De Grote Papieren Draak is verslagen

22 oktober 2020 | Beveiliging | Geschreven door: Durk Hellinga

web blog header gecertificeerd

En wij zijn ISO 27001 en NEN 7510 gecertificeerd!

We nemen online business serieus. We snappen dan ook als geen ander dat de data die je verzameld goud waard zijn en dat het van groot belang is dat privacygevoelige gegevens optimaal beveiligd worden. Daarom doen we dagelijks niets anders dan onze hostingplatformen en servers optimaliseren.

Maar toch waren we nog niet ISO gecertificeerd.

We zagen enorm op tegen de Grote Papieren Draak (lees: de papierwinkel en administratieve rompslomp). En daarom hebben het ISO-certificeringstraject een aantal keren voor ons uitgeschoven.

Ons bedrijf groeit. We krijgen steeds grotere klanten waaronder klanten met zorgdata. We merkten dat we steeds vaker bepaalde zaken contractueel moesten vastleggen om onze opdrachtgevers zekerheid te geven.

Belangrijk, maar niet erg efficiënt.

We zijn op een queeste gegaan en hebben onze degen gekruist. Met succes, want de Grote Papieren Draak is verslagen en wij zijn ISO 27001 en NEN 7510 gecertificeerd!

Er was eens…

…een leverancier die een informatiebijeenkomst hield over ISO 27001. Daar gingen mijn compagnon Matthijs en ik naar toe. Ons belangrijkste vraagstuk was: Hoe kunnen we ISO 27001 en NEN 7510 goed maar wel zo efficiënt mogelijk implementeren.

We kwamen in contact met Jan Udes, een implementatiemanager en auditor ISO 27001 en NEN 7501. Het klikte meteen en zijn methodiek sprak ons aan. Jan is pragmatisch ingesteld en kent de materie van binnen en buiten. Hij is bovendien van mening dat certificering niet zorgt voor extra werklast maar juist iets toevoegt aan een organisatie.

Daar konden wij ons natuurlijk helemaal in vinden! Na een kennissessie met Jan en met de door hem geleverde documentatie gingen we in februari dit jaar aan de slag.

ISO 27001 voor informatiebeveiliging

Als het gaat om de beveiliging van data en privacygevoelige gegevens voegen we daad bij woord. Dat blijkt uit ons dagelijks handelen en uit de ISO 27001 certificering.

ISO 27001 is een wereldwijd erkende norm voor informatiebeveiliging die aantoont dat wij procesgericht werken als het gaat om het opzetten, implementeren, beheren, monitoren, evalueren, onderhouden en verbeteren van het managementsysteem voor informatiebeveiliging.

Nu we gecertificeerd zijn is door een onafhankelijke partij getoetst dat:
  • de informatie op onze servers alleen toegankelijk is voor daartoe geautoriseerde personen;
  • de accuraatheid en volledigheid van informatie en informatieverwerkingsmethoden gewaarborgd zijn;
  • geautoriseerde gebruikers toegang tot informatie en de daarmee verbonden middelen hebben wanneer dit nodig is.
Lees meer ISO 27001…


NEN 7510 – informatiebeveiliging in de zorg

Het beveiligen van informatie is voor elk bedrijf en elke organisatie van belang, maar voor zorgorganisaties helemaal.

Privacygevoelige informatie van patiënten en cliënten worden vaak gedeeld met meerdere zorgverleners. Daarom is het van belang dat duidelijk is wie de proceseigenaar is en welke informatie hij beschikbaar stelt aan anderen.

De norm NEN 7510 is een afgeleide van ISO 27001 en is toegesneden op informatiebeveiliging binnen de gezondheidszorg. Werken conform deze norm helpt ons om grip te houden op beveiligingsrisico’s en de risico’s tot een minimum te beperken.

Nu we gecertificeerd zijn weet u helemaal zeker dat de gegevens van uw patiënten en cliënten bij ons in goede handen zijn.

Lees meer over NEN 7501…

Gelukkig hadden we…

…al heel veel op orde. Informatiebeveiliging is immers wat we doen. Echter, de procedures waren nog niet allemaal aantoonbaar en vastgelegd. Het zat deels in ons hoofd. Jan heeft ons geholpen om de bestaande en nieuwe procedures goed vast te leggen. Dat ging eigenlijk vrij vlot.

Onderdeel van het certificeringstraject is de risicoanalyse. We moesten voor bepaalde dreigingen inschatten hoe groot de kans is dat zich een ongewenst scenario voordoet, wat de impact daarvan zou zijn en welke maatregelen we moeten treffen om het risico tot een minimum te beperken.

Om aan te tonen dat we volgens de norm werken, moeten we een incidentenregistratie bijhouden. Dat deden we en doen we uiteraard nog steeds!

En toen…

…stonden we oog in oog met de certificerende instantie. In ons geval DNV GL. Als je nu heroïsche verhalen verwacht, moeten we je teleurstellen. We hebben nog geen schrammetje opgelopen.

DNV GL heeft een documentreview gedaan en heeft vervolgens een twee dagen durende audit uitgevoerd. We zijn er soepel doorheen gerold en hebben de certificaten in ontvangst mogen nemen.

Hoppa!

We dachten dat het certificeringstraject grote impact zou hebben maar we hebben het eerder ervaren als een enorm bewustwordingsproces met een geweldig effect. Hoewel we dagelijks bezig zijn met het optimaal beveiligen van privacygevoelige en kostbare data, waren we onder andere op zoek naar een slimme manier om incidenten te registeren. Nu hebben we een methode, een gestructureerde aanpak, om continu aan technische verbeteringen voor informatieveiligheid te werken.

En daarom zijn we best wel trots op onszelf dat we ISO 27001 en NEN 7510 gecertificeerd zijn!

Durk
Geschreven door:
Durk Hellinga

Durk Hellinga is partner bij Cacholong; specialist in managed hosting, serverbeheer en WordPress optimalisatie. Cacholong houdt online businesses up-and-running. 7 dagen per week, 24 uur per dag.

Waarom Cacholong? Dit is onze kracht!

4

Interesse? Laten we kennismaken!

Hoe kunnen we jouw helpen? We maken graag persoonlijk kennis. Vertel ons wat je wensen en eisen zijn. Dan geven we jou het juiste advies en overtreffen we jouw verwachting.

In contact komen
DNV-certified