Wij komen te vaak tegen dat een risicoanalyse minder goed wordt uitgevoerd en dat privacy en informatie volledig door elkaar worden gehaald. Volgens ons een gemiste kans om eens goed naar je organisatie te kijken. Wat is nu eigenlijk een Business Impact Assessment (hierna BIA)? De BIA geeft een inschatting van de pijn en gevolgen indien de vertrouwelijkheid, integriteit en/of beschikbaarheid van informatie wordt geschaad. Een hele vol zin, maar deze risicoanalyse is tevens de basis voor de volgorde van het uitwerken en implementeren van de ISO27001 en ISO27701 beheersmaatregelen.

Maar het is niet alleen voor informatie, het gaat ook over Privacy.

Privacy en informatiebeveiliging liggen heel dicht bij elkaar. Toch is de aanpak van de risicoanalyse voor Privacy anders dan die voor informatiebeveiliging. De risicoanalyse bij informatiebeveiliging gaat om wat is het risico wanneer de Vertrouwelijkheid, Integriteit en/of Beschikbaarheid geschaad wordt. Terwijl bij Privacy gekeken wordt naar de risico’s van het schenden van de privacy van een individu. Naast de voor de hand liggende privacy risico’s zoals, wat is het risico als privacygegevens op straat komt te liggen (vertrouwelijkheid), openbaar maken ID-gegevens, etc. Toch maken deze ook onderdeel uit van de risicoanalyse voor informatiebeveiliging, hier moet je naast de risico voor privacy ook bedreigingen in kaart brengen zoals, wat is het risico bij het verzoek om persoonlijke informatie te verwijderen, wordt de data gebruikt voor profilering en is dit rechtmatig, etc.

Het is daarmee belangrijk dat uw organisatie goed weet wat u met Persoonlijk Identificeerbare Informatie (PII) doet. En welke risico’s daarmee gepaard gaan.

Heeft u vragen over de Privacy risicoanalyse of hoe onze GRC tooling daarbij kan helpen, de impact of de invulling van ISO27001? Wij helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.