Nadat je de verschillende risico’s hebt beschreven, ga je ze beoordelen. Een van de meest gebruikte methoden is het geven van een bepaalde score aan de risico’s. Deze methode wordt ook gebruikt door risicobeoordeling binnen informatiebeveiliging en privacy. Door risico’s te beoordelen kun je ze met elkaar vergelijken en in de loop van de tijd bepalen of risico’s toe- of afnemen.
De risicoscores zijn een indicatie. Ze vormen een aanvulling op wat je eigenlijk al wist. En drukken je intuïtie cijfermatig uit.
Kwantificeer de risico’s
De risicoscoringsmethode bestaat uit:
- Gebeurtenis
- Kansscore (K)
- Impactscore (I)
- Totale score: Kans x Impact
Kans en impact kunnen gescoord worden op een schaal van 1-4.
| Kansscore | Impactscore |
|---|---|
| 1 – Zeer laag 2 – Laag 3 – Middel 4 – Hoog | 1 - Klein 2 - Middel 3 - Groot 4 - Ernstig |
Door de kansscore en de impactscore met elkaar te vermenigvuldigen, krijg je de risicoscore. Je kunt de scores inzichtelijk maken door ze met kleuren te illustreren.
| Impactscore (I) | ||||
|---|---|---|---|---|---|
1 (Klein) | 2 (Middel) | 3 (Groot) | 4 (Ernstig) | ||
Kansscore (K) | 1 (Zeer laag) | 1x1=1 | 1x2=2 | 1x3=3 | 1x4=4 |
2 (Laag) | 2x1=2 | 2x2=4 | 2x3=6 | 2x4=8 | |
3 (Middel) | 3x1=3 | 3x2=6 | 3x3=9 | 3x4=12 | |
4 (Hoog) | 4x1=4 | 4x2=8 | 4x3=12 | 4x4=16 | |
De risicoscores kun je groeperen en kwalificeren van laag tot extreem.
| Risicoscore | Kwalificatie |
|---|---|
| Score van 1 of 2 | Laag risico |
| Score van 3 of 4 | Middelmatig risico |
| Score van 6 of 9 | Hoog risico |
| Score van 12 of 16 | Extreem risico |
Tip: Maak organisatiebrede afspraken over hoe je scores toewijst aan een risico . En stel risicocriteria vast: welke risicoscore is voor je organisatie acceptabel, en welke niet. Zie ook de pagina: Organisatorische randvoorwaarden voor risicomanagement.
De resultaten van de meting voeg je toe aan de overzichtstabel.
Overzichtstabel risicobeoordeling – risicoscores
| Risico | Kans | Impact | Score | Kwalificatie | |
|---|---|---|---|---|---|
| 1. | Doordat de DUTO-functie maskering niet ondersteund wordt binnen applicatie X bestaat de kans dat onbevoegden toegang hebben tot gevoelige gegevens, met als gevolg onrechtmatig handelen, juridische en financiële claims. | 3 (Middel) | 4 (Ernstig) | 12
| Extreem risico
|
| 2. | Doordat er geen duidelijke afspraken gemaakt zijn over welke metagegevens we gebruiken, zijn medewerkers onnodig veel tijd kwijt aan het vinden van informatie, met als gevolg hogere kosten en afnemend werkplezier. | 4 (Hoog) | 2 (Middel) | 8
| Hoog risico
|
Formuleer oplossingen
Nadat je de risico’s hebt beoordeeld, bepaal je of en welke oplossingen nodig zijn om met deze risico’s om te gaan. En welke dat zijn.
Op hoofdlijnen heb je de volgende opties om met risico’s om te gaan:
- Verkleinen – je verkleint het risico door oplossingen die de impact van een gebeurtenis verminderen of die de kans op een gebeurtenis terugbrengen. Of zelfs: die een gebeurtenis geheel voorkomen.
- Overdragen – je belegt de verantwoordelijkheid bij een andere partij, bijvoorbeeld wanneer de oplossing organisatiebreed uitgevoerd moet worden.
- Accepteren – je kiest ervoor om vooralsnog de risico’s te accepteren.
Stel pragmatische oplossingen voor. Hiermee sluit je aan bij het idee uit de nieuwe Archiefwet en -regelgeving dat organisaties passende maatregelen moeten treffen op het gebied van duurzame toegankelijkheid.
- Houd rekening met haalbaarheid
De haalbaarheid (technisch, organisatorisch en financieel) kun je toetsen met specialisten zoals businessanalisten. Aan de hand daarvan kun je de oplossingen prioriteren. - Ga voor laaghangend fruit: relatief eenvoudige en betaalbare oplossingen die zonder veel inzet grote risico’s weg kunnen nemen voor de organisatie.
- Zet in op integrale oplossingsrichtingen die ook voor de overige informatiedomeinen van toepassing zijn.
De oplossingen voeg je toe aan de overzichtstabel. Geef ook een prioritering aan. En benoem wie de risico-eigenaar is. Deze persoon is verantwoordelijk voor het uitvoeren van oplossingen.
Overzichtstabel risicobeoordeling – maatregelen
| Risico | Kwalificatie | Oplossing | Prioriteit |
|---|---|---|---|
| 1. | Extreem | Verminder dit risico door zo spoedig mogelijk de DUTO-functie maskering met de bijbehorende eisen in te richten binnen applicatie X. | Hoog |
| 2. | Hoog | Doe een verdiepingsonderzoek naar wat er al geregeld is aan metagegevens en welke metagegevens toegevoegd moeten worden. Onderzoek of deze metagegevens met terugwerkende kracht automatisch kunnen worden toegevoegd. | Hoog |
Let op: een aantal geringe risico’s kun je in deze tabel weglaten op basis van de risicocriteria die in de organisatie zijn afgesproken. Bijvoorbeeld: een score lager dan 6 beschouwt de organisatie als acceptabel. Er zijn dan geen acties nodig.