Wat is een risico?

Als je in het buitenland bent zie je vaak volwassenen en kinderen tijdens het fietsen een fietshelm dragen. In Nederland draagt bijna niemand een fietshelm, behalve als je een grote groep wielrenners op zondagochtend door de straten ziet racen. Waarom is dat? Kunnen ze in het buitenland niet fietsen en dragen ze daarom een fietshelm of is het veel gevaarlijker om daar te fietsen? Schrijft de wet het voor of denken we in Nederland ‘ik kan het risico zelf wel inschatten’?

Anders gezegd, je maakt een inschatting van de kans dat je valt of dat je aangereden wordt en wat de mogelijke gevolgen (impact) zijn als het daadwerkelijk gebeurt. Als je kijkt naar het beveiligen van informatie is het net als fietsen. Niet dat ze in het buitenland informatie anders of beter beveiligen, maar je kan wel een onderscheid maken tussen bedrijfssectoren. Een bank zal haar informatie op een andere manier beschermen en daar maatregelen voor treffen dan bijvoorbeeld een retailer. Enerzijds wordt dit door de wet voorgeschreven en anderzijds verwachten we dat als klanten ook van de bank. Kan je als medewerker zelf iets aan het beveiligen van informatie doen of is dat de verantwoordelijkheid van de organisatie, van de mensen die er voor zijn opgesteld, zoals een beveiligingsfunctionaris of de receptie. Bij wie ligt die verantwoordelijkheid? Het antwoord is natuurlijk duidelijk, bij ons allemaal.

Is extra beveiliging noodzakelijk?
Is het dan ook noodzakelijk dat we de toegang tot de gebouwen extra gaan beveiligen en dat ik alle informatie die op mijn bureau ligt achter slot en grendel opruim zodra ik maar even mijn kamer verlaat? Nee, natuurlijk niet. Je bepaalt wat de kans is dat er informatie tussen zit die voor onbevoegden interessant genoeg is om kennis van te nemen en wat de mogelijke gevolgen zijn (Risico = Kans x Impact of schade). Dan bepaal je welk risico jij c.q. de organisatie loopt en besluit je om het wel of niet op te ruimen of je kamer mogelijk af te sluiten.

Inventariseren of maatregelen nodig zijn
Op deze wijze zou je, het liefst samen met collega’s en eventueel een beveiligingsfunctionaris, kunnen inventariseren of het nodig is om bepaalde maatregelen te treffen om daardoor mogelijke risico’s terug te brengen tot een acceptabel niveau.