ISO- en NEN normeringen

Rootnet heeft onlangs drie trajecten voor ISO en NEN-normeringen succesvol doorlopen. In dit artikel deelt Colin zijn ervaringen en tips over het (soms behoorlijk pittige) proces.

1200×300

ISO 9001, 27001 en NEN 7510; waar gaat het precies over?

“De ISO normeringen waar wij aan voldoen zijn wereldwijd geldende standaarden voor kwaliteitsmanagement en informatiebeveiliging in de ICT. NEN 7510 is een specifiek Nederlandse norm voor de informatiebeveiliging voor de zorgsector, bijvoorbeeld als het gaat om patiëntgegevens.

Bij zo’n normering horen ongeveer 100 thema’s en subthema’s in diverse facetten van onze bedrijfsvoering. Risico’s in kaart brengen, dit overal goed documenteren en technisch of organisatorisch afdekken. De vragen zijn ook best abstract. Ze vragen dus niet: “Heb je een firewall of maak je gebruik van disc encryptie?”, maar de normering vraagt eerder: “Hoe borg je dat de data waarvoor je verantwoordelijk bent niet voor derden toegankelijk is?”

Of: “Hoe monitor je het effect en de kwaliteit van je dienstverlening?” Wij hebben daar nu systemen voor geïmplementeerd om dat te doen door middel van een periodiek klanttevredenheidsonderzoek op basis van NPS scores en een systeem met drie verschillende soorten smileys onder iedere afgehandelde ticket bij onze servicedesk.

Het gaat op sommige vlakken best ver; want wat betekent het bijvoorbeeld voor de datasecurity op het moment dat er iemand bij je inbreekt en een werkstation meeneemt? Door alle hardware die op kantoor aanwezig is inzichtelijk te maken kunnen we traceren wat er precies mist en welke data daar eventueel mee gemoeid zou kunnen zijn. Al is de kans dat bij een inbraak informatie verloren gaat al enorm klein, want alle informatie verwerken we middels document management systemen. Een maatregel naar aanleiding van dit risico.”

Colin

"Ik beschouw mezelf al mijn hele werkende leven primair een engineer."

Wat was voor jou de aanleiding om het traject voor deze ISO en NEN normeringen in te gaan?

“Het is eigenlijk tweeledig; enerzijds hebben wij veel klanten die applicaties ontwikkelen voor de zorgsector. Deze wilden wij beter kunnen bedienen, het is voor hen natuurlijk fijn dat ze aan hun klanten kunnen vertellen dat de hosting van hun applicaties aan nationale en internationale normen voldoet. Maar mijn grootste motivatie was eigenlijk om Rootnet en mezelf inhoudelijk verder te ontwikkelen. Ik zag in het ISO en NEN traject een mooi handvat om dat te doen.”

Zijn er organisaties (bijvoorbeeld in de zorg) die wettelijk verplicht zijn om met NEN normeringen te werken?

“Het is sinds 1 januari 2018 voor zowel de aanbieder als de beheerder van patiëntgegevens inderdaad wettelijk verplicht om te voldoen aan NEN normeringen. In ons geval gaat het alleen om NEN 7510; NEN 7512 gaat over uitwisseling van gegevens tussen verschillende aanbieders, dus die is niet van toepassing op ons als hostingbedrijf.

Er wordt door de overheid trouwens ook als het niet verplicht is steeds meer nadruk gelegd op de borging van persoonsgegevens. De partijen die deze verwerken en verzamelen zijn hier zelf verantwoordelijk voor, ook juridisch. Er zijn ook flinke bedragen gemoeid met overtredingen. Dan is het natuurlijk logisch dat zij ervoor kiezen om met een hosting partij in zee te gaan die dit aantoonbaar afgedekt heeft.”

Is het traject je mee- of tegengevallen?

“Het was best een kluif, aangezien we ze alle drie tegelijk hebben willen behalen. Onze auditor zei ook dat hij dat niet vaak meemaakt. Het was voor mij als techneut wel een wake-up call dat het hele normeringsproces nauwelijks om techniek draait, maar eerder om hoe je je bedrijf en je processen organiseert.”

btr

Het resultaat van onze inspanningen

Wat heeft het traject voor jou persoonlijk betekent?

“Ik werd door de vragen die er gesteld werden min of meer gedwongen om echt op een andere manier naar onze dienstverlening te gaan kijken. Ik beschouw mezelf al mijn hele werkende leven primair als een engineer; vanuit die rol en de positie waar Rootnet vroeger in zat heb ik ook vaak tegen de managementcultuur van met name de grotere bedrijven aangeschopt. Ik ben toch een professional en ik weet toch hoe ik mijn klanten het beste kan bedienen? Die houding is op een gegeven moment niet meer functioneel als je je bedrijf verder wil ontwikkelen, daar ben ik in de loop van de jaren steeds bewuster van geworden.

In het verlengde van die bewustwording kan je ook dit traject zien. Na er ongeveer een jaar mee bezig te zijn geweest, merk ik dat mijn blikveld enorm is verruimd. Ik heb ook echt nieuwe inzichten gekregen. Mijn hart zal altijd bij de techniek en de engineering liggen, maar ik kan mijn vakkennis en die van mijn collega’s nu wel nog beter in een groter perspectief plaatsen.”

Wat is de grootste verandering geweest nav dit traject?

“In het verleden was Rootnet een verzameling engineers met allemaal ongeveer dezelfde kennis en expertise. Naarmate wij groeiden en steeds meer klanten bedienden werd er ook een steeds groter beroep gedaan op bepaalde specialisaties. In het begin kon iedereen bijvoorbeeld nog wel een keer de telefoon opnemen om onze klanten te woord te staan, maar met het toenemen van de hoeveelheid klanten en tickets merkte je ook dat sommige jongens daar niet echt gelukkig van werden; die waren immers bij Rootnet komen werken voor de technische uitdaging.

We zijn nu dus veel meer gaan differentiëren op basis van wat de totale dienstverlening van Rootnet wil bieden. Dit heeft er tijdens het traject voor gezorgd dat we drie ‘eilanden’ hebben gecreëerd: engineering (beheer van de servers), development (ontwikkeling software backoffice en klantenportal) en onze servicedesk (waar alle telefoontjes van onze klanten binnenkomen).

Die ontwikkeling heeft echt een enorme positieve impact gehad op de kwaliteit van ons werk en de motivatie van ons allemaal; iedereen zit nu op de plek die hij het leukst vindt en doet het werk waar hij het beste in is. Daarnaast zijn de rollen en verantwoordelijkheden voor iedereen veel duidelijker, en dat levert een veel grotere mate van autonomie voor collega’s op.”

Wat betekent het behalen van deze normen voor de klanten van Rootnet?

“In het verleden moesten klanten er maar op vertrouwen dat we ook echt konden borgen wat we beloofden en we een goede, stabiele en veilige dienstverlening konden bieden. Gelukkig kregen we dat vertrouwen ook vaak (waarvoor dank), maar nu hebben we ook een objectieve borging voor het feit dat dat vertrouwen gerechtvaardigd is en er heel goed is nagedacht over de omgang met data. En onze klanten kunnen dit vertrouwen ook weer doorgeven aan hun klanten.

Er zijn eigenlijk twee zaken die een belangrijke rol spelen: Enerzijds moeten webbureau’s en applicatiebouwers vaak een offerte uitbrengen inclusief hosting. Anderzijds toetsen de grote opdrachtgevers enorm strikt op de normeringen van hosting oplossingen. Samen betekent dat dus dat als je met grotere partijen zaken wil doen, je automatisch uitkomt bij een partij die ISO en/of NEN genormeerd zijn. Rootnet is een van de weinige hostingpartijen in de regio die de combinatie van deze drie specifieke normeringen heeft.”

Wat wil je mensen meegeven die ook denken om deze normeringen te behalen?

“Het is slim om alvast wat voorwerk te doen voordat je begint. Ik heb een aantal boeken gelezen die mij enorm hebben geholpen om me voor te bereiden op de uitdagingen die ik tegenkwam. Daarnaast heb ik een adviseur in de hand genomen die me, met name in de beginfase, heeft behoed voor valkuilen en veel voorkomende vraagstukken tijdens het proces. Met andermans kennis kan je veel tijd en energie besparen; er is geen reden om het wiel opnieuw uit te vinden.”

Colin’s boekentips (via onze vrienden van YouBeDo):