5.2 Top 10 risico’s 2025

Het risico op onvoldoende weerbaarheid door gebrek aan gekwalificeerd personeel, suboptimale benutting capaciteit (tegen te gaan door Integraal Capaciteitsmanagement), medische hulpmiddelen, grondstoffen, verstoringen in de logistieke keten, geopolitieke ontwikkelingen en andere onvoorziene omstandigheden waarbij de meest kritische bedrijfsprocessen uitvallen met operationele impact of oplopende wachttijden als gevolg. Vanuit Business Continuity Management en HR wordt hier aandacht aan besteed.

Het risico op criminaliteit met ICT als middel en als doelwit. Kwetsbaarheden zoals onvoldoende awareness en vaardigheden bij gebruikers, ontbrekende organisatorische en technische maatregelen, menselijke en configuratiefouten en gebruik van onvoldoende beveiligde decentrale IT kunnen leiden tot gebeurtenissen met operationele, financiële of reputatieschade.​ Het Information Security Office (ISO) en IT-security zijn zo gepositioneerd dat cyberveiligheid doorlopend aandacht krijgt.

Het risico op onvoldoende betrouwbare technologie (vermijdbare uitval van technische voorzieningen) door technisch falen, onvoldoende beheersing en/of randvoorwaardelijke oorzaken, gebrek aan digitale vaardigheden, en andere onvoorziene omstandigheden waarbij de meest kritische bedrijfsprocessen uitvallen met operationele impact als gevolg.​ Diverse maatregelen, zoals inzicht in de kritieke systemen en actuele continuïteitsplannen helpen om onderbrekingen of uitval te voorkomen.

Het risico dat de financiële exploitatie achterloopt, financieringsmodellen veranderen en/of de kosten hoger zijn dan voorzien, waardoor er onvoldoende middelen beschikbaar zijn om alle geplande (strategische) activiteiten en/of investeringen te kunnen realiseren. Door vooruit te kijken en ontwikkelingen te volgen, kunnen we anticiperen op veranderende omstandigheden.

Integrale veiligheid is een verzamelnaam waar op dit moment twaalf onderwerpen onder vallen. Risk & Compliance ondersteunt via risicoanalyses bij het verder in kaart brengen van de bestaande beheersing en adviseert, per onderwerp, over eventuele aanvullende beheersmaatregelen.

Het risico dat Erasmus MC onvoldoende in staat is om medewerkers, studenten en patiënten het gevoel van een veilige leer-, werk- en zorgomgeving te bieden met als gevolg verminderd werkplezier, lagere ervaren toegankelijkheid van zorg of reputatieschade. Samen met stakeholders binnen HR en de ombudsman en/of vertrouwenspersonen, draagt Risk & Compliance bij aan een omgeving waarin polarisatie, verbaal, fysiek of digitaal ongewenst gedrag wordt tegengegaan.

Het risico dat binnen Erasmus MC gegevens van patiënten, medewerkers, onderzoeksdeelnemers of studenten niet zorgvuldig worden gebruikt, bijvoorbeeld doordat onbevoegd in patiëntendossiers wordt gekeken of persoonsgegevens zonder een geldige grondslag verwerkt worden. Dit kan ertoe leiden dat de privacy van betrokkenen wordt geschonden, met mogelijke gevolgen zoals klachten, ingrijpen door de toezichthouder, boetes en reputatieschade voor de organisatie.
Erasmus MC heeft Privacy Contact Personen en Officers in elk thema en directie die ondersteund worden door de juristen en beleidsadviseurs uit het Privacy Kennis Organisatie team. De Functionaris Gegevensbescherming houdt toezicht op de naleving.

Het risico dat de integriteitsbewuste organisatiecultuur op basis van de soft controls onvoldoende in balans is waardoor risico’s niet naar boven komen (zogeheten ‘breuklijnen’), met als gevolg een grotere kans op integriteitsschendingen. Vanuit Compliance is er aandacht voor de integriteitsbewuste organisatiecultuur en worden patronen in gedrag en cultuur in kaart gebracht.

Het risico dat binnen Erasmus MC de interne of externe gedragsregels worden geschonden, fraude wordt gepleegd, het integriteitsmanagementsysteem faalt, of onverantwoord gebruik gemaakt wordt van data en/of AI met als gevolg schade voor de reputatie, de (wetenschappelijke) integriteit van Erasmus MC of maatregelen van toezichthouders. Een belangrijke onderliggende oorzaak van incidenten of weerstand tegen verandering ligt in het menselijk gedrag en de cultuur. Op het gebied van Risk & Compliance betekent dit dat potentiële gedragsrisico's binnen Erasmus MC dienen te worden geïdentificeerd, beoordeeld en beheerd.

Het risico dat binnen Erasmus MC wetten, regels en interne beleidsmaatregelen niet aantoonbaar nageleefd worden met als gevolg schade voor de reputatie van Erasmus MC, of maatregelen van toezichthouders. Het gaat naast de bedrijfsvoering ook om naleving van wetgeving om de patiëntveiligheid te garanderen en persoonsgegevens te beschermen. De aantoonbare naleving van wet- en regelgeving draagt bij aan transparantie en betrouwbaarheid.