Joris van der Wal vertelt over wat de certificering betekent voor onze apps en haar gebruikers
ISO/IEC 27001: het klinkt als een ingewikkelde code, maar het gaat simpelweg om internationale afspraken over hoe je informatie goed en veilig beheert. Daar is onze eigen Joris van der Wal volop mee bezig, want bij de BouwApp en Publiq zijn we in de ban van de ISO-27001 certificatie.
Joris werkt bij ons als operations manager, maar heeft ook de leiding genomen over de implementatie en uitvoering van alles wat met de certificatie te maken heeft. Hij is de kartrekker van ons ISO-kernteam, bestaande uit een security officer (Paul Frankenhuizen), een product owner (Bart Wesselink) en een systeembeheerder (Koen Berhuis). “We hebben allemaal verschillende taken en verantwoordelijkheden, dus ik sta er zeker niet alleen voor.”
Joris is ondertussen onze in-house ISO-expert geworden en dus dé aangewezen persoon voor meer informatie. Ik sprak met hem om uit te vinden wat de ISO-certificering precies is, wat dit inhoudt voor onze klanten en waarom het belangrijk is.
Wat is ISO 27001 eigenlijk?
“Het is een raamwerk waarmee je als organisatie systematisch je data beschermt”, legt Joris uit. “We doen risicoanalyses, nemen beveiligingsmaatregelen en zorgen dat die voortdurend worden geëvalueerd.”
Voor de app zelf is dat grotendeels al goed geregeld. “We vragen heel weinig persoonlijke gegevens en verzamelen nauwelijks data om te analyseren. Dat was vanaf het begin een bewuste keuze: de apps moesten laagdrempelig en gebruiksvriendelijk zijn en blijven. Daarom ligt de focus vooral op onze interne processen.”
Waarom dan tóch certificeren?
“Vooral omdat steeds meer gemeenten en grote bedrijven erom vragen”, zegt Joris. “We zijn gegroeid en spelen een steeds grotere rol in de markt. Deze stap laat zien dat we informatiebeveiliging serieus nemen. Het is eigenlijk gewoon een logische volgende fase in onze professionalisering.”
“Een andere reden voor deze stap”, geeft Joris aan, “is dat het voordelen heeft voor onze klanten. Het is voor ons zeer belangrijk dat zij zo goed mogelijk worden geholpen.”
Hoe hebben onze klanten baat bij de ISO-certificering?
Als ik vraag naar voorbeelden, heeft hij er genoeg.
Hij vertelt me bijvoorbeeld dat aannemers nu een ISO-gecertificeerde tool hebben ter versterking hun EMVI-aanbestedingen. “Daarbij helpt dit hun bij risicobeheersing en geeft het ze een professionele uitstraling”, aldus Joris.
De ISO-certificering helpt gemeenten te voldoen aan hun verplichtingen rondom informatiebeveiliging, zoals de BIO en AVG. Met een gecertificeerde app is dat geborgd. De app toetsen aan deze regels is ook niet meer nodig, omdat het certificaat al aantoont dat deze daaraan voldoet. “Ook laten ze verantwoordelijkheid zien richting inwoners door een app te gebruiken die hun gegevens beschermt.”
Als laatste zijn er onze eindgebruikers die voordeel halen uit de certificering. “Ze weten zeker dat hun gegevens veilig zijn, dat de app betrouwbaar is en dat het aanmelden laagdrempelig blijft”, legt Joris uit. “Het is dus een win-win situatie voor al onze stakeholders.”
Hoe werkt dat in de praktijk?
ISO-certificering krijg je niet zomaar. “Dagelijks ben ik er mee bezig, gelukkig doe ik het niet alleen en hebben we een mooi team samengesteld met ieder z’n eigen specialiteiten”, vertelt Joris. “We brengen processen in kaart, voeren risicoanalyses uit en scherpen ons beleid aan, bijvoorbeeld op het gebied van wachtwoorden, data-encryptie en serverbeveiliging. Alles wordt gedocumenteerd, getest en verbeterd. En heel belangrijk: alle medewerkers worden meegenomen in wat informatiebeveiliging inhoudt en waarom dit zo cruciaal is.”
Joris is zich er dus zeer bewust van dat hij niet de enige is die een flinke steen bijdraagt: “Het heeft impact op alle collega’s”, legt hij uit. Door iedereen goed op te leiden in de nieuwe werkwijze en verwachtingen, leren we allemaal om bewust om te gaan met gegevens. “Zonder hen zou dit nooit een succes kunnen worden”, geeft Joris toe.
In september volgt de eerste audit. “We liggen goed op schema en ik verwacht dat we de certificering vóór het einde van 2025 binnen hebben.”
Wat merken klanten en gebruikers hiervan?
“Voor hen verandert er eigenlijk weinig”, zegt Joris geruststellend. “De apps waren al veilig. Het enige dat straks anders is, is dat project- en privacydata na twee jaar automatisch verwijderd worden zodra een project is afgerond. Klanten krijgen daar natuurlijk netjes bericht van.”