VERDIEPINGSARTIKEL

Risicoanalyse, privacybescherming en informatiebeveiliging

De basis voor privacybescherming en informatiebeveiliging is het analyseren en beheersen van risico’s. Zonder risico’s zouden er geen maatregelen voor bescherming nodig zijn. Helaas is het maar al te waar dat zelfs zzp'ers grote risico’s lopen. Elke organisatie, groot of klein, moet weten welke risico’s er bestaan, hoe groot de risico’s zijn, en vervolgens de juiste stappen ondernemen om de risico’s zo goed mogelijk in de hand te houden. Dit artikel is een inleiding op het onderwerp, zodat u goed begrijpt wat nu eigenlijk een risico is.


13 augustus 2019 4 minuten Door redactie


Wat is een risico?

Het analyseren en behandelen van risico’s begint met het vaststellen wat nu eigenlijk een risico is. Dit document gaat uit van de gangbare definitie, dat een risico bestaat uit de kans dat een potentieel gevaar resulteert in een daadwerkelijk incident, en de ernst van de schade die dit tot gevolg kan hebben. Dit laatste wordt ook wel de ‘impact van een risico’ genoemd.

Meetbaar maken van een risico

Een cijfermatige uitdrukking van de hoogte van een risico zorgt er voor dat er gekeken kan worden of een risico groter of kleiner wordt, bijvoorbeeld na het nemen van een risico verlagende maatregel. Er is een eenvoudige manier om een risico cijfermatig uit te drukken:

  1. Maak een inschatting van de kans dat een risico zich zal voordoen. Geef een cijfer, bijvoorbeeld tussen de 1 en 5, aan de hoogte van de kans.
  2. Maak vervolgens een inschatting van de mogelijke impact van het risico. Geef ook hier een cijfer aan de hoogte van de impact, bijvoorbeeld weer op een schaal van 1 tot 5.
  3. Het risico kan vervolgens worden berekend met de formule:
    Risico = Kans x Impact

Opstellen van criteria

In de vorige paragraaf werd een methode beschreven om het risico meetbaar te maken. Hierbij werd gebruik gemaakt van het cijfermatig uitdrukken van de kans en impact. Het probleem (hoe druk ik een risico uit in een getal?) wordt daar in eerste instantie alleen maar mee verschoven. Want hoe drukt u nu een kans en een impact uit in een getal?

Hier is gelukkig een makkelijke oplossing voor. In de wereld van de risicoanalyse wordt dit het ‘vaststellen van criteria voor kans en impact’ genoemd. Met het vaststellen van deze criteria komt neer op het opschrijven van wat helemaal niet erg is, wat juist het ergste is, en wat er tussen in zit. Door vervolgens deze punten te nummeren, krijgt u een cijfermatige benadering van kans en impact. De meest eenvoudige (en waarschijnlijk onvoldoende bruikbare) vaststelling van criteria voor kans en impact staan in de volgende, nogal eenvoudige tabel:

Cijfermatige waarde Kans Impact
1 De kans dat het risico ooit een incident wordt is absoluut onmogelijk. Als dit risico werkelijk een incident wordt, merkt niemand er iets van, het heeft geen enkel gevolg.
2 Het zou wel eens kunnen gebeuren dat dit risico een incident wordt. Maar moeilijk te zeggen of dit morgen of pas over 100 jaar gebeurt. Als dit risico zich voordoet, dan is dat wel vervelend. We overleven het, maar het is niet leuk.
3 De kans dat dit risico een incident wordt, is absoluut zeker. Als dit risico een incident wordt, betekent dat het einde van de wereld, er kan niets ergers gebeuren.

 

Deze tabel is erg eenvoudig opgesteld. Maar als voorbeeld kan het wel een en ander verduidelijken. Bij het analyseren van een risico, bijvoorbeeld ‘het risico op een cyberinbraak op de server’, gaat u achtereenvolgens kijken welke uitspraken bij Kans en Impact het best past bij de situatie.

Gelet op de huidige mate van cybercriminaliteit kunt u waarschijnlijk niet beweren dat de kans absoluut onmogelijk is dat er een cyberinbraak plaats vindt. Misschien hebt u al enkele maatregelen genomen waardoor het wel moeilijker wordt om in te breken. In dat geval voelt u waarschijnlijk het meest voor de tweede uitspraak. Hebt u helemaal niets gedaan aan beveiliging, dan zou de derde uitspraak wel eens de beste kunnen zijn.

Door telkens de uitspraak te kiezen die het meest van toepassing is, en te kijken welke waarde daarbij hoort, bepaalt u de waarden voor kans en impact. En dan is de rekensom kans x impact opeens makkelijk te maken.

Beschikbaarheid, Integriteit en Vertrouwelijkheid

Binnen de informatiebeveiliging spelen drie factoren een rol:

  • Vertrouwelijkheid: toegang tot de persoonsgegevens is alleen mogelijk voor mensen die deze toegang nodig hebben voor hun werk.
  • Integriteit: persoonsgegevens moeten correct en actueel zijn, en ze mogen niet per ongeluk of onbevoegd worden gewijzigd.
  • Beschikbaarheid: persoonsgegevens moeten beschikbaar zijn wanneer dat nodig is. Het beschermen van persoonsgegevens betekent onder andere ook het zorgen van een goede bescherming tegen kwijtraken of wissen van de gegevens.

In de literatuur of informatiebeveiliging wordt vaak gesproken over de BIV-factoren. Bij het analyseren van risico’s op het gebied van informatiebeveiliging kijkt u naar deze BIV-factoren: welk effect heeft een risico op één of meer van deze factoren? Houdt deze factoren dus in het achterhoofd bij het bepalen van de waardes van de criteria.

De AVG heeft het ook over deze drie factoren in artikel 32, waar het gaat over de passende beveiliging van persoonsgegevens. Precies in dit ene artikel van de AVG wordt de kern van informatiebeveiliging benoemd. Een goede risico analyse is dus niet alleen een manier om praktisch uw persoonsgegevens te beveiligen, het is meteen de meest effectieve manier om aan een belangrijk onderdeel van de AVG te voldoen.

Plannen van de risicoanalyse

Risicobeheersing is een onderwerp dat telkens weer terug komt. U kunt uw risicoanalyses op meerdere momenten uitvoeren:

  1. Tijdens een jaarlijkse sessie met het managementteam – tijdens deze sessie analyseert u alle risico’s voor de organisatie. U kunt zich eventueel beperken tot die risico’s, die alleen te maken hebben met privacy en informatiebeveiliging, maar u kunt eventueel ook andere, meer bedrijfseconomische risico’s bekijken.
  2. Op het moment dat er binnen de organisatie een verandering plaats vindt, of een project wordt gestart – in deze situatie gaat u samen met enkele betrokken personen samen kijken, welke risico’s de verandering of het project met zich mee brengt.
  3. Op het moment dat een beveiligingsincident heeft plaats gevonden – in dit geval gaat u vooral kijken, welke risico’s er blijkbaar groter waren dan u dacht. Probeert u dan ook te achterhalen, wáárom u de het betreffende risico niet onder controle had, en bedenk methodes om dit in de toekomst te verbeteren.

Begin nu zelf met uw risicoanalyse. Gebruik hiervoor een van onze tools of een eigen document.