Als een ander bedrijf jouw data beheert, dan wil je natuurlijk zeker weten dat die data veilig is. Het laatste wat je wil is dat gegevens van al jouw klanten op straat komen te liggen. Maar hoe weet je dat jouw data veilig is? Maron Meijer, Security Officer & Kwaliteitsmanager bij Inergy, legt het uit.
‘Gegevens van duizenden klanten liggen op straat.’ Dit soort nieuwsberichten lees je regelmatig. Het is de grootste nachtmerrie van iedereen die enorme hoeveelheden data bewaart. Maar ook als je een partij kiest om jouw data te beheren, is het goed om te weten of jouw gegevens daar veilig zijn.
ISO27001 certificaat
Inergy is gecertificeerd voor de ISO27001 norm. Dit certificaat is wereldwijd erkend en wil zeggen dat een bedrijf zijn informatiebeveiliging op orde heeft. Inmiddels zijn we al zes jaar gecertificeerd. Toen we het ISO27001 certificaat nog niet hadden, vonden wij van onszelf dat we veilig werkten. Maar we hadden natuurlijk geen maatstaaf om dat ook aan te tonen. Met het ISO27001 certificaat hebben we dat wel.
Veel bedrijven beseffen de toegevoegde waarde van ISO27001 niet. Maar met het certificaat leg je jezelf als bedrijf een serieuze maatstaaf op. Ieder jaar laten wij ons beoordelen door een externe auditor. Vijf dagen lang loopt er een auditor rond bij ons op kantoor die vervolgens beoordeelt of Inergy voldoet aan de eisen voor informatiebeveiliging.
Eis van klanten
Ik hoor het je denken: waarom zijn er dan bedrijven die zich niet certificeren? Het kan zijn dat kosten een rol spelen, maar in veel gevallen is het ook onwetendheid. Veel klanten eisen dat je in het bezit moet zijn van het ISO27001 certificaat. Sommige bedrijven verlangen daarnaast ook een ISAE3402 rapportage van je. Een externe auditor controleert dat rapport op opzet, bestaan en werking. Ook in de ISAE3402 rapportage nemen we aspecten op voor informatiebeveiliging (Beschikbaarheid, Integriteit, Vertrouwelijkheid van Informatie).
Bij Inergy hebben we het ISO27001 certificaat en onderschrijft een auditor dat we voldoen aan ons ISAE3402 rapport. Veel van onze klanten eisen dat ook van ons. Als we dit niet hadden, dan waren PostNL, Obvion, DetailResult Groep, Weener Plastics Group, ASR en Intergamma geen klanten van ons geweest. Om maar wat voorbeelden te noemen.
Continue verbetering
Bedrijven die niet in het bezit zijn van ISO27001 en ISAE3402 nemen een groot risico. Ze kunnen klanten niet garanderen dat hun data veilig is. Bedrijven die wél in het bezit zijn van een ISO-certificaat spenderen daar veel tijd, geld en energie aan en vermelden dat altijd op hun website. Controle is dus simpel.
Het idee achter ISO27001 is dat je je veiligheidsniveau continu verbetert en daar ook als bedrijf achter staat. Je weet dat je elk jaar iets moet doen om je veiligheid te verbeteren. Als je stilstaat verlies je het spel tegen de cybercriminelen. Bovendien is het een stuk vertrouwen dat je je klanten geeft. Uiteindelijk wil iedereen erop kunnen vertrouwen dat zijn data veilig is.
