Het stappenplan DUTO-risicobeoordeling is bedoeld voor overheidsorganisaties die op zoek zijn naar een gedetailleerde en systematische beoordeling van de risico’s die bestaan rondom duurzame toegankelijkheid van overheidsinformatie. En die op het gebied van risicomanagement al randvoorwaarden ingevuld hebben. Die randvoorwaarden staan in de module DUTO-risicobeoordeling en risicomanagement.
Het stappenplan leidt tot een risicorapportage die het verantwoordelijke management kan gebruiken om acties op het gebied van informatiebeheer te plannen, te prioriteren, uit te laten voeren en daarop te sturen.
Er is ook een lichte variant van het stappenplan: de quickscan DUTO-risicobeoordeling. Deze is geschikt voor organisaties die snel en globaal inzicht willen krijgen in de belangrijkste risico’s die ze lopen op het gebied van informatiebeheer.
Stappenplan
Het stappenplan bestaat uit de volgende stappen:
| Stap | Toelichting |
|---|---|
| 1. Bepaal het onderwerp van de risicobeoordeling. | Beschrijf concreet en duidelijk wat het onderwerp van de risicobeoordeling is. Maak op basis daarvan een vragenlijst. |
| 2. Onderzoek de context. | Breng in kaart wie je kunt betrekken en welke informatiebronnen je kunt gebruiken bij de risicobeoordeling. |
| 3. Maak een plan van aanpak. | Leg concreet vast hoe je de DUTO-risicobeoordeling uit gaat voeren in het plan van aanpak. |
| 4. Voer het gesprek. | Voer aan de hand van de vragenlijst gesprekken met deskundigen. |
| 5. Beschrijf de risico’s. | Analyseer en beschrijf concreet welke risico’s er voor jouw organisatie bestaan rondom het onderwerp dat je hebt gekozen. |
| 6. Beoordeel de risico’s. | Beoordeel de risico’s voor jouw organisatie aan de hand van scores. |
| 7. Maak een risicorapportage. | Leg de conclusies van de risicobeoordeling en het advies voor mogelijke oplossingen vast in een risicorapportage. |
Deze stappen sluiten op hoofdlijnen aan bij NEN-ISO 18128:2024. Zie de lijst met veelgestelde vragen voor een gedetailleerde uitwerking.
Het stappenplan DUTO-risicobeoordeling leidt tot het maken en bespreken van de risicorapportage. Daarna houd je de vinger aan de pols bij het implementeren van de aanbevelingen uit de risicorapportage. Wat dit inhoudt, lees je op de pagina Nazorg.