Key Assumptions Check

Key Assumptions Check gebruik je om aannames in een analyse expliciet en toets de zekerheid hiervan. Dit ondersteunt foutherkenning en blinde vlekken.

Tegen welk probleem loop je aan?

In het digitale veiligheidsdomein werken we continu op basis van een onvolledige informatiepositie. Het wordt van ons als experts gevraagd om de gaten in informatiepositie in te vullen. Zonder het door te hebben doe je dit deels op basis van aannames. Aannames zorgen ervoor dat je snel stappen kan zetten in het analyseproces, maar als later blijkt dat één van je aannames niet klopt dan kan dat negatieve gevolgen hebben omdat je op basis van onjuiste interpretatie van informatie handelde. Ga je er tijdens een risicoanalyse bijvoorbeeld vanuit dat jouw systemen goed up-to-date worden gehouden? Dan wordt het een lastig verhaal als jouw organisatie getroffen wordt door een ransomware-aanval, waarbij gebruik is gemaakt door meerdere al bekende kwetsbaarheden. Er is uitgegaan van een aanname ("we zijn beveiligd") zonder die kritisch te bekijken. Die aanname werd niet getest of uitgesproken en niemand stelde er vragen bij.

Hoe helpt deze analysetool jou?

De Key Assumptions Check heeft als doel om aannames in een analyseproces expliciet te maken en om deze te beoordelen op mate van zekerheid. Dit proces stelt je in staat om gemaakte aannames te herkennen en te controleren. Hierdoor kun je blinde vlekken ontdekken en ben je voorbereid als de situatie (en daarmee de aannames) veranderen.

Wie moet deze analysetool gebruiken?

De Key Assumptions Check is nuttig voor iedereen die beslissingen neemt of voorbereidt in onzekere, complexe of risicovolle situaties met een onvolledige informatie positie. Bijvoorbeeld:

Beleidsmakers of besluitvormers kunnen nagaan of de aannames rust realitisch en houdbaar zijn.
Analististen en onderzoekers die zich bezighouden met inlichtingenwerk, risicomanagement of scenario-analyse worden gedwongen om kritisch te kijken naar impliciete aannames die onbewust meespelen.
Bij project en programmamanagers betrokken zijn grote projecten om de aannames expliciet te maken en om zo duidelijk te maken waar er extra informatie of monitoring nodig is.

Wanneer gebruik je deze analysetool?

Deze techniek wordt idealiter toegepast aan het begin van een analyseproces. Het is vooral waardevol wanneer de situatie onzeker is, wanneer er veel op het spel staat, of wanneer eerdere analyses mogelijk zijn beïnvloed door groepsdenken of tunnelvisie. Daardoor kun je deze techniek ook inzetten tijdens een herziening of evaluatie van een bestaande analyse.

Door gebruik van de Key Assumption Check wordt een analyse objectiever wat de extra tijdsinvestering het waard maakt. Natuurlijk zijn er ook analyses voorstelbaar waarbij aannames minder problematisch zijn en een Key Assumption Check achterwege kan worden gelaten. Desalniettemin is het altijd goed om jezelf af te vragen: klopt het wat ik denk of zeg?

Met welke randvoorwaarden moet je rekening houden?

Wees bewust van je houding. Het is belangrijk om een open en kritische houding te hebben, waarbij ook eigen overtuigingen en aannames ter discussie mogen staan.
Zorg ervoor dat mensen zich vrij en veilig voelen. Teamleden moeten zich vrij voelen om aannames ter discussie te stellen en er moet een veilige sfeer zijn waarin twijfel en kritisch denken worden aangemoedigd.
Neem tijd en ruimte om stil te staan bij aannames. Een goede Key Assumptions Check kost tijd. Je moet de ruimte krijgen om even na te denken.
Heb toegang tot relevante informatie. Om aannames te controleren moet je weten waar ze op gebaseerd zijn (gegevens, bronnen, ervaring). Zonder die informatie kun je niet goed beoordelen of de aanname nog klopt.
Zorg voor diversiteit in het team. Mensen met verschillende achtergronden of expertises zien andere aannames. Diversiteit helpt om blinde vlekken op te sporen.

Hoe gebruik je deze analysetool?

Bij een Key Assumptions Check breng je met een kleine, diverse groep de belangrijkste aannames in een analyse in kaart. In een workshop van 2 uur schetsen de deelnemers eerst individueel een aantal aannames. Gezamenlijk verkennen de deelnemers overlappen in deze aannames en beoordelen ze welke aannames terecht zijn gedaan. Als resultaat van de workshop heb je een overzicht van de belangrijkste aannames met inzicht in o.a. hun betrouwbaarheid en onderbouwing.

Stel vast wat het onderwerp is waar je de aannames van wilt toetsen.
Stel een kleine groep samen
Combineer inhoudsdeskundigen met andere expertises voor frisse perspectieven.
Deel het onderwerp of thema van tevoren met de deelnemers.

Vraag ze om hun perspectieven en aannames alvast te noteren als voorbereiding.

Start de daadwerkelijke workshop met het ophalen van de aannames
Je kunt als alternatief ook tijdens de meeting beginnen met een stille en individuele brainstorm sessie. Vraag in dat geval de deelnemers om tijdens deze brainstorm de aannames die zij zien op te schrijven.
Verzamel en maak ze zichtbaar
Verzamel de aannames en plaats ze als begeleider op een plek die zichtbaar is voor iedereen, bijvoorbeeld op een whiteboard of met post-its op de muur.
Stimuleer kritisch denken
Vraag naar aanvullingen. Gebruik standaardvragen (wie, wat, hoe, wanneer, waar, waarom). Wees extra alert op absolute uitspraken zoals “altijd”, “nooit” of “in mijn ervaring”. Stel de waarom vraag om boven tafel te krijgen wat zo vanzelfsprekend is dat het eerder onbenoemd was.

Vraag je af:

Waarom geloven we dit?
Wanneer zou deze aanname niet (meer) gelden?
Wat als de aanname fout blijkt?
Als het niet klopt, hoeveel impact heeft het op de analyse?

Deel in drie categorieën:

Verdeel al je aannames in de volgende categorieën op je whiteboard.

- S (Solid oftewel solide): Waarschijnlijk juist
- C (Correct met kanttekeningen): Meestal juist, met onzekerheden
- U (Uncertain oftewel Onzeker): Twijfelachtig of zonder bewijs
Werk de lijst bij
Schrap onjuiste aannames, voeg nieuwe toe, splits of verduidelijk waar nodig. Let op aannames die je als kritiek ziet voor de uitkomsten van de analyse.
Gebruik de uitkomsten
Kijk of onzekerheden extra onderzoek of informatie vereisen.

Voorbeeldcasus

Je werkt bij een groot bedrijf als expert op het gebied van cybersecurity. Er wordt onbesproken vanuit gegaan dat het bedrijf geen aantrekkelijk doelwit is voor hackers, omdat het geen geheime technologie heeft en weinig in het nieuws komt. Daarom houden jullie het budget voor cyberweerbaarheid beperkt en besluiten bepaalde systemen niet te beveiligen.

Je hebt de opdracht gekregen om het risicoprofiel voor de organisatie te herzien. Zijn er bepaalde dreigingen of te beschermen belangen die over het hoofd zijn gezien? Het bestuur zou dit graag willen weten, omdat ze bezig zijn met het maken van de budgetten van volgend jaar en ze meer zekerheid willen hebben.

1. Bepaal het onderwerp

Je hebt de opdracht gekregen om het risicoprofiel van de organisatie op te stellen. Daar ben je mee bezig en je wilt niet alleen de aannames vaststellen en beoordelen, maar stilzwijgende culturele elementen uit de organisatie zelf.

2. Stel een kleine groep samen

Je maakt een inschatting welke expertise er nodig is. Hierbij nodig je zowel inhoudelijke experts uit als outsiders. Je kiest ervoor om ze uit te nodigen, het onderwerp kenbaar te maken en verder geen voorbereiding van de deelnemers te vragen.

Inhoudsdeskundigen:
IT-beveiligingsspecialist
Bedrijfsjurist (voor kennis over gegevensverplichtingen en risico's)
Privacy Officer

Het bestuur ziet dat bepaalde onzekerheden te groot zijn om te negeren, wat mogelijk aanleiding is voor aanvullend onderzoek of verhoging van het cyberbudget. Dit verwerk je in het uiteindelijke risicoprofiel en kun je bij het bestuur neerleggen. Op basis van deze onderbouwde informatiepositie kunnen er daarna de juiste keuzes gemaakt worden die passen bij de mate van onzekerheid van de analyse.

Tip:
Zorg dat je relevante aannames markeert die echt belangrijk zijn voor de risicobeoordeling en het budget. In dit geval bijvoorbeeld de te beschermen belangen van jouw organisatie.

7. Gebruik de uitkomsten

Je gebruikt de lijst als input voor vervolgonderzoek:

Voor U-categorie aannames:

Check dark web fora op vermelding van je bedrijf.
Vraag IT om kwetsbaarheidsscan.
Check met juridische afdeling wat het verlies van HR-data zou betekenen.

Voorbeeld uit casus:

Aanname	Kritische vraag en antwoord	Categorie
Hackers willen alleen geheime technologie	Waarom denken we dat hackers alleen op zoek zijn naar geheime technologie? Hackers mikken ook op persoonlijke data, betalingsinformatie of toegang tot grotere netwerken.	U
We zijn geen aantrekkelijk doelwit omdat we niet in het nieuws zijn	Kunnen we via andere kanalen (branchelijsten, leveranciersnetwerken) wél zichtbaar zijn? Veel bedrijven worden gehackt zonder dat ze ooit in de media staan.	C
Onze systemen zijn niet interessant genoeg om te hacken	Weten we echt zeker dat onze systemen geen waarde hebben? Lijsten met e-mailadressen, HR-data of inlogs worden verhandeld.	U
Cyberaanvallen zouden weinig impact hebben	Wat zou dat betekenen voor reputatie, klantrelaties of operationele continuïteit? Een uitval van systemen kan een hele keten verstoren.	C
Onze leveranciers zijn goed beveiligd	We voeren regelmatig de audits uit bij leveranciers, beschikken over de pentestrapporten van de leveranciers en daarmee hebben we goed zicht op de staat van de digitale weerbaarheid.	S

6. Werk de lijst bij

Je past de aannames aan op basis van discussie:

Een nieuwe aanname kan zijn: "Hackers kunnen ons gebruiken als toegang tot beter beveiligde partners." Een aangepaste aanname kan zijn: “We zijn niet zichtbaar in het nieuws, maar wel in bepaalde branchelijsten.”

Aanname	Kritische vraag en antwoord
Hackers willen alleen geheime technologie	Waarom denken we dat hackers alleen op zoek zijn naar intellectueel eigendom? Malafide actoren mikken ook op persoonlijke data, betalingsinformatie of toegang tot grotere netwerken.
We zijn geen aantrekkelijk doelwit omdat we niet in het nieuws zijn	Kunnen we via andere kanalen (branchelijsten, leveranciersnetwerken) wél zichtbaar zijn? Veel bedrijven worden gehackt zonder dat ze ooit in de media staan.
Onze systemen zijn niet interessant genoeg om te hacken	Weten we echt zeker dat onze systemen geen waarde hebben? Lijsten met emailadressen, HR-data en andere bedrijfsgevoelige informatie is wellicht veel geld waard.
Cyberaanvallen zouden weinig impact hebben	Wat zou dat betekenen voor reputatie, klantrelaties of operationele continuïteit? Een uitval van systemen kan een hele keten verstoren.
Onze leveranciers zijn goed beveiligd	We voeren regelmatig de audits uit bij leveranciers, beschikken over de pentestrapporten van de leveranciers en daarmee hebben we goed zicht op de staat van de digitale weerbaarheid.

5. Beoordeel aannames kritisch

Je labelt elke aanname met:

S (Stevig): o.b.v. betrouwbare bronnen of ervaring C (Correct met kanttekeningen): deels waar, maar met onzekerheid U (Onzeker): gebaseerd op gevoel, zonder bewijs

Concreet in de casus:

Zijn er reputatierisico’s bij een datalek, ook zonder intellectueel eigendom? Hebben we gevoelige klant-, HR- of leveranciersdata? Kan ons bedrijf via kwetsbare systemen misbruikt worden als springplank naar partners of klanten?

3. Verzamel en bespreek aannames

Je plaatst alle aannames op een whiteboard of muur in de ruimte. Werk met fysieke post-its of digitale tools. De zichtbaarheid stimuleert discussie en maakt denkpatronen expliciet.

4. Stimuleer kritisch denken

Je loopt met de groep door de aannames en stelt systematisch kritische vragen. Deze vragen en antwoorden schrijf je op:

Waarom geloven we dit? (Bijv.: Waarom denken we dat geen nieuwswaarde = geen risico?) Wat als dit niet klopt? Wanneer gold dit wel, maar nu niet meer? Wie zou hier tóch belang bij kunnen hebben? (bijv. concurrent, activist, ontevreden (ex-)medewerker)

2. Bereid de deelnemers voor

Je vraagt iedereen eerst individueel (en in stilte) 5–10 aannames op te schrijven over cybersecurity en digitale risico’s. Voorbeelden kunnen zijn:

“Hackers zijn alleen geïnteresseerd in intellectueel eigendom.” “We zijn een oninteressant doelwit omdat we weinig in het nieuws zijn.” “Onze gegevens zijn niet waardevol op de zwarte markt.” “Een aanval op ons bedrijf zou weinig impact hebben.” “Onze leveranciers hebben hun beveiliging op orde.”

Niet-inhoudsdeskundigen / frisse blik:

Iemand van communicatie of HR Een externe consultant of een junior medewerker met frisse vragen

Pherson, R. H., & Heuer Jr, R. J. (2019). Structured analytic techniques for intelligence analysis. Cq Press.
Pherson, R. (2005). Overcoming analytic mindsets: Five simple techniques. In annual meeting on Emerging Issues in National and International Security, Washington, DC. Link: My first encounter with reporting on intelligence and national security issues came on a hunch
Heuer, R. J. (2007). The future of ‘alternative analysis’. In Director of National Intelligence conference on Improving Intelligence Analysis: What Works. Link: The Future of “Alternative Analysis”
Kebbell, M. R., Muller, D. A., & Martin, K. (2010). Understanding and managing bias. Dealing with uncertainties in policing serious crime, 16(1), 87. Link: Dealing with Uncertainties in Policing Serious Crime
Dixon, A. (2023). Improving your Intelligence Analysis with Structured Analytic Techniques. Link: Improving your Intelligence Analysis with Structured Analytic Techniques
Central Intelligence Agency. (2024). Ask Molly: SATs advice - CIA. Link: https://www.cia.gov/stories/story/ask-molly-sats-advice/

Key Assumptions Check

Tegen welk probleem loop je aan?

Hoe helpt deze analysetool jou?

Wie moet deze analysetool gebruiken?

Wanneer gebruik je deze analysetool?

Met welke randvoorwaarden moet je rekening houden?

Hoe gebruik je deze analysetool?

Operationeel stappenplan

Voorbeeldcasus

Voorbeeldcasus uitwerking

Bronnen

Deel deze pagina