Wat is een Business Impact Analyse, en hoe voer je deze uit?


Het uitvallen van kritische ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het is daarom slim om potentiële bedreigingen en het effect ervan op de kritische bedrijfsprocessen vroegtijdig in kaart te brengen, om stagnatie van deze processen te voorkomen. Dit proces wordt ‘Business Continuïty Management (BCM)’ genoemd. Onderdeel van BCM vormt het uitvoeren van een Business Impact Analyse (BIA). Maar wat is een BIA en hoe voer je deze uit?

Wat is een Business Impact Analyse (BIA)?

Een BIA wordt gebruikt om inzicht te krijgen in de bedrijfskritieke processen en om deze te onderscheiden van de niet kritieke processen. Hiermee kun je inzichtelijk maken wat jouw gemeente minimaal nodig heeft om na een calamiteit de bedrijfsactiviteiten (ofwel publieke taak) te kunnen continueren. Een incident zoals brand, wateroverlast (lekkage) of stroomuitval in ruimten waar zich vitale ICT-voorzieningen bevinden kan namelijk grote gevolgen hebben voor de dienstverlening en de reputatie van de gemeente, maar ook voor de burger. In een BIA worden alle essentiële onderdelen beschreven, zoals applicaties, hardware, infrastructuur en mensen, die na een calamiteit nodig zijn om de kritische bedrijfsprocessen te herstarten.

Kritische bedrijfsprocessen

Want hoe lang kan de gemeente zonder een bepaald proces functioneren voordat het echt kritisch begint te worden? Er zijn bepaalde taken van de gemeente waar de burger van afhankelijk is en die grote gevolgen kunnen hebben voor de dienstverlening van de gemeente indien deze niet kunnen worden uitgevoerd. Uiteraard duurt dit bij het ene proces langer dan bij het andere. Zo heeft het aanvragen van Jeugdzorg of een paspoort een andere (hogere) prioriteit dan bijvoorbeeld het betalen van de gemeentelijke belasting.

De belangrijkste stap binnen een BIA is dus om te bepalen welke processen prioriteit krijgen in het geval van een calamiteit. Deze keuze wordt voornamelijk bepaald op basis van de impact die het heeft op de burger.

Stappenplan voor het uitvoeren van een BIA:

Eerder schreven we al een uitgebreide blog over Business Continuïty Management (BCM) . In deze blog zal ik verder ingaan op hoe je een BIA uitvoert. Bij het uitvoeren van een BIA wordt er met de verantwoordelijken binnen de gemeente gekeken naar wat de mogelijke impact en schade is bij het uitvallen van bepaalde processen en wordt inzichtelijk gemaakt wat de gemeente minimaal moet doen om na een incident haar bedrijfsactiviteiten te kunnen voortzetten. Hierbij is het stappenplan als volgt:

Stap 1: Dreigingsanalyse

Om te beginnen is het belangrijk om in kaart te brengen welke dreigingen relevant kunnen zijn voor de gemeente en welk effect elke dreiging kan hebben op de kritische bedrijfsprocessen. Denk hierbij aan dreigingen als brand, een overstroming, een elektrische storing, maar ook het hebben van geen internet- of DigiD-verbinding. Tijdens de dreigingsanalyse bepaal je per dreiging hoe groot de kans is dat deze voorkomt en welke impact hierbij hoort.

Stap 2: Definieer de belangrijkste processen

Vervolgens wordt er binnen elk onderdeel van de gemeente (bijvoorbeeld het Sociaal domein of Burgerzaken) in kaart gebracht welke processen van groot belang zijn voor het uitvoeren van de gemeentelijke dienstverlening. Gebruik hierbij het register van verwerkingen. Hierin zijn de belangrijke verwerkingen in het kader van de AVG in kaart gebracht. Let op, wanneer je de processen hebt gedefinieerd moet je niet alleen kijken naar de verschillende systemen die hiervoor gebruikt worden, maar ook naar de benodigde werkplekken, apparatuur of essentiële medewerkers die relevant zijn voor het uitvoeren van dit proces.

Stap 3: Bepaal de maximale uitvalsduur

Bepaal voor de processen die bij stap 2 gedefinieerd zijn na hoeveel tijd, dat dit proces niet meer uitgevoerd kan worden, het echt kritiek wordt voor de gemeente.
En dan spreken we niet over dat het “lastig” wordt om je taak uit te voeren, in dat geval is er namelijk vaak nog wel een workaround te verzinnen om de dienst toch nog te verlenen. Het gaat om de processen waarbij een workaround niet mogelijk of lang vol te houden is en het écht kritiek wordt. Denk hierbij aan tijdsintervallen van 4 uur, 1 dag, 2 tot 3 dagen, 1 week of 2 weken (wat in principe al aangeeft dat het niet echt kritiek is..).

Stap 4: Bepaal de impact op de burger

Bepaal in hoeverre het de burger raakt. Wat is de impact op de burger wanneer het proces er bij de gemeente uit ligt? Bijvoorbeeld: een vergunning aanvragen heeft een minder grote impact op de burger op de korte termijn, dan de uitgifte van paspoorten rond de zomervakantie.

Stap 5: Bepaal de financiële impact op de gemeente

Wanneer bepaalde processen niet meer kunnen worden uitgevoerd kan het zijn dat dit hoge herstelkosten met zich meebrengt, bijvoorbeeld om het probleem op te lossen maar ook in het geval dat het werk zich opstapelt doordat er een systeem uitligt. De gemeente moet dan extra mensen inhuren om de achterstand weg te werken. Daarnaast kunnen er financiële consequenties zijn doordat er claims van burgers komen door de geleden schade.

Stap 6: Maak een prioriteitenlijst

Wanneer je weet wat de scores zijn van stap 3 t/m 5, dan kun je een prioriteitenlijst opstellen van de processen en systemen die voor de gemeente relevant zijn. Deze prioriteitenlijst is het vertrekpunt voor het opzetten van een Business Continuïty Plan. In dit plan worden scenario’s beschreven die zich kunnen voordoen en wordt er een workaround, een tijdelijke oplossing, beschreven indien er een kritisch proces geraakt wordt. Op die manier kun je de schade beperken op het moment dat deze kritische processen onverhoopt uitvallen.

Kortom, wees voorbereid! Met een BIA krijg je meer grip en zicht op gevolgen van het uitvallen van kritische processen. Door adequaat op bedreigingen te reageren, kan de impact ervan worden geminimaliseerd.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…