Informatiebeveiliging, een uitdaging


Informatiebeveiliging? Hmmm, ik weet het niet, vind ik dat gedoe met regeltjes en certificering leuk? Het lijkt zoveel muggenzifterij, saai ook. Wordt het niet wat overdreven met al die certificeringen? Zo dacht ik af en toe stiekem een aantal jaar geleden nog wel als informatiebeveiliging aan de orde kwam. Natuurlijk, sterke wachtwoorden, veilig werken, gegevens niet op straat laten liggen: daar wilde ik echt wel voor zorgen, zeker weten zelfs. Maar ISO of NEN certificeren, nou, dat vond ik nog wel een stap.

Totdat ik tegen mijzelf zei: wat gek eigenlijk, want functioneel beheer en informatiehuishouding daar houd ik mij heel graag mee bezig. Is informatiebeveiliging daar nu niet gewoon ook een noodzakelijk onderdeel van? En als je kijkt naar informatiebeveiliging, is dat nu echt zo saai en ondoorgrondelijk? Tegelijkertijd kwam de AVG steeds meer in beeld en kwamen er meer en meer voorbeelden van gegevens die op grote schaal gehackt of elders kwamen te liggen waar deze niet hoorden.

Eén plus één is twee

Dus ja, toen was één plus één twee: wij, Infozorg, moeten er zelf mee aan de slag. Als je iets goed wilt bevatten en snappen moet je er zelf echt induiken, moet je het zelf doen. Wij moeten dus niet alleen zeggen dat we informatiebeveiliging hoog in ons vaandel dragen. We moeten het niet alleen in onze dienstverlening aanbieden, wij moeten het zelf doen en laten zien hoe het werkt. Aan onszelf en aan anderen.

Aantoonbaar maken

En hoe kun je nu aantoonbaar maken dat je conform ISO 27001 en NEN 7510 werkt als je ook vindt dat je niet gecertificeerd hoeft te zijn? Dus die laatste beslissing was snel gemaakt: wij gaan zorgen voor een certificering van ISO 27001 en NEN 7510. Aan de slag dus, werk aan de winkel.

En aan de slag gingen wij. Een project opstarten kunnen we, dat was snel geregeld. De volgende stap was het nadenken over het managementsysteem voor informatiebeveiliging. Want dat systeem is de essentie van de ISO en NEN norm. Hoe zetten wij dat nu voor onszelf op? Wij wilden niet alleen sec een managementsysteem voor informatiebeveiliging optuigen, nee we wilden dit direct als een wezenlijk en integraal onderdeel in onze hele bedrijfsvoering inbedden. Dat moet wel als je vindt dat informatiebeveiliging een wezenlijk onderdeel van jouw eigen dienstverlening en dus van je dagelijkse werk is. Wij wilden immers niet alleen op het gebied van informatiebeveiliging ons continu verbeteren, nee, dit principe is al jaren onderdeel van al ons handelen en werken. Een uitdaging breder dan alleen informatiebeveiliging dus. De naam voor ons managementsysteem hadden we daarmee snel gevonden: Infozorg’s continue optimalisatie, ICO.

Een stok achter de deur

En als je dan zelf aan de slag gaat, ik neem aan dat jullie dit herkennen, dan merk je dat je van een heleboel dingen zeker van alles hebt en doet. Maar, naar de letter van de norm blijk je dan nog wel een uitdaging te hebben. Daarnaast gaan klanten bij ons altijd voor, dus voor we het wisten schoof de certificeringsplanning in de tijd vooruit. Telkens als we een verwerkersovereenkomst ondertekenden beseften wij ons: we werken aantoonbaar conform ISO en NEN, dat klopt, maar die certificering die missen we nog.

Blij met die stok

Toen hebben wij alles op alles gezet en gezegd: wij plannen de certificering in kwartaal 1 2019 met DigiTrust - onze audit organisatie - in, dan moet het dus klaar zijn, punt. En zo is het gegaan. We hebben echt hard gewerkt, want we hebben de tijd tegelijkertijd benut om Saar, onze hulp in onze informatiehuishouding en dus ook in ons managementsysteem voor informatiebeveiliging, aan te passen. Saar helpt ons - en dus ook onze klanten - nu ook met het aantonen dat we werken conform ISO 27001 en NEN 7510. En alle onderdelen die wij uitgewerkt hebben staan straks ook in onze bibliotheek, als legoblokken beschikbaar voor onze klanten. Een mooi resultaat vinden wij.

Het certificaat als sluitstuk

En ja, nu hebben wij dan officieel ook ons certificaat voor ons managementsysteem voor informatiebeveiliging: voor ISO 27001 en voor NEN 7510. Een mooie en belangrijke stap. Daar zijn wij blij mee. Trots op ons werk, blij dat wij nu door kunnen pakken. Want met de eigen ervaring op zak kunnen wij onze klanten nog beter helpen. Want, laten we wel zijn, ook zorgorganisaties moeten toch aantoonbaar conform NEN 7510 werken? En ja, ook dan geldt dat certificering eigenlijk de enige echt goede mogelijkheid daartoe is. Dat ben je als zorgorganisatie toch eigenlijk aan al jouw cliënten verplicht?