De quickscan richt zich op de bedrijfskritische processen binnen organisaties. Stel voor jezelf een korte lijst samen met een paar processen die ‘bedrijfskritisch’ zijn. Wat bedrijfskritisch is, wisselt per organisatie. Al zijn er ook processen te noemen die in elke organisatie belangrijk zijn. Geen enkele organisatie kan bijvoorbeeld functioneren zonder degelijke financiële administratie.
Processen zijn bedrijfskritisch als ze voldoen aan een of meer van de volgende criteria:
- Voor het proces worden bijzondere persoonsgegevens beheerd.
- Voor het proces wordt informatie beheerd die dient als basis- of kernregistratie.
- Voor het proces wordt informatie beheerd waarin de uitvoering en naleving van wet- en regelgeving wordt vastgelegd.
- Voor het proces wordt informatie beheerd over de bestuurlijke besluitvorming van de organisatie.
Over het proces worden in vergelijking met andere processen veel informatievragen gesteld en Woo-verzoeken ingediend. - Voor het proces wordt informatie beheerd die op grond van de Woo actief openbaar gemaakt moet worden.
- Voor het proces wordt informatie beheerd die van hoge financiële of gevoelige juridische waarde is.
- Voor het proces wordt informatie beheerd die dusdanig gevoelig of vertrouwelijk is, dat een datalek grote schade veroorzaakt.
- De impact is groot als het proces niet uitgevoerd kan worden, bijvoorbeeld omdat het de continuïteit van de dienstverlening raakt.
- Voor het proces wordt informatie beheerd die in de selectielijst gewaardeerd is als blijvend te bewaren.
Tip: maak deze criteria concreet voor je eigen organisatie. Bijvoorbeeld: “Rondom het proces wordt eens per maand of vaker een Woo-verzoek ingediend”. Of “Voor het proces wordt informatie beheerd die een financiële waarde van meer dan 5% van het operationeel budget vertegenwoordigt”.
Wat als er geen goed overzicht is van processen?
Bij een quickscan is het niet de bedoeling om eerst een eindeloze analyse uit te voeren om deze processen te identificeren. Werknemers die goed bekend zijn met hun organisatie, kunnen in de regel een lijstje met bedrijfskritische processen leveren. Je kunt hiervoor uitgaan van je eigen intuïtie en de kennis van ervaren en deskundige collega’s. Denk hierbij aan deskundigen op het gebied van informatiebeveiliging en privacy. Zij hebben al goed inzicht in wat mogelijk bedrijfskritische processen zijn. Wil je een grondige aanpak? Stap 2 van het stappenplan (Onderzoek de context) bevat meer ideeën.
Als je het bedrijfsproces voor deze risicobeoordeling hebt geselecteerd, is de volgende vraag: wie zijn verantwoordelijk voor deze processen? Hoe dat belegd is, verschilt per organisatie. Veel organisaties werken met proceseigenaren en/of procesbeheerders. Benader de juiste persoon met het voorstel om samen de quickscan uit te voeren.