Check iconAlles op 1 plek
Check iconOverzichtelijk
Check iconEenvoudig
Check iconStructuur

Van lijvig ISMS handboek naar de PCT met ISO 27001

Daniëlle de Vaal

Koen Broekens is verantwoordelijk voor dataveiligheid bij Vertimart. Vertimart had behoefte hun informatiebeveiliging meer te structureren. Daarnaast werd hun huidige ISMS handboek een dusdanig lijvig document dat het niet meer werd gelezen. Daarom zochten zij een online software tool om het ISMS met hun procedures en processen in onder te kunnen brengen, inclusief de benodigde informatie en documentatie voor ISO 27001. Zo kwamen zij bij de ProActive Compliance Tool, lees het interview met Koen en hoe zij zelf aan de slag zijn gegaan met hun ISMS in de PCT.

Over Vertimart

Vertimart is een softwareleverancier voor de mondzorg, die zich richt op de gehele dentale markt. Hun product Exquise Next Generation (SAAS) is een cloudoplossing waarbij de praktijkvoering van dossier, planning en administratie volledig wordt ondersteund. Daarnaast leveren zij ook een platform; Exquise Classic dat lokaal draait bij zorgaanbieders en Qbridge voor laboratoria. ‘Voorheen was het zo dat alle gegevens bij de praktijken zelf stonden, nu komen er steeds meer klanten op het SaaS- platform en dan wil je aantoonbaar zorgen dat je informatiebeveiliging goed voor elkaar hebt.’
‘Vertimart is gegroeid vanuit een kleine organisatie, met een instelling waar we vertrouwen dat de alle collega’s hun werk doen en dat zij dit goed doen.

Koen-Broekens-Vertimart-klantcase-ProActive-Compliance-Tool ProActive Compliance Tool
Koen Broekens

Maar als je dingen aantoonbaar wil hebben, kun je dit niet op alleen basis van vertrouwen doen, dan moet je dingen controleren, evalueren en daar conclusies uit trekken.’

Vertimart richt zich op zorgaanbieders en zorgaanbieders dienen te werken volgens de NEN 7510; de norm voor Informatiebeveiliging in de zorgsector. Als softwareleverancier wil je dan dat de informatiebeveiliging aantoonbaar op orde is. Vanuit NEN 7510 is de stap naar ISO 27001 certificering een logische.

ISO 27001 traject en VECOZO

Vertimart had het proces voor ISO 27001 al ingezet voordat zij kozen voor de ProActive Compliance Tool (PCT) en die norm daadwerkelijk een harde eis werd vanuit hun klanten. De software van Vertimart kan koppelen met  het communicatieplatform VECOZO, het samenwerkingsverband van alle zorgverzekeraars. VECOZO faciliteert de communicatie tussen zorgaanbieders en zorgverzekeraars en zorgt voor veilige en efficiënte uitwisseling van administratieve gegevens in de zorg. Eén van de aansluitvoorwaarden die zij stellen, is te werken conform de normen voor informatiebeveiliging.

GAP analyse: ISMS toegankelijker

Vertimart liet een GAP-analyse uitvoeren, waaruit bleek dat het nodig was zaken meer te structureren. Verder dienden formuleringen beter te worden opgesteld en zaken dienden beter te worden vastgesteld en vastgelegd. Vertimart had al een ISMS handboek, waarin alle procedures en processen in stonden en ook alle informatie voor interne gebruikers. Dat werd een dusdanig lijvig document, dat niemand dit meer zou lezen. Om het ISMS toegankelijker te maken en de zaken vanuit de interne audit op te pakken, gingen zij op zoek naar een online ISMS tool om hen in dit proces te ondersteunen. En om deze tooling in te zetten voor het vastleggen van je maandelijkse overleggen, het bijbehorende taakbeheer en om zo de bedrijfsprocessen inzichtelijk te maken.

Implementatie en proces ISMS tool

Koen heeft vanuit zijn rol als Security Officer de kar getrokken voor de implementatie van de PCT. Hij had al ervaring met een ISO certificering. Koen voerde dit project samen met het management, de collega’s van HR, de technische dienst en ontwikkelaars uit. Koen vertelt: ‘Voor (elk onderdeel van) de processen hebben we nu een verantwoordelijke aangewezen, voor alle bedrijfsmiddelen een verantwoordelijke vastgelegd. Op het moment dat er nu wat is, vallen de dingen niet tussen wal en schip.
Het omzetten en implementeren van het ISMS heeft best wel even tijd gekost. Ik wilde niet alles klakkeloos overzetten naar de online omgeving, maar ook alle teksten herschrijven. Ook heb ik onze primaire processen onder de loep genomen.

Risicoanalyse: bedrijfsmiddelen gestructureerd in de PCT

‘De gestructureerde vorm van de risicoanalyse in de PCT heeft mij erg geholpen, omdat je inzicht krijgt in de bedrijfsmiddel(groepen) en de daaraan vastgelegde risico’s. Op die manier krijg je heel gestructureerd in beeld waar je zwakke plekken zitten, waar veel aandacht naar is gegaan, wat juist wat minder mag of juist meer aandacht aan moet worden besteed. Voorheen hielden we een brainstorm waarbij we bespraken zijn er nog zaken waar we rekening mee moeten houden met volledige directie. Dan zagen we best wat zaken over het hoofd.’ vertelt Koen.

Werken met de PCT en feedback

Koen omschrijft de PCT als praktisch, overzichtelijk, gestructureerd en logisch. De PCT herinnert je aan jouw taken door het ingebouwde taakbeheer, de auditplanning en de rapportages van overleggen leg je eenvoudig vast en koppelt hier bijbehorende taken worden gedistribueerd. Je hebt één plek waar iedereen bij kan en waar de informatie staat, zo voorkom je dubbele administratie.
Koen vertelt: Feedback wordt meegenomen in de ontwikkeling van de software tool, door onze eigen ervaring kennen wij het proces van softwareontwikkeling en vinden het daarom fijn dat dit zo wordt opgepakt. Daarnaast word je regelmatig voorzien van release notes, zodat je op de hoogte bent van de nieuwe ontwikkelingen.

ISO 27001 certificering

Vertimart wacht nu nog op het ISO 27001 certificaat, aangezien zij een aantal non conformity’s (NC’s) hadden. Daar hebben zij net de formulieren voor naar de auditor hebben opgestuurd en zijn nu in afwachting van het akkoord. Belangrijkste was, dat te beperkt aantoonbaar was hoe de uitkomsten van controles werden gebruikt voor beslissingen op strategische niveau. Omdat we veel  ad hoc oplossen, waren zaken beperkt aantoonbaar. Nu hebben we echt stappen gemaakt, we hebben maandelijkse controles en een vast moment in het jaar om de uitkomsten na te lopen, analyseren en mee te nemen in ons maandelijks overleg. De PCT geeft ook handvatten voor deze maandelijkse controles.  

De PCT is praktisch, overzichtelijk, gestructureerd en logisch.

Advies van Koen inzet ISMS tool in het MKB

  1. Wees bewust als je meerdere rollen vervult in het project, welke pet je wanneer op hebt. Maak dit duidelijk in je communicatie in het project. Zo heeft een Security Officer een andere rol dat de persoon verantwoordelijk voor persoonsgegevens.
  2. Houd het simpel: als voorbeeld binnen de ISO 27001, zijn beheersmaatregelen om een bepaalde reden niet op jou van toepassing is, geef dat aan. Als daarmee niet de integriteit van je informatie in het gedrang komt, dan kan dat prima. Maak het niet moeilijker dan strikt noodzakelijk.
  3. Heb je geen kennis hebt van normen en certificeren? Begin bij de basis begin met een cursus over de norm met basisbeginselen en breid zo je je kennis uit.

Klaar om jouw ISMS om te zetten in de PCT?

Neem dan contact met ons op en we vertellen we je graag meer. Zo kun je gratis een demo aanvragen en kun je ook ervaren wat is het om met de PCT te werken, net als Koen Broekens.

Ervaar het gemak en de gebruiksvriendelijkheid
van de Proactive Compliance Tool

Probeer nu gratis uit
Demo aanvragen

ProActive Compliance Tool

ISMS software
ISO 27001 software
ISO certificeringen
Online managementsysteem
FAQ

Contact

085 - 06 08 584

Volg ons

Privacy policy

Algemene voorwaarden