Drie argumenten om vandaag nog met risicomanagement te beginnen


Ik hoor het nog steeds regelmatig: 'Een risico-inventarisatie? Waarom moet dat? We implementeren gewoon de vereiste maatregelen en dan zijn we klaar, toch?'. 

Als informatiemanager heb ik geleerd altijd te zoeken naar de vraag achter de vraag. Welk probleem ga ik nou voor je oplossen als ik dit voor je organiseer en is dat ook het probleem waar je mee zit? Als ik kijk naar Informatiebeveiliging & Privacy is een risico-inventarisatie het zoeken naar de echte problemen.

Drie argumenten om vandaag nog te beginnen

Ik geef drie belangrijke argumenten waarom je vandaag nog met risicomanagement moet beginnen. 

1. Risicomanagement brengt focus aan

Zonder focus is Informatiebeveiliging & Privacy een gigantisch onderwerp. Als we de normen en wetgeving bekijken zijn er heel veel maatregelen waar je als organisatie mee aan de slag kan. Alles in één keer implementeren en vervolgens beheren kan je hele organisatie platleggen. Door te inventariseren waar je grootste risico's zitten, kun je prioriteren en faseren. En dit is nodig, je beschikt namelijk niet over een oneindige capaciteit. Start met de grootste risico's en eventueel laaghangend fruit (bijvoorbeeld risico's waarvoor de maatregelen al zo goed als gereed zijn). Daarnaast kun je na een risico-inventarisatie en een goed gedefinieerde risk-appetite ook de keuze maken om op bepaalde risico's helemaal geen actie te ondernemen. 

2. Risicomanagement maakt Informatiebeveiliging & Privacy herkenbaar

Het insteken van Informatiebeveiliging & Privacy vanuit maatregelperspectief mist de aansluiting op (een groot deel van) de werkvloer. De werkvloer heeft nog geen gevoel welk probleem het op gaat lossen. Een risico-gebaseerde aanpak gaat juist uit van de dagelijkse praktijk en de realistische, concrete zorgen van de medewerkers. Door aan te sluiten op hun beleving wordt het een onderwerp waar medewerkers niet alleen iets mee moeten, maar waar ze vooral ook iets mee willen. Daarnaast zorgt betrokkenheid bij het risicomanagement vanuit de werkvloer op eenvoudige wijze voor verhoogde bewustwording op dit onderwerp. 

3. Risicomanagement houdt je scherp

De wereld verandert, de risico's waar je als organisatie mee te maken hebt/krijgt ook. Door structureel aandacht te hebben voor risicomanagement wordt en blijft duidelijk waarom je niet 'klaar' bent met Informatiebeveiliging & Privacy. Je hebt een managementsysteem nodig om mee te bewegen met de wereld en te zorgen dat de maatregelen die je treft aansluiten op de risico's die je wil mitigeren.

Het begint met een eerste stap

Tenslotte geef ik nog graag de tip mee om ook dit niet groter te maken dan past bij je organisatie.  Met een kleine inspanning kan je al heel veel inzicht verkrijgen. Zo helpen wij vanuit M&I/Partners regelmatig klanten met een eerste stap door een aantal workshops te organiseren. Hiermee brengen we in een aantal dagdelen snel de hoogste risico's in kaart en kan de organisatie zelf aan de slag om het vervolg in lijn met de uitkomsten op te pakken.

Heb je vragen over risicomanagement en Informatiebeveiliging & Privacy? Of ben je benieuwd hoe wij je kunnen helpen bij het zetten van de eerste stap? Neem dan vrijblijvend contact met mij op.



Terug naar het overzicht

Verplichte risico- en informatie-analyse: DPIA's

Ons DPIA-model brengt structuur in de wettelijke vereisten en nodigt uit om hier pragmatisch en effectief mee aan de slag te gaan.

Ontdek het model

Gerelateerde publicaties

Organisaties stelden jaren geleden als verplichting een privacybeleid op waar waarschijnlijk niemand meer naar kijkt. Je kan als organisatie meer halen uit dat beleid. Maar hoe maak je met het beleid meer impact in je organisatie?

Lees verder

Bijna een jaar AVG. Komende tijd nemen we je mee in de lessen die wij geleerd hebben in dat eerste half jaar. De eerste les gaat over de DPIA, Data Protection Impact Assessment. Oftewel de verplichte risico- en informatie-analyse. Ontdek de randvoorwaarden en tips bij het uitvoeren van een DPIA.

Lees verder