Door de gesprekken te voeren heb je informatie verzameld. In deze stap analyseer je samen met het kernteam de antwoorden. Je beschrijft hierbij concreet de risico’s en kansen door het volgende aan te geven:
- de bron van het risico, dus een feit waardoor het risico ontstaat;
- een mogelijke gebeurtenis die voortkomt uit de bron van het risico;
- de implicaties van die gebeurtenis voor de doelstellingen van de overheidsorganisatie.
Voor meer uitleg bij deze drie elementen van risico, zie de module Wat is een risico?
Tip: De module Wat is een risico bevat een algemene lijst met gevolgen die zich voor kunnen doen als overheidsinformatie niet duurzaam toegankelijk is. Gebruik deze lijst als startpunt en pas hem zodat hij goed aansluit bij jouw organisatie. Ter inspiratie kun je ook de voorbeelden van mogelijke risico’s uit de vragenlijst bij de Quickscan DUTO-risicobeoordeling gebruiken.
Aandachtspunten bij het beschrijven van een risico zijn:
- Eén gebeurtenis kan verschillende oorzaken en gevolgen hebben.
- Risico’s en kansen kunnen met elkaar samenhangen. Een risico op organisatieniveau kan bijvoorbeeld invloed hebben op de risico’s in een bedrijfsproces. Een risico bij het proces registratie kan weer doorwerken in andere processen zoals bewaren.
Bij het beschrijven van de gevolgen is het raadzaam om de connectie te zoeken met thema’s die relevant zijn voor jouw organisatie, bijvoorbeeld:
- Als je bij een gemeente werkt waar het college zich sterk maakt voor duurzaamheid, dan kun je de nadruk leggen op de milieubelasting van dataopslag.
- Bij organisaties die sterk in de publieke belangstelling staan, kun je de nadruk leggen op de imagoschade die kan ontstaan wanneer ze wet- en regelgeving niet naleven.
- Wanneer je organisatie genoodzaakt is te bezuinigen, kun je inzetten op de kansen die er zijn om geld te besparen.
Overzichtstabel risicobeoordeling – beschrijving risico’s
Gebruik een tabel om de risico’s overzichtelijk bij elkaar te brengen. Hieronder staat een voorbeeld waarin de onderdelen van een risicobeschrijving zijn benoemd:
| Doordat (bron) | Wordt het waarschijnlijker dat (gebeurtenis) | Met als gevolg (implicatie) |
|---|---|---|
| 1. de functie maskering niet ondersteund wordt binnen een bedrijfskritische applicatie | onbevoegden toegang krijgen tot gevoelige gegevens |
|
| 2. er geen duidelijke afspraken zijn gemaakt over welke metagegevens we gebruiken | medewerkers onnodig tijd kwijt zijn aan het vinden van informatie |
|
| 3. er geen procedure is voor het borgen van het registratieproces | onbetrouwbare gegevens worden geregistreerd. |
|
Deze tabel breid je in de volgende stappen uit met een risicoscore en met mogelijke maatregelen. Je kunt deze overzichtstabel opnemen als bijlage in de risicorapportage. Hiervoor is een sjabloon beschikbaar.