Informatiebeveiliging en privacy

Business Continuity Management (BCM) wordt steeds belangrijker, niet alleen door de eisen vanuit de NIS2-richtlijn, maar vooral door toenemende dreigingen en de groeiende verwevenheid en afhankelijkheid van systemen en leveranciers. De risico's waarmee organisaties worden geconfronteerd, worden complexer en breder. Niet alleen interne processen moeten beschermd worden: er zijn steeds meer externe afhankelijkheden die om beheersing vragen. 

De NIS2-richtlijn benadrukt de noodzaak om risico’s proactief te beheersen en legt een grotere verantwoordelijkheid bij de bestuurders van organisaties. Dit onderstreept dat bestuurders actief betrokken moeten zijn bij het identificeren en mitigeren van risico’s die de bedrijfsvoering kunnen verstoren. Bestuurders moeten inzicht hebben in de meest kritieke processen en systemen, evenals de impact van potentiële verstoringen. Een business continuity plan kan hierbij helpen, niet alleen als reactie op incidenten, maar ook als strategisch instrument om de kans en impact van risico's te minimaliseren. 

Het opzetten en implementeren van business continuity management gaat dus niet alleen over het herstellen van processen, maar om governance: het creëert een organisatie die zich bewust is van haar kwetsbaarheden en in de keten, en die deze kwetsbaarheden actief beheerst. BCM dient verankerd te zijn in de bestaande sturings- en risicomanagementprocessen. Hierdoor ontstaat een weerbare organisatie waar draagvlak is voor het nemen van maatregelen. Bovendien kan een weerbare organisatie accuraat reageren op grote tegenslagen, ook als zich een crisis voordoet. 

Hoe kunnen wij u helpen?

Wij helpen organisaties met: 

• Het opzetten van een business continuity management strategie 
• Het in kaart brengen van kwetsbaarheden in de organisatie en de leveranciersketen 
• Workshops om het bewustzijn over bedrijfscontinuïteit en crisisbeheer te vergroten én te verbeteren 
• Crisisoefeningen, zowel als bewustwordingstool als om ontwikkelde crisisplannen in een realistische setting te testen 

Een goed uitgevoerde DPIA voldoet aan de eisen van de AVG, maar wij gaan verder dan dat. Wij vinden het in kaart brengen van risico's en de bewustwording daarvan het belangrijkste aspect van een DPIA. DPIA's maken je organisatie bewuster van privacyrisico's, waardoor je gericht maatregelen kunt nemen. Een goed uitgevoerde DPIA kan bovendien bijdragen aan draagvlak voor het nemen van maatregelen. 

In de dagelijkse praktijk worstelen veel organisaties met DPIA's: de middelen zijn beperkt en het aantal uit te voeren DPIA's is hoog. Bovendien verzanden DPIA's vaak in logge, bureaucratische processen die vooral papieren tijgers opleveren. 
Om organisaties zo goed mogelijk te helpen om DPIA's op praktische wijze uit te voeren, heeft M&I/Partners een eigen DPIA-model ontwikkeld. Dit model brengt structuur aan in de wettelijke vereisten vanuit de AVG en nodigt organisaties uit hier op een pragmatische en efficiënte wijze mee om te gaan. Het DPIA-materiaal, bestaande uit onder andere een pre-DPIA, vragenlijst, risicoanalyse en voorbeeldverslag, is gratis te downloaden op www.mxi.nl/dpia.

Hoe kunnen wij u helpen? 

We bieden de volgende ondersteuning aan op het gebied van DPIA's: 

• Ondersteuning door onze adviseurs in het uitvoeren van nieuwe of lopende DPIA's 
• Het in kaart brengen en prioriteren van openstaande DPIA's 
• Het inrichten van governanceprocessen rondom DPIA's 
• Training DPIA's met draagvlak 
• On the job-training van privacy officers voor het uitvoeren van DPIA's 

Hoe volwassen is onze organisatie op het gebied van privacy en/of informatiebeveiliging? Welke knelpunten en risico's zijn er? En hoe kunnen we dit verder verbeteren? Veel organisaties worstelen met deze vragen. Ze willen stappen zetten op het gebied van informatiebeveiliging en privacy, maar weten niet goed waar te beginnen. Met onze nulmetingen en gap-analyses brengen we inzicht in deze vragen.

Gap-analyses zijn géén checklistoefeningen waarbij wordt 'afgestreept' hoe een organisatie zich verhoudt langs bestaande normen. We gebruiken normen (zoals NEN7510 en BIO2) en wetten (zoals AVG en NIS2) als richtlijn, maar richten ons specifiek op de impact van mens, proces en technologie in de organisatie. Bovendien nemen we de bredere context mee: we kijken naar toekomstige ontwikkelingen en dreigingen, zoals de snelle opkomst van AI, en anticiperen op nieuwe wet- en regelgeving. Alleen op deze manier heeft een gap-analyse toegevoegde waarde: de organisatie krijgt inzicht waar zij staat, welke risico's er zijn en welke stappen zij moet zetten. 

Het resultaat is een rapportage die in kaart brengt waar de organisatie nu staat, wat de gewenste situatie is, en een helder stappenplan om hoe zij deze gewenste situatie kunnen bereiken. Zo zorgen we ervoor dat onze nulmetingen toegevoegde waarde brengen bij de organisatie.

Hoe kunnen wij u helpen?

M&I/Partners helpt organisaties om grip te krijgen op hun volwassenheid in privacy en informatiebeveiliging. Onze adviseurs voeren nulmetingen en gap-analyses uit die verder gaan dan het afvinken van normen. We brengen de impact van mens, proces en technologie in kaart, en koppelen deze aan actuele en toekomstige risico’s, zoals AI en nieuwe wetgeving (AVG, NIS2, BIO, NEN7510). 

Het resultaat is een heldere rapportage met: 

• inzicht in de huidige situatie; 
• een realistisch beeld van de gewenste volwassenheid; 
• en een concreet stappenplan om daar te komen. 

Zo krijgt uw organisatie niet alleen overzicht, maar ook richting — en kunt u onderbouwd keuzes maken voor verbetering. 

Veel organisaties in de zorg en overheid hebben behoefte aan extra ondersteuning op het gebied van informatiebeveiliging en privacy om hun ambities te realiseren en te voldoen aan wettelijke vereisten. Dit kan bijvoorbeeld komen door uitval of vertrek van personeel, het niet kunnen invullen van openstaande vacatures, of doordat er behoefte is aan het versneld nemen van stappen op het gebied van privacy en informatiebeveiliging.

Hoe kunnen wij u helpen?

Onze adviseurs hebben interimervaring in de zorg en overheid, waardoor we direct inzetbaar zijn als uw organiastie een ondersteuningsbehoefte heeft. Zo zijn wij werkzaam als Functionaris Gegevensbescherming (FG), Chief Information Security Officer (CISO) en Privacy Officer (PO), variërend van een beperkt aantal uren per week tot fulltime ondersteuning.

We brengen niet alleen extra capaciteit, maar ook diepgaande inhoudelijke kennis én veranderkracht. We slaan de brug tussen beleid, uitvoering en techniek, en brengen structuur aan in complexe vraagstukken. We werken altijd met oog voor de context, organisatiecultuur en zorgen voor duurzame kennisoverdracht, zodat lang na ons vertrek het effect van onze inzet nog merkbaar is. 

Wij bieden interim ondersteuning als onder andere: 

• privacy officer 
• CISO 
• security officer 
• functionaris gegevensbescherming