Management

Dit is een bijdrage van EDM
Privacy
frank

“Laat die GDPR maar komen. EDM is er klaar voor.”

Frank de Beun, managing partner EDM, over de recent behaalde ISO 27001-certificering.

In 2018 krijgen alle organisaties die met persoonsgegevens werken te maken met de General Data Protection Regulation (GDPR): de Europese wetgeving met als doel de gegevens van personen te beschermen. Uit recent onderzoek blijkt dat 61% van de bedrijven er nog niet klaar voor is. EDM wel. En dat is niet meer dan logisch.

27 juni 2017
Door: EDM, partner

Frank de Beun, managing partner EDM, over de recent behaalde ISO 27001-certificering.

In 2018 krijgen alle organisaties die met persoonsgegevens werken te maken met de General Data Protection Regulation (GDPR): de Europese wetgeving met als doel de gegevens van personen te beschermen. Uit recent onderzoek blijkt dat 61% van de bedrijven er nog niet klaar voor is. EDM wel. En dat is niet meer dan logisch.

De dataspecialist uit Nieuwegein beheert, valideert en analyseert veel klantdata van de top 200 grootste adverteerders van Nederland. Privacygevoelige data, dus. “Met het ISO 27001-certificaat bewijzen we dat onze medewerkers veilig met die data omgaan”, aldus Frank de Beun, managing partner EDM.

Wat betekent deze ISO-certificering voor EDM?
“Het ISO 27001 certificaat is een bevestiging van de kwaliteit van ons huidige informatiebeveiligingsbeleid en het houdt EDM scherp richting de toekomst. We werken eigenlijk al jaren zo. Iedereen binnen EDM is zich ervan bewust dat we met privacygevoelige informatie omgaan.”

Hoe lang is EDM bezig geweest met het behalen van het ISO 27001-certificaat?
“Anderhalf jaar geleden zijn we het traject voor de certificering gestart. Na een half jaar hebben we besloten een speciaal ISO team te formeren. In dat team zitten 5 collega’s uit verschillende disciplines: IT, HR, privacy, compliance en een afvaardiging van het management.” Deze aanpak heeft voor een versnelling gezorgd. Het klinkt heel simpel maar dat is het zeker niet. Het vergt extra focus van de organisatie.

Er zijn weinig bedrijven in jullie branche gecertificeerd. Waarom hebben jullie ervoor gekozen dit wel te doen?
“Vanaf 2018 moeten we voldoen aan de nieuwe Europese wetgeving: General Data Protection Regulation (GDPR). ISO 27001 is hiervoor niet verplicht, maar het maakt het wel makkelijker. En we sluiten hiermee ook aan op de wensen van onze klanten. Dat zijn grote adverteerders en die willen zeker weten dat hun data veilig is bij ons.”

Wat merken de klanten van EDM ervan dat jullie nu gecertificeerd zijn?
“Het is niet zo dat we nu opeens op een andere manier werken. Dus onze klanten merken er eigenlijk niets van, behalve dat nu op al onze uitingen staat dat we gecertificeerd zijn volgens de ISO 27001-norm. En onze klanten hoeven geen audits meer bij ons uit te voeren. De certificering betekent immers dat wij gegarandeerd veilig omgaan met privacygevoelige gegevens.”

Kan je voorbeelden geven van maatregelen die jullie hebben moeten nemen ten behoeve van de certificering?
“Om iedereen scherp te krijgen, hebben we intern een aantal ludieke acties uitgevoerd. Zo is het verplicht om je beeldscherm af te sluiten als je je werkplek verlaat. Als je dat niet doet, kan iemand anders via jouw computer bij alle gegevens. Daarom hebben we de volgende regel ingesteld: als een beeldscherm niet is afgesloten en de collega zit niet op zijn plek, dan mag degene die dat heeft opgemerkt vanuit die computer een mail ‘to all’ sturen met ‘Morgen taart!’. In de eerste week hebben 4 of 5 collega’s op taart moeten trakteren. Daarna is dat niet meer voorgekomen.

Om de clean desk policy tussen de oren te krijgen maakten we na werktijd foto’s van de bureaus die niet waren opgeruimd. Die werden dan de volgende dag verspreid, zodat iedereen wist wie de boosdoeners waren.

Ook hebben we natuurlijk veel technische aanpassingen gedaan. Anderhalf jaar geleden konden klanten persoonsgegevens in een bestandje naar ons mailen. Nu kan alleen via een beveiligde transfer omgeving.

En als signaal naar onze medewerkers dat we de ISO-certificering serieus nemen, hebben we ons bonussysteem ingezet. Als we het certificaat niet zouden krijgen, dan zou 25% van de bonus niet worden uitgekeerd. En dat gold voor iedereen binnen het bedrijf.”

Het certificaat is binnen, dus het ISO-project is afgerond?
“Nee, zeker niet! Na het behalen van het ISO 27001-certificaat moet je er als organisatie juist continue mee bezig zijn. We merken dat iedereen altijd heel druk is om het werk zo goed mogelijk te doen, en dat daardoor de aandacht voor bepaalde zaken kan verslappen. Daarom hebben we de certificering opgenomen in de structuur van ons bonussysteem. Zo weet iedereen binnen de organisatie dat het werken volgens de ISO-normen belangrijk is en blijft en op deze manier stimuleren we de medewerkers om altijd scherp te blijven.”

Heb je tips voor andere bedrijven die in het certificeringstraject zitten of het traject in willen gaan?
“Wij hebben tijdens dit traject geleerd dat je het niet redt door simpelweg iemand binnen de organisatie aan te stellen met de opdracht ‘ga jij maar ISO doen’. Neem het serieus. Stel een projectgroep samen die alle onderdelen van de organisatie vertegenwoordigd. En laat je, zeker in het begin, adviseren door iemand die al ervaring heeft met dit soort trajecten en die de boel kan aanjagen, dan maak je meters.”

Reactie toevoegen