Geen idee wat ISO-27001 nou eigenlijk is en waarom we daar zo trots op zijn? In één woord: informatiebeveiliging. Het laat zien dat de vertrouwelijke gegevens van onze klanten (en die van hun klanten) bij ons in goede handen zijn. Zo’n certificaat krijg je niet zomaar. We moesten maatregelen treffen op het gebied van organisatie, personeel, bedrijfsmiddelen, toegangsbeveiliging, onderhoud, leveranciers, incidentenbeheer en de naleving ervan. We zijn ons bijvoorbeeld maximaal bewust wanneer klantdata in het spel is en we kiezen onze leveranciers kritisch. Daarnaast beperken we fysieke en logische toegang zoveel mogelijk en werken we met opgestelde procesbeschrijvingen. Saaie kost zeg je? Wij vinden van niet. Het helpt ons juist in ons werk.
Wat heb jij daar dan aan?
Zo’n certificaat is niet alleen voor onszelf. Uiteindelijk doen we het natuurlijk voor onze klanten. Het zit ‘m allemaal in het voorkomen van incidenten en/of het detecteren en afhandelen van eventuele problemen.
Preventie
Niemand wil dat klantdata in verkeerde handen valt. Door bewustwording én heldere gedocumenteerde processen kunnen we voorkomen dat zoiets gebeurt. We hebben de tools en de middelen op orde en garanderen dat klantdata bij ons in veilige handen is. Zo transporteren we klantdata altijd versleuteld en hanteren een strikte OTAP-straat met alleen klantdata in de productieomgeving. Daarnaast zul je ons nóóit USB-sticks of publieke wifi-netwerken zien gebruiken.
Klantdata hoort de juiste aandacht te krijgen. Dat doen we door privacy by design toe te passen. Dat betekent dat we ons bezighouden met vragen als: welke data slaan we op, hoe lang, hoe transporteren we dat en wanneer ruimen we data op? En niet onbelangrijk: welke risico’s lopen we?
Detectie en afhandeling
Maar ook wij zijn geen superhelden en kunnen niet alles voorkomen. Soms treedt er toch een incident op. Dat kan een e-mail zijn die net iets teveel persoonlijke gegevens bevat of een website met verouderde open source libraries of frameworks. Gelukkig leidt niet elk incident direct tot een datalek, maar is het vaak een opeenstapeling van, of de manier hoe ermee omgegaan wordt. Hoe dan ook, wij monitoren continu onze servers. En zoals je van ons mag verwachten: informatiebeveiliging is bij ons ‘top-of-mind’. Is er toch een incident? Dan zullen we snel en adequaat handelen. Daar hebben we een standaardproces voor. Onze security en privacy officers worden automatisch op de hoogte gesteld en we analyseren risico’s op imago- en financiële schade. We bepalen vervolgens de juiste oplossing en gaan ervoor zorgen dat dit niet nog een keer gebeurt.
Continue verbeteringsproces
En nu? Nu begint het pas. Een ISO-27001 certificering stopt niet bij het behalen van het certificaat. De kern is dat we onszelf continu verbeteren aan de hand van de kwaliteitscirkel van Deming: Plan, Do, Check en Act. We plannen en realiseren verbeteracties, meten hoe dat gaat en definiëren weer nieuwe verbeteracties. Ook gaan we elk jaar interne en externe ISO audits organiseren, zodat we ons certificaat blijven behouden.
Meer weten?
Ben je benieuwd hoe wij onze processen aanpakken of wil je ervaringen uitwisselen? Kom langs en we laten je graag zien hoe we in onze Factory met klantdata omgaan. Tot snel!
