Risicomanagement in de praktijk: informatiebeveiliging, privacy en GenAI (3-5)

Welkom bij onze vijfdelige blogreeks over risicomanagement. In deze serie laten we zien hoe gemeenten en organisaties risico’s gestructureerd kunnen beheersen, grip kunnen houden op processen en financiële weerbaarheid kunnen versterken. Elke week publiceren we een nieuwe blog, waarin we praktische tips, voorbeelden en inzichten delen. Onderstaand onze 3e blog van de reeks.

Risicomanagement in de praktijk: informatiebeveiliging, privacy en GenAI 

Voor gemeenten is risicomanagement geen bijzaak, maar dagelijkse praktijk. Het aantal datalekken blijft hoog en wet- en regelgeving worden steeds strenger. De vernieuwde BIO2 vraagt bovendien om een expliciet risicogerichte aanpak die aansluit op internationale normen zoals ISO 27001. Tegelijk brengt GenAI nieuwe kansen én risico’s met zich mee.

Informatiebeveiliging: BIO2 en Cyberbeveiligingswet (NIS2) concreet maken

Stel: een vergunningsdossier bevat vertrouwelijke persoonsgegevens en bouwtekeningen. Een onnodige kopie in een gedeelde map vergroot het risico op onbevoegde inzage. BIO2 vraagt om aantoonbare beheersmaatregelen en expliciete risicoafwegingen per proces.

De wet die in Nederland wordt geïmplementeerd via de Cyberbeveiligingswet, legt daarnaast extra verplichtingen op rond risicobeheer en incidentmelding. Met LIAS Risk breng je deze risico’s per proces in kaart, wijs je een eigenaar toe en koppel je maatregelen en controles. Het resultaat: inzicht en transparantie over wie waarvoor verantwoordelijk is, inclusief een volledig auditspoor.

Privacy: AVG in burgerzaken en vergunningverlening

Privacyrisico’s ontstaan vaak in alledaagse processen. Denk aan een Excel-export met BSN’s voor een mailing. Eén verkeerd e-mailadres en er is sprake van een datalek. Met LIAS Risk leg je deze privacyrisico’s vast (bijvoorbeeld verkeerd geadresseerde post of e-mail) maatregelen zoals twee-oog-controle, sjablonen zonder BSN en automatische adresvalidatie. Door eigenaarschap en deadlines te borgen, ontstaat aantoonbaarheid richting FG en auditor en sluit je aan op periodieke voortgangsrapportages, in lijn met AVG-verplichtingen.

GenAI: kansen benutten zonder naïef te zijn

Steeds meer teams gebruiken GenAI voor conceptteksten en samenvattingen. Dat levert tijdwinst op, maar brengt ook risico’s mee: van het onbedoeld delen van persoonsgegevens tot moeilijk uitlegbaar modelgedrag. Tegelijk zien we dat GenAI ook misbruikt kan worden, bijvoorbeeld voor zeer geloofwaardige phishing.
In LIAS Risk maak je deze risico’s expliciet, bepaal je beleid per use case en leg je beheersmaatregelen vast, zoals het gebruik van interne modellen, data-afscherming en een verplichte reviewstap. Zo ontstaat transparantie en samenwerking tussen IT, privacy en de lijn.

Van versnippering naar aantoonbaar in control

Zonder structuur verzanden organisaties in losse Excel-lijsten, versnipperde notities en onduidelijk eigenaarschap. LIAS Risk biedt één centraal risicoregister waarin afdelingen samenwerken.

Per risico zie je oorzaak, impact en huidige beheersing, inclusief de acties die nog nodig zijn. Rapportages sluiten naadloos aan op de P&C-cyclus, zodat management, CISO en concerncontrol met dezelfde informatie werken. Dat maakt voortgang aantoonbaar en versterkt grip op prioriteiten en capaciteit.

Conclusie

Informatiebeveiliging, privacy en GenAI vragen om méér dan alleen bewustwording: ze vereisen een gestructureerde, aantoonbare aanpak. Door deze thema’s te integreren in je risicomanagement, voldoe je niet alleen aan wettelijke verplichtingen, maar versterk je ook het vertrouwen van burgers en bestuur.

Lees ook de 1e blog en 2e blog van deze reeks.