Deze handreiking richt zich op DUTO-risicobeoordeling. Dat is het concrete proces waarbij informatieprofessionals bepalen welke risico’s er voor een organisatie bestaan op het gebied van informatiebeheer en dus voor duurzame toegankelijkheid van informatie. Hoe groot deze zijn en wat de gevolgen hiervan kunnen zijn. Risicobeoordelingen (dus ook DUTO-risicobeoordeling) zijn activiteiten die onderdeel vormen van een breder geheel: risicomanagement.
Deze module werkt aan de hand van vijf randvoorwaarden uit wat organisaties moeten regelen om risicomanagement organisatorisch te borgen: organisatorische randvoorwaarden van risicomanagement
Eerst gaat de module in op de volgende vragen:
- Wat is het verschil tussen DUTO-risicobeoordeling en risicomanagement?
- Wat zijn de voordelen van risicomanagement?
- Wat is de rol van het verantwoordelijk management binnen risicomanagement?
DUTO-risicobeoordeling en risicomanagement
Om een relatie te kunnen leggen tussen DUTO-risicobeoordeling en risicomanagement maken we gebruik van de volgende definities:
- Met risicomanagement bedoelen we de gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico's (NEN-ISO 31000:2019, 3.2).
- Een risicobeoordeling is een methode die zorgt voor inzicht in welke risico’s er bestaan, hoe groot deze risico’s zijn en welke maatregelen genomen kunnen worden.
- Een DUTO-risicobeoordeling is een risicobeoordeling met een specifieke focus op risico’s die ontstaan wanneer overheidsinformatie niet duurzaam toegankelijk is.
Om zelf een DUTO-risicobeoordeling uit te voeren, kun je de quickscan DUTO-risicobeoordeling gebruiken. Of het uitgebreidere stappenplan DUTO-risicobeoordeling.
Voordelen van risicomanagement
Deugdelijk ingericht risicomanagement op het gebied van informatiebeheer heeft drie voordelen:
- Het maakt het makkelijker om een risicobeoordeling uit te voeren. Met name het stappenplan DUTO-risicobeoordeling gaat ervanuit dat organisaties randvoorwaarden rondom risicomanagement hebben ingevuld.
- Het zorgt ervoor dat de resultaten van een DUTO-risicobeoordeling opgenomen worden in het besluitvormingsproces. Zodat de bevindingen uit een risicobeoordeling leiden tot weloverwogen besluiten waarmee risico’s beheersbaar worden gemaakt.
- Het draagt bij aan het verwezenlijken van de doelstellingen van de organisatie (of onderdelen daarvan).
De rol van het verantwoordelijk management
Het verantwoordelijk management is op twee momenten aan zet:
- Bij het inrichten van het proces rondom risicomanagement. Wat er geregeld moet worden op dit gebied lees je op de pagina over de organisatorische randvoorwaarden van risicomanagement;
- Op het moment dat een DUTO-risicobeoordeling is uitgevoerd en geleid heeft tot een risicorapportage.
Het verantwoordelijke management moet dan als risico-eigenaar besluiten nemen over de inzichten uit de DUTO-risicobeoordeling. En sturen op concrete acties met benodigde mensen en middelen.