.
Met deze elementen kun je een risico beschrijven in de vorm van een drietrapsraket:
- Doordat (bron)
- Wordt het waarschijnlijker dat (gebeurtenis)
- Met als gevolg dat (implicatie)
| Doordat (bron)... | wordt het waarschijnlijker dat (gebeurtenis)... | met als gevolg dat (implicatie) |
|---|---|---|
| de procedure voor digitaal vernietigen niet wordt uitgevoerd, | te vernietigen gegevens in vakapplicatie X te lang bewaard worden | de organisatie niet rechtmatig handelt en juridische claims kan verwachten. |
| in het migratieproces alleen de actuele gegevens van applicatie A naar B worden gemigreerd, | de overige gegevens niet of versnipperd worden beheerd | overheidsinformatie niet of nauwelijks in samenhang gevonden kan worden. |
| er binnen werkproces X geen duidelijke afspraken zijn over het gebruik van metagegevens, | overheidsinformatie binnen werkproces X niet te vinden of te interpreteren is | dienstverlening aan de burger kan verslechteren. |
Een concrete risicobeschrijving helpt bij het maken van weloverwogen keuzes over te treffen maatregelen. Daarom maak je zoveel mogelijk duidelijk waarop het risico betrekking heeft binnen het informatiesysteem. Bijvoorbeeld een specifiek bedrijfsproces of een applicatie daarbinnen.
Hoe beoordeel je een risico?
Nadat de risico’s zijn beschreven, maak je inzichtelijk hoe groot of klein een risico is voor jouw organisatie. Dus: wat zijn de aard en omvang van de gevolgen. De handreiking hanteert een veel gebruikte scoringsmethode waarbij de kans (K) dat een gebeurtenis plaatsvindt, wordt gekoppeld aan de impact (I) die dat kan hebben. Door de kansscore en impactscore met elkaar te vermenigvuldigen, ontstaat een risicoscore. Je kunt aan de hand van de score bepalen of er sprake is van een laag risico of een extreem risico en alles ertussenin.
In het stappenplan werken we deze methode nader uit.
Het verschil tussen een risico en een kans
Als de implicaties van een bepaalde gebeurtenis nadelig zijn, dan hebben we het over een risico. Als de implicaties positief zijn, dan hebben we het over een kans. Je kunt dezelfde situatie vaak beschrijven in de vorm van een risico én in de vorm van een kans. Vergelijk:
- Doordat we niet tijdig vernietigen wordt het waarschijnlijker dat we overheidsinformatie onnodig bewaren, met als gevolg dat de kosten toenemen.
- Doordat we wel tijdig vernietigen wordt het minder waarschijnlijk dat we overheidsinformatie onnodig bewaren, met als gevolg dat de kosten afnemen.