ISO 27001 voor projectontwikkelaars: hoe VORM grip kreeg op informatiebeveiliging
Een moderne projectontwikkelaar is een knooppunt van informatie. Persoonsgegevens, contracten, financiële gegevens en interne projectinformatie wordt verspreid over teams, systemen en samenwerkingspartners. Niet zo gek dus, dat opdrachtgevers informatiebeveiliging – volgens de ISO 27001 – steeds vaker als voorwaarde noemen om deel te mogen nemen aan aanbestedingen, samenwerkingen en projecten. Het gaat niet meer alleen meer om wat je bouwt, maar ook hoe je met informatie omgaat.
VORM was al even bezig met een traject rond informatiebeveiliging. Het speerpunt hierin? Voldoen aan ‘die wollige’ ISO 27001. Samen met De Compliance Afdeling startte VORM een nieuw traject, dat niet alleen leidde tot certificering maar ook zorgde voor duidelijkheid, eigenaarschap en een duurzame basis om informatiebeveiliging blijvend te borgen.
Waarom ISO 27001 zo relevant is voor projectontwikkelaars
VORM is een grote projectontwikkelaar, met iets meer dan zeventig werkmaatschappijen en projecten van honderden miljoenen euro’s. Binnen die context is informatiebeveiliging een voorwaarde voor professionele organisatie van projecten. “Gemeenten en andere opdrachtgevers vragen steeds vaker hoe je omgaat met data,” vertelt Richard van Breugel, coördinator ICT bij VORM. “ISO 27001 werd bij ons al een paar jaar geleden genoemd als iets wat ‘nodig zou gaan zijn’ bij tenders. Alleen: weten dát je iets moet, is iets heel anders dan het ook goed regelen.”
ISO 27001 is een internationaal erkend kader waarmee organisaties hun informatiebeveiliging structureel in kunnen richten. Zo kunnen ze risico’s, verantwoordelijkheid, beleid en controles binnen één samenhangend systeem managen.
“Eerlijk is eerlijk,” lacht Richard, “Ook voor ons voelde die certificering als een ‘moetje’. Je moet het er toch bij gaan doen, en het is best wel een taak om alles te doorgronden.” Die ervaring is herkenbaar voor veel organisaties, ziet Maarten van Veen van De Compliance Afdeling. “ISO 27001 wordt vaak gezien als een extra verplichting, terwijl het in de praktijk juist een strategisch fundament is. Je legt namelijk vast hoe je risico’s beheerst, wie waarvoor verantwoordelijk is en hoe je dat kunt aantonen.” Ook VORM staat er zo in. “We startten bewust bij IT,” zegt Richard: “Niet alleen is dat een beheersbaar startpunt, we laten zo ook aan de rest van de organisatie zien dat we hier serieus mee bezig zijn.”
VORM en De Compliance Afdeling: ISO 27001 naar de praktijk
Bij de start van het traject bleek al snel dat er nog weinig ingeregeld was. “Natuurlijk hadden we wel documenten en processen, maar die waren veelal ‘los’. Dat wil zeggen; er zat geen uniforme structuur achter,” licht Richard toe. “Bovendien sloten ze nog niet aan op de norm.” De Compliance Afdeling heeft daarom eerst ook vooral geluisterd. Maarten: “We beginnen altijd bij de organisatie zelf: wat zijn hun doelen, hoe werken ze nu en welke eisen stellen hun opdrachtgevers en ketenpartners? Als het nog niet geregeld is, ligt dat eigenlijk nooit aan een gebrek aan goede intenties. Het is vooral kijken: welke informatie hebben we, wat missen we nog, en hoe zorgen we voor samenhang daarin?”
Samen met VORM werden daarna diverse stukken opgesteld, risicoanalyses gemaakt en verantwoordelijkheden vastgelegd. In meerdere sessies en door afstemming met verschillende rollen binnen de IT-afdeling, werkten beide bedrijven samen toe naar de certificering. “Zonder hen hadden we dit niet voor elkaar gekregen,” zegt Richard. “Juist als je er niet in thuis bent, wil je alles heel exact doen: nóg meer uitzoeken, proberen te begrijpen wáárom iets gevraagd wordt of wat ermee bedoeld wordt. Maarten heeft het traject niet alleen begeleid en uitgelegd, maar hij weet vanuit zijn rol ook precies wanneer iets voldoet.” Dan, grijnzend: “Dat is voor ons heel belangrijk, want wij willen alles perfect.”
VORM maakt daarbij gebruik van de tool van De Compliance Afdeling. Dat is de centrale plek waar alles samenkomt,” zegt Maarten. “Beleid, risico’s, maatregelen, taken en documenten. Het voorkomt dat informatie versnipperd raakt, en maakt aantoonbaarheid voor iedereen makkelijker. Ook wanneer er nieuwe informatie bij komt, kan dat op één plek geborgd worden.” Maarten is, net als Richard, pragmatisch ingesteld. “Compliance gaat niet om het verzamelen van zoveel mogelijk normen, maar om het inrichten van je aanpak. Die moet aansluiten bij je organisatie, en jou vooral helpen om aantoonbaar professioneel te kunnen werken.”
Wat levert ISO 27001 VORM concreet op?
De impact van ISO 27001 zit voor VORM vooral in de manier waarop informatiebeveiliging nu is geborgd. “Natuurlijk is het fijn om dat certificaat te hebben en te kunnen zeggen dat je aan die norm voldoet,” zegt Richard. “Maar belangrijker is dat we nu altijd kunnen laten zien: zó hebben we het ingericht, zó werken we.” Processen, verantwoordelijkheden en documentatie zijn vastgelegd, waardoor informatiebeveiliging niet meer afhankelijk is van de kennis van bepaalde personen. Dat merk je vooral richting audits. “Een audit blijft natuurlijk spannend,” geeft Richard toe. “Maar we gaan er nu wel met veel meer zekerheid in, omdat we weten waar alles staat en wie waarvoor verantwoordelijk is. Dat scheelt ook enorm in de voorbereiding.”
Binnen VORM is ISO 27001 inmiddels verankerd in de organisatie; een nieuwe audit komt er weer aan. “Het is een continue cyclus,” vertelt Richard. “Want beleid hébben betekent ook dat je het moet blijven stroomlijnen. Volgens Maarten is het precies dat waar compliance om draait: “Organisaties veranderen, mensen wisselen, systemen worden uitgebreid,” legt hij uit. “Juist dáár valt voor veel organisaties de winst te behalen, of dat nu om ISO 27001 gaat of een andere certificering. De grip zit ‘m in het feit dat je makkelijk kunt meebewegen.”
Ook na dit traject richting certificering blijft De Compliance Afdeling daarom betrokken. Want, naast het leveren van de tool, ondersteunt De Compliance Afdeling VORM ook bij het up-to-date blijven. Zo zijn er onder andere wekelijks mensen aan de slag om informatie bij te werken. “Het is niet zo dat compliance voor ons nu ineens heel simpel is geworden,” besluit Richard, “maar het is nu wél goed geregeld.”