Sign in Subscribe
Happy place for nerds

Onze ISO 27001-queeste

Hoe we als Q’ers volwassen werden in informatieveiligheid (en waarom dat eigenlijk best leuk was)

Frank Raterink

4 min read
Foto van het Q42-logo als neonversie gemonteerd aan een bakstenen muur.

“ISO 27001? Dat is toch zo’n papiertje voor bedrijven die van regeltjes houden?”

Dat was ongeveer de sfeer toen ik, Frank, het ISO-onderwerp voor het eerst in onze Slack gooide. En eerlijk is eerlijk: ik snapte het wel. Q42 is niet bepaald een 'u vraagt, wij draaien'-club. We zijn eigenwijs, kritisch, en houden niet van onnodige bureaucratie. Maar toch… de wereld verandert. Data is overal, en onze klanten verwachten − terecht − dat we daar zorgvuldig mee omgaan. Dus ja, het werd tijd om ISO 27001 te halen. Maar dan wel op ónze manier.

Waarom eigenlijk ISO 27001?

We leven in een tijd waarin je niet meer wegkomt met “we doen wel ons best”. Iedereen laat overal data achter, en het is onze verantwoordelijkheid als techpartner om daar goed mee om te gaan. Niet alleen omdat het moet, maar omdat we dat zelf belangrijk vinden. En eerlijk: we deden al veel goed. Maar een certificering is ook een soort realiteitscheck. Iemand anders laten beoordelen: doen we het écht goed? En kunnen we dat ook laten zien aan de buitenwereld?

Regels? Wij? Echt?

De eerste stap: alles opschrijven wat we al deden. Klinkt simpel, maar probeer maar eens uit te leggen waarom je bepaalde dingen doet, en hoe je dat precies doet. Daarna ga je kijken waar je nog aan moet sleutelen om aan de ISO-norm te voldoen. Spoiler: we deden al best veel goed. Maar ja, dan komen er toch wat aanpassingen en regels. En Q’ers en regels… da’s een interessante combi. 😏

Ik merkte in het begin vooral veel weerstand. “Moeten we nu ineens alles anders doen?” “Wordt het hier straks een soort bureaucratisch gebeuren waar je niks meer zelf mag installeren en voor alles toestemming nodig hebt?”

Dus ik besloot het anders aan te pakken. Niet van bovenaf opleggen, maar samen ontdekken. Veel individuele gesprekken, luisteren naar zorgen (of juist het gebrek daaraan), en vooral: alles open gooien. Voorstellen delen in Slack, discussies laten ontstaan, en soms gewoon even een stap terug doen als het te snel ging.

Dat was soms frustrerend. Dingen gingen langzamer dan ik wilde. Maar achteraf gezien was dat helemaal prima. De draagkracht groeide langzaam maar zeker. Inmiddels zijn er zelfs collega’s die misschien nog wel fanatieker zijn dan ik als het om ISO gaat. (En ja, er zijn er ook die het nog steeds niks vinden. Dat mag.)

Struggles, natuurlijk

Was het makkelijk? Nee. Q42 is een kritische club van software engineers. Soms werden oplossingen die ik bedacht vakkundig gefileerd. Dan leek het alsof ik weer helemaal opnieuw kon beginnen. Maar in alle eerlijkheid: daardoor werden de oplossingen uiteindelijk alleen maar beter.

En dan het team. In het begin waren we met een paar man sterk, maar klantprojecten kregen toch vaak voorrang. ISO is in het begin gewoon een taai project. Het raakt alles binnen het bedrijf. En als je dan voor het eerst zo’n groot project coördineert, is dat best een uitdaging.

Gelukkig had ik een externe topconsultant aan mijn zijde. Informatiebeveiliging was nieuw voor mij, maar samen hebben we er een mooie reis van gemaakt. Hij moest Q42 leren kennen, en ik moest het vak leren. Uiteindelijk zijn we samen een heel eind gekomen.

Hoe krijg je iedereen mee?

Om iedereen echt mee te krijgen bleek één ding cruciaal: tijd. Dat is het geheime ingrediënt. Niet forceren, maar mensen de ruimte geven om te wennen. Zorgen dat iedereen zich gezien voelt. Veel praten, veel delen, en vooral: niet bang zijn voor discussie. Slack was wel de plek waar dat gebeurde. Dat ging er soms hard aan toe, maar altijd constructief.

Wat heeft het ons gebracht?

Natuurlijk, we hebben nu het ISO 27001-certificaat. Maar belangrijker: draagkracht. Ik heb mensen zien veranderen. Van “moet dit nou?” naar “hé, dit is eigenlijk best logisch”. En voor mezelf: ik heb veel geleerd. Over projectleiding, over informatiearchitectuur, en vooral over gedragsverandering. (Leuk detail: ik ben tegelijk met dit traject psychologie gaan studeren. ISO en menselijk gedrag, het bleek een gouden combi.)

Wat houdt ISO 27001 nou precies in?

Misschien denk je nu: “Leuk verhaal, maar wat ís ISO 27001 eigenlijk?” Kort gezegd: het is een internationale standaard voor informatiebeveiliging. Het draait om het opzetten van een managementsysteem (ISMS) waarmee je risico’s rondom data en informatie beheerst. Dat klinkt misschien als een dik pak papierwerk − en eerlijk: er komt best wat documentatie bij kijken − maar in de kern gaat het om bewust omgaan met risico’s, duidelijke afspraken maken en zorgen dat je als organisatie continu blijft verbeteren. Het is dus geen checklist die je even afvinkt, maar een manier van werken die je helpt om slimmer, veiliger en transparanter met informatie om te gaan. En ja, dat is soms even wennen, maar we hebben het op een manier gedaan die goed bij ons past.

Tips voor andere bedrijven

Denk niet dat ISO 27001 alleen maar om techniek draait. Het is vooral gedragsverandering. En dat kost tijd. Gun jezelf die tijd. En zoek een goede consultant met een duidelijk framework. Laat je niet gek maken door alle controls. Begin gewoon met een paar policies en bouw het rustig uit. En geloof me: op een gegeven moment valt alles op z’n plek. Voor mij was dat na de eerste audit. Toen viel het kwartje: zo kijkt een auditor dus naar ons werk. En dat inzicht was goud waard.

Meer weten over ons proces van ISO-certificering? Stuur me gerust een mailtje: frank@q42.nl!

Sign up for more like this.

Enter your email
Subscribe