Vorig jaar verscheen een bericht op BG magazine over de ISO 27001 wettelijke verplichting voor leveranciers van arbodiensten.
Vanuit de aangepaste eisen van het certificatieschema Arbodiensten wordt ISO 27001 verplicht gesteld voor leveranciers van arbodiensten. Als zorgorganisatie, dus ook als arbodienst, betekent dit dat ook het managementsysteem voor informatiebeveiliging bij je leveranciers goed op orde moet zijn. Een datalek van persoons- en medische gegevens heeft namelijk niet alleen sterke financiële gevolgen, ook je reputatie kan hiermee op het spel komen te staan! We spraken Iebele Otten en Peter de Geus van WeSeeDo en kregen een kijkje in hun eigen certificeringstraject.
Waarom wilden jullie een ISO-certificering?
Iebele Otten, directeur van WeSeeDo: “WeSeeDo is beeldbellen op de juiste manier. We bieden gemakkelijk en veilig beeldbellen voor bedrijfsartsen en hun cliënten. Met het structurele tekort aan bedrijfsartsen in combinatie met de hoge werkdruk, maakt WeSeeDo het werk van de bedrijfsartsen makkelijker. Het is goed te combineren met fysieke consults, waarin medewerkers voor meerdere collega’s afspraken kunnen inplannen”.
“We onderscheiden ons in het menselijk contact, gemak en veiligheid met focus op persoonlijke communicatie, aandacht en vertrouwen. Onze klanten hechten net als ons veel waarde aan veiligheid en security, en het beschermen van vertrouwelijke gegevens die zij delen met hun klanten.”
Naast dat WeSeeDo geen data opslaan en alleen op Nederlandse servers draait, is ook de ISO 27001 certificering ontzettend belangrijk voor WeSeeDo. “Met deze certificering tonen we aan dat onze dienst en organisatie zorgvuldig omgaat met en voldoet aan alle eisen rondom informatiebeveiliging”, aldus Otten.
Peter de Geus, hoofd financiën en ISO-coördinator van WeSeeDo, vertelt ons wat er zoal komt kijken bij het certificeringstraject: “Allereerst hebben we na een selectieprocedure het adviesbureau ingeschakeld voor de begeleiding van het ISO 27001 traject. Een langdurig traject waar we al met al anderhalf jaar mee bezig zijn geweest”.
Met deze certificering tonen we aan dat onze dienst en organisatie zorgvuldig omgaat met en voldoet aan alle eisen rondom informatiebeveiliging
Waar begin je dan in zo’n ISO traject?
“Het traject start je samen met het adviesbureau met een nulmeting”, vertelt Peter. “Die nulmeting laat zien hoe je het als organisatie aan de hand van de normen van ISO 27001 qua informatieveiligheid op dat moment al doet. Nadat de actuele situatie is beschreven, volgt er een controle of het huidige beleid voldoet aan de normen waaraan je moet voldoen. Mocht dat niet het geval zijn, dan worden verbeteringen opgesteld en vastgelegd in het informatiebeveiligingsbeleid en/of het personeelshandboek.” Vóór de officiële audit – de externe audit – heeft WeSeedo eerst een interne audit uitgevoerd. Ook hiervoor is hetzelfde adviesbureau ingeschakeld. In anderhalve dag ging deze alle ISO-normen langs om te checken of eraan werd voldaan.
Heb je ook tips voor het gehele certificeringstraject?
Peter: “Ja, het is heel belangrijk om te beseffen dat het certificeringstraject een doorlopend proces is. Het is nooit af, je documentatie wordt als het ware een levend document dat constant aan verandering onderhevig is”. Peter vertelt dat de PDCA-cyclus – Plan-Do-Check-Act – ook op dit proces van toepassing is. Deze geeft het continue proces van verbetering goed weer:
Plan: maak een plan met de resultaten die je wilt bereiken
Do: voer het plan uit
Check: vergelijk de resultaten met wat je had willen bereiken
Act: bij afwijking, neem maatregelen/stuur bij om de resultaten alsnog te bereiken.
Hieronder valt de volgende werkzaamheden:
- het uitvoeren van een nulmeting
- het opstellen van een risicoanalyse
- het opzetten en inrichten van het managementsysteem
- het analyseren en evalueren van het managementsysteem
- het implementeren en uitvoeren van verbeteringen naar aanleiding van de analyse
- het uitvoeren van een interne audit
- PEN-testen: penetratietesten waarin de ICT infrastructuur op de security wordt getoetst
Afgezien van de nulmeting, die eenmalig wordt gedaan, worden bovenstaande (beknopte) punten periodiek uitgevoerd en aan de hand daarvan wordt het managementsysteem constant bijgestuurd. Certificering is dus geen statisch proces, maar een proces voor continue verbetering. Voor alle zaken omtrent het proces van informatiebeveiliging, had WeSeeDo een ISMS – een Information Security Management Systeem – opgesteld. Dit is een managementsysteem voor informatiebeveiliging. Hiermee stond alle informatie rondom beveiliging centraal en kon men direct vanuit de gestelde normen in het managementsysteem de risicoanalyse opstellen en het vervolgtraject beheren. Denk hierbij aan o.a. het beleid, fysieke beveiliging, toegangsbeveiliging, maar ook veilig personeel”.
Hoe zorg je voor bewustwording en borging in je organisatie?
Peter de Geus: “De eerste stap in het kader van bewustwording is het personeelshandboek. Hierin staan alle regels en afspraken in over informatieveiligheid waar medewerkers van WeSeeDo zich aan dienen te houden. Bij indiensttreding tekenen zij deze voor akkoord”. Het bleek dat de tussenfase van interne naar externe audit een belangrijke periode was van bewustwording en borging voor alle medewerkers. In die periode werden steekproefsgewijs werkplekken van medewerkers gecontroleerd, bijvoorbeeld op de ingevoerde ‘Clear Screen Policy’. Denk hierbij aan:
- Als je de werkplek verlaat maar je bent nog wel in hetzelfde kantoor, moet je ervoor zorgen dat het scherm met informatie uit het zicht worden onttrokken. Het volstaat door het scherm te minimaliseren.
- Je moet de computer of laptop uitzetten als je deze dezelfde dag niet meer gebruikt.
- Daarnaast moet je ervoor zorgen dat de toegang tot (programma’s met) bestanden met informatie vanaf classificatie ‘Hoog’ volgens het ‘Classificatiemodel van informatie’ altijd via een wachtwoord verloopt.
Ook heeft WeSeeDo een ‘Clear Desk Policy’ ingevoerd en ook weer gecontroleerd. Ligt er bijvoorbeeld geen gevoelige documentatie op het bureau? Staan ordners met financiële gegevens in een gesloten kast en zijn ze gelabeld?
- Je mag geen vertrouwelijke informatie op de werkplek achtergelaten als je de werkplek verlaat.
- Als je langer dan een werkdag weg bent, mag je je laptop niet onbeheerd achterlaten op de werkplek.
- Notities met wachtwoorden mag je niet in de buurt van de werkplek bewaren.
Peter vertelt dat het onderwerp ‘informatiebeveiliging’ voortaan ook op de agenda staat van het wekelijkse teamoverleg van WeSeeDo en er is nu ook een maandelijks overleg waarin specifieke, belangrijke onderdelen van informatiebeveiliging worden besproken. Denk aan organisatorische wijzigingen, beoordelen bedieningsprocedures, analyseren monitoring, toegepaste beveiligingsmaatregelen, beoordeling stakeholders en controle planning managementsysteem.
Met de PDCA-cyclus borgt WeSeeDo de kwaliteit van informatiebeveiliging binnen de organisatie en zorgen ze ervoor dat ze zich blijven ontwikkelen en verbeteren op het gebied van informatiebeveiliging.
Hoe is de externe audit verlopen?
Peter: “Voor de externe audit hebben we eerst een aantal instellingen geselecteerd. Hierbij hadden we als belangrijk criterium dat de certificatie-instelling (CI) geaccrediteerd is door de Raad voor Accreditatie (RvA). Geaccrediteerde certificatie-instellingen hebben namelijk bewezen dat ze aan de eisen van RvA voldoen en deskundig, onpartijdig en onafhankelijk handelen. Schakel je een certificatie-instelling in die niet geaccrediteerd is door de RvA, dan wordt je ISO 27001 certificaat niet door je opdrachtgevers erkend”.
De externe audit is, verdeeld over twee fases, in drieënhalve dag uitgevoerd door de auditor van DNV GL Business Assurance B.V.. De eerste initiële fase bestond uit het beoordelen van alle ISO 27001 documentatie inzake ons ISMS. Formeel gezien is deze eerste fase bedoeld om te bepalen of een organisatie klaar is voor de certificering.
Tijdens de tweede fase – ook wel de implementatie-audit genoemd – is de werking van alle processen en maatregelen van informatiebeveiliging bij WeSeeDo conform ISO 27001 beoordeeld. DNVGL hanteert hierbij vooral een praktische benadering en ze voeren deze audit uit door met name interviews met medewerkers te houden. Er is vooral gekeken hoe het ISMS is geïmplementeerd en hoe het wordt onderhouden en verbeterd.
Het auditrapport is daarna voor goedkeuring ingediend bij de onafhankelijke certificatie commissie van DNVGL. En deze audit heeft laten zien dat WeSeeDo een adequaat ISMS heeft ingericht. Ze hebben dan ook het certificaat mogen ontvangen.
Het certificaat is geldig voor een periode van drie jaar. In die drie jaar vinden jaarlijkse audits plaats om te controleren of een organisatie nog voldoet aan de eisen vanuit de ISO 27001 norm. Na drie jaar vindt een hercertificatie audit plaats, waarna bij goedkeuring het certificaat weer voor drie jaar wordt verstrekt.
Iebele Otten van WeSeeDo: “Terugkijkend naar het afgelopen anderhalf jaar ben ik ontzettend blij dat we de stap hebben genomen om ISO 27001 gecertificeerd te worden. En inmiddels zijn we ook NEN 7510 gecertificeerd. NEN 7510 is de norm voor informatiebeveiliging voor de zorgsector in Nederland. In de digitalisering van zorgtechnologie is veiligheid ontzettend belangrijk. Het verbaast me hoe zorgorganisaties hier nu soms mee omgaan, uit het oogpunt van het tonen van respect en vertrouwen naar de patiënten/cliënten toe”.