Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

Risico’s…?

DPIA voor leken: het valt allemaal wel mee - Eldermans|Geerts Het kenmerk van risico's is dat men vaak niet beseft (of zelfs: wil beseffen) dat men die loopt. Pas wanneer een schade is opgetreden, wordt men wakker! Dat is nu erg actueel voor de gemeente Hof van Twente en voor Randstad die onlangs zijn gehackt en waarvan de gegevens zijn verloren gegaan of zijn gegijzeld: “men besefte het risico niet”. Het woord “risico” wordt te pas en te onpas gebruikt. Behalve dat het begrip niet iedereen duidelijk is, is de wiskundige achtergrond, (het verband tussen de kans en de mate waarin schade optreedt) vaak al helemaal een black box.

Risico is de “kans op het optreden van een gebeurtenis die schade veroorzaakt”. En helaas… risico’s “verwezenlijken” zich. Meestal met een schade als gevolg.
We komen daarmee op een onvermijdbaar stukje theorie. De combinatie van risico en schade is formeel de “verwachting”; in formule E = R x S.
Zo is de kans dat een komeet inslaat klein maar wanneer het gebeurt, zal de schade wel groot zijn. De kans om iets te laten vallen is veel groter dan die van een inslag, maar de schade zal vast niet zo groot zijn als bij een komeet-inslag.

Er zijn dus in de formule twee bepalende factoren en dus twee manieren om zich te wapenen: verlaag het risico en/of verlaag de schade die bij het verwezenlijken daarvan optreedt. Vuistregel: pak de kleinste factor aan! Iedere variatie daarop geeft het meeste resultaat.

Het afdekken van risico’s kan door het nemen van maatregelen. Tegen kometen is niet veel te doen, maar het voorkomen dat iets kapot valt is vaak best mogelijk. Ook is het mogelijk om door middel van maatregelen de schade te beperken als het risico toch optreedt.
Voor risico’s waarop geen reële maatregelen zijn te treffen is verzekeren soms de enige optie. Dan is met name de schade die kan optreden de bepalende factor: “verzeker dat wat je je niet kunt veroorloven te verliezen”. Een hoge premie moet men dan maar voor lief nemen.

Ook in privacy zijn risico's, met name dat gegevens kwijtraken of voor een verkeerd doeleinde worden gebruikt. Dat hebben Randstad en Hof van Twente nu dus ervaren.
Had dat kunnen worden voorkomen? Het antwoord is: “nee!”. Geen enkel systeem is onkwetsbaar. Wel hadden maatregelen de kans op optreden kunnen voorkomen en wellicht ook de schade. En misschien had men die ook wel genomen, alhoewel er al signalen zijn dat dat niet zo was.

Hoe had men kunnen weten welke maatregelen hadden moeten zijn genomen?
Eenvoudig: door een risico-analyse! In de AVG spreekt men dan over een DPIA, maar het komt op hetzelfde neer; een methodiek om risico’s, schades, mogelijke maatregelen en hun effect te bepalen.

Dat lijkt ingewikkeld, zeker wanneer dat op een formele organisatie moet worden losgelaten. Maar bij het voorbereiden van een vakantie met de caravan naar Frankrijk doet men meestal zelf al automatisch zo’n analyse: “is de reserveband opgepompt? Weten ze thuis waar ik ben in geval van nood? Is de caravan juist beladen?”...
Maar waarom dan ook niet op de overige 200 dagen van het jaar op het werk?

Dus...

Een risico-analyse of een DPIA is niet moeilijk en zelfs een leuke exercitie. En het levert meer op dan u denkt!

Wilt u meer weten over DPIA’s, contacteer ons dan.

Afdrukken