Bedrijfscontinuiteitsplan (voorbeeld en opzet)
Een bedrijfscontinuiteitsplan (BCP) beschrijft hoe je organisatie blijft draaien tijdens een ernstige verstoring. Denk aan een brand, ransomware, een dataverlies of het wegvallen van een sleutelleverancier. Het plan vertelt wie wat doet, in welke volgorde, en met welke middelen. Een goed BCP staat los van certificering: je hebt er geen ISO 22301 voor nodig, al biedt die norm wel een bewezen structuur. De basis van elk plan is een business impact analyse. Praktische guidance vind je in ISO 22313 .
Een BCP is geen draaiboek voor elk denkbaar incident. Het richt zich op het herstellen van je kritieke processen, ongeacht de precieze oorzaak van de verstoring.
Heb je ISO 22301 nodig voor een goed BCP?
Nee. Je kunt een uitstekend bedrijfscontinuiteitsplan maken zonder ooit een certificaat aan te vragen. De norm is vooral nuttig als klanten of aanbestedingen erom vragen, of als je aantoonbaar wilt maken dat je het serieus aanpakt.
Het verschil is simpel uit te leggen:
| Bedrijfscontinuiteitsplan | ISO 22301 | |
|---|---|---|
| Wat is het? | Het plan zelf | De norm met eisen aan het hele systeem |
| Verplicht? | Nooit wettelijk, soms contractueel | Nooit verplicht, soms contractueel |
| Bewijslast | Voor intern gebruik | Aantoonbaar voor een externe auditor |
| Reikwijdte | Eén document of set plannen | Volledig managementsysteem (BCMS) |
Veel organisaties beginnen met een BCP en kiezen pas later voor certificering. Wil je weten of de norm bij je past, lees dan voor wie ISO 22301 relevant is.
Verplichte onderdelen van een bedrijfscontinuiteitsplan
Een bruikbaar BCP bevat altijd een aantal vaste blokken. Zonder deze onderdelen blijft het plan theoretisch. Hieronder zie je wat er minimaal in hoort en waarom.
| Onderdeel | Wat het beschrijft | Waarom het nodig is |
|---|---|---|
| Scope en doel | Welke processen en locaties het plan dekt | Voorkomt dat het plan te breed of te vaag wordt |
| Rollen en verantwoordelijkheden | Wie het crisisteam vormt en wie beslist | Bij een crisis is er geen tijd om dit uit te zoeken |
| Activatiecriteria | Wanneer het plan in werking treedt | Voorkomt twijfel over wel of niet opschalen |
| Herstelprioriteiten | Welk proces eerst terug moet (uit de BIA) | Stuurt waar mensen en middelen heen gaan |
| Herstelstrategieen | Hoe je elk kritiek proces herstelt | Maakt het plan uitvoerbaar in plaats van papieren |
| Communicatieplan | Wie wat communiceert, intern en extern | Slechte communicatie verergert vaak de schade |
| Contactlijsten | Sleutelpersonen, leveranciers, hulpdiensten | Snel kunnen schakelen scheelt kostbare tijd |
Voorbeeldstructuur: inhoudsopgave van een BCP
Zo zou een compact bedrijfscontinuiteitsplan eruit kunnen zien. Gebruik deze inhoudsopgave als startpunt en schrap wat niet past bij jouw organisatie.
| Hoofdstuk | Inhoud |
|---|---|
| 1. Inleiding en scope | Doel van het plan, wat wel en niet gedekt is |
| 2. Crisisorganisatie | Crisisteam, rollen, mandaten, escalatielijn |
| 3. Activatie en alarmering | Wanneer en hoe het plan wordt geactiveerd |
| 4. Kritieke processen | Overzicht uit de BIA met RTO en RPO per proces |
| 5. Herstelstrategieen | Per proces: alternatieve werkwijze of locatie |
| 6. ICT-uitwijk | Back-ups, herstelvolgorde, uitwijkomgeving |
| 7. Communicatie | Boodschappen, woordvoering, kanalen |
| 8. Bijlagen | Contactlijsten, plattegronden, checklists |
De relatie tussen BCP, BIA en ISO 22301
Deze drie horen bij elkaar, maar zijn niet hetzelfde. De business impact analyse levert de input. Het bedrijfscontinuiteitsplan is het concrete plan. ISO 22301 is het systeem dat zorgt dat het plan actueel blijft, getest wordt en verbetert.
In de praktijk werkt het zo: de BIA bepaalt welke processen kritiek zijn en hoe snel ze terug moeten. Die uitkomsten vormen hoofdstuk 4 en 5 van je plan. ISO 22301 dwingt je vervolgens om het plan te testen en te onderhouden, zodat het niet in een la verdwijnt.
Zelf een bedrijfscontinuiteitsplan maken
Je hoeft niet alles tegelijk te doen. Begin klein, met je meest kritieke processen, en breid daarna uit. Volg deze volgorde.
Stap 1: Voer een BIA uit
Bepaal welke processen kritiek zijn en wat hun hersteldoelen zijn. Zonder deze basis prioriteer je op gevoel. Gebruik het BIA-voorbeeld als sjabloon.
Stap 2: Kies herstelstrategieen
Bedenk per kritiek proces hoe je het draaiende houdt: thuiswerken, een uitwijklocatie, een tweede leverancier of handmatige werkwijze.
Stap 3: Schrijf het plan
Vul de voorbeeldstructuur hierboven in. Houd het kort en rolgericht, zodat mensen het tijdens een crisis echt kunnen gebruiken.
Stap 4: Test en oefen
Doe minimaal één keer per jaar een oefening, bijvoorbeeld een tabletop-scenario. Een ongetest plan is een aanname, geen zekerheid.
Stap 5: Onderhoud en verbeter
Werk het plan bij na elke oefening, na incidenten en bij grote veranderingen. Dit is precies wat ISO 22301 borgt als je later certificeert.
Veelgemaakte fouten bij een bedrijfscontinuiteitsplan
Een plan schrijven is het makkelijke deel. Het levend houden is waar het vaak misgaat.
| Fout | Gevolg | Beter alternatief |
|---|---|---|
| Plan baseren op aannames | Verkeerde prioriteiten bij een crisis | Begin altijd met een BIA |
| Te lang en gedetailleerd | Niemand vindt snel de juiste actie | Kort, rolgericht, met checklists |
| Nooit oefenen | Het plan werkt niet als het moet | Minimaal jaarlijks testen |
| Contactlijsten verouderen | Sleutelpersonen niet bereikbaar | Lijsten periodiek controleren |