Risicobeheer

Risicobeheer is een belangrijk instrument bij informatieveiligheid. In de AVG staat een risico-gebaseerde aanpak bij de verwerking van persoonsgegevens trouwens centraal.

Je moet in kaart krijgen welke de grootste risico's zijn binnen de werking van de onderwijsinstelling en hoe ze kunnen worden ingeperkt?

Er bestaan diverse types risico's:

  • Omgeving: stroomuitval, brand
  • IT-storingen: hardware-defect, software, netwerkonderbreking
  • Intern: medewerkers, foutieve handeling: (on)opzettelijk menselijke fouten
  • Extern: hacker, internetfaude...

Een risico wordt bepaald door een aantal factoren:

  • Welke zijn de bedreigingen? Welke kansen worden niet benut?
  • Wat is de kans dat de bedreiging zich voordoet?
  • Wat is de impact op de organisatie? Bv. onderbreking van de werking en dienstverlening, impact op de productiviteit, non-compliancy, reputatieverlies, juridische gevolgen, verlies van vertrouwelijke gegevens, financieel verlies …

Schade t.g.v. risico's situeren zich op verschillende terreinen:

  • Nadelige gevolgen voor de betrokkene:  bv. persoonsgegevens  van leerlingen op straat
  • Financiële schade: bv. t.g.v. claims
  • Reputatieschade: incidenten in de media
  • Inbreuken op wet- en regelgeving
  • Onderbreking van de werking: bv. door cyberaanvallen

Het proces bestaat uit:

  • Identificeren en analyseren van de risico's, aan de hand van vooropgestelde vragenlijst/lijst risico's. Welke zijn de  risico's?
  • Bepalen van de eigen maturiteit: in hoeverre is er bewustzijn rond bepaalde risico's en in hoeverre zijn er al acties ondernomen om dit te beheersen? Is dit nieuw voor ons of hebben we al een beperkte aanzet of werken wij hier al uitgebreid aan?
  • Prioriteren: in eerste instantie gaat de aandacht uit naar de grootste risico's = met meeste kans en grootste impact en laagste maturiteit
  • Bepalen van een aanpak voor de risico's
    • Aanvaarden
    • Vermijden
    • Verminderen = beheersmaatregelen ® Deze maatregelen kun je vervolgens samen met de wettelijke verplichtingen opnemen in het actieplan, nl. het veiligheidsplan
    • Overdragen