Deze pagina geeft antwoord op een aantal terugkerende vragen en werkt enkele thema's rondom DUTO-risicobeoordeling nader uit.
Ja. Informatie is namelijk een grondstof voor alle overheidsprocessen, dus als die informatie niet duurzaam toegankelijk is, dan kan het uitvoeren van die overheidsprocessen gevaar lopen. In dat geval kunnen risico’s ontstaan voor (onder meer) efficiëntie, dienstverlening, transparantie, financiën, naleving van wet- en regelgeving, en het behouden van (digitaal) erfgoed. Omgekeerd maken investeringen in duurzaam toegankelijk informatiebeheer het mogelijk om kansen te benutten op het gebied van kunstmatige intelligentie. En het hergebruiken van economisch waardevolle informatie.
De module “Wat is een risico?” zet de belangrijkste risico’s en kansen op een rijtje. Deze generieke lijst kun je gebruiken als voorbeeld en verder aanpassen aan de context van jouw organisatie.
In de nieuwe Archiefwet staat dat een verantwoordelijk overheidsorgaan passende maatregelen treft om informatieobjecten duurzaam toegankelijk te maken en te houden (artikel 4.1, lid 1). Dat betekent dat organisaties ruimte hebben om maatregelen nemen die in verhouding staan tot het belang van de informatieobjecten. Niet alle overheidsinformatie heeft dezelfde waarde en de inrichting van informatiesystemen moet overeenkomstig daarmee worden ingericht. Bij het bepalen van passende maatregelen overwegen organisaties ook de risico’s die ontstaan als informatie niet duurzaam toegankelijk is. De DUTO-risicobeoordeling is een instrument om dit praktisch in te vullen.
Het nemen van passende maatregelen helpt organisaties om informatiebeheer beheersbaar te maken en om op dit gebied keuzes te maken en prioriteiten te stellen. En capaciteit en middelen efficiënt in te zetten. Ook het adviesrapport ‘Alles is niets’ van het Adviescollege Openbaarheid en Informatiehuishouding onderschrijft het belang van passende maatregelen en stelt daarbij het belang van burgers voorop: alles in dezelfde mate aanpakken is onhaalbaar.
In de praktijk kan dit betekenen dat je beargumenteerd kiest voor pragmatische oplossingen. Een DUTO-risicobeoordeling geeft input om dergelijke oplossingen te onderbouwen.
Het DUTO-raamwerk is een praktisch hulpmiddel om passende maatregelen te nemen voor duurzame toegankelijkheid van overheidsinformatie. De handreiking DUTO-risicobeoordeling helpt organisaties te bepalen welke maatregelen passend zijn. De DUTO-risicobeoordeling maakt gebruik van het DUTO-raamwerk om gerichte vragen te stellen. En als uit de DUTO-risicobeoordeling blijkt dat oplossingen nodig zijn om risico’s te verkleinen, helpt het DUTO-raamwerk bij het formuleren van die oplossingen.
Een requirementsanalyse wordt bijvoorbeeld uitgevoerd tijdens een aanbestedingstraject om in kaart te brengen welke functionaliteit binnen een nieuw onderdeel van een informatiesysteem nodig is. Daarbinnen kun je een DUTO-risicobeoordeling inzetten (of een eerdere risicobeoordeling gebruiken) om te bepalen welke passende maatregelen passend zijn. Dat wil zeggen: welke requirements absoluut nodig zijn (“must have”) en welke eventueel weggelaten kunnen worden (“nice to have”). Daarnaast wordt een DUTO-risicobeoordeling uitgevoerd in andere contexten, bijvoorbeeld als onderdeel van een reguliere cyclus. Of om de impact van nieuwe wetgeving te bepalen. Requirementsanalyses die expliciet naar mogelijke risico’s kijken, kunnen daarbij een waardevolle bron van informatie zijn.
Risicobeoordeling en risicomanagement maken deel uit van kwaliteitsmanagement. Kwaliteitsmanagement richt zich op het verbeteren van diensten zodat deze voldoen aan de eisen van de gebruikers en de wet- en regelgeving. Een onderdeel daarvan is het oppakken van risico’s en kansen binnen de context van de organisatie en haar doelstellingen. Een risicobeoordeling, als onderdeel van risicomanagement, vormt dus onderdeel van kwaliteitsmanagement omdat het zich richt zich op het identificeren, beoordelen en eventueel verkleinen of wegnemen van de risico’s die van invloed zijn op het behalen van de doelstellingen van een organisatie.
Archiveren by design betekent dat je in een vroeg stadium nadenkt over maatregelen voor duurzame toegankelijkheid. En deze vervolgens realiseert. Dat begint al bij het maken van beleid en informatie-architectuur en werkt verder door naar het niveau van bedrijfsprocessen en de applicaties die deze bedrijfsprocessen ondersteunen. Een risicobeoordeling kan gebruikt worden als het instrument om passende maatregelen te nemen. Het leert je welke risico’s er bestaan en hoe ernstig deze zijn. Dat biedt een basis om te bepalen waar je maatregelen moet treffen (of juist niet) om een risico op het gebied van duurzame toegankelijkheid te verkleinen of weg te nemen.
Door risicobeoordeling op te nemen in een PDCA-cyclus werk je continu aan het verminderen of wegnemen van risico’s.
- In de Plan-fase bereid je de risicobeoordeling voor
- In de Do-fase voer je de risicobeoordeling uit met een aantal voorgenomen maatregelen als resultaat.
- In de Check-fase controleer je of de afgesproken maatregelen daadwerkelijk zijn uitgevoerd.
- In de Act-fase heb je inzicht in wat er verder verbeterd kan worden en zie je positieve kansen. Deze inzichten neem je mee naar de start van een nieuwe risicobeoordeling.
In beide gevallen kijk je naar risico’s, maar je kijkt vanuit verschillende gezichtspunten. Bij het opstellen van een selectielijst pas je risicoanalyse toe om te bepalen hoeveel risico de organisatie loopt als overheidsinformatie te vroeg vernietigd wordt of juist te lang bewaard. Dit is nodig om bewaartermijnen te bepalen. Bij een DUTO-risicobeoordeling kijk je naar de risico’s die optreden als overheidsinformatie niet duurzaam toegankelijk is. Dit is nodig om passende maatregelen te treffen op het gebied van informatiebeheer.
De handreiking DUTO-risicobeoordeling is afgeleid van NEN-ISO normen op het gebied van risicomanagement en risicobeoordeling. De handreiking sluit dus aan op werkwijzen die op deze normen (en daarvan afgeleide modellen zoals COSO-ERM) gebaseerd zijn.
- De NEN-ISO 31000 is een norm die richtlijnen biedt voor het managen van risico’s. Het is generiek van opzet en niet specifiek gericht op een bepaald soort organisatie. Het biedt een benadering voor alle soorten risico’s. De organisatorische randvoorwaarden voor het uitvoeren van een risicobeoordeling zijn afgeleid van deze norm.
- De NEN-ISO 18128 is gebaseerd op de NEN-ISO 31000, maar dan specifiek gericht op het informatiebeheer. Het biedt methodes om risico’s voor het informatiebeheer te identificeren en documenteren, technieken om de risico’s te beoordelen en richtlijnen om deze te evalueren. Deze norm heeft voor een belangrijk deel als basis gediend voor de DUTO-risicobeoordeling. Het stappenplan is grotendeels deel afgeleid van deze norm. Wij hebben daarbij de stappen soms anders ingedeeld en leggen andere accenten om beter aan te sluiten bij de praktijk van overheden in Nederland.
- De NPR-ISO/TR 21946:2019 is specifieker dan de 18128 en richt zich op de waardering van overheidsinformatie in bedrijfsprocessen. Bedrijfsprocessen worden geëvalueerd om te bepalen welke daarbij behorende informatieobjecten duurzaam toegankelijk moeten worden beheerd en hoe lang.
Op allebei. Door een DUTO-risicobeoordeling toe te passen op een bestaand informatiesysteem kun je bepalen welke risico’s er momenteel spelen op het gebied van duurzame toegankelijkheid. Daarmee kan een proceseigenaar worden voorzien van een beredeneerd advies. De proceseigenaar kan dan besluiten om risico’s te accepteren of om maatregelen te nemen om risico’s te verkleinen of weg te nemen. In het geval van een nieuw informatiesysteem biedt de risicobeoordeling de informatie om al bij de inrichting hiervan passende maatregelen te nemen voor duurzame toegankelijkheid. Zie ook de vraag ‘Hoe verhoudt risicobeoordeling zich tot archiveren by design?’.
Nee. De vragenlijst voor DUTO-risicobeoordeling is geen instrument dat dient om toezicht te houden. Het moet professionals op het gebied van informatiebeheer helpen om duurzame toegankelijkheid van overheidsinformatie binnen hun eigen organisatie te verbeteren. Het gaat dus niet om het toetsen van de naleving van wet- en regelgeving. Daarentegen helpt informatie uit audit- en inspectierapporten om de risicobeoordeling DUTO uit te kunnen voeren, bijvoorbeeld om een idee te krijgen van mogelijke risico’s. Andersom kunnen de resultaten van een DUTO-risicobeoordeling helpen bij het verstrekken van informatie aan toezichthouders. Bij het opstellen van een vragenlijst voor de DUTO-risicobeoordeling kan het nuttig te zijn om vraagstelling af te stemmen op instrumenten van andere informatiedomeinen zoals privacy en informatiebeveiliging. Dat kan voorkomen dat aan proceseigenaren steeds dezelfde vragen worden gesteld vanuit verschillende partijen.
Dat hangt af van wat het beste past bij jouw context.
- De quickscan DUTO-risicobeoordeling is geschikt om snel en globaal inzicht krijgen in de belangrijkste risico’s van bedrijfskritische processen dan kun je kiezen voor de quickscan.
- Het stappenplan DUTO-risicobeoordeling is uitgebreider dan de quickscan. Het stappenplan is bedoeld voor organisaties die op zoek zijn naar een gedetailleerde en systematische risicobeoordeling. En die op het gebied van risicomanagement al randvoorwaarden ingericht hebben.
Je kunt de quickscan ook gebruiken als eerste fase in de richting van een verdere, specifieke risicobeoordeling met behulp van het stappenplan.
Nee. Wij raden dit zeer sterk af omdat dit afbreuk doet aan de effectiviteit van het onderzoek. Door een gesprek te voeren met proceseigenaren en andere betrokken partijen krijg je de gelegenheid om door te vragen. Dat helpt om een beter beeld te krijgen van wat er speelt in de organisatie en waarom. Dit heb je nodig om risico’s goed te beoordelen en te wegen. Een gesprek helpt ook ruis in de beantwoording te voorkomen. Het kan bijvoorbeeld zijn dat vragen anders worden geïnterpreteerd dan voorzien. Een gesprek helpt ook om je als professional op het gebied van duurzame toegankelijkheid zichtbaar te zijn. En je te positioneren als collega die meedenkt en mogelijke oplossingen aandraagt.
In de module Quickscan DUTO-risicobeoordeling lees je meer tips over hoe je het gesprek aangaat, inclusief een lijst met verdiepingsvragen die je kunt stellen.
Omdat je aan de hand van DUTO-processen en randvoorwaarden concretere vragen kunt stellen. En mogelijke oplossingsrichtingen scherper kunt krijgen. De DUTO-kenmerken (vindbaar, beschikbaar, leesbaar, interpreteerbaar, betrouwbaar, toekomstbestendig) maken deel uit van het theoretisch deel van het DUTO-raamwerk. Daarin wordt beschreven wat duurzame toegankelijkheid is. En waarom organisaties er mee aan de slag moeten. Hoe je duurzame toegankelijkheid realiseert, staat in het praktische deel van het raamwerk met de processen, functies en modeleisen. Door de nadruk te leggen op het ‘hoe’ breng je concrete inrichtingskeuzes in beeld en kun je daaraan zonodig passende maatregelen verbinden.
Je ziet de DUTO-kenmerken trouwens wel terug in voorbeelden van risicobeschrijvingen. Bijvoorbeeld: Doordat er geen functionaliteit is rondom X (het hoe) is informatie niet vindbaar (een DUTO-kenmerk, het ‘wat’) met als gevolg dat dienstverlening trager verloopt (het ‘waarom’).
Een gevolg is een element van een risico. Zie de module “wat is een risico?”.
Een risico is een uitdrukking van het effect van onzekerheid op het behalen van je doelen. Een risico kan opgeknipt worden in drie elementen:
- Een bron: bijvoorbeeld dat toegangsbeheer tot informatie niet goed geregeld is.
- Een gebeurtenis: bijvoorbeeld dat onbevoegden toegang hebben tot informatie.e
- Een gevolg: bijvoorbeeld dat de organisatie imagoschade ondervindt.
Naast gevolg gebruiken we ook de term ‘implicatie’. Implicaties kunnen positief en negatief zijn.