Bijlage risicomatrix (v0.5)
Bij de uitwerking van een voorgestelde oplossing op het initiatief Overdracht over PGO-koppelvlak heeft team Afsprakenstelsel een overzicht met bekende risico’s opgesteld. Doel is problemen met de oplossing vroegtijdig te signaleren en waar mogelijk op te lossen of te bespreken met deelnemers.
In deze bijlage een verkorte versie met huidige risico’s als risicomatrix. Onderstaande risicomatrix visualiseert de kans dat een situatie zich voordoet en de impact die het heeft op de uitvoerbaarheid.
Inventarisatie, risicotabel
Categorie | Omschrijving | Detecteerbaarheid | Kans | Impact | Totaalrisico (kans x impact) | |
---|---|---|---|---|---|---|
Ra01 | Strategisch | Overdragen kan langer duren dan verlooptijd access tokens voor eenmalige toestemming (15 minuten); risico op uitval, timeouts en daarmee betrouwbaarheid. | Groot (4) | Klein (1) | Groot (4) | 4 |
Rb01 | Compliance | Gebruikersvoorwaarden en privacyverklaring bij PGO niet compatibel met nieuwe verwerking aanbieder in het persoonsdomein en deelnemersreglement. | Aanzienlijk (3) | Aanzienlijk (3) | Klein (1) | 3 |
Rc01 | Operationeel | Deelnemende PGO's besteden buitenproportioneel veel tijd aan het implementeren van aanbiederautorisatieflow en FHIR-resourceserver. | Aanzienlijk (3) | Beperkt (2) | Aanzienlijk (3) | 6 |
Rc02 | Operationeel | Deelnemende PGO's kunnen uitwisselen over koppelvlak zien als een bedreiging voor het eigen product. | Groot (4) | Groot (4) | Aanzienlijk (3) | 12 |
Rc03 | Operationeel | Deelnemende PGO's kunnen moeite ervaren met het maken van een ‘custom implementatie’ op Async Request Pattern om timeouts te voorkomen. | Groot (4) | Aanzienlijk (3) | Beperkt (2) | 6 |
Rc04 | Operationeel | Sterke afhankelijkheid van wijzigingen bij Nictiz op gegevensstandaard PDF/A en de publicatie van een nieuwe codewaardelijst portabiliteit. Dit kan leiden tot uitstel of een nieuw ontwerp. | Groot (4) | Aanzienlijk (3) | Groot (4) | 12 |
Risicomatrix
Grote impact (4) | (Risico = 4) | (Risico = 8) | (Risico = 12) | (Risico = 16) |
Aanzienlijke impact (3) | (Risico = 3) | (Risico = 6) Rc01 | (Risico = 9) | (Risico = 12) |
Beperkte impact (2) | (Risico = 2) | (Risico = 4) | (Risico = 6) | (Risico = 8) |
Kleine impact (1) | (Risico = 1) | (Risico = 2) | (Risico = 3) | (Risico = 4) |
Kleine kans (1) | Beperkte kans (2) | Aanzienlijke kans (3) | Grote kans (4) |
Maatregelen, mitigatie
Risk | Categorie | Controls | Uitvoering | Verantwoordelijk | Uitvoeringscontrole | Documentatie | Link naar Jira |
---|---|---|---|---|---|---|---|
Ra01 | Strategisch | Ra01.C01 Tijdens fase ‘geïsoleerd testen’ detecteren en ervaring opdoen, kans op deze situatie is mogelijk zeer klein. | Eenmalig | Team AS | Team AS | Betaversie | |
Ra01.C02 Als kans op deze situatie na testen groter blijkt dan zeer klein, dan vanaf fase ‘systeemtesten’ detecteren in logs. | Jaarlijks | Team AS | Beheer | Releaseversie | |||
Rb01 | Compliance | Rb01.C01 Advies op gebruiksvoorwaarden naar PGO’s. | Jaarlijks | Team AS | Team AS | Functiehuis | |
Rc01.C02 Gebruiksvoorwaarden navragen in acceptatietests | Elke keer bij nieuw deelnemerscontract | Opsteller Contract | Team Testen | Betaversie | |||
Rc01 | Operationeel | Rc01.C01 Tijdens fase ‘geïsoleerd testen en ontwikkelen’ ervaringen doorspreken met Interoplab en deelnemers. | Eenmalig | TA | TA | Releasekandidaat | |
Rc01.C02 Voor release gesprek aangaan met deelnemers; wat is hier mogelijk, waar wring het? | Tijdens ontwikkeling | TA | TA | Releasekandidaat | |||
Rc02 | Operationeel | Rc02.C01 Voor release gesprek aangaan met deelnemers; afweging uitleggen in belangen van de burger. | Tijdens ontwikkeling | TA | TA | Releasekandidaat | |
Rc03 | Operationeel | Rc03.C01 Tijdens fase ‘geïsoleerd testen en ontwikkelen’ ervaringen doorspreken met Interoplab en deelnemers. | Tijdens ontwikkeling | TA | TA | Releasekandidaat | |
Rc04 | Operationeel | Rc04.C01 In vroeg stadium met Nictiz onze wensen doorspreken, inpassen op hun planning. | Tijdens ontwikkeling | TA | TA | Betaversie |
Conclusie
Team Afsprakenstelsel ziet voor dit initiatief enkele risico’s met grote kans en hoge impact op de haalbaarheid en doorlooptijd: er is een sterke afhankelijkheid van wijzigingen bij Nictiz op de bestaande gegevensstandaard PDF/A en de publicatie van een nieuwe codewaardelijst portabiliteit. Dit kan leiden tot uitstel of een nieuw ontwerp. Daarnaast kunnen deelnemende PGO's het uitwisselen van gegevens over koppelvlak zien als een bedreiging voor het eigen product.
Oplossing hier is het gesprek met elkaar aan gaan, uitleggen welke waarde we creëren voor de burger met de toevoegingen aan het stelsel en als nodig kijken naar alternatieven.
Risico’s met een meer beperkte kans en minder impact zien we bij het uivoeren van aanpassingen bij PGO’s. Het kan een tijdrovende klus zijn om nieuwe software toe te voegen als PGO. Ook kan genereren van een antwoord met overdrachtsdocument meer tijd nemen dan wij nu verwachten. Tijdens de fase ‘geïsoleerd testen en ontwikkelen’ verzamelen wij hier informatie op met de PGO’s.
Overgenomen van template Risicomatrix, zie de pagina voor handleiding.