RTO en RPO zijn technische afkortingen die in werkelijkheid over bedrijfsimpact gaan. Ze helpen bepalen hoe lang processen mogen stilliggen en hoeveel dataverlies nog acceptabel is. In due diligence zijn het dus geen IT-cijfertjes, maar bestuurlijke keuzes met directe gevolgen voor ontwerp, kosten en contracten.
Deze pagina legt de term zakelijk en begrijpelijk uit: wat het is, waarom het ertoe doet en hoe u de term in de context van due diligence het best moet lezen.
RTO en RPO maken herstel en dataverlies concreet. Ze zijn vooral nuttig als ze aantoonbaar haalbaar zijn, niet alleen als ambitie op papier.
In due diligence moet u deze term zelden technisch geïsoleerd lezen. Vrijwel altijd zegt de term iets over continuïteit, afhankelijkheden, regie, kosten of verandervermogen. Juist die context bepaalt of een bevinding klein, beheersbaar of strategisch relevant is.
Per term staat niet alleen wat het is, maar ook hoe u de term bestuurlijk moet duiden als deze in een rapport, gesprek of data room opduikt.
RTO staat voor Recovery Time Objective: de tijd waarbinnen een proces of systeem weer beschikbaar moet zijn. In gewone taal: hoe lang mag het eruit liggen? In due diligence moet u deze term lezen als afspiegeling van de maximale verstoring die de organisatie kan verdragen.
RPO staat voor Recovery Point Objective: hoeveel gegevensverlies in tijd nog aanvaardbaar is. In gewone taal: hoeveel werk of data mag verdwijnen zonder onacceptabele schade? Deze term zegt dus iets over de ernst van een incident, niet alleen over back-uptechniek.
Een herstelscenario beschrijft hoe de organisatie na uitval weer operationeel wordt. RTO en RPO zijn alleen geloofwaardig als zo'n scenario ook praktisch uitvoerbaar en getest is.
Back-upfrequentie gaat over hoe vaak reservekopieën worden gemaakt. Die frequentie moet logisch aansluiten op de gewenste RPO. In due diligence moet u dus kijken of de gewenste dataverliesgrens technisch en operationeel echt haalbaar is.
Testen van herstel betekent dat men niet alleen back-ups maakt, maar ook periodiek controleert of herstel werkelijk lukt. Zonder tests zijn RTO en RPO vooral aannames.
Bedrijfsimpact is de schade in geld, tijd, reputatie of procesverstoring als uitval optreedt. Dit is de bestuurlijke context waarin RTO en RPO pas betekenis krijgen.
Een technische term krijgt pas waarde als duidelijk is wat de impact is op processen, contracten, investeringen of risicoverdeling na closing.
Een acceptabele hersteltijd moet vertrekken vanuit procesimpact en financiële schade, niet vanuit wat technisch toevallig makkelijk is.
Hoe minder dataverlies acceptabel is, hoe zwaarder de eisen aan back-up, replicatie en herstelorganisatie worden.
Als leveranciers alleen trage ondersteuning bieden, zijn ambitieuze hersteldoelen in de praktijk vaak niet haalbaar.
Strakkere hersteldoelen vragen vaak extra redundantie, betere procedures, meer testen en soms duurdere contracten.
Duidelijke antwoorden op veelgebruikte vragen, in gewone taal en in de context van due diligence, risico's en beheersbaarheid.
RTO staat voor Recovery Time Objective: hoe snel een proces of systeem na uitval weer beschikbaar moet zijn. RPO staat voor Recovery Point Objective: hoeveel dataverlies in tijd maximaal aanvaardbaar is.
Omdat ze zichtbaar maken of de continuïteitseisen van de organisatie realistisch zijn vertaald naar IT, back-up en herstelmaatregelen.
Dat organisaties wel aannames hebben over herstel, maar deze niet hebben onderbouwd, getest of contractueel hebben geborgd bij leveranciers.
Bijvoorbeeld business impact-analyses, back-updocumentatie, herstelplannen, testresultaten, leveranciersafspraken en duidelijke prioritering van kritische processen.
Als maat voor herstelvolwassenheid: niet wat men hoopt te halen, maar wat aantoonbaar haalbaar is bij verstoring of calamiteit.