Klinkt goed en belangrijk zo’n certificering; en dat is het ook. Maar wat houdt het in de praktijk in? Waarom is het voor een klant verstandig om samen te werken met organisaties die in het bezit zijn van ISO 27001? Wat wordt er allemaal in de dagelijkse praktijk gedaan aan informatiebeveiliging? Voor Archive-IT is het waarborgen van privacygevoelige gegevens veel meer dan slechts een papieren certificaat…
ISO 27001 is dé internationale norm voor informatiebeveiliging. Daar is de NEN 7510 norm nauw aan verbonden. NEN 7510 is de ISO 27001 certificering alleen dan specifiek gericht op de gezondheidszorg. Archive-IT is in het bezit van beide certificeringen en dat zit verweven door alle bedrijfsprocessen.
Geen jaarlijks stress moment
Een externe organisatie komt minimaal één keer per jaar langs om te toetsen of we nog voldoen aan de eisen die ISO 27001 stelt. Wat je vaak ziet is dat een maand voor deze auditeur komt de hele organisatie op z’n kop staat om alles op orde te krijgen. De auditeur is geweest en raad eens? Men gaat weer 11 maanden op dezelfde voet verder voor het jaarlijkse stress moment wederom aanvangt. Bij Archive-IT pakken we dat anders aan: het hele jaar door worden er interne audits uitgevoerd door het interne auditteam. Medewerkers van Archive-IT toetsen hun collega’s zowel aangekondigd als onaangekondigd op de gestelde procedures die van belang zijn voor ISO. Dat werkt!
Bewijzen
Het hebben van procedures is één; het naleven van deze procedures is een ander verhaal. Er wordt altijd naar bewijslast gevraagd. Als een medewerker bijvoorbeeld aangeeft dat een klacht volgens de procedure binnen 48 uur behandeld moet worden, zal de auditeur vragen: “Laat dat maar eens zien.” ISO 27001 heb je niet voor niets in je bezit… je organisatie moet dit daadwerkelijk naleven.
Awareness & verbeteringen
Naast het naleven van de opgestelde procedures, zijn er nog vele andere zaken die bijdragen aan de informatiebeveiliging. Het creëren van awareness bij medewerkers is een hele belangrijke. Door interessante sessies te houden, informatie te verstrekken en het belang van informatiebeveiliging tijdens bijeenkomsten duidelijk naar voren te laten komen, wordt iedere medewerker in elke laag van de organisatie betrokken bij het proces. Hoe goed de processen ook zijn vastgelegd, er is altijd ruimte voor verbetering. Een onlangs doorgevoerde verbetering is bijvoorbeeld dat medewerkers die met privacygevoelige dossiers werken geen mobiele telefoon op hun werkplek mogen gebruiken. Zo verbeteren we continu, houdt het interne auditteam ons scherp en staan we open voor veranderingen.
ISO 27001 is bij Archive-IT niet meer weg te denken; zowel in fysieke als digitale vorm ademen we informatiebeveiliging. Niet alleen tijdens de jaarlijkse audit, maar dag in dag uit. Kies dus slim als je een partner zoekt voor het verwerken van je privacygevoelige gegevens. Kies ISO 27001.