Skip to main content

De rol van de proceseigenaar bij BCM


Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. Business Continuity Management (BCM), ook wel bekend als bedrijfscontinuïteitsbeheer, is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hierbij een belangrijke rol. Maar wat houdt BCM eigenlijk in en welke rol speelt de proceseigenaar hierbij? Je leest het in deze blog.

Download hier een pdf van deze blog

Wat is Business Continuïty Management?

Business Continuïty Management (BCM) gaat over het waarborgen van de bedrijfscontinuïteit. Ofwel dat de boel blijft draaien als er onverwachte dingen gebeuren. Denk aan brand, wateroverlast, een (stroom)storing of een beveiligingsincident. Al deze dingen kunnen de gemeentelijke dienstverlening flink verstoren, wat vervelende gevolgen kan hebben voor de burger, bedrijfsvoering en de reputatie van de gemeente. Dat wil je natuurlijk voorkomen. BCM is het proces waarbij de gemeente maatregelen neemt om ervoor te zorgen dat de belangrijkste zaken doorlopen, zelfs als er iets fout gaat. Dus als bepaalde zaken niet werken door bijvoorbeeld uitval (van gebouwen, techniek of personeel), moet de gemeente snel kunnen ingrijpen en ervoor zorgen dat de cruciale processen weer op gang komen. BCM gaat dus niet alleen over ICT. Het gaat om alle onderdelen binnen de gemeente die belangrijk zijn voor de continuïteit van de dienstverlening. Het is daarom belangrijk om bij de inrichting van BCM alle mogelijke risico’s voor de bedrijfsvoering in kaart te brengen, en niet alleen te focussen op ICT.

Waarom is het belangrijk?

Risico’s zijn nou eenmaal onvermijdelijk, en we kunnen ze niet allemaal vermijden. Maar het is wel belangrijk dat de dienstverlening van de gemeente altijd doorgaat en niet langdurig stil komt te liggen. Als dit wel gebeurt, kan dat serieuze gevolgen hebben voor de inwoners, bedrijven, partners en medewerkers van de gemeente. Denk bijvoorbeeld aan een brand die de afdeling Burgerzaken platlegt, of hackers die een SaaS-applicatie bij een leverancier niet beschikbaar maken. BCM is het proces waarbij de gemeente maatregelen neemt om ervoor te zorgen dat de belangrijkste processen gewoon doorgaan, ongeacht wat er gebeurt. Als een van deze kritieke processen wordt onderbroken door een fysieke of digitale calamiteit of crisis, wil je dat dit zo kort mogelijk duurt.

Nog even een korte uitleg over de definities calamiteit en crisis: Een calamiteit is een ongewenste gebeurtenis die zulke negatieve gevolgen heeft dat niet allen de interne bedrijfsvoering van de gemeente worden aangetast, maar de hele gemeente. In zo’n geval wordt opgeschaald naar de veiligheidsregio met de daarbij behorende GRIP-structuur. De scope van deze blog beperkt zich tot de gemeentelijke bedrijfsvoering en niet als rampenplan voor de buitenwereld.

Hoewel BCM- en calamiteitenteams vaak verantwoordelijk zijn voor de strategische uitvoering van BCM, mogen we de cruciale rol van proceseigenaren (vaak de lijnmanager of leidinggevende van een afdeling) in dit proces niet vergeten.

De rol van de lijnmanager bij BCM

BCM heeft een grote impact op de continuïteit van de hele gemeente en heeft als doel om ‘in control’ te zijn over de belangrijkste gemeentelijke processen. Hoewel de eindverantwoordelijkheid voor BCM bij het bestuur of de portefeuillehouder ligt, zijn proceseigenaren operationeel verantwoordelijk. Volgens de Baseline Informatiebeveiliging Overheid (BIO) zijn zij mede verantwoordelijk wanneer er een incident optreedt. De proceseigenaar bepaalt welke kwetsbaarheden zich kunnen voordoen binnen het proces dat onder zijn/haar verantwoordelijkheid wordt uitgevoerd en hoe groot het risico is als er een incident plaatsvindt. Ze zijn als het ware de ruggengraat van de organisatie en staan dicht bij de kritische processen van de gemeente. Hun betrokkenheid is randvoorwaardelijk voor de veerkracht en het herstelvermogen van de organisatie.

Om duidelijk te maken wat deze rol inhoudt, heb ik de taken van de proceseigenaar binnen het BCM-proces op een rijtje gezet. Vaak worden proceseigenaren binnen de organisatie ondersteund door een BCM-project of -procedures die ervoor zorgen dat deze taken jaarlijks worden geëvalueerd en bijgewerkt. Het kan zijn dat een i-adviseur of een andere interne medewerker de proceseigenaar ondersteunt bij het up-to-date houden van de BCM-procedures op de afdelingen. Je staat er dus niet alleen voor, maar je hebt wel een aantal verantwoordelijkheden binnen het proces zelf, ook al worden deze taken door andere medewerkers uitgevoerd.

Verantwoordelijkheden van de proceseigenaar binnen het BCM-proces

De taken die onder de verantwoordelijkheid van de proceseigenaar vallen als het gaat om BCM zijn:

  • Identificeren van kritische bedrijfsprocessen: Als proceseigenaar is het jouw taak om de processen binnen jouw afdeling te herkennen en te prioriteren die randvoorwaardelijk zijn voor de bedrijfsvoering. Jij hebt het dagelijkse overzicht en kent jouw afdeling door en door, wat van grote waarde is voor het BCM-proces. Dit wordt ook een Business Impact Analyse (BIA) genoemd. Voor meer informatie hierover kan je onze eerdere blog lezen ‘Wat is een Business Impact Analyse en hoe voer je deze uit?
  • Beoordelen van potentiële risico’s: Door de specifieke kennis van de afdeling en de interne afhankelijkheden, kun je als proceseigenaar niet alleen kritische bedrijfsprocessen identificeren, maar ook de mogelijke impact van verschillende soorten verstoringen op deze processen inschatten. Dit kunnen verstoringen zijn richting de burger, maar ook interne verstoringen zoals het uitbetalen van salarissen aan medewerkers.
  • Ontwikkelen van responsplannen: De rol van proceseigenaar omvat meer dan alleen het identificeren van risico’s. Je kunt ook actieplannen opstellen voor hoe jouw afdeling het beste kan reageren in het geval van een verstoring. Wie moet er gebeld worden? Welke work-arounds zijn mogelijk wanneer er een proces uitvalt? Hoe en wanneer moeten we communiceren met de betrokkenen? Hoe verloopt de communicatie met het calamiteitenteam van de organisatie? Jouw actieve rol hierin kan deze responsplannen versterken, op maat gemaakt voor de specifieke behoeften van jouw eigen afdeling.
  • Trainen van teams: Je bent als proceseigenaar ook verantwoordelijk voor het trainen van jouw team in BCM-procedures, zodat elk teamlid begrijpt hoe te handelen bij een incident om de impact te minimaliseren en de continuïteit te waarborgen. Regelmatig oefenen is hierbij belangrijk. Een goede BCM-training omvat niet alleen noodprocedures (zoals de verplichte BHV-oefeningen die worden uitgevoerd), maar ook zaken als communicatieafspraken, eventuele uitwijk en herstelstrategieën na een incident.
  • Implementeren van BCM-beleid: Je moet er ook voor zorgen dat het BCM-beleid binnen jouw afdeling wordt geïmplementeerd, zodat preventieve maatregelen zijn geïntegreerd in de dagelijkse werkzaamheden. Denk hierbij bijvoorbeeld aan het combineren van bepaalde risicobeheersmaatregelen, zoals een DPIA en dataclassificatie. Zie ook onze eerdere blog ‘Help een dataclassificatie, DPIA en een BIA?!’.
  • Communiceren en samenwerken: Samenwerking tussen jou en BCM-medewerkers zorgt ervoor dat BCM-strategieën voortdurend worden geëvalueerd en bijgewerkt op basis van nieuwe inzichten en informatie
  • Voortdurende verbetering: Tot slot, moet BCM worden gezien als een continu proces van verbetering, waarbij jij als proceseigenaar samenwerkt met BCM-medewerkers om een organisatie te bouwen die bestand is tegen de uitdagingen van vandaag en morgen.

Conclusie

De rol van de proceseigenaar binnen BCM is van grote waarde voor het waarborgen van de continuïteit van de gemeentelijke dienstverlening. Als proceseigenaar moet jij bedenken hoe de gemeentelijke dienstverlening aan inwoners kan worden gehandhaafd in geval van een calamiteit. Jij moet beslissen welke processen kritisch zijn. Jouw inzet en betrokkenheid is randvoorwaardelijk voor het succes van BCM en het creëren van een organisatie die is voorbereid op calamiteiten.

Download hier een pdf van de blog, aangevuld met een checklist voor het implementeren van BCM op afdelingsniveau.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.