Wij zijn nu ISO 27001 en ISO 9001 gecertificeerd!

Het Centraal Register Techniek is in het leven geroepen om een deel van de sector te digitaliseren. Hierbij is de nodige aandacht voor thema’s als informatiebeveiliging, privacy en kwaliteit. Om dit op een gestructureerde manier te doen, heeft de organisatie gekozen voor ISO 9001 en ISO 27001 certificering. Met als doel: op een gestandaardiseerde wijze omgaan met deze thema’s. Christianne van Schaik, vakspecialist kwaliteit en interne organisatie en Ali Rashidi, consultant kwaliteit en informatiebeveiliging, vertellen hier meer over. 

We leven in een digitaal tijdperk, waarin online en offline naadloos samenkomen. De toenemende digitalisering brengt uitdagingen met zich mee, zoals het risico op hacking. Maar de groeiende digitalisering opent ook de deur naar allerlei kansen, zoals efficiëntere gegevensverwerking, innovatieve toepassingen en nieuwe vormen van dienstverlening. Terwijl aandacht voor informatiebeveiliging cruciaal blijft, leidt digitalisering tot vooruitgang en verbetering binnen de samenleving. 

Techniek, processen én mensen

Het Centraal Register Techniek is op het gebied van digitalisering een voorloper in de sector en heeft te maken met risico’s. “Er is bij de organisatie natuurlijk sprake van een technisch element in de vorm van een digitaal register”, zegt Ali. Hij is vanuit Bink Advies aangetrokken om te ondersteunen in het ISO-traject. “In het register zijn veel gegevens opgenomen. Daar zijn verschillende stakeholders bij betrokken - mensen van wie deze gegevens zijn, mensen uit de sector, maar ook andere organisaties. Zij hebben terecht belangstelling voor hoe het Centraal Register Techniek bepaalde zaken heeft geregeld. Het Centraal Register Techniek heeft ervoor gekozen om dit door middel van het ISO-traject voor kwaliteitsmanagement en informatiebeveiliging aantoonbaar te maken.” 

Managementsysteem

De kapstok is er inmiddels, in de vorm van een geïntegreerd managementsysteem voor beide normen - informatiebeveiliging (ISO 27001) en kwaliteitsmanagement (ISO 9001). Christianne: “Een managementsysteem wordt gevormd door onder meer beleid, processen, afspraken, inventarisaties, risicoanalyses en -beoordelingen, interne audits enzovoort. Het is het geraamte van waaruit we ontwikkelingen blijven volgen en actie ondernemen.”

Het systeem is eerst op papier getoetst door een externe auditor. Ali: “Vervolgens hebben er gesprekken plaatsgevonden met de medewerkers van het Centraal Register Techniek, om te kijken of we ook doen wat we zeggen dat we doen.” Want, zegt Ali, bij ISO draait het om techniek, processen én mensen. Ali: “Je moet alle drie de componenten meenemen, wil je kunnen zeggen: ik heb iets gedaan met informatiebeveiliging. Neem je er maar een of twee mee, dan doe je het niet goed genoeg.” Christianne vult aan: “Je kunt een systeemtechnisch gezien helemaal dichttimmeren; als een medewerker van zijn werkplek wegloopt zonder uit te loggen uit zijn computer, dan gaat het in de praktijk alsnog mis. Het is een samenspel van technologie, processen en bewustzijn en menselijk gedrag.” 

Bewustzijn vergroten

Zo moeten op alle plekken in de organisatie waar techniek wordt gebruikt en informatie wordt verwerkt, zaken goed geregeld zijn. Ali: “Denk aan veilige softwareontwikkeling waar security en privacy van het systeem van meet af aan zijn meegenomen. Daarnaast spelen zaken als de juiste antivirussoftware, regelmatige beveiligingsupdates op de apparaten en een goede back-up van zowel onze eigen gegevens als die van klanten ook een grote rol.” Het gedrag van mensen is daarin een belangrijke factor. Ali: “Een nieuwe medewerker moet van begin af aan bewust worden gemaakt van hoe we met informatie omgaan.” Om dit bewustzijn te vergroten, houdt het Centraal Register Techniek geregeld awareness sessies. Christianne: “Tijdens deze sessies praten we medewerkers bij over informatiebeveiliging en kwaliteitsmanagement, zodat iedereen goed uitgerust is om zijn rol te pakken en zijn verantwoordelijkheid te nemen.” 

Steeds een stapje verder

Met deze stap ligt er een mooie basis van waaruit het Centraal Register Techniek zich verder kan ontwikkelen en kan verbeteren. Ali: “Het managementsysteem is een levendig iets waarmee we telkens een stapje verder gaan.” Christianne: “Zien we iets gebeuren dat raakt aan informatiebeveiliging, dan gaan we op onderzoek uit om te kijken of we actie moeten ondernemen of niet. Op die manier proberen verder te groeien naar steeds meer bewustzijn. De wereld om ons heen verandert, maar de organisatie ook. We worden groter, krijgen andere klanten. Dus we zullen moeten blijven meebewegen met wat er om ons heen gebeurt.”

Betrouwbaar

Het uiteindelijke doel van het ISO-traject? “Door ons naast ISO ook op andere manieren met kwaliteit, informatiebeveiliging en privacy bezig te houden, zorgen we ervoor dat de organisatie weerbaar is en een voorloper blijft in de sector. We willen met elkaar steeds beter worden, zodat we die betrouwbare en inspirerende partij blijven om mee samen te werken.”