Nomeo behaalt het ISO 27001-certificaat

Een ISO 27001-certificaat, klinkt top. Maar wat betekent dat nu eigenlijk?

ISO 27001 is een internationale norm voor informatiebeveiliging. Het beschrijft processen en minimale richtlijnen die ervoor zorgen dat de beveiliging van gegevens wordt gegarandeerd. De voorbije maanden hebben we intensief gewerkt aan het beschrijven en implementeren van die processen en hebben we een mechanisme ingebouwd dat ons in staat stelt om continu te verbeteren.

Die processen werden grondig onder de loep genomen en getest. We mogen met veel trots aankondigen dat we die tests met verve doorstaan hebben en in bezit zijn van een ISO 27001-certificaat. In een nieuwe Q&A met Bert en Nico lees je meer over onze ervaringen tijdens het ISO-traject.

Waarom een ISO 27001-certificaat?

Bert: We zijn het ISO-traject gestart met twee doelstellingen. De eerste was om onszelf een kapstok te geven waarmee we als organisatie beter kunnen worden. Specifiek naar security toe, maar ook in het algemeen. We hebben een systeem opgezet voor bijvoorbeeld onze documentatie, communicatie naar teams, en afspraken met klanten en leveranciers.

Nico: En natuurlijk een systeem waarmee we veilig omgaan met data. Hoe bewaren we die gegevens? Waarom? Wie krijgt toegang tot die data? We hebben uitgebreid vastgelegd hoe we omgaan met gegevens in welke situatie.

Bert: De tweede doelstelling was het certificaat op zich. Het ISO 27001-certificaat bevestigt aan onze klanten dat we veilig omgaan met hun data en we hun vertrouwen waard zijn.

Welke impact heeft die certificering op nomeo als organisatie?

Nico: Er staan veel richtlijnen in het ISO-handboek. De opzet was dus breed. We hebben grondig doorgelicht wat we doen, hoe we dat doen en waarom.

Bert: Er zijn 114 richtlijnen waaraan we moeten beantwoorden. Het traject om alle zaken te documenteren én bewijzen was behoorlijk zwaar.

Nico: Het heeft veel tijd gevergd om alles in kaart te brengen. Maar nu we een uniform systeem hebben, werken we veel efficiënter. Zowel bestaande als nieuwe processen verlopen vlotter.

Bert: We waren al goed bezig als organisatie, maar waar nodig hebben we nu bijgestuurd. We hebben nu een systeem voor alle procedures binnen nomeo en dat leven we dagelijks na.

Klanten krijgen sterke garanties dat nomeo als organisatie weet wat ze moet doen in geval van calamiteiten.

Wat betekent dit voor klanten?

Bert: Klanten krijgen een veiliger gevoel. Naast de vele beheersmaatregelen, hebben we ook fall back scenario's. Loopt er iets mis, dan weten we wat te doen. Daarnaast hebben we een beter zicht op wat er gebeurt op vlak van security en gaan we systematisch op zoek naar verbetermogelijkheden.

Nico: Op die manier krijgen klanten sterke garanties dat nomeo als organisatie weet wat ze moet doen in geval van calamiteiten. We hebben de juiste procedures klaar. En dat is nu aantoonbaar met het ISO 27001-certificaat.

Bert: Het is dus niet alleen een verkooppraatje, maar ook effectief geverifieerd. Alle maatregelen zijn getest en daarom realistisch.

Kan je kort toelichten hoe het ISO-traject eruitzag?

Nico: Dat is verlopen in vier stappen. We zijn gestart met een nulmeting. Dat was de basis om in kaart te brengen wat we allemaal moesten aanpakken. We hebben ons daarbij laten begeleiden door externe consultants.

Bert: Na die begeleiding hebben we een grondige interne audit uitgevoerd. Waar nodig, hebben we onze processen geoptimaliseerd. De laatste stap was de externe audit. En die is perfect verlopen, waarna we ons ISO 27001-certificaat hebben gekregen.

We hebben de overgang gemaakt van een klein bedrijf naar een sterk gestructureerde organisatie.

Wat hebben jullie geleerd uit het ISO-traject?

Nico: Nu we uniforme systemen hebben voor alle processen, werken we nog professioneler en efficiënter.

Bert: We hebben de overgang gemaakt van een klein bedrijf naar een sterk gestructureerde organisatie en zijn klaar om verder te groeien. Maar het belangrijkste is dat we streven naar continue verbetering.