ISO met Walter van Heemskerk

Onlangs is VelzArt wederom glansrijk geslaagd voor de ISO 27001 certificering. ISO 27001 is een wereldwijd erkend certificaat op het gebied van informatiebeveiliging. Het certificaat is een kwaliteitslabel dat uitstraling geeft aan je organisatie. Het geeft mede vertrouwen aan je klanten over je respect voor de AVG privacywetgeving en de manier waarop je met data omgaat.

Door de ISO certificering worden alle medewerkers bij VelzArt geacht om heel goed om te gaan met de data van haar klanten. Binnen de ICT is dit zeer belangrijk, omdat je te maken krijgt met documenten die gevoelige informatie bevatten. Walter van Heemskerk is bij VelzArt de ISO Manager en controleert of onze organisatie zich aan de geldende regels houdt. Hij doet dit samen met de consultants bij Beschermheren en Brand Compliance B.V.

Walter vertelt je graag wat hij precies doet

Sinds april 2017 ben ik in dienst bij VelzArt, inmiddels alweer ruim zes jaar geleden. Ik zat toentertijd op een interne ServiceDesk en wilde graag voor een ICT-partij werken. Zoals ook veel andere collega’s ben ik via een kennis bij VelzArt terechtgekomen.

In het begin bestond de ServiceDesk uit twee man SD1 en twee man SD2. Ik maakte ongeveer een jaar deel uit van dit team en heb daarna een half jaar in de buitendienst gewerkt. Van daaruit doorgegroeid naar ICT-specialist zoals het toen heette, nu is dat Team Consultants. Ondertussen deed ik een HBO-bachelor IT-security en deed ik mijn scriptie over de toen aankomende AVG-wetgeving en welke impact dit op VelzArt heeft.

Doordat ik deze kennis had opgedaan kreeg ik hier en daar al vragen m.b.t. informatiebeveiliging. In het voorjaar van 2020 is er besloten door VelzArt om gecertificeerd te worden voor de ISO27001 normering, samen met een externe begeleider (CISO) van Beschermheren heb ik dit traject opgepakt. Inmiddels zijn wij alweer drie jaar gecertificeerd en is informatiebeveiliging een hot item, hierdoor ben ik in de rol als Security Officer terecht gekomen en ben ik steeds vaker met beveiligingsvraagstukken bezig.

Zoals je ziet heb ik vele rollen gehad in de organisatie en dat is ook het mooie aan VelzArt, als je ergens interesse in hebt en er is vraag naar, dan krijg je de ruimte om dit ook te mogen doen!

Hoe kijk jij terug op de afgelopen 6 jaar?

Ik kijk terug op een leerzame afgelopen zes jaar, ik heb veel geleerd en heel belangrijk ook de tijd gekregen om te kunnen leren en daardoor het nodige kunnen bijdragen aan de organisatie die bestaat uit een leuke en hechte club mensen.

Wat doe jij om te ISO certificering te behalen?

Dat is een continu proces. Zo monitor ik beveiligingsincidenten voor onszelf en onze klanten. Daarnaast houden we documentatie en procedures bij voor een uniform werkproces en begeleid ik de interne en externe audits die wij jaarlijks krijgen.

Waarom heb jij die verantwoordelijkheid?

Vanuit mijn opleiding en interesse leek mij dit leuk om te doen en kreeg ik het vertrouwen vanuit VelzArt om dit vorm te geven.

Waarom is de certificering belangrijk voor VelzArt?

Deze certificering laat zien dat VelzArt de controle heeft op de informatie die het beheerd en verwerkt voor zichzelf, maar ook haar klanten. Daarnaast is het zo dat steeds meer wetgevingen zoals AVG, BBGT en binnenkort ook de NIS2 eisen dat informatiebeveiliging op orde is, het mooie daaraan is dat als je ISO27001 gecertificeerd bent je al voor een (groot) gedeelte voldoet aan de eerdergenoemde wetgevingen.

Is dit belangrijk voor onze klanten?

Zeker, een klant is zelf eindverantwoordelijk voor hun eigen data, maar heeft veelal niet de juiste kennis hiervoor in huis. Wij als VelzArt kunnen hierin gedegen advies en support geven.

Hoe krijg je de bewustwording onder collega’s dat we met belangrijke informatie werken?

Dit doe ik door eventuele beveiligingsincidenten te delen met de medewerkers, om daar lering uit te trekken. Gelukkig komt dit niet al te vaak voor.

Verder maken wij gebruik van Phished.io. Dit is een awareness trainingsprogramma die phising stuurt naar onze medewerkers en twee wekelijks een korte training klaarzet van 5 á 10 minuten met bijvoorbeeld een quiz of stellingen m.b.t. informatiebeveiliging.