Het is een patroon dat ik regelmatig zie: een organisatie wil of moet "(beter/harder/sneller) aan de slag met informatiebeveiliging en/of privacy”, en het uitvoeren van analyses is daar altijd onderdeel van. Logisch. Een Business Impact Assessment hier, een Data Protection Impact Assessment daar, een dataclassificatie én BIV-classificatie voor de volledigheid en een complete, diepgaande risicoanalyse als je geluk hebt. Serieuze inspanningen, kleurrijke matrices en zorgvuldig ingevulde documenten. En dan? Dan worden ze opgeslagen in een map op SharePoint tot de eerstvolgende actualisatie. Stop er maar mee, zeg ik.

De analyse als eindbestemming

Hoe een middel een doel werd

Analyses zijn bedoeld als hulpmiddel om tot beslissingen te komen. Een DPIA bestaat om privacyrisico's (tijdig) te signaleren én te mitigeren. Een BIA bestaat om inzicht te geven in wat er op het spel staat als een proces uitvalt — zodat je daar de juiste maatregelen op kunt treffen (en je BCP kan schrijven). Een dataclassificatie of BIV-classificatie bestaat om het vereiste beveiligingsniveau van informatie in of buiten processen en systemen vast te stellen. En een risicoanalyse bestaat om risico's allereerst in beeld te hebben en vervolgens bewust te aanvaarden óf te mitigeren - niet om ze netjes te documenteren en vervolgens feitelijk te negeren tot ‘de volgende ronde’.

Het doel van al die analyses is dus altijd hetzelfde: bepalen welke maatregelen nodig zijn om beveiliging op het vereiste niveau te brengen, of om privacy afdoende te beschermen. Of - en dat mag ook - om bewust en weloverwogen te besluiten dat bepaalde risico's acceptabel zijn zónder (aanvullende) maatregelen. Maar dan moet dat besluit wel expliciet worden genomen. Door iemand met mandaat.