Bij Zooma schittert het ISO 27001 certificaat sinds kort aan de muur. Met dit certificaat bewijzen we dat alle risico’s rondom vertrouwelijkheid en beschikbaarheid van gevoelige informatie op adequate en integere wijze zijn afgedekt. William Kulk, onze adviseur vanuit QSN, en onze algemeen directeur, Tim Griffioen, vertellen over het succesvolle traject.

Logische vervolgstap

Tim trapt af: ‘We waren al een tijdje aan het nadenken over de ISO 27001 certificering. Ons personeelsbestand blijft groeien, we hebben een nieuw kantoorpand en we bouwen mee aan bedrijfskritische apps, websites en digitale platforms voor mooie klanten zoals Vattenfall, ONVZ, Princeton University, FNV Veiligheid en de EU.'

Informatieveiligheid stond natuurlijk altijd al hoog in het vaandel bij Zooma. Maar het werd tijd voor ons dit ook echt aantoonbaar te maken, en verder te professionaliseren. De ISO 27001 certificering behalen was daarom een logische vervolgstap. Samen met alle medewerkers hebben we er de afgelopen 12 maanden hard aan gewerkt. En met succes!

Een systeem dat aansluit

Tim: ‘Het was voor ons erg belangrijk dat het managementsysteem goed bij onze organisatie aansloot. We zijn geen fan van enorm complexe Excel bestanden. We hebben er daarom voor gekozen om de uitwerkingen van William in Notion te verwerken. In deze 'all-in-one workspace' komt eigenlijk onze hele organisatie samen. Denk bijvoorbeeld aan een uitgebreide code kennisbank, personeelsgids, retrospectives en afspraken rondom interne en klantprojecten.'

'Eigenlijk zien wij dit systeem als ons 'second brain’. In Notion staan onze ISO doelstellingen, de operationele planning en de juiste personen ontvangen automatische notificaties wanneer bepaalde taken uitgevoerd dienen te worden. Het systeem inrichten was naast onze reguliere werkzaamheden wel echt een flinke uitdaging. Via online vergaderingen vanaf onze vakantieadressen in Frankrijk en Spanje hebben we afgelopen zomer de eerste versie van de risicoanalyse gemaakt. William kon er wel om lachen, geloof ik!’

William vult aan: ‘Het team van Zooma heb ik ervaren als een ambitieuze, fijne club mensen met een sterk gevoel voor humor. Naast hard werken hebben we dan ook veel gelachen. Ik vind het bijzonder knap hoe snel Zooma het managementsysteem heeft weten te digitaliseren in Notion. De look-and-feel en functionaliteiten passen goed bij Zooma, bijvoorbeeld door het opnemen van een operationele jaarplanning in een Kanban-bord, automatische notificaties rondom acties en het linken naar onderliggende documenten in Google Drive.’

Het systeem is van ons allemaal

Tim: ‘Wat ik tijdens het certificeringstraject vooral heb ingezien is dat het cruciaal is dat kennis gedeeld wordt. Best veel specifieke kennis rondom informatiebeveiliging zat namelijk in het hoofd van bepaalde key personen in de organisatie. Het is een enorme verbetering dat we nu alles centraal beschikbaar hebben. Het systeem is van ons allemaal. We zijn scherper en kunnen elkaar makkelijk controleren. Het geeft rust dat ik nu bijvoorbeeld zeker weet dat de back-ups zijn gecontroleerd. Ook ben ik blij dat nieuwe medewerkers nu altijd op de juiste manier worden ingewerkt. Op die manier kunnen we waarborgen dat we de juiste kwaliteit blijven leveren.’

William vervolgt: ‘Door iedereen vanaf het begin te betrekken leeft informatiebeveiliging echt binnen de organisatie. Het is mooi om te zien dat alle medewerkers zich steeds bewuster werden van de risico’s rondom informatiebeveiliging en zelf ook met verbetervoorstellen kwamen. Dat is toch wel het ultieme doel.’

Succesvolle certificeringsaudit

Tim: ‘We vonden het allemaal best spannend, zo’n eerste interne- en externe audit. Gelukkig zijn we na de interne audit gerustgesteld door William. Iedereen was flink doorgezaagd, maar klaar voor de externe audit. Ook Notion was voor de audits weer een groot pluspunt. De auditoren van DNV GL kregen een tijdelijke inlog en konden tijdens de auditdagen heel gemakkelijk door alle bewijslast klikken.’

William sluit af: ‘Het is mega knap dat Zooma zonder grote bevindingen door de certificeringsaudit is gekomen. Stiekem vind ik het jammer dat ik niet meer tweewekelijks even een (digitale) kop koffie met ze kan drinken. Hopelijk gaan we elkaar snel weer zien, want er wordt gesproken over een vervolgtraject waarbij ik o.a. de interne audits voor de organisatie blijf uitvoeren.’