Het verlies van twee harde schijven van het Donorregister en een cyberaanval bij de Veiligheidsregio Noord- en Oost-Gelderland. Twee ICT-gerelateerde kwesties zich de afgelopen tijd bij de overheid hebben voorgedaan. Steeds vaker leiden deze problemen tot een crisis.
De overheid zit in een lastige positie. Aan de ene kant is zij steeds vaker een doelwit van kwaadwillende personen, wat het risico op een crisis groter maakt. Aan de andere kant ligt de overheid onder een vergrootglas van media en burgers, waardoor elke misstap breed uitgemeten wordt en grootschalige gevolgen kan hebben. Het is daarom van groot belang dat de overheid zich voorbereid op de mogelijkheid van een crisis en vooraf de ruimte creëert om plannen te maken. Ruimte die er niet is op het moment dat een noodsituatie zich voordoet.
De crisis afwachten is niet hetzelfde als achterover leunen. Inbrekers bestaan, maar dat betekent niet dat we ’s nachts de deuren open laten staan of de kluiscode op een briefje schrijven voor de crimineel. Afhankelijk van hoe hoog we het risico op inbraak inschatten, nemen we maatregelen: de deur op slot doen, een inbraakalarm nemen of een ondergrondse kluis installeren.
Voor organisaties is dat niet anders. Zij kunnen een risicoanalyse uitvoeren. Op die manier brengt de organisatie de meest urgente risico’s in kaart en hoe zij deze kan verminderen. Of wat er kan gebeuren als men besluit deze risico's te accepteren.
Geen enkele organisatie zal ooit volledige bescherming kunnen bereiken. Een ondergrondse kluis houdt de gelegenheidsdief tegen, maar een doorgewinterde inbreker durft die uitdaging wel aan. Daarom is het belangrijk om voorbereid te zijn op de dreiging waarvan je weet dat je het niet kunt uitsluiten.
Het opstellen van een crisisprotocol kan hierbij helpen. Dit is een stappenplan met daarin de belangrijkste rollen en acties gedurende een crisis. Het doel is expliciet niet om elk mogelijk scenario uit te schrijven. In plaats daarvan bepaal je de belangrijkste rollen en acties die in elke crisis plaats vinden, zodat er een plan klaarligt, om in het heetst van de strijd hierop terug te kunnen vallen.
Stel het protocol niet alleen op, maar oefen het ook, met de personen die gedurende een crisis een belangrijke rol zullen spelen. Zo ontdek je waar de knelpunten zitten.
Het onvermijdelijke is gebeurd, maar… het protocol heeft zijn werk gedaan, het stof is neergedaald en het ergste gevaar is afgewend. Het is verleidelijk om weer over te gaan naar de orde van de dag en de vervelende gebeurtenissen zo snel mogelijk achter je te laten. Dat is zonde, want daarmee verliest een crisis zijn waarde. Neem de tijd om te analyseren wat er is gebeurd, waarom dit is gebeurd, hoe de zaak is afgehandeld en wat er in de toekomst beter kan. Zo ben je de inbreker de volgende keer voor.
Wil je aan de slag met een risicoanalyse of het opzetten en uitvoeren van een crisisprotocol? Of heb je net een crisis achter de rug en wil je weten welke lessons learned je hier uit kan halen? Neem contact op voor meer informatie.
Ontdek de 80-20 regel waarmee je een selectie maakt van DPIA's die de hoogste risico's hebben en de belangrijkste maatregelen identificeren.
Lees verderM&I/Partners ondersteunt diverse zorginstellingen en overheidsorganisaties met de implementatie van de nieuwe privacywet. De AVG is per 25 mei van kracht gegaan. Een goed moment om onze ervaringen te delen én vooruit te kijken. Wij geven u enkele tips voor een betrouwbare digitale overheid met behulp van de AVG.
Lees verder
