Help!?! Welke risicoanalyse moet ik uitvoeren?

Risicoanalyses worden over het algemeen opgedeeld in twee types:

• Integrale risicoanalyse (IRA): waarbij de gehele informatievoorziening van een organisatie wordt bekeken; en
• Object gerelateerde risicoanalyse (ORA): waarbij naar één specifiek object wordt gekeken.

Bij IRA’s dient u te denken aan risicoanalyses die zijn gericht op het in kaart brengen van kritieke bedrijfsprocessen en systemen, de belangrijkste bedreigingen waaraan uw organisatie wordt blootgesteld, de kwetsbaarheden van uw organisatie en de bestaande beheersmaatregelen. Het is hiertoe van belang dat u een overzicht heeft van de faciliteiten, systemen, apparatuur, netwerken, processen en data die binnen uw organisatie worden gebruikt. Daarnaast dient u zicht te hebben op algemene (security) ontwikkelingen waarover bijvoorbeeld informatie vanuit het NCSC, het DTC, branche specifieke organisaties (zoals Z-CERT voor de zorg), leveranciers, het nieuws en in netwerken wordt gedeeld.

ORA’s zijn er in verschillende varianten. Deze kunnen technisch van aard zijn (zoals een penetratietest op een systeem) of meer organisatiegericht. Op ORA-gebied zijn volop ontwikkelingen gaande. Zo zal bijvoorbeeld na de inwerkingtreding van de AI Act het uitvoeren van een Fundamental Rights Impact Assessment (FRIA) verplicht zijn om de risico’s van de inzet van AI in kaart te brengen.

Op dit moment, worden in de praktijk de volgende ORA’s het meest gebruikt:

• Business Impact Analyse (BIA): Een BIA wordt uitgevoerd voor systemen die in belangrijke mate bijdragen aan bedrijfsprocessen. Tijdens het uitvoeren van een BIA wordt gekeken naar de eisen die aan een systeem moeten worden gesteld qua beschikbaarheid, integriteit en vertrouwelijkheid en wat de impact is voor de bedrijfsvoering als hieraan niet wordt voldaan. Kort gezegd, hoe belangrijker het systeem voor het dagelijks functioneren van de organisatie hoe zwaarder de eisen zullen zijn die hieraan worden gesteld. Er zijn verschillende BIA-modellen in omloop. U kunt zelf kiezen welk model het beste bij uw organisatie aansluit.
• Data Protection Impact Assessment (DPIA): Het uitvoeren van een DPIA is verplicht als een bepaald gebruik van persoonsgegevens een hoog privacy risico teweegbrengt. In welke situaties hier i.i.g. sprake van is, is vastgesteld door de Autoriteit Persoonsgegevens (AP) en de Europese privacy toezichthouders. Een DPIA-model moet aan de wettelijke eisen voldoen die nader zijn uitgewerkt in de DPIA Guidelines. Binnen dat kader, kunt u zelf voor een bepaald model kiezen. Interessant is, dat recent door de AP een boete van EUR 150.000 is opgelegd voor het ontbreken van een DPIA.
• Data Transfer Impact Assessment (DTIA): Het uitvoeren van een DTIA is verplicht bij het internationaal doorgeven van persoonsgegevens op basis van i.i.g. de Standard Contractual Clauses. Zolang een DTIA aan de 5 vereisten van Recommendations 01/2020 voldoet, mag u zelf kiezen welk model u hiervoor gebruikt.

Veelal maken organisaties ook gebruik van verkorte risicoanalyses. Deze worden een pré-scan, checklist of quickscan genoemd. De verkorte risicoanalyses worden gebruikt om in kaart te brengen of sprake is van een hoog risico, wat de belangrijkste aspecten zijn en of het uitvoeren van een volledige risicoanalyse noodzakelijk is. Hopelijk heeft deze blog u een beter beeld gegeven van de risicoanalyses die voor uw organisatie van belang kunnen zijn.

Als u vragen heeft over het uitvoeren van een risicoanalyse, neem dan contact op met Michelle Wijnant, advocaat IT, Privacy & Cybersecurity