3.2.4 Drie belangrijke veranderingen van risico’s in het benodigd weerstandsvermogen t.o.v. de Kaderbrief 2021
Ten opzichte van de Jaarrekening 2021 hebben zich drie belangrijke veranderingen voorgedaan in het benodigd weerstandsvermogen.
Stijgers
- Fors hogere exploitatiekosten ov-concessie dan begroot in een of meerdere jaren
De hogere exploitatiekosten voor het ov worden veroorzaakt doordat de coronacrisis heeft geleid tot structureel hogere exploitatiekosten voor het ov. Recente prijsstijgingen veroorzaakt door de Oekraïne crisis (vooral diesel) en personeelstekorten, kunnen er ook toe leiden dat ook de eindafrekeningen met de vervoerders fors hoger uitvallen. Anderzijds zijn de meerjarige effecten van corona op het reisgedrag en reizigersaantallen nog onduidelijk.
- ICT gerelateerde voorvallen, waaronder uitval, etc.
Tijdens de evaluatie van het risico van ICT gerelateerde voorvallen is het bedrag voor het financieel effect naar boven bijgesteld. In het geval dat er door een ICT uitval tijdelijk door ons personeel van de provincie niet gewerkt kan worden, dan loopt de financiële schade al snel op naar ongeveer € 300.000 per dag, rekening houdend met 1.000 medewerkers met een gemiddeld uurtarief van € 35. De bijstelling van het financieel effect resulteert in een stijging die relatieve impact heeft op het weerstandsvermogen
Daler
- Datalek / Boete toezichthouder / AP
Op basis van de Meldplicht Datalekken zijn organisaties, die privacygevoelige gegevens opslaan en/of verwerken, verplicht om een datalek bij de Autoriteit Persoonsgegevens te melden. Het begrip datalek is hierbij breed gedefinieerd. Voorbeelden van een potentieel datalek zijn onder andere een verloren USB-stick of laptop, ongeoorloofde toegang tot systemen met persoonsgegevens of het versturen van een email met privacygevoelige gegevens naar een onjuiste persoon.
Het niet melden van dergelijke incidenten kan naast eventuele schadeclaims van derden, ook leiden tot boetes van de toezichthouder. Dit geldt ook voor het niet of onvoldoende inlichten van betrokkenen, of onvoldoende zorgvuldige beveiliging van en omgang met privacygevoelige informatie.
Sinds mei 2018 is de Nederlandse wetgeving vervangen door Europese regelgeving. Deze stelt nog strengere eisen en kan vanaf dat moment maximale boetes opleggen tot € 20 miljoen. De inschatting van de impact is nog lastig, omdat het onderwerp relatief nieuw is. De nodige maatregelen en acties zijn geïnitieerd die nodig zijn om te voldoen aan de nieuwe Europese regelgeving. Hiervoor doen wij de nodige investeringen in mensen en middelen.
Wij schatten in dat de kans op het uitlekken van vertrouwelijke informatie is gegroeid. Dit is onder andere gerelateerd aan de vergrootte kans op een cyberincident en ondanks dat de organisatie zich beter bewust is van de risico’s en noodzakelijke maatregelen op dit punt. In de praktijk blijkt dat de boetes die de Autoriteit Persoonsgegevens geeft meestal niet op de maximale grens liggen van € 20 miljoen, zoals hierboven genoemd. Vandaar dat de financiële klasse/financiële impact lager is ingeschat.