Risk Management

Wij kunnen een aantal verschillende analyses uitvoeren in het kader van risico beheersing. U krijgt hierbij inzage in de meest kritieke factoren en kunt actie ondernemen om eventuele schade voor uw organisatie in de toekomst hiermee te beperken.

Een Privacy Impact Assessment (PIA) is een belangrijk onderdeel voor bedrijven waar veel (gevoelige) data van individuelen wordt verzameld. Denk hierbij bijvoorbeeld aan zorginstellingen. Het betreft geen quick scan, maar beoordelingen van specifieke verwerkingen. Er zijn een aantal factoren welke een verhoogd risico met zich mee kunnen brengen en waardoor het aan te raden is een PIA uit te voeren. Hierbij speelt de omvang, het doel van de verwerking en de context een belangrijke rol.

Een PIA is verplicht wanneer

  1. De verwerking is gebaseerd op geautomatiseerde verwerking, waaronder profiling.
  2. Er sprake is van grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens.
  3. Bij stelselmatig en grootschalig monitoring van openbaar toegankelijke ruimten.

Door het uitvoeren van een PIA krijgt uw organisatie grip op een drietal zaken:

  1. Voldoet u aan de regelgeving zoals omschreven in de AVG/ NEN Certificeringen.
  2. U weet op welke punten u kwetsbaar bent als het gaat om privacy
  3. De juiste acties kunnen genomen om privacy risico’s in de toekomst de voorkomen

Een PIA legt dus in eerste instantie de privacy risico’s bloot. Dit is niet alleen gericht op bestaande verwerkingen van persoonsgegevens, maar ook op nieuwe projecten en initiatieven binnen uw organisatie. Het uitvoeren van een PIA draagt bij aan het verminderen/ vermijden van privacy risico’s.

Met de komst van de GDPR/AVG op 25 mei 2018 kunnen organisaties verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Daardoor kunnen vervolgens maatregelen worden genomen om de risico’s te verkleinen. Overigens is een DPIA alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

  • Op grote schaal bijzondere persoonsgegevens verwerkt.
  • Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

U staat er misschien niet altijd bij stil, maar het uitvallen van bepaalde processen kan behoorlijk wat schade met zich mee brengen voor uw onderneming of uw klanten.

Wat kunnen wij voor u doen?
Wij kunnen voor u een Business Impact Analyse (BIA) uitvoeren. Hiermee brengen we eerst de kritieke bedrijfsprocessen in beeld. Hierdoor krijgt u een overzicht van de kritieke en de niet kritieke bedrijfsprocessen.

We kijken naar de waarschijnlijke impact bij het uitvallen van een proces en de snelheid waarbij schade ontstaat. Belangrijk is om inzage te krijgen in hoe snel de schade niet meer acceptabel is. Denk hierbij aan verschillende soorten schade zoals; reputatieschade, financiële schade, juridische vervolging, maar ook de effecten voor personeel of andere belanghebbende.

Berekenen RTO & RPO
Samen met de verantwoordelijke binnen uw organisatie berekenen we de RTO (Recovery Time Objective). RTO is niets meer dan het aantal uren na het incident waarna het proces weer opgestart moet zijn, om zo de impact van het uitvallen zo klein mogelijk te houden. Ook berekenen we de RPO (Recovery Point Objective). RPO is het berekenen van het punt in uren waar men minimaal de gegevens (data) wil herstellen. Dit is dus de acceptabele hoeveelheid aan dataverlies uitgedrukt in tijd.

Wanneer u deze zaken in beeld heeft kunt u de juiste acties uitvoeren om schade in de toekomst te verkleinen/ voorkomen. Wel zo prettig als het om kritische processen gaat.

Een Business Impact Analyse is onderdeel van de ISO27001 en vorm een eerste stap naar een Business Continuity Plan (BCI).

WILT U MEER INFORMATIE OVER RISK MANAGEMENT?

Neem contact op