Versions Compared

Old Version 1

changes.mady.by.user Hijke Maes

Saved on

compared with

New Version Current

changes.mady.by.user Yentl Goossens

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Elementen van de risicoanalyse 

Analyse van de zakelijke omgeving

Een eerste analyse betreft het gebruik van informatie in de zakelijke omgeving. Deze analyse moet een antwoord bieden op volgende vragen:

  • Welke informatie wordt verwerkt?

  • Met welke doeleinden wordt deze informatie verwerkt?

  • Wanneer er sprake is van verwerking van persoonsgegevens moet tevens nagegaan worden welke de rechtsgrond van de verwerking is.

Validatie van reeds genomen maatregelen

Vervolgens moet bekeken worden of de risico’s voldoende zijn afgedekt aan de hand van de minimale maatregelen zoals gedefinieerd in het ICR:

  • Zijn alle minimale maatregelen van het model voorzien?

  • Volstaan deze maatregelen om de risico’s af te dekken?

De risicoanalyse uitvoeren

Zijn voorgaande elementen eenmaal uitgewerkt, dan is het tijd voor de risicoanalyse zelf: het in kaart brengen van de bedreigingen en kwetsbaarheden, bepaling van de waarschijnlijkheid en impact indien een bedreiging zich zou manifesteren. Belangrijk is dat hiervoor een risicoanalyse methodiek wordt gebruikt die voldoet aan een aantal criteria om aanvaardbare resultaten te kunnen  leveren die betrouwbaar en objectief zijn:

  • Methodisch onderbouwd: er dient een methode voor risicoanalyses gekozen te worden. Eens deze methode gekozen, moet deze consistent toegepast worden om herhaalbaarheid en vergelijking van resultaten te kunnen garanderen.

  • Gestructureerd: een goede risicoanalyse verloopt op een gestructureerde wijze waarbij steeds dezelfde stappen worden ondernomen.

  • Maatwerk: elke risicoanalyse vraagt een inschatting op basis van de specifieke context, tijd, scope en middelen. Zomaar kopiëren van eerder uitgevoerde risicoanalyses is uit den boze. 

  • Begrijpelijk en genuanceerd: de resultaten van de risicoanalyse moeten begrijpelijk geformuleerd worden voor het doelpubliek. Het management moet in staat zijn beslissingen te nemen op basis van de bevindingen en aanbevelingen. De risicoanalyse methodiek dient dan ook de nodige schalen te bevatten om tot een correcte en voldoende genuanceerde inschatting te komen. Hierbij dient rekening te worden gehouden met de impactschalen in het ICR.

  • Communicatie,  consultatie en formele aanvaarding door het management: de nodige medewerkers dienen betrokken te zijn bij de verschillende stappen van de risicoanalyse. Enkel de DPO of CISO betrekken bij de risicoanalyse is niet voldoende.

  • Objectiviteit: de methodiek moet een objectieve uitwerking van de risicoanalyse ondersteunen.

  • Uniformiteit en vergelijkbaarheid binnen de Vo: de methodiek moet toelaten om risicoanalyses tussen Vo entiteiten uit te wisselen en/of te vergelijken. Sommige bedreigingen zijn immers Vo-breed en dan kan het interessant zijn om risicoanalyses uit te wisselen.

Keuze van de risicoanalysemethode

Bij de keuze van de gepaste risicoanalysemethode, wordt rekening gehouden met volgende kenmerken:

...

De details van de risico methodiek worden uitgewerkt in op de pagina 1.34.1. Risicomethodiek

Om risicoanalyses uit te voeren wordt veelal gebruik gemaakt van risicoanalyse instrumenten. Rekening houdend met risicoanalysemethode zal de keuze voor de risicoanalyse instrumenten beïnvloed worden door volgende factoren:

...