Een DUTO-risicobeoordeling begin je niet zomaar. Je sluit bijvoorbeeld aan op een bestaande jaarlijkse cyclus van risicobeoordeling. Maar het kan ook zijn dat je binnen en buiten de organisatie signalen ontvangt dat er geen tijdige vernietiging van overheidsinformatie plaatsvindt of dat overheidsinformatie moeilijk te vinden is. Ook heb je als informatiespecialist vaak al een goed globaal beeld van risico’s op het gebied van duurzame toegankelijkheid in de organisatie. Jouw kennis en ervaring helpen om concreet en duidelijk te beschrijven waar je de risicobeoordeling op wilt richten. Door dit duidelijk te beschrijven, wordt de risicobeoordeling effectiever.
Keuze voor aanpak in de breedte, diepte of thematisch
Wanneer je het onderwerp hebt bepaald, besluit je hoe het onderwerp van de risicobeoordeling wilt benaderen: breed, diep of thematisch. In alle gevallen maak je gebruik van onderdelen van het DUTO-raamwerk:
- In module 3 van het DUTO-raamwerk definiëren we de DUTO-processen en de bijbehorende DUTO-functies.
- Daarnaast benoemen we de randvoorwaarden die nodig zijn om alle DUTO-processen goed in te richten.
- Modules 4 tot en met 8 van het DUTO-raamwerk bevatten modeleisen voor ieder DUTO-proces.
Hoe je de DUTO-processen, functies, randvoorwaarden en modeleisen in de praktijk gebruikt, kun je lezen in de gebruiksaanwijzing bij het ontwerpstelsel.
| Aanpak | Nadruk op | Voorbeelden |
|---|---|---|
| Breed | Hoe worden meerdere DUTO-processen uitgevoerd in meerdere bedrijfsprocessen en ondersteunende applicaties. | Binnen de jaarlijkse concern-brede cyclus risicobeoordeling wil je ook weten welke risico’s er op het gebied van informatiebeheer bestaan. Daarom voer je een brede DUTO-risicobeoordeling uit die voor bedrijfsprocessen door de hele organisatie in kaart brengt of er risico’s verbonden zijn aan de manier waarop de DUTO-processen binnen die bedrijfsprocessen zijn ingericht. |
| Diep | Hoe worden meerdere DUTO-processen of functies binnen één specifiek bedrijfsproces en ondersteunende applicaties geborgd? | Er wordt een nieuwe applicatie aangeschaft voor personeelsbeheer. Je wilt inzicht krijgen in welke modeleisen je gebruikt om mee te geven aan deze nieuwe applicatie. Je kijkt daarbij ook naar hoe modeleisen in de huidige applicatie worden uitgevoerd. |
| Thematisch | Focus op één specifiek DUTO-proces, DUTO-functie of randvoorwaarde binnen meerdere bedrijfsprocessen en ondersteunende applicaties. | Je weet dat er al enige tijd geen tijdige vernietiging plaatsvindt. Je selecteert een aantal processen en ondersteunende applicaties. Daarbinnen onderzoek je functionaliteit en procedures rondom vernietiging aan de hand van het DUTO-proces vernietigen. |
Tip: In sommige gevallen is het nuttig om de risicobeoordeling specifiek te richten op een aantal bedrijfskritische processen. De Quickscan DUTO-risicobeoordeling bevat een lijst met criteria die gebruikt kan worden om te bepalen welke processen bedrijfskritisch zijn.
Maak een vragenlijst
Maak aan de hand van de aanpak en de modules uit het DUTO-raamwerk een vragenlijst. Stel ja-/nee vragen en bouw daarop voort met aanvullende verdiepingsvragen. Zo zorg je dat je scherp krijgt hoe dingen ingericht zijn en welke keuzes daarbij gemaakt zijn. De vragenlijst uit de Quickscan DUTO-risicobeoordeling is een startpunt. Bij deze vragenlijst is ook een lijst met verdiepingsvragen beschikbaar.
Vragenlijst per aanpak
Alles uitklappenBij een brede risicobenadering stel je vragen over de invulling van informatiebeheer door de hele organisatie heen. Je richt je zowel op organisatorische randvoorwaarden als op de invulling van DUTO-functies binnen applicaties die processen ondersteunen.
Je neemt de vragenlijst uit de quickscan als uitgangspunt en werkt deze nader uit. Werk daarbij samen met specialisten op het gebied van informatiebeveiliging en privacy. Of gebruik bestaande vragenlijsten en voeg daaraan vragen over informatiebeheer toe.
Leg daarbij de verbinding met ontwikkelingen die binnen jouw organisatie spelen. Denk aan:
- het uitvoeren van (nieuwe) wet- en regelgeving;
- het aanschaffen, bouwen of herinrichten van een applicatie;
- een reorganisatie;
- een opgave om efficiënter en effectiever te werken.
Tip: Bekijk of er in de cyclus bij de voorgaande jaren vragen zijn gesteld waar je op terug wilt komen, bijvoorbeeld om voortgang te kunnen signaleren. Je kunt ook eerdere onderzoeksresultaten gebruiken (zie stap 2). Toets deze bij gesprekspartners; kloppen deze resultaten nog? Zo niet, wat is er veranderd?
Bij een diepe risicobeoordeling stel je meer gedetailleerde vragen over hoe DUTO- functies precies geborgd zijn binnen de applicaties die een bepaald proces ondersteunen.
Je neemt de vragenlijst uit de Quickscan DUTO-risicobeoordeling als uitgangspunt en werkt deze nader uit. Bijvoorbeeld door gedetailleerde vragen toe te voegen over de invulling van bepaalde randvoorwaarden. En over de implementatie van specifieke DUTO-functies aan de hand van de modeleisen uit het DUTO-raamwerk.
Bij een thematische risicobeoordeling kijk je naar een specifiek aspect van informatiebeheer. Bijvoorbeeld de organisatiebrede invulling van een randvoorwaarde uit het DUTO-raamwerk. Of de implementatie van een specifiek DUTO-proces binnen meerdere processen.
Voor de applicaties die de geselecteerde processen ondersteunen wil je steeds weten of het mogelijk is te vernietigen. Je doet dit aan de hand van vragen rondom de zes DUTO-functies die het DUTO-proces vernietigen ondersteunen.
• Is metagegevensbeheer gerealiseerd binnen deze applicatie?
• Is toegangsbeheer gerealiseerd binnen deze applicatie?
• Is validatie gerealiseerd binnen deze applicatie?
• Is verantwoording gerealiseerd binnen deze applicatie?
• Is vernietiging gerealiseerd binnen deze applicatie?
• Is zoeken gerealiseerd binnen deze applicatie?
Naast de functies kun je ook op detailniveau een selectie maken uit de modeleisen die voor de DUTO-processen zijn opgesteld. Voor het DUTO-proces vernietigen dat we hier als voorbeeld gebruiken, zijn er in totaal negentien modeleisen. Daarnaast besteed je aandacht aan de specifieke randvoorwaarden van dit proces.
• Is er een procedure voor vernietigen (inclusief beleid voor back-ups)?
• Vindt vernietiging volgens deze procedure plaats?
Ook bij een thematische risicobeoordeling is het belangrijk om steeds door te vragen. De Quickscan DUTO-risicobeoordeling bevat een lijst met verdiepingsvragen.