richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Vault restructure

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-23 11:51:51 +02:00
parent d45797d121
commit ff77508bd1
1433 changed files with 415450 additions and 1201 deletions
Download patch file Download diff file Expand all files Collapse all files

14
Canvas Method/Blogpost - NIS 2 en de Canvas Methode.md Normal file
View file

@ -0,0 +1,14 @@
# Is jouw organisatie klaar voor NIS-2? Een slimmere manier van risicomanagement
Concept, 22 september 2025
Op 16 januari 2023 is de NIS 2, de Europese richtlijn voor de veiligheid van netwerken en informatie, in werking getreden. Het voorstel voor de Nederlandse omzettingswet (de Cyberbeveiligingswet, Cbw) is in juni 2025 ingediend bij de Tweede Kamer, met de bedoeling deze in het tweede kwartaal van 2026 in werking te laten treden.
De Cbw bevat een lijst met verplichte technische, personele en beleidsmatige maatregelen, waarvan de allereerste is: *beleid inzake risicoanalyse en beveiliging van informatiesystemen*. De Cbw verwacht daarbij "een benadering die alle gevaren omvat" (Art. 21.3), met beveiligingsmaatregelen die zijn "afgestemd op de risico's".
Hiermee wordt de kern van de NIS 2 benadrukt, namelijk dat de organisatie een 'robuust' proces voor risicomanagement inricht, waarin de cyclus van risico-identificatie, -analyse, treffen van maatregelen, beoordeling van de effectiviteit, en het aanbrengen van verbetering periodiek doorlopen wordt (een PDCA-cyclus).
De Canvas Methode biedt een laagdrempelige en aantrekkelijke aanpak om risico's in kaart te brengen, te prioriseren, maatregelen vast te stellen en de effectiviteit daarvan te beoordelen. De Canvas Methode gebruikt daarbij een workshop benadering, waardoor een dialoog ontstaat over risico's en maatregelen, waarbij medewerkers uit verschillende organisatieonderdelen betrokken worden. Dat zorgt er voor dat niet alleen de 'bekende risico's' besproken worden (phishing, ransomware, hacking, etc.) maar ook de risico's die aanwezig zijn in de bedrijfsprocessen en de informatieverwerkende ketens.
Zo wordt ook bijgedragen aan een cultuur van risicobewustzijn en veiligheid.
TrustBound heeft deze Canvas Methode geïntegreerd in de XYZ-module, waardoor de workshops nu ook digitaal gegeven kunnen worden, waarbij de risico's, maatregelen en effectiviteitsbepaling ook meteen doorvloeien naar ABC.

1
Canvas Method/Canvas Method Index.md Normal file
View file

@ -0,0 +1 @@
[Blogpost - NIS 2 en de Canvas Methode](Blogpost%20-%20NIS%202%20en%20de%20Canvas%20Methode.md)

109
Canvas Method/Polls voor Marketing Canvas Methode.md Normal file
View file

@ -0,0 +1,109 @@
# Polls voor Marketing Canvas Methode
## Suggesties Suzanne Snoeijink, Trustbound, 22 september 2025
**Awareness-fase: maak doelgroep bewust van blinde vlek:**
“Wat is volgens jou de grootste blinde vlek in risico-analyses?”
- [ ] Menselijk handelen
- [ ] IT-risicos
- [ ] Procesfouten
- [ ] Iets anders
**Waar zit precies het probleem:**
“Wat is voor jou de grootste uitdaging bij het uitvoeren van een risico-analyse?”
- [ ] Risicos concreet maken
- [ ] De juiste mensen betrekken
- [ ] Maatregelen kiezen
- [ ] Resultaten opvolgen
--> Hopelijk levert dit wat comments op.
**Wat is de gewenste oplossing:**
“Wat zou jou het meest helpen bij risico-analyses?”
- [ ] Workshop met team
- [ ] Praktische tool
- [ ] Checklist/stappenplan
- [ ] Anders
--> Kan jij kijken of de antwoorden in deze laatste poll beter kunnen?
## Suggesties Gemini
Om inzicht te krijgen in de grootste uitdagingen van professionals die werken met risicoanalyses binnen frameworks als NIS 2 en ISO 27001, zijn hier enkele meerkeuzevragen. Elke vraag richt zich op een specifiek pijnpunt, en één van de antwoorden verwijst naar een oplossing die past bij de **Canvas Methode voor Risicomanagement**.
**Vraag 1: Over de betrokkenheid van collega's**
Welke van de volgende uitdagingen ervaart u het meest met betrekking tot de betrokkenheid van collegas bij risicoanalyses?
A. Het is moeilijk om input te krijgen van andere afdelingen; risicoanalyse wordt vaak gezien als een taak van de compliance- of IT-afdeling.
B. Er is een gebrek aan eigenaarschap en opvolging van de risico's die zijn geïdentificeerd.
C. De focus ligt op het afvinken van de checklist, in plaats van op een betekenisvolle discussie.
D. Het is een uitdaging om van een statische analyse over te stappen naar een gedeelde dialoog waar iedereen bij betrokken is.
**Vraag 2: Over de complexiteit en het nut van risicoanalyses**
Wat is uw grootste zorg over de toegevoegde waarde van risicoanalyses binnen de organisatie?
A. Het management ziet de analyse als een verplicht nummer en heeft weinig interesse in de resultaten.
B. De resultaten worden niet of nauwelijks gebruikt om strategische beslissingen te ondersteunen.
C. De analyse is een tijdrovend proces met veel administratieve overhead en spreadsheets.
D. De analyse staat los van de bredere bedrijfsdoelstellingen en draagt niet zichtbaar bij aan het beschermen van bedrijfswaarde.
**Vraag 3: Over de communicatie en visualisatie van risico's**
Welk aspect van de communicatie van risico's naar stakeholders (management, directie) vindt u het meest problematisch?
A. Het is lastig om de complexiteit van risico's uit te leggen in begrijpelijke, niet-technische taal.
B. De rapporten en presentaties zorgen voor "glazige ogen" en verliezen snel de aandacht.
C. Er is geen eenduidige manier om de status van risico's en de effectiviteit van maatregelen te visualiseren.
D. Ik heb behoefte aan een visueel, interactief instrument dat de risicoanalyse omzet in een heldere, strategische dialoog.
**Vraag 4: Over de methodologie en aanpak**
Welke van de volgende methodologische problemen ervaart u het meest?
A. De kwantificering van risico's (kans versus impact) voelt vaak willekeurig en subjectief aan.
B. Er is geen duidelijke, systematische aanpak om te zorgen dat alle relevante risicos worden geïdentificeerd.
C. De risicoanalyse wordt gezien als een eenmalige gebeurtenis in plaats van een continu proces.
D. Ik zou graag willen werken met een methode die risico's direct koppelt aan de strategische doelen en activiteiten van de organisatie.
## Mijn suggesties
**Welke problemen herken je bij het identificeren van risicos?**
- afdelingen zien het als een verplichte oefening
- Er is te weinig bewustzijn van risicos
- Het blijft hangen in clichés als klikken op verkeerde links en briefjes met wachtwoorden
- Het wordt gezien als eenmalige gebeurtenis, niet als proces
- Het ontbreekt aan een systematische aanpak
**Wat zijn de grootste manco's van risicomanagement binnen uw organisatie?**
- Weinig aandacht voor de resultaten
- Te weinig sturing op de opvolging van de uitkomsten
- Te weinig terugkoppeling over de effectiviteit van maatregelen
- Er wordt geen capaciteit voor vrijgemaakt
- De meerwaarde is niet duidelijk voor management en werkvloer
- Risicos worden over de schutting gegooid, het is een probleem voor de compliance- of IT-afdeling.
**Welke problemen ervaar je met het overbrengen van de resultaten?**
- De risicoscores voelen willekeurig en subjectief aan
- Een lijst met risicos en getallen geeft geen gedragsverandering
- Het is lastig risicos te koppelen aan organisatiedoelen
- Afdelingen nemen geen verantwoordelijkheid over de maatregelen

73
Canvas Method/RM WP Betrekken lijn.md Normal file
View file

@ -0,0 +1,73 @@
# Hoe betrek je de Lijn bij Risicomanagement
*Doelgroep: middle management, m.n. IT en Compliance*
Organisaties worstelen met eigenaarschap van informatieveiligheid. Vaak blijft het een zorg voor de bestuurder en de verantwoordelijkheid van de IT manager. - hoe vaak is informatievei onderwerp van gesprek en beoordeling bij andere managers dan IT?
Wetgeving en normenkaders als de NIS 2, de Cyberbeveiligingswet, de ISO 27001/NEN 7510, de IBP-FO, de NIS 2 en de AVG: Het managen van deze risico's is uiteindelijk een verantwoordelijkheid van de bestuurder.
Een van de meest bekende is het periodiek laten uitvoeren van een 'Pen-test', of penetratietest, door een gespecialiseerd bureau. Met technische middelen wordt getracht kwetsbaarheden te vinden in de technische infrastructuur van de organisatie. Het resultaat is een rapportage waarin de gevonden (technische) kwetsbaarheden benoemd worden, met een prioriteitsindicatie en een aanbeveling voor het verhelpen van de kwetsbaarheid in kwestie.
We kunnen ook audits laten uitvoeren op de organisatie van de IT functie. We kunnen daartoe interne auditors trainen, of externe auditors inhuren, en die laten onderzoeken in hoeverre er adequaat beleid voorhanden is, en of de dagelijkse praktijk strookt met het beleid. Dat gebeurt meestal door het onderzoeken van documentatie en het houden van interviews met bij de beleidsvorming en uitvoering betrokken medewerkers. Aan het eind is er een rapport waarin lacunes in beleid behandeld worden, en gevallen waarin de uitvoering van het werk niet overeenkomt met wat in het beleid beschreven is, en situaties waarin de controle op navolging van het beleid tekortschiet.
Een ander middel is de inzet van zogenaamde mystery guests: personen die zich voordoen als een ander, meestal een medewerker, klant of leverancier, en zo proberen informatie los te krijgen, of toegang te krijgen tot fysieke locaties, om op deze manier zwakke plekken in de beveiliging te vinden. Ook hier volgt een rapportage met tekortkomingen en aanbevelingen.
Al deze instrumenten hebben één ding gemeen: ze zetten de organisatie, en haar medewerkers, in een passieve rol. Er komt een deskundige, met meer verstand van zaken dan wijzelf, de boel eens goed doorlichten. We onderwerpen ons daaraan, geven de gevraagde toegang, antwoorden als we gevraagd worden. Misschien zijn we een beetje zenuwachtig, de deskundige gaat tenslotte oordelen over onze prestaties, misschien halen we de scherpe randjes er een beetje af voor we antwoorden. Dan trekt de deskundige zich terug, en komt na enige tijd met zijn/haar conclusies. We voeren verbeteringen door en halen opgelucht adem: dat was 't dan weer, terug aan het werk, blij dat het ons vak niet is.
Risico's voor informatieveiligheid vormen een zorgpunt voor het bestuur van de organisatie
Voor de bestuurder van een organisatie zijn risico's . Niet voor niets is risicomanagement het kernproces van frameworks en normenkaders als de ISO 27001/NEN 7510, de IBP-FO, de NIS 2 en de AVG. Het procesmatig beheersen van risico's betekent dat je risico's identificeert, passende maatregelen implementeert, de effectiviteit daarvan bewaakt, en indien nodig verbeteringen aanbrengt: de bekende PDCA cyclus. In alle fasen is het belangrijk om grondig te werk te gaan, en dat geldt zeker voor de eerste fase: het identificeren van risico's. De grootste verrassingen in negatieve zin komen voort uit onbekende of onbelichte risico's.
Er zijn drie manieren waarop we ervoor kunnen zorgen dat ook de onbelichte risico's de juiste aandacht krijgen, die in gezamenlijkheid zorgen voor een Cultuur van Informatieveiligheid: (1) bevorder het bespreken en melden van risico's, (2) bevorder eigenaarschap van risico's en risicomanagement, en (3) zorg voor cyclisch risicomanagement, dan in de organisatie geborgd is.
## Bevorder bespreken en melden van risico's
Het is belangrijk dat medewerkers weten dat het melden van risico's gewaardeerd wordt, en dat ze ook duidelijk terugkoppeling krijgen over wat er aan het risico gedaan wordt. Dat laatste liefst specifiek: een algemene dooddoener als 'bedankt voor het melden, we gaan er mee aan de slag' is onvoldoende. Maak duidelijk hoe het risico verder bekeken gaat worden, en op een later moment wat de eventuele maatregel wordt, en waarom daarvoor gekozen is. Het is ook belangrijk dat de medewerker hierin betrokken wordt; dit komt verder aan de orde onder Eigenaarschap.
We kunnen hiervoor dingen gebruiken
Om te zorgen dat risico's besproken en gemeld worden,
- cultuur
- communicatie
- petrochemische industrie, bouw
- zorg: LEAN
https://www.rie.nl
https://business.gov.nl/staff/health-and-safety/drawing-up-a-risk-assessment-and-evaluation-rie-a-step-by-step-plan/
## Bevorder eigenaarschap van risico's en risicomanagement
## Zorg voor cyclisch risicomanagement
**Oorzaak 1: 'Risicomanagement is een zaak van professionals' cultuur probleem**
- Scans (zoals een Pen-test) en Audits zijn traditionele instrumenten om risico's in kaart te brengen. Ze zijn echter kostbaar en hebben ook andere nadelen
- De deskundige onderzoekt en observeert, en produceert een rapport met acties en aanbevelingen, meestal aangeboden aan de IT manager, die dan de schone taak krijgt om het op te pakken. Het zet de organisatie in een reactieve rol. Mgrs en medewerkers voelen zich geen eigenaar van het probleem.
- Een externe beschouwer 'steekt de thermometer erin' en ziet de symptomen, maar de patient wordt niets gevraagd. (deze analogie kan beter)
- dit maakt de organisatie en medewerkers reactief t.o.v. risicobeheersing (zaak van professionals)
- krijgen geen verantwoordelijkheid
- gevolgen:
- herkennen eigen agency niet
- kennis van mensen die 'in de processen zelf' zitten wordt niet meegenomen alleen de door de professionals gesignaleerde risico's
-> grote blinde vlek
Naast het onbelicht blijven van risico's zien we in veel organisaties het probleem van 'not my problem' ook doordat managers risicomanagement op informatieveiligheid niet 'binnen hun scope' zien. Ze worden er niet op afgerekend, en krijgen er geen budget voor. Terwijl ze wel worden aangesproken op bijv. een veilige werksfeer, inzetbaarheid van medewerkers, en commerciele of financiele resultaten. Zo niet voor informatieveiligheid: De verantwoordelijkheid is immers geparkeerd bij een staffunctie. En waar het puur technische risico's betreft is dat logisch: de IT afdelinng heeft de kennis en de middelen. Maar we hebben juist gezien, dat risico's (en datalekken!) ontstaan uit processen. En die vallen wel degelijk binnen de management scope.
**Oorzaak 2: project-denken (we hebben een AVG project gedaan )**
Nieuwe regulering -> project -> maatregelen -> risico's gemanaged
niet-cyclisch, nieuwe risico's blijven liggen tot het volgende project
Maar: dag-dagelijkse realiteit van continue improvisatie.
De resultaten van de pen test en de audits vinden kwetsbaarheden in de techniek en de beschreven organisatiestructuur en -processen. Ze vinden afwijkingen van eerder beschreven procedures, waar ze niet worden uitgevoerd zoals beschreven, maar niet welke handelswijzen er op de werkvloer zijn ontstaan, doordat mensen moeten improviseren.
## Oplossingen
- zorg voor cyclisch
- betrek de smedewerkers, bijv in workshop sessies waarin ze actief participeren in het herkennen van risico's en het zoeken naar maatregelen.
- zorg voor de structuur waarin dat gebeurt
- maak het gesprek over risico's en de (effectieve) behandeling ervan onderdeel van de management cyclus. (zie maicrosoft )
Uioteraard blijft d3 harde techniek voor de IT en securituy professionals, maar zet mensen in hun kracht.

59
Canvas Method/RW WP NIS 2 Blinde vlek.md Normal file
View file

@ -0,0 +1,59 @@
# Hoe voorkom je dat je risico's mist?
*Ondanks forse investeringen in informatiebeveiliging zien organisaties zich geconfronteerd met datalekken en cyberaanvallen, meestal door onbelichte kwetsbaarheden. De gangbare manieren om risico's te identificeren hebben blijkbaar blinde vlekken. Hoe komt dat, en wat is eraan te doen?*
Verstandige organisaties richten hun informatiebeveiliging in, om zich te beschermen tegen relevante risico's. Er zullen weinig organisaties van omvang zijn die ransomware, phishing en social engineering niet op het netvlies hebben. Naast deze bedreigingen door steeds professioneler handelende externe partijen, ontstaan er ook risico's door onzorgvuldig handelen en 'insider threats', bijv. door (ex-) medewerkers die hun gram willen halen. Al deze risico's hebben gemeen dat er, bewust of onbewust, gebruik wordt gemaakt van kwetsbaarheden in de bedrijfsvoering, met mogelijk schade als gevolg.
Om de risico's beheersbaar te maken, moeten we de kwetsbaarheden in kaart hebben. Organisaties kunnen daarvoor verschillende middelen inzetten.
Een van de meest bekende is het periodiek laten uitvoeren van een 'Pen-test', of penetratietest, door een gespecialiseerd bureau. Hier trachten specialisten kwetsbaarheden te vinden in de technische infrastructuur van de organisatie. In pentest-rapportages vinden we kwetsbaarheden als verouderde softwareversies, verkeerd geconfigureerde database-toegang, en systeemwachtwoorden in configuratiebestanden. Hiermee hebben we de technische kwetsbaarheden in beeld.
We kunnen ook audits laten uitvoeren op het managementsysteem voor de informatiebeveiliging. Daarbij wordt gekeken naar lacunes in de beleidsvorming m.b.t. informatiebeveiliging, gevallen waarin de implementatie van de maatregelen niet overeenkomt met wat in het beleid beschreven is, en situaties waarin de controle op naleving van het beleid tekortschiet. Hiermee vinden we organisatorische kwetsbaarheden en afwijkingen ten opzichte van de beschreven werkelijkheid.
Maar in iedere organisatie zijn er processen en incidentele verwerkingen die de beschreven werkelijkheid nooit halen. Zowel in de IT organisatie als in het primaire proces. In alle delen van de organisatie. Dat komt omdat ze organisch ontstaan, meestal als gevolg van veranderende of onverwachte omstandigheden, soms als gevolg van onwerkbare procedures. Enkele voorbeelden:
- Een kinderopvang-organisatie moet de opvang-uren per kind rapporteren aan verschillende gemeentes in de regio. Volgens beleid moet dit met versleutelde bestanden. Een deel van de gemeentes lukt het structureel niet om de bestanden te openen, de deadline nadert. De bestanden worden naar die gemeentes onversleuteld verstuurd, om problemen met toeslagen te voorkomen. Dit wordt de gangbare werkwijze.
- De Nederlandse Zorgautoriteit (NZa) haalt de landelijke pers als blijkt dat een voor iedereen toegankelijke netwerkschijf vol staat met vertrouwelijke dossiers. De schijf, ooit bedoeld als vrije plek om bijv. foto's van bedrijfsuitjes te delen, werd al snel gebruikt als noodoplossing om gemakkelijk omvangrijke werkbestanden te delen met collega's.
- De röntgenscanner van een zelfstandig behandelcentrum koppelt, na een door de fabrikant uitgevoerde software-update, niet meer met het EPD. De patiëntnummers worden handmatig overgenomen om de relatie tussen dossier en foto's te behouden.
- Omdat de werkstations in de Operatiekamers zeer traag opstarten, logt de secretaresse iedere ochtend alvast alle artsen in, zodat ze meteen aan het werk kunnen. Daarvoor heeft ze alle wachtwoorden in haar agenda geschreven.
Al deze kwetsbaarheden hebben iets gemeen, namelijk dat ze voortkomen uit improvisatie. Die improvisatie is nodig, omdat het werk doorgang moet vinden, en de omstandigheden doorgaans sneller veranderen dan systemen aankunnen.
Hoe kunnen we ook deze risico's in beeld krijgen en beheersen?
## Participatief risicomanagement
De oplossing ligt in het actief betrekken van medewerkers bij het risicomanagement, door hen 'in hun kracht te zetten', zoals dat in de gezondheidszorg genoemd wordt. Medewerkers moeten zich bewust worden van hun actieve rol bij het identificeren van risico's, het wegen van de ernst ervan (kans x mogelijke impact), en het samen met collega's bedenken van oplossingen of dit nu binnen het eigen team kan, of met hulp van de IT-afdeling, leveranciers of ketenpartners.
Een effectieve manier om dit te bereiken is door gestructureerde workshops te organiseren. In deze workshops doorlopen de deelnemers een aantal stappen die hen helpen om risico's systematisch in kaart te brengen.
Allereerst worden de doelen van de organisatie en de doelen van de informatiebeveiliging besproken. Die kunnen verschillen per organisatie of per team. Een organisatie die sterk gericht is op marketing, zal het vrijelijk combineren van bestanden (beschikbaarheid en toegankelijkheid) mogelijk een hogere prioriteit geven dan vertrouwelijkheid. Voor een scholengemeenschap zal vertrouwelijkheid mogelijk op één staan, terwijl voor de verwerking van stemmen in de Tweede Kamerverkiezingen integriteit van gegevens het belangrijkste aspect is.
Vervolgens komt de context van de afdeling of het team aan bod. Wie zijn de belangrijkste belanghebbenden? Welke veranderingen in de organisatie of de maatschappij hebben invloed op het werk? Is er nieuwe wet- en regelgeving, of veranderende organisatorische kaders, die invloed hebben op de informatieverwerking?
Dan worden de belangrijkste werkzaamheden van het team besproken, voor wat betreft informatieverwerking. Waar komen gegevens vandaan, waar moeten ze naar toe, en welke systemen worden er gebruikt om de gegevens te bewerken?
Nu de basis voor de dialoog is gelegd, kunnen de deelnemers aan de slag met de kern van de workshop: wat zijn de zaken waar men zich zorgen over maakt, betreffende informatieverwerking in relatie tot de doelen en de context? De risico's en de daaronder liggende kwetsbaarheden worden besproken, geclusterd en gewogen op kans en impact. Vervolgens worden de risico's gerangschikt op prioriteit.
Tot slot bespreken de deelnemers wat er met die risico's moet gebeuren. Moeten er maatregelen op gezet worden? Kunnen ze vermeden worden door het werk anders in te richten? Of zijn ze acceptabel?
De uitkomst van zo'n workshop is een inventarisatie van actuele risico's binnen de bedrijfsprocessen, ongeacht of dit formeel gemandateerde processen zijn, of improvisaties uit noodzaak. Naast de risico's zijn er concrete maatregelen benoemd, die geïmplementeerd kunnen worden en daarna op hun effectiviteit beoordeeld moeten worden.
Door medewerkers op deze manier te activeren, worden ze 'eigenaar' van de risico's binnen hun eigen team. Ze gaan zich bewuster gedragen bij veranderingen: introduceer ik hier een nieuw risico? Is het nodig om anderen hierbij te betrekken? Wat kan ik hier zelf doen om de boel veilig te houden?
Van belang is een goede verslaglegging van wat besproken is, en het delen van de resultaten met degenen die verantwoordelijk zijn voor de portefeuille informatiebeveiliging op organisatieniveau. Wanneer het implementeren van maatregelen moet gebeuren door, of met behulp van, andere afdelingen, moet het voor de deelnemers aan de workshop helder zijn, wat er met hun inbreng gebeurt. Daarvoor is het ook belangrijk dat het succes meetbaar wordt gemaakt.
## Conclusie
Pentests en audits zijn waardevolle instrumenten om technische en organisatorische kwetsbaarheden te identificeren, maar ze hebben een blinde vlek: de informele werkelijkheid op de werkvloer. Deze blinde vlek kan ingevuld worden door medewerkers actief te betrekken in het managen van risico's binnen hun eigen team of afdeling. Dit kan met gestructureerde workshops waarin een dialoog ontstaat over context, proces, risico's en maatregelen.
## Participatief risicomanagement in Trustbound GRC
Trustbound heeft de door Thinking Security Works ontwikkelde Canvas Methode gedigitaliseerd binnen haar GRC-oplossing. Daarmee is het mogelijk om de workshops op een scherm te faciliteren, op een digibord in een workshopruimte of remote via Teams. Deelnemers kunnen hun inbreng delen via digitale post-its, terwijl de verslaglegging automatisch plaatsvindt. De afgesproken acties en actiehouders vloeien direct in het projectmanagement van TrustBound GRC, zodat de opvolging en voortgang gemonitord kunnen worden.
## Voorbeelden en quotes
Voorbeelden en quotes:
- Het Haga-ziekenhuis haalt in september 2019 de pers, als dienstoverdrachten gevonden worden in een winkelwagentje: ze waren gebruikt als boodschappenbriefje.
- "Het is voor onze gebruikers heel gemakkelijk om kwetsbaarheden in het proces te introduceren. Wij komen dat pas te weten als het fout gaat." CISO van de Belastingdienst
- "Oh, u bent van de automatisering? Als u wat wilt weten komt u maar bij mij hoor! Ik heb alle wachtwoorden van de chirurgen in mijn agenda staan." Secretaresse van de OK.

50
Canvas Method/Zorgen en onzekerheden risicomanagement.md Normal file
View file

@ -0,0 +1,50 @@
# Zorgen en onzekerheden m.b.t. risicomanagement
- angst voor het missen/niet identificeren van risicos, mede door continu wijzigende regelgeving
- onzeker over juiste kwantificering (kans vs. impact)
- onzekerheid over juiste aanpak
- angst voor gebrek aan buy-in van management en werkvloer
- angst dat het door het management gezien wordt als een af te vinken, verplicht nummer, zonder aandacht voor de resultaten, gezien als cost center
- Angst voor een culture of complacency: we benoemen de risicos, maar er gebeurt toch niets mee de risk professionals als Don Quixote
- geen verbinding met de management cyclus.
- geen inzichtelijkheid in het proces en de effectiviteit
- angst voor complexe spreadsheets
- versimpeling van het probleem (hoog/midden/laag)
- zorgen over administratieve overhead
- een spreadsheet met benoemde risicos en getallen voor kans en impact is geen communicatief instrument, mensen krijgen er glazige ogen van.
- Effectiviteit: leiden de resultaten tot acties?
## Gemini AI suggestie voor de verlichting van deze zorgen m.b.v. de Canvas Methode
De Canvas Methode voor Risicomanagement is, op basis van de analyse, een methode die direct bijdraagt aan het verlichten van de door u genoemde angsten, onzekerheden en pijnpunten. Hieronder wordt per punt uitgelegd hoe de methode een oplossing kan bieden.
1. Angst voor het missen/niet identificeren van risicos, mede door continu wijzigende regelgeving.
De Canvas Methode biedt een gestructureerde aanpak die is gebaseerd op het Business Model Canvas. Door de negen bouwstenen van de organisatie te doorlopen, wordt een systematische risicoanalyse afgedwongen. Dit minimaliseert de kans dat een risico, zoals een datalek of een verandering in regelgeving, over het hoofd wordt gezien. Bovendien maakt de methode gebruik van een continue Plan-Do-Check-Act (PDCA) cyclus, wat helpt om risico's die ontstaan door veranderingen in de regelgeving op te vangen.
2. Onzeker over juiste kwantificering (kans vs. impact) & versimpeling van het probleem.
De methode richt zich op het objectiveren van het 'onderbuikgevoel' van het management. In plaats van te verzanden in complexe numerieke berekeningen, wordt er een gestructureerde dialoog op gang gebracht over risico's en de effectiviteit van de controles. De methode stimuleert het creëren van prioriteiten op basis van reële risico's en hun impact op de bedrijfsdoelstellingen. Dit biedt een pragmatisch alternatief voor overdreven versimpelde kwantificering (zoals hoog/midden/laag) en helpt een gemeenschappelijk begrip te creëren.
3. Onzekerheid over juiste aanpak.
De Canvas Methode is een beproefde en gestructureerde aanpak. Het biedt een helder kader met vier canvassen (Risico-identificatie, Maatregelen, Volwassenheidsbord en Prestatie-evaluatie) die de verschillende fasen van risicobeheer begeleiden. Deze stappen zorgen voor een duidelijke routekaart, waardoor de onzekerheid over 'wat de volgende stap moet zijn' wordt weggenomen.
4. Angst voor gebrek aan buy-in van management en werkvloer & angst voor een culture of complacency.
Dit is een van de grootste troeven van de methode. Het is ontworpen als een workshop-gebaseerde aanpak die teams en leidinggevenden actief betrekt bij het identificeren en behandelen van risico's. Door gebruik te maken van een visueel canvas, worden abstracte concepten concreet en relevant voor iedereen, van de werkvloer tot het management. Dit leidt tot een verhoogd risicobewustzijn, eigenaarschap en het internaliseren van beleid, waardoor het risicomanagement niet als een opgelegd nummertje wordt gezien, maar als een gezamenlijke verantwoordelijkheid. Het verkleint de kans dat risico's worden benoemd maar er vervolgens niets mee wordt gedaan, omdat de verantwoordelijkheid breed wordt gedragen.
5. Angst dat het door het management gezien wordt als een af te vinken, verplicht nummer, zonder aandacht voor de resultaten, gezien als cost center.
Door de methode te verankeren in het Business Model Canvas, wordt risicomanagement direct verbonden met de strategische doelen van de organisatie. De focus verschuift van puur voldoen aan regelgeving naar het beschermen van bedrijfswaarde en het benutten van kansen. Dit helpt de perceptie van risicomanagement als een "cost center" te veranderen in een strategische business enabler.
6. Geen verbinding met de managementcyclus.
De methode is gebouwd rond de PDCA-cyclus, een erkend model voor continue verbetering dat naadloos aansluit bij de managementcyclus. De canvassen voor evaluatie en verbetering zorgen ervoor dat risicomanagement een continu proces is dat is geïntegreerd in de bedrijfsvoering, in plaats van een jaarlijkse of project-specifieke activiteit.
7. Geen inzichtelijkheid in het proces en de effectiviteit.
De visuele canvassen zorgen voor inzicht en transparantie. Het is direct zichtbaar welke risicos zijn geïdentificeerd, welke maatregelen van toepassing zijn en wie de eigenaar is. De methode vereist ook het meten van de effectiviteit van de controles, waardoor het inzicht in de prestaties van het risicomanagement wordt vergroot.
8. Angst voor complexe spreadsheets & zorgen over administratieve overhead.
De Canvas Methode vervangt de complexe, onoverzichtelijke spreadsheets door een visueel en interactief hulpmiddel. Dit vermindert de administratieve overhead aanzienlijk en maakt het proces efficiënter en minder intimiderend.
9. Een spreadsheet is geen communicatief instrument, mensen krijgen er glazige ogen van.
Het visuele en collaboratieve karakter van de methode maakt het een krachtig communicatiemiddel. De canvassen zijn ontworpen om in teams te worden ingevuld, wat zorgt voor een dynamische en productieve dialoog. Dit staat in schril contrast met een statische spreadsheet, en helpt de informatie levendig en relevant te maken voor alle betrokkenen.