Om DUTO-risicobeoordeling mogelijk te maken, moeten organisaties een aantal zaken goed te regelen rondom risicomanagement. Er zijn vijf randvoorwaarden voor het effectief uitvoeren van risicobeoordeling. De tabel hieronder zet ze op een rij:
| Randvoorwaarde | Toelichting |
|---|---|
| Besluitvormingsprocessen | Er is beleid vastgesteld voor het risicomanagement en het is verankerd in de organisatie. Dit beleid vertaalt zich onder andere door het beschikbaar stellen van mensen en middelen voor het uitvoeren van een risicobeoordeling. Verantwoordelijkheden zijn duidelijk belegd. Ook het uitwerken van nadere procedures en criteria voor risicobeoordeling horen hierbij. |
| Cyclisch werken | Het risicomanagement wordt uitgevoerd in zich herhalende patronen, zoals een PDCA-cyclus (plan, do, check, act) waar risicobeoordelingen onderdeel van zijn. |
| Integrale benadering | Trek samen op met andere bedrijfsonderdelen met een vergelijkbaar takenpakket. Voor risicomanagement op het gebied van informatiebeheer betekent dat samenwerking met andere I-domeinen (privacy, informatiebeveiliging, gegevensmanagement en openbaarmaking). |
| Overzicht | Zorg dat je de structuur van de organisatie en de inrichting van bedrijfsprocessen goed in beeld hebt. Voor risicomanagement op het gebied van informatiebeheer betekent dit dat je een overzicht hebt van de processen, applicaties en informatie in de organisatie. Dit overzicht biedt inzicht in hoe de processen worden ondersteund met applicaties, wie daar verantwoordelijk voor is en waar de overheidsinformatie zich bevindt. |
| Commitment | Er is commitment binnen de organisatie voor DUTO-risicobeoordeling. Commitment is voor een groot deel gedragsmatig. Bijvoorbeeld als er regelmatig betrokkenheid wordt uitgesproken door de verschillende managementslagen voor het risicomanagement. Maar ook door constructieve samenwerking tussen proceseigenaren en informatieprofessionals bij het uitvoeren van risicobeoordeling met een gedeeld beeld van de bedoeling en noodzaak ervan. |
Deze randvoorwaarden zijn afgeleid van NEN-ISO 31000:2019. In de veelgestelde vragen lichten we nader toe hoe de handreiking deze en andere kwaliteitsnormen doorvertaalt naar de context van informatiebeheer bij de Nederlandse overheid.
Uitwerking van organisatorische randvoorwaarden voor risicomanagement
Alles uitklappenDe besluitvormingsprocessen betreffen de besluiten die nodig zijn voor het inrichten van het risicomanagement. En het integreren van het risicomanagement in de structuren van de organisatie. Het risicomanagement moet niet losstaan van bedrijfsactiviteiten die de organisatie uitvoert.
Denk hierbij aan:
| Beleid over: | Toelichting |
|---|---|
| Te hanteren normen, richtlijnen en modellen | Een voorbeeld is het vaststellen van een metagegevensschema zoals MDTO. Een organisatie kan ook in beleid vastleggen dat informatiesystemen by design worden ingericht conform het DUTO-raamwerk. En dat het maken van een risicobeoordeling daar een steevast onderdeel van is. |
| Handelswijze rondom het risicomanagement | Het is duidelijk hoe de organisatie risicomanagement ziet en hoe dit wordt uitgevoerd in de organisatie. |
| Risicocriteria | Het is duidelijk hoeveel risico en welk soort risico de organisatie mag nemen. En hoe deze afwegingen gemaakt worden. Het Stappenplan DUTO-risicobeoordeling laat zien hoe je de risico’s kunt wegen. |
| Benodigde middelen | Risicomanagement kan alleen effectief worden uitgevoerd als de organisatie investeert in kennis en kunde. Bijvoorbeeld door te investeren in opleidingen van medewerkers of in het werven van specialisten. Daarnaast moeten organisatieonderdelen die risicomanagement uitvoeren ook over geschikte hulpmiddelen beschikken. Bijvoorbeeld om resultaten vast te leggen, te monitoren en te rapporteren. |
| Bevoegdheden, verantwoordelijkheden en verantwoordingsplicht | Om risicomanagement goed uit te voeren, moet duidelijk zijn wie waar verantwoordelijk voor is en welke bevoegdheden daarbij horen. Bijvoorbeeld voor onderzoekers die informatiesystemen onderzoeken op bepaalde risico’s moet duidelijk zijn wie verantwoordelijk is voor de informatie in een bedrijfsproces. De risico-eigenaar (meestal een proceseigenaar) kan besluiten over de passende maatregelen met betrekking tot de risico’s. |
Het risicomanagement wordt uitgevoerd in zich herhalende patronen. Dit heeft meestal de vorm van PDCA-cyclus (plan, do, check, act): het maken van een plan, het uitvoeren van het plan, het evalueren van de resultaten en het uitvoeren van de aanpassingen om de verbeteringen door te voeren.
Dit heeft de volgende voordelen:
- Actueel beeld van risico’s. Door het werken in een PDCA-cyclus, wordt het DUTO-risicomanagement een doorlopend proces, met als gevolg dat het overzicht van risico’s actueel blijft.
- Cumulatieve verbetering. Door cyclisch te werken in herhalende stappen, wordt continu gewerkt aan het verminderen of wegnemen van risico’s. Het eindresultaat van één cyclus biedt een nieuwe en betere uitgangspositie voor de start van de volgende cyclus. Het resultaat is een doorlopende vermindering van risico’s.
- Procesoptimalisatie. Organisaties die kort-cyclisch werken, kunnen snel inspelen op veranderende omstandigheden.
Het versterkt de impact van een DUTO-risicobeoordeling als informatieprofessionals samenwerken met de andere informatiedomeinen: privacybescherming, informatiebeveiliging, gegevensmanagement en openbaarmaking.
Integraal werken houdt onder andere in dat:
- Onderzoeksvragen op elkaar worden afgestemd
Er is onderlinge afstemming over onderzoeksvragen die gesteld worden bij de inventarisatie van de risico’s. - De lijnorganisatie wordt ontlast
Door een gezamenlijke risicobeoordeling uit te voeren, wordt voorkomen dat een organisatieonderdeel vanuit verschillende informatiedomeinen gelijksoortige of tegenstrijdige vragen krijgt. Het kan ook een goed idee zijn om gezamenlijk het gesprek met proceseigenaren te voeren over risico’s. Dit helpt voorkomen dat proceseigenaren zich overvallen voelen door een opeenvolging van onderzoeken vanuit verschillende vakgebieden. - Gedeelde problemen worden aangepakt
Het krijgen van een integraal beeld heeft voordelen voor alle betrokken informatiedomeinen. Denk bijvoorbeeld aan risico’s die een organisatie kan lopen als het DUTO-proces vernietigen niet goed is ingericht. Dat kan ook risico’s opleveren voor de bescherming van persoonsgegevens. En risico’s gerelateerd aan een DUTO-functie als toegangsbeheer zijn ook vanuit het perspectief van informatiebeveiliging relevant. Een integrale aanpak helpt om maatregelen op elkaar af te stemmen. - Duidelijk is wie verantwoordelijk is
Als je de belanghebbenden in beeld hebt, kun je gerichter onderzoek doen. En aanwijzen wie verantwoordelijk is voor het oppakken van de actiepunten die voortkomen uit een risicobeoordeling. Dat kan door in de voorbereiding een RACI-tabel (responsible/verantwoordelijk, accountable/aanspreekbaar, consulted/geraadpleegd en informed/geïnformeerd) opstellen waarin staat wie betrokken is en wat hun rol is.
Er is een overzicht van processen, wettelijke context, informatiestromen en -systemen. En van gehanteerde standaarden en hun samenhang. Bijvoorbeeld een architectuuroverzicht. Dit is een van de randvoorwaarden die in het DUTO-raamwerk zijn opgenomen voor organisatorische borging van duurzame toegankelijkheid.
Het overzicht maakt duidelijk welke processen er zijn, over welke informatie de organisatie beschikt, waar deze zich bevindt en wie verantwoordelijk is. Het overzicht helpt bij het bepalen van onderwerp voor de risicobeoordeling en het maken van het plan van aanpak.
Risicomanagement is effectief als de verschillende lagen van de organisatie aangeven dit een belangrijk onderwerp te vinden.
| Commitment door: | Toelichting |
|---|---|
| Management | De inbedding van risicomanagement in de organisatie is erbij gebaat wanneer het belang herhaaldelijk door de hoogste managementlagen wordt onderschreven. Daarbij wordt ook naar de organisatie gecommuniceerd wat de bedoeling is van het risicomanagement. En hoe zich dat verhoudt tot de doelstellingen van de organisatie. Top-down-sturing kan een impuls geven aan risicomanagement in een organisatie. Wanneer het leiderschap in een organisatie regelmatig het belang van risicomanagement benadrukt, bevordert dit de aandacht voor het onderwerp. |
| Proceseigenaar | De proceseigenaar kan bijdragen aan commitment door binnen het verantwoordelijke organisatieonderdeel te communiceren over het doel van de risicobeoordeling en hoe het bijdraagt aan de doelstellingen van het bedrijfsproces. |
| Informatieprofessional | De informatieprofessional kan bijdragen aan commitment door een constructieve gesprekspartner te zijn voor het primaire proces. De informatieprofessional moet in staat zijn om de meerwaarde van een DUTO-risicobeoordeling uit te leggen op een manier die aansluit bij behoeften en zorgen van proceseigenaren. Door mee te denken over effectieve oplossingen om de risico’s te beheersen en kansen te benutten, wordt risicobeoordeling meer dan een ‘moetje’. Het levert de proceseigenaar concreet iets op. |