Insight: Pragmatische BCM aanpak voor Gemeenten

Source: BCM Academy

Gemeenten maken onderdeel uit van de vitale sector, het is immers verantwoordelijk voor een aantal kritieke taken.

Naast een kernrol op het gebied van veiligheid zijn gemeenten ook verantwoordelijk voor onder andere het organiseren van verkiezingen, het bijhouden van de BRP en BAG (wettelijke vereiste Return Time Objective (RTO) van 48 uur), het leveren van reisdocumenten en het betalen van uitkeringen. 

Ondanks deze kritieke rol binnen onze samenleving staat BCM nog in de kinderschoenen. De laatste jaren zijn er een aantal richtlijnen ontwikkeld die zijdelings dit onderwerp aanraken, maar deze normen zoals de Baseline Informatiebeveiliging Overheid (BIO) en de Eenduidige Normatiek Single Information Audit (ENSIA) spreken elkaar tegen en bevatten onvoldoende handvatten om ook daadwerkelijk BCM in te richten en te implementeren binnen de organisatie.  

Een gemeente heeft een groot scala aan processen en dit maakt het onmogelijk om voor de gehele organisatie alle risico’s af te dekken. Om tot een goede modus te komen is er behoefte aan een integrale aanpak die niet vanuit IT, maar juist vanuit de business redeneert. Het gaat niet alleen om privacygevoelige informatie of kernapplicaties, het gaat om inwoners en ondernemers. Om dit te bereiken kan het volgende iteratieve 5-stappenplan gebruikt worden. 

Stap 1: Continuïteitsstrategie bepalen 

Binnen het DT/MT richtinggevende uitspraken ophalen met betrekking tot governance, risicoacceptatie en afwegingskader. 

Stap 2: Inventarisatie kritische processen en continuïteitsnormen 

Samen met de business inventariseren welke processen kritisch zijn op basis van wettelijke, financiële en reputatieschade. Dit levert maximaal 20 processen op. Vervolgens aan de hand van een pragmatische Business Impact Analyse (BIA) en Risicoanalyse (RIA) de continuïteitsnormen bepalen. 

Stap 3: Stelsel van maatregelen opstellen voor de kritische processen 

Samen met de business zowel preventieve als repressieve maatregelen inventariseren voor de kritische processen. 

Stap 4: Implementatie & beheer 

BCP en deelplannen schrijven, governance binnen de organisatie borgen. 

Stap 5: Oefenen en testen 

De plannen en maatregelen testen aan de hand van crisisoefeningen en verbeteringen vervolgens implementeren.