Certificering
In Nederland is het vaak zo geregeld dat als je een bepaalde verantwoordelijkheid draagt, je min of meer verplicht bent om een certificering te ondergaan. Deze certificering toont aan dat je je processen op de juiste manier hebt ingeregeld en dat je je hier een externe toetsing op hebt losgelaten. Min of meer betekent voor ons dat het niet wettelijk verplicht is. Als we een officieel iSHARE autorisatie register willen worden, hebben we een ISO 27001 certificering wel nodig (op z’n minst een groot deel ervan). Daarnaast zullen veel van onze potentiële klanten verwachten, of zelfs vereisen, dat we dese certificering hebben. Zaak dus om dit uit te zoeken en indien nodig in gang te zetten.
We zitten er net anders in. Deze voorschriften zijn niet zomaar uit de lucht komen vallen. Experts hebben na diverse onderzoeken geconcludeerd dat de beschreven processen belangrijk genoeg zijn om op de juiste manier te zijn ingericht. Als voorbeeld een HR-aanname-beleid. Op het eerste oog lijkt dit misschien niet zo essentieel voor het opzetten van een data tech oplossing. Maar wat nou als wij iemand aannemen omdat hij een goed verhaal heeft tijdens zijn interview en deze persoon de master-rechten geven omdat hij developer is. Dan kan deze persoon vanaf dag 1 bij alle data. Hij kan deze dat wissen, waardoor onze klanten data gaan missen. Hij kan ze delen met derden waardoor bedrijfsgeheimen van onze klanten of van onszelf op straat komen te liggen. Hij zou ook bij privacygevoelige data kunnen komen waardoor we een GDPR issue krijgen. Dus in plaats van aannemen op blauwe ogen en master-rechten geven, willen we hem wel eerst toetsen via een VOG en referentie check en geven we hem alleen leesrechten tot een privacy-ongevoelige en geanonimiseerde sub-dataset.
Dit soort processen staan beschreven in ISO 27001, speciaal gericht op informatiebeveiliging. Het is dus slim om kennis van deze processen te hebben en te zorgen dat we minimaal dicht in de buurt komen van de norm. Dan weten we zeker dat we op de juiste weg zitten en dat een uiteindelijke certificering niet betekent dat dan al onze processen weer op de schop moeten.
Aan de andere kant hebben we nog steeds beperkte resources en moeten we selectief zijn in waarin we onze uren willen steken. Aangezien er nu niemand staat te schreeuwen om een verzekering van ons, maar we ook niet straks alles om willen gooien of in bekende onnodige valkuilen willen trappen, gaan we ISO 27001 aftasten met gepaste prioriteit. We beginnen met een oriënterend gesprek en kijken van daaruit verder.
