AFAS Software AFAS Software - Inspireert beter ondernemen

Certificeren kun je leren

Certificeren kun je leren

Dat jouw onderneming kwaliteit levert, is logisch. En dat je veilig en verantwoord omgaat met gegevens óók. Maar steeds meer klanten willen graag keihard bewijs zien dat hun leverancier voldoet aan de hoogste internationale kwaliteitsnormen.

Steeds vaker laten bedrijven hun producten, systemen, processen en databeveiliging daarom door een onafhankelijk instituut certificeren. Een keurmerk van bijvoorbeeld ISO, NEN of VCA betekent een interessant concurrentievoordeel. Mooi meegenomen: zo’n intensief certificeringstraject zet meteen je bedrijfsvoering op scherp.

Appical, een bedrijf dat online onboarding-programma’s voor nieuwe medewerkers ontwikkelt, kreeg van potentiële klanten regelmatig het verzoek eerst aan te tonen dat hun interne processen voldeden aan de strenge eisen voor databeveiliging. Nu Appical één dezer dagen zijn ISO 27001-certificering ontvangt, is de doorlooptijd van deals veel korter geworden, vertelt Roy Terenstra, Chief Product Officer van Appical. Bovendien geeft het hun medewerkers een boost om continu met verbetering bezig te zijn. Toch waren ze aanvankelijk wel bang dat de certificering hun handelingssnelheid niet ten goede zou komen.

“Om in ondernemerstermen te blijven: we willen met Appical een flexibele speedboot zijn, en geen log vrachtschip. We werden daarom in eerste instantie niet heel enthousiast van alle regels en procedures die horen bij het certificeringsproces. Maar in klantgesprekken kwam onze databeveiliging steeds vaker ter sprake. Uiteraard was die bij ons helemaal in orde, maar het ging klanten om het bewijs daarvan. We werken voornamelijk met grote corporates en hun IT-afdeling met speciale cyber security teams leggen de lat voor nieuwe leveranciers vaak extreem hoog.

Soms kregen we vragenlijsten van vijftig pagina’s met uiteenlopende vragen als: wat doen jullie als het gebouw overstroomt en je dataset beschadigt? Wat doen jullie als een medewerker zijn laptop met gevoelige informatie kwijtraakt? Hoe vaak maak je een backup en hoeveel versies bewaar je (met het oog op de AVG)? Is er een handboek voor dit soort situaties en hoe houd je dat bij? Het kostte veel tijd en energie om al die lijsten in te vullen, ook omdat we soms simpelweg het antwoord niet (meteen) hadden. Dat kon efficiënter. Bovendien is de veiligheid van onze data voor ons als software-ontwikkelaar uiteraard essentieel. Daarom besloten we te kiezen voor de ISO 27001-certificering, die aantoont dat onze processen voldoen aan de norm voor informatiebeveiliging.

Compleet handboek
We huurden een externe ISO-consultant in om ons te helpen bij het in kaart brengen van de vele ISO-vereisten. Wat moeten we allemaal aanleveren, in welke structuur gaan we dat gieten, hoe gaan we dat in de toekomst bijhouden en wie doet wat? We begonnen enthousiast, maar in de dagelijkse drukte gaven we dit proces in het begin niet echt prioriteit. We zijn er wel twee jaar mee bezig geweest, maar het had veel sneller gekund als we ons meteen echt hadden gefocust. Toen we dat eenmaal deden, was het ook in drie maanden klaar. Toen hadden we een compleet handboek waarin alle procedures beschreven staan, die in de praktijk ook daadwerkelijk worden opgevolgd.

Dat laatste was meteen de grootste uitdaging: awareness creëren onder onze medewerkers, zodat ze precies weten wat ze in welke situatie moeten doen. We hebben onder andere online leermodules gemaakt en digitale posters opgehangen en iedereen maakt regelmatig een kennistoets ter controle. Appical is in een paar jaar tijd verviervoudigd, dus we krijgen voortdurend nieuwe medewerkers die we direct moeten informeren. Gelukkig kunnen we daar mooi onze eigen app voor gebruiken.

Brandblusser
Toen we alles op orde hadden, zijn de auditors van certificeringsinstituut BSI langsgekomen voor fase 1, een pre-audit. Zij liepen een hele dag rond binnen Appical, stelden testvragen aan medewerkers en bekeken het pand. Daaruit kwam een aantal praktische verbeteringe, zoals het aanschaffen van een nieuwe brandblusser. Omdat alles er verder goed uitzag, volgt binnenkort fase 2: een vierdaagse audit waarbij ze gaan checken of alle opgeschreven procedures inderdaad worden opgevolgd. Dat is natuurlijk best spannend, maar we zijn goed voorbereid. Als er niets geks gebeurt - en daar ga ik niet vanuit- , ontvangen we eind juli de definitieve certificering.

Schone lei
ISO 27001 heeft ons nu al enorm veel tijdswinst opgeleverd. Het tonen van ons voorlopige certificaat voorkomt de lange vragenlijsten, want bedrijven weten nu meteen dat wij goed met hun gegevens omgaan. Daarom is de doorlooptijd van deals veel korter geworden. Het certificeringsproces was een grote investering in tijd en geld, maar ik weet zeker dat het ons op de lange termijn meer oplevert dan het heeft gekost.

Bovendien werkt het in de dagelijkse praktijk heel prettig én snel dat we alle processen en datastromen zo duidelijk in kaart hebben, daar was door onze snelle uitbreiding in de afgelopen jaren best wat wildgroei ontstaan. ISO 27001 was een goede stok achter de deur om met een schone lei te beginnen. En nu is het natuurlijk zaak om het bij te houden, zodat we over drie jaar onze certificering mogen verlengen en wellicht in de toekomst ook andere certificeringen aan toe te voegen. Ik heb er alle vertrouwen in dat dat lukt, we hebben nu de smaak te pakken!”

Tekst: Ronne Theunis

AFAS Software AFAS Software - Inspireert beter ondernemen