De afgelopen maanden was er iets bijzonders aan de gang bij Berengroep. De achteloze bezoeker zal het misschien niet gemerkt hebben, maar collega’s des te meer. Er waren wekelijks subtiele veranderingen, zichtbaar voor iedereen. Maar het was duidelijk dat er meer gaande was. Achter de schermen, in de systemen. Er werd heel openlijk over gesproken, bijna dagelijkse kost aan onze befaamde lunchtafel. En toch…, toch bleef het een beetje ongrijpbaar. Want wie je het ook vroeg, niemand kon precies uitleggen wat het was en vooral wat het voor Berengroep nou eigenlijk betekende. Dat ISO 27001.
Het is begin januari 2019 als het ISO-team aan de slag gaat. De certificering is een vereiste van een van onze opdrachtgevers en moet er zijn voor de opdracht zes maanden daarna van start zal gaan. ‘Zes maanden is wel een uitdaging’, zegt de externe adviseur met een zuinig lachje. Maar we gaan ervoor. ISO 27001 maakt onderdeel uit van de ISO 27000-serie. De normen uit de ISO 27000-serie helpen bij het beheren van de beveiliging van bijvoorbeeld financiële informatie, intellectueel eigendom, werknemersgegevens of informatie die door derden wordt toevertrouwd. Wat betekent dit in de praktijk?
Het betekent kort door de bocht vooral dat al je documentatie op orde moet zijn. Van personeelsdossiers tot leveranciersovereenkomsten. Maar wat betekent op orde zijn in dit geval? Ten eerste dat alle officiële documenten aanwezig zijn, denk aan getekende contracten, bruikleenovereenkomsten van laptops, sleutelovereenkomsten et cetera. Ten tweede moeten alle relevante werkwijzen beschreven en vastgelegd worden, van projectomschrijving tot gebruikte software. En ten derde moet al deze informatie veilig opgeborgen zijn. Daarbij moet je er als organisatie voor zorgen dat die veiligheid geborgd blijft. Dat kan zijn door meer sloten aan te brengen of het wachtwoordbeleid te wijzigen. Maar vooral door alle medewerkers bewust te maken van hun rol bij het borgen van de veiligheid. Dat betekent voor velen een verandering in denken en handelen. En veranderen is altijd lastig.
Nu is Berengroep maar een klein bedrijf dus je zou verwachten dat dit relatief eenvoudig te realiseren is. Dat is inderdaad ook zo. Met de nadruk op relatief. Wanneer een grote internationale organisatie voor ISO-certificering gaat, zal dat ongetwijfeld meer voeten in de aarde hebben. Daar staat tegenover dat zij daar waarschijnlijk een speciale afdeling voor hebben en er een paar jaar voor uittrekken. Waar wij het moeten doen met een handje vol beren en een magere zes maanden. In die zes maanden maken we heel veel documenten aan. Alles wat beschreven moet worden, wordt beschreven. Niet alleen beleidsprocessen, ook projecten en wie ’s avonds de deur op slot doet. Soms moeten we een werkwijze bijstellen, maar meestal kunnen we vaststellen dat we al een heleboel gewoon goed doen. Alleen moet dat nog wel beschreven en vastgelegd worden.
We krijgen een heuse IB’er (informatiebeveiliger). Er komen lockers met een slot, we krijgen nieuwe wachtwoorden en privé-apparatuur is niet langer welkom op het bedrijfsnetwerk. Er komt een entreemelder (oftewel: een belletje als er iemand het kantoor binnenloopt), we worden scherp op (mogelijke) incidenten en weten waar we deze moeten melden. En we raken er langzaam maar zeker aan gewend om onze computerschermen te vergrendelen als we van onze plek gaan. Voor een bedrijf dat tien jaar geleden nog uit drie mensen bestond, voelt dat allemaal best als een hele grote stap naar volwassenheid.
Eind juni is het zover, de beoordeling. Drie dagen lang voelt een externe auditor ons aan de tand. We hebben gedaan wat we konden, we zijn er klaar voor, toch? Ja, blijkt aan het einde van de derde dag. Berengroep voldoet aan de ISO 27001-normering. Inmiddels prijkt het logo op onze website en hangt het certificaat aan de muur, want we zijn er beretrots op. En we zijn ook ongelooflijk trots op de manier waarop alle collega’s zich open hebben gesteld voor alle voorwaarden en vereisten die soms zo ver af leken te staan van het open en informele karakter dat onze organisatie altijd heeft gekenmerkt.
Als we terugkijken, stellen we vast dat we niet echt veranderd maar wel bewuster geworden zijn. En dat is goed! Want in de afgelopen tien jaar gingen we van drie naar achttien medewerkers en een team van dertig tolken. In opdracht van UWV zijn we sinds een paar weken medeverantwoordelijk voor de tolkvoorziening voor alle doven en slechthorenden in Nederland. En daar komt heel veel informatie bij kijken! Het is een prettig idee dat deze informatie – en die van onze opdrachtgevers en de mensen waarmee we samenwerken – veilig is bij Berengroep. Dat helpt om als organisatie te kunnen blijven bijdragen aan een maatschappij die toegankelijk is voor iedereen.