Stap 2 - Onderzoek de context

Handreiking DUTO-Risicobeoordeling

Nadat je hebt bepaald wat het onderwerp is van de risicobeoordeling, richt je je op de omgeving waarin de risicobeoordeling plaats gaat vinden. De informatie die je hier ophaalt, gebruik je om in stap 3 een plan van aanpak te maken. Ook kun je door onderzoek een eerste idee krijgen van mogelijke risico’s. Met de inzichten die je in deze stap krijgt, kun je zo nodig de vragenlijst verder verfijnen. 

Het vooronderzoek richt zich op:Denk daarbij aan:
Welke collega’s je  nodig hebt om de risicobeoordeling uit te kunnen voeren.
  • Proceseigenaren die verantwoordelijk zijn voor specifieke bedrijfsprocessen en applicaties.
  • Collega’s uit andere informatiedomeinen zoals informatiebeveiliging, privacy en informatiearchitecten.
  • Externe collega’s die een rol spelen binnen organisatie-overstijgende ketenprocessen
Welke interne en externe factoren van invloed kunnen zijn op de risicobeoordeling
  • De wettelijke context waarin de organisatie opereert.
  • De sturing op informatiebeheer binnen de organisatie.
  • Zorgpunten bij het verantwoordelijk management.
  • Verwachtingen vanuit de samenleving over het functioneren van de organisatie. 
Welke hulpmiddelen er binnen de organisatie al beschikbaar zijn:
  • Beleid voor duurzame toegankelijkheid.
  • Een overzicht van overheidsinformatie.
  • Een kwaliteitssysteem.
  • Bestaande methode voor risicobeoordeling
  • Bestaande risicocriteria.
  • Bestaande formats voor plannen van aanpak en risicorapportages. 
  • Eerdere risicobeoordelingen die anderen op dit gebied of een gerelateerd gebied hebben uitgevoerd.
  • Eerdere maatregelen die zijn genomen om risico’s aan te pakken. 

Maak bij het vooronderzoek gebruik van informatiebronnen zoals:

  • Inspectie en auditrapporten.
  • Financiële rapporten.
  • Uitkomsten van kwaliteitsonderzoeken over informatiebeveiliging (BIO) en privacy (DPIA). 
  • Instrumenten zoals een (informatie)architectuur, documentair structuurplan, zaaktypecatalogus, verwerkingsregister of een ordeningsstructuur.
  • Rapporten van informatiearchitecten en businessanalisten die inrichtingskeuzes voor een applicatie beschrijven. Denk bijvoorbeeld aan een requirementsanalyse. Dergelijke rapporten bevatten vaak risico-afwegingen.

Als er een team is dat zich bezighoudt met kwaliteitsmanagement en/of planning en control, benader dat team dan om algemene risicocriteria op te vragen en andere hulpvragen te stellen.