En er gaat immers bijna geen dag voorbij dat er in het nieuws niet een melding wordt gemaakt van een datalek, of dat er klantgegevens op straat liggen. En dat allemaal tegen de achtergrond van de AVG, die sinds 25 mei 2018 van kracht is. Hoe gaan we daar bij Bitfactory nu mee om?
Nagenoeg alle applicaties, sites en apps die Bitfactory ontwikkelt bevatten persoonsgegevens. Wij willen kunnen garanderen dat die gegevens bij ons in goede handen zijn. Daarom certificeren we onszelf voor ISO-27001: de internationale ISO standaard voor informatiebeveiliging.
Privacy by Design
Wat houdt zo’n certificering dan eigenlijk in? Als je al je processen al redelijk op orde hebt, valt het best mee. Maar als je nu pas aan de slag gaat met efficiënte processen en informatiebeveiliging kan het wel eens heel vies tegenvallen. Gelukkig liep het bij ons dus redelijk soepel.
ISO-27001 schrijft voor dat je processen goed in kaart brengt en documenteert. Samen met een gespecialiseerd bureau hebben we ons ISMS opgebouwd: het Information Security Management System, ofwel een managementsysteem voor informatiebeveiliging. Geen systeem in de vorm van een softwaretool, maar een continu verbeterproces. Geen op zichzelf staand systeem, maar juist een manier van werken waarmee de veiligheid van de persoonsgegevens wordt gewaarborgd.
Het ISMS moet sowieso op orde zijn voor de certificering, maar evenzo belangrijk is de bewustwording van al onze medewerkers; bij het ontwerpen van webapplicaties hanteren we het privacy-by-design principe. Tijdens het bouwen hebben we continu op het netvlies dat we met persoonsgegevens werken en staat de webapplicatie live, dan zijn we al helemaal alert.
AVG
En als we het hebben over privacy, hoe verhoudt ISO-27001 zich dan tot de AVG? Deze nieuwe wetgeving is in het leven geroepen om de bescherming van persoonsgegevens te kunnen garanderen binnen de EU. Wij moeten hier uiteraard ook aan voldoen. Veel onderwerpen in de AVG borgen we in het ISMS. ISO-27001 helpt ons om invulling te geven en te voldoen aan de AVG.
Met het ISO-27001 certificaat op onze voordeur geplakt kunnen klanten zich verzekeren van de meest professionele aanpak rondom klantdata. Daarnaast borgen we ook nog eens dat we eenvoudig kunnen voldoen aan de eisen die de AVG ons stelt.
Het hebben van het certificaat verlaagt zeker het aantal (security)incidenten en dus ook de daarmee gemoeide kosten. En mocht er toch een incident optreden, dan weten we hoe daar het beste mee om te gaan.
Flinke investering?
Het is best een traject, maar de implementatie van ISO-27001 is uiteindelijk een gezamenlijke investering van Bitfactory, haar leveranciers en ook van haar klanten. Samen gaan we naar een hoger niveau.
Om aan de ISO eisen te voldoen hebben we alle werkprocessen opnieuw en beter gedocumenteerd en heldere afspraken gemaakt met alle leveranciers. En daar waar nodig zijn de touwtjes strakker aangetrokken. We implementeren nieuwe tooling die het leven van onze system-engineers makkelijker maakt. En we trainen onze medewerkers, zodat de werkprocessen goed worden nageleefd. Klanten zullen ervaren dat we strikter met hun klantgegevens omgaan en dat daar vaak wat meer effort in gaat zitten dan voorheen. Zo zien we er bijvoorbeeld op toe dat er geen klantdata gemaild wordt, gaan we zeer zorgvuldig om met wachtwoorden en gebruikersaccounts, en zorgen we dat er geen klantdata in de ontwikkel- of testomgevingen terecht komt. Met deze en vele andere maatregelen voldoen we aan de ISO eisen.
De interne kosten (lees: uren) van een ISO traject zijn redelijk hoog, maar de investering is het dubbel en dwars waard. Ons kennisniveau over informatiebeveiliging is bedrijfsbreed enorm gestegen en onze klanten zijn verzekerd van de beste omgang met data die maar mogelijk is. Natuurlijk kan er altijd iets gebeuren, maar ook dan hebben wij een snel en duidelijk scenario klaarliggen om op te volgen.
Wij zijn nu in de afrondende fase van de implementatie en na onze externe audit medio februari kunnen wij onszelf ISO-27001 certified noemen!
Meer weten over ISO-27001?
ISO kan best ‘taaie kost’ zijn, maar bewust omgaan met (persoons)data vinden wij erg belangrijk. Heb jij vragen, of wil je meer over ISO-27001 weten? Neem dan contact met ons op. We delen graag onze kennis en inzichten met je!
