Informatiebeveiliging en privacy

Business Continuity Management (BCM) wordt steeds belangrijker, niet alleen door de eisen vanuit de NIS2-richtlijn, maar vooral door toenemende dreigingen en de groeiende verwevenheid en afhankelijkheid van systemen en leveranciers. De risico's waarmee organisaties worden geconfronteerd, worden complexer en breder. Niet alleen interne processen moeten beschermd worden: er zijn steeds meer externe afhankelijkheden die om beheersing vragen. 

De NIS2-richtlijn benadrukt de noodzaak om risico’s proactief te beheersen en legt een grotere verantwoordelijkheid bij de bestuurders van organisaties. Dit onderstreept dat bestuurders actief betrokken moeten zijn bij het identificeren en mitigeren van risico’s die de bedrijfsvoering kunnen verstoren. Bestuurders moeten inzicht hebben in de meest kritieke processen en systemen, evenals de impact van potentiële verstoringen. Een business continuity plan kan hierbij helpen, niet alleen als reactie op incidenten, maar ook als strategisch instrument om de kans en impact van risico's te minimaliseren. 

Het opzetten en implementeren van business continuity management gaat dus niet alleen over het herstellen van processen, maar om governance: het zorgt voor een organisatie die zich bewust is van haar kwetsbaarheden en in de keten, en die deze kwetsbaarheden actief beheerst. BCM moet verankerd zijn in de bestaande sturings- en risicomanagementprocessen. Hierdoor ontstaat een weerbare organisatie waar draagvlak is voor het nemen van maatregelen. Bovendien kan een weerbare organisatie accuraat reageren op grote tegenslagen, ook als zich een crisis voordoet. 

Hoe kunnen wij u helpen?

Wij helpen organisaties met: 

• het opzetten van een business continuity management strategie;
• het in kaart brengen van kwetsbaarheden in de organisatie en de leveranciersketen;
• workshops om het bewustzijn over bedrijfscontinuïteit en crisisbeheer te vergroten en te verbeteren; 
• crisisoefeningen, zowel als bewustwordingstool als om ontwikkelde crisisplannen in een realistische setting te testen.

Een goed uitgevoerde Data Protection Impact Assessment (DPIA) voldoet aan de eisen van de AVG, maar wij gaan verder dan dat. Wij vinden het in kaart brengen van risico's en de bewustwording daarvan het belangrijkste aspect van een DPIA. DPIA's maken je organisatie bewuster van privacyrisico's, waardoor je gericht maatregelen kunt nemen. Een goed uitgevoerde DPIA kan bovendien bijdragen aan draagvlak voor het nemen van maatregelen. 

DPIA-model om DPIA's praktisch uit te voeren

In de dagelijkse praktijk kampen veel organisaties met DPIA's: de middelen zijn beperkt en het aantal uit te voeren DPIA's is hoog. Bovendien verzanden DPIA's vaak in logge, bureaucratische processen die vooral papieren tijgers opleveren. Om organisaties zo goed mogelijk te helpen om DPIA's op praktische wijze uit te voeren, heeft M&I/Partners een eigen DPIA-model ontwikkeld. Dit model brengt structuur aan in de wettelijke vereisten vanuit de AVG en nodigt organisaties uit hier op een pragmatische en efficiënte wijze mee om te gaan. Het DPIA-materiaal, bestaande uit onder andere een pre-DPIA, vragenlijst, risicoanalyse en voorbeeldverslag, is gratis te downloaden op www.mxi.nl/dpia.

DPIA AI Generator

DPIA's zijn soms een tijdrovende klus: iedere keer opnieuw uitzoekwerk, wisselende kwaliteit en weinig hergebruik van bestaande kennis. Terwijl de druk op en overheid om zorgvuldig en compliant te werken toeneemt. Onze DPIA AI Generator helpt u om dit proces sneller, consistenter en met minder handmatig uitzoekwerk uit te voeren. De generator combineert onze DPIA-methodiek met AI-ondersteuning die automatisch relevante wettelijke kaders duidt, risico's signaleert en passende maatregelen voorstelt. U levert u procesbeschrijving en eerdere DPIA's aan en de generator doet het voorwerk. Zo bespaart u tijd en verhoogt u de kwaliteit van de DPIA met behoud van regie over de inhoud.

Meer informatie? Lees hier verder en vraag uw DPIA AI Generator aan

Hoe kunnen wij u helpen? 

We bieden de volgende ondersteuning aan op het gebied van DPIA's: 

• Ondersteuning door onze adviseurs in het uitvoeren van nieuwe of lopende DPIA's.
• Het in kaart brengen en prioriteren van openstaande DPIA's.
• Het inrichten van governanceprocessen rondom DPIA's.
• Training DPIA's met draagvlak.
• On the job-training van privacy officers voor het uitvoeren van DPIA's.
• Risicoworkshops voor organisatorische draagvlak rondom DPIA's.

Hoe volwassen is onze organisatie op het gebied van privacy en/of informatiebeveiliging? Welke knelpunten en risico's zijn er? En hoe kunnen we dit verder verbeteren? Veel organisaties zitten met deze vragen. Ze willen stappen zetten op het gebied van informatiebeveiliging en privacy, maar weten niet goed waar te beginnen. Met onze nulmetingen en gap-analyses brengen we inzicht in deze vragen.

Van vinklijst naar werkvloerresultaat

Gap-analyses zijn géén checklistoefeningen waarbij wordt 'afgestreept' hoe een organisatie zich verhoudt langs bestaande normen. We gebruiken normen (zoals NEN7510 en BIO2) en wetten (zoals AVG en NIS2) als richtlijn, maar richten ons specifiek op de impact van mens, proces en technologie in de organisatie. Bovendien nemen we de bredere context mee: we kijken naar toekomstige ontwikkelingen en dreigingen, zoals de snelle opkomst van AI, en anticiperen op nieuwe wet- en regelgeving. Alleen op deze manier heeft een gap-analyse toegevoegde waarde: de organisatie krijgt inzicht waar zij staat, welke risico's er zijn en welke stappen zij moet zetten. 

Het resultaat is een rapportage die in kaart brengt waar de organisatie nu staat, wat de gewenste situatie is, en een helder stappenplan om hoe zij deze gewenste situatie kunnen bereiken. Zo zorgen we ervoor dat onze nulmetingen toegevoegde waarde brengen bij de organisatie.

Hoe kunnen wij u helpen?

M&I/Partners helpt organisaties om grip te krijgen op hun volwassenheid in privacy en informatiebeveiliging. We voeren nulmetingen en gap-analyses uit die verder gaan dan het afvinken van normen. We brengen de impact van mens, proces en technologie in kaart, en koppelen deze aan actuele en toekomstige risico’s, zoals AI en nieuwe wetgeving (AVG, NIS2, BIO, NEN7510). 

Het resultaat is een heldere rapportage met: 

• inzicht in de huidige situatie; 
• een realistisch beeld van de gewenste volwassenheid; 
• en een concreet stappenplan om daar te komen. 

Verder bieden we:

• NIS2-training voor bestuurders in de zorg 
• ethische toetsing van algoritmes en AI, bijvoorbeeld via een IAMA of FRIA.

Veel zorg- en overheidsorganisaties zoeken extra slagkracht op het gebied van informatiebeveiliging en privacy, om hun ambities waar te maken en aan wettelijke vereisten te voldoen. Dat kan komen door uitval of vertrek van sleutelpersonen, moeizaam vervulbare vacatures of omdat er behoefte is om de ontwikkeling op dit thema juist nu aanzienlijk te versnellen.

Hoe kunnen wij u helpen?

M&I/Partners heeft interimervaring in de zorg en overheid, waardoor we direct inzetbaar zijn als uw organisatie een ondersteuningsbehoefte heeft. Zo zijn wij werkzaam als Functionaris Gegevensbescherming (FG), Chief Information Security Officer (CISO) en Privacy Officer (PO), variërend van een beperkt aantal uren per week tot fulltime ondersteuning.

We brengen niet alleen extra capaciteit, maar ook diepgaande inhoudelijke kennis én veranderkracht. We slaan de brug tussen beleid, uitvoering en techniek, en brengen structuur aan in complexe vraagstukken. We werken altijd met oog voor de context, organisatiecultuur en zorgen voor duurzame kennisoverdracht, zodat lang na ons vertrek het effect van onze inzet nog merkbaar is. 

Wij bieden interim ondersteuning als onder andere: 

• privacy officer;
• CISO;
• security officer;
• functionaris gegevensbescherming.