Een grote organisatie in de life sciences-sector stond voor een uitdaging: het voorkomen van het verlies van de ISO 27001- en NEN 7510-certificeringen. Zonder deze certificaten zouden ze geen opdrachten meer mogen uitvoeren voor ziekenhuizen en andere zorginstellingen, wat de bedrijfsvoering grotendeels stil zou leggen. De oorzaak: ernstige auditafwijkingen, mede veroorzaakt door personeelsverloop en een gebrek aan aandacht voor informatiebeveiliging. “De situatie werd door de auditor als bijzonder aangemerkt,” vertelt Ronald Everduim, technisch directeur bij DataRely. De organisatie had slechts drie maanden om het tij te keren.
De keuze voor externe expertise
De urgentie om de auditafwijkingen snel aan te pakken en de ISO-certificeringen veilig te stellen was dus hoog, zoveel was duidelijk. Maar de interne capaciteit ontbrak: er was te weinig expertise. Bovendien maakte een tekort aan mensen het extra lastig om dit traject zelfstandig te doorlopen. Als snel kwam men in contact met Ronald. “Ze realiseerden zich dat externe ondersteuning noodzakelijk was om het traject goed te doorlopen,” aldus Ronald. “Het besef dat een ervaren partij kon helpen om overzicht te creëren, prioriteiten te stellen en het proces in goede banen te leiden, groeide al snel” aldus Ronald.
Wat deed DataRely en hoe pakten ze het aan?
Ronald begon met een uitgebreide inventarisatie: welke documentatie was nog actueel en waar zaten de grootste hiaten? Vervolgens voerde hij een gap analysis uit om de verschillen tussen de ISO 2017- en 2022-normen te identificeren. Samen met HR, IT en Facility Management werd gewerkt aan het updaten van beleid, toegangsprocedures en IT-structuren. “We werkten schouder aan schouder met het team samen,” zegt Ronald. Ook voerde hij persoonlijk de interne audit uit, waarbij zijn externe positie een belangrijke meerwaarde bood. Ronald kon onafhankelijk en met een frisse blik naar de processen kijken, zonder gehinderd te worden door bedrijfsblindheid. Dit zorgde ervoor dat verbeterpunten objectief in kaart werden gebracht, wat het vertrouwen van de externe auditor versterkte.
De huidige projectfase en het vervolg
En nu? Het traject is succesvol te noemen: de certificaten zijn verlengd. Ronald: “Maar het traject is niet afgerond. Nu bouwen we verder aan een solide fundament om bij toekomstige audits diréct goed voorbereid te zijn. Het draait om duurzame naleving, niet alleen om het behalen van een certificaat.”
Waarom is deze case relevant voor andere organisaties?
Deze case laat zien dat duidelijke processen onmisbaar zijn om escalaties te voorkomen en om structuur te bieden tijdens complexe trajecten. Ronald merkt op: “Er zijn nogal wat organisaties die denken dat een certificering een eenmalige exercitie is, maar dit onderwerp vraagt juist continu om aandacht.” Ook benadrukt hij dat de waarde van een interne audit door een onafhankelijke partij vaak wordt onderschat. “Externe ogen zien vaak meer, en een deskundige interne audit maakt bovendien indruk op de externe auditor. Logisch, want het is een teken dat het traject serieus genomen wordt.”
Welke eerste stap kunnen organisaties zelf al zetten?
Ronald adviseert organisaties om direct te beginnen met het vastleggen van beleid en procedures. “Schrijf op hoe je bijvoorbeeld omgaat met toegangsbeheer, onboardingprocedures, hardware-uitgifte en overlegstructuren. Daarnaast: stel een verantwoordelijke aan voor informatiebeveiliging, plan periodieke interne controles en zorg voor een actuele risicoanalyse. Inventariseer welke medewerkers toegang hebben tot gevoelige data en test je back-up- en herstelprocedures. Dit alleen al helpt om lacunes vroeg te ontdekken en vormt een stevig fundament.”
Meer weten?
Duidelijke processen, grondige audits en een onafhankelijke blik zijn essentieel om een ISO- en NEN-certificeringstraject succesvol te doorlopen. Of je nu aan de start van een certificeringstraject staat of juist je bestaande processen wilt verbeteren: met de juiste kennis en aanpak kom je verder.
Wil je ontdekken hoe DataRely jouw organisatie kan ondersteunen bij een ISO-traject? Bezoek www.datarely.nl en neem contact op voor een kennismaking.
