VIDEO: 5. PD_GRCcontrol Activeren Privacy Management Systeem : Hoofdstuk 5. Risicobehandeling

VIDEO: 5. PD_GRCcontrol Activeren Privacy Management Systeem : Hoofdstuk 5. Risicobehandeling

5.            Risicobehandeling


In de risicobehandeling wordt er gekeken naar de behandelaanpak van het risico. Het risico vloeit voort uit de PIA. In figuur 2 is het kruimelpad van de risicobehandeling afgebeeld.



Fig. 2: Kruimelpad risicobehandeling (zonder BIA)

5.1    Behandelen

(à Risicomanagement à Risicobehandeling à Processen à PIA-dreigingen àBehandelen)

(à Risicomanagement à Risicobehandeling à Middelen à PIA-dreigingen à Behandelen)

Klik op de knop ‘Nieuw’ onder het kopje ‘Actie’ in de rij van het te behandelen proces of middel. Vul bij het tabblad ‘Definities’ de titel en de acceptant in.

 

Tijdens de volgende stap (DA’s beoordelen & dreigingen selecteren) kan er worden aangegeven of de dreiging relevant is en/of de dreiging op dit moment behandeld dient te worden. Dreigingen die niet worden geselecteerd voor een behandeling, worden bij een volgende behandeling opnieuw aangeboden. Als een dreiging 'niet relevant' wordt verklaard, dan wordt deze niet meer weergegeven, tenzij de knop 'Toon niet relevant verklaarde dreigingen' aan staat. Als er op een dreiging wordt geklikt dan worden eigenschappen van de dreigingsanalyse zichtbaar. De dreigingenselectie kan ook worden aangepast door op de knop ‘Dreigingen selectie aanpassen’ te klikken.

 

Bij de beoordeling van de dreigingen staan alle dreigingen uit de vorige fase opgesomd. Door op een regel te klikken wordt een detailpagina geopend waar de dreiging beoordeeld kan worden. Zodra van alle dreigingen de risico's zijn bepaald, kan er worden doorgegaan naar de volgende fase.

 

In de fase ‘DA maatregelen selecteren’ zijn alle dreigingen met de bijbehorende kans, impact en risicoklasse die in de vorige fase geëvalueerd zijn, zichtbaar. Door op een regel te klikken wordt de behandelpagina geopend (zie bijlage 7.3). Elke dreiging dient behandeld te worden door een behandelaanpak te selecteren en een nieuwe risicoklasse te bepalen (voor toelichting van de behandelaanpak, zie de Handleiding GRCcontrol 4.1.0 versie 1.1).

 

Wanneer alle dreigingen zijn behandeld, dient de behandeling in fase 5 geaccordeerd te worden door de acceptant (zie paragraaf 5.2). Als de behandeling geaccordeerd is, dan dient er een geldigheidsdatum te worden ingevuld en kan de behandeling worden afgerond.

5.2    Accorderen

(à Risicomanagement à Risicobehandeling à Processen à PIA-dreigingen àAccorderen)

 (à Risicomanagement à Risicobehandeling à Middelen à PIA-dreigingen à Accorderen)

Nadat stap 4 van het kruimelpad is afgerond, wordt er een verzoek naar de acceptant van de workflow gestuurd om het te accorderen. Hierbij kan de acceptant terugkijken in de workflow door op de betreffende fase te klikken in het kruimelpad. Als de behandeling geaccordeerd is, kan de risicomanager deze afronden. Als de behandeling is afgewezen, dan kan de behandeling niet worden afgerond en zal er wat moeten worden aangepast (suggestie: informeer de acceptant bij afwijzen dat er aangegeven wordt waarom de behandeling wordt afgewezen. Dit kan worden aangegeven bij ‘Opmerkingen’).