Klantcase: PinkRoccade Healthcare

PinkRoccade Healthcare is dé IT-partner voor de zorgsector. Met zo’n 250 medewerkers beheren ze dagelijks grote hoeveelheden bijzondere persoonsgegevens. In een branche waar privacy, kwaliteit en veiligheid cruciaal zijn, zoeken Tessa Koster en Lonneke Westerhof samen met hun teams naar de balans tussen duidelijke normen en vlotte processen.

Het startpunt was een risicoanalyse voor ISO 27001 die aanvankelijk wat op de achtergrond dreigde te raken. CertificeringsAdvies Nederland (CAN) sprong bij om deze snel op te zetten en uit te voeren, samen met de kwaliteitsmanager. Na die eerste samenwerking realiseerden ze zich dat ze behoefte hadden aan een vaste, meedenkende sparringpartner. Zo kwam Laurens Hekkink, adviseur bij CAN, in beeld. 

Laurens stapte in als interne auditor. Geen rapporteur die elk detail onder de loep nam, maar een sparringpartner met oog voor de praktijk. Hij begon met een verdiepend gesprek en ging vervolgens langs alle business units binnen de gehele organisatie. Hoe lopen de processen, waar zit de druk en wat werkt al goed? Door eerst te luisteren, kreeg hij snel een compleet beeld. “Ik heb het afgelopen jaar veel tijd gestoken in het leren kennen van de organisatie. Pas als je die cultuur en lijnen snapt, kun je écht de diepte in.” vertelt Laurens. 

Met die context op zak toetste Laurens de bestaande procedures. Hij stelde herkenbare, soms prikkelende vragen en koppelde zijn bevindingen meteen terug aan de mensen die er dagelijks mee werken. “Met iemand uit de praktijk praat je anders dan met een beleidsmedewerker. Ik gooi niet met norm‑terminologie; ik wil vooral weten: hoe doe jij het in de praktijk en wat merk jij van ISO?”

Tessa en Lonneke vonden de auditverfrissend. Waar eerdere auditors vaak overal verantwoording zochten, voelde dit juist als teamwork: “Laurens kreeg snel duidelijk hoe wij werken, gaf bruikbare feedback en liet ons verder bouwen op wat al staat. Hij bracht ons echt verder, zonder het wiel opnieuw uit te vinden.” aldus Tessa. De externe auditor gaf zelfs complimenten over het interne rapport: het was helder, to the point en direct bruikbaar voor vervolgstappen. Hij had nauwelijks aanvullingen!

“Na de audit zijn alle bevindingen gekoppeld aan eigenaren in de GRC‑tool. Zo houden we continu zicht op voortgang en blijft certificering een vast agendapunt. De combinatie van ISO 9001, ISO 27001, ISO 27017 en NEN 7510 wordt nu stapsgewijs geïntegreerd in werkinstructies en teamoverleggen. Dankzij de hands‑on aanpak leeft het onderwerp echt in de organisatie. De één pakt het meteen op, de ander heeft wat extra reminders nodig. Maar we blijven in gesprek en dat werkt”, vertelt Lonneke.

“Een audit is geen strafwerk, maar een thermometer waarmee je toetst waar een organisatie staat,” legt Laurens uit. “Ik wil niet controleren, ik wil begrijpen hoe ver de organisatie is en aan welke knoppen we samen kunnen draaien om verder te groeien.” Omdat hij PinkRoccade Healthcare inmiddels al wat beter kent, kan hij bij elke nieuwe ronde gericht dieper duiken in de thema’s die er écht toe doen.

“Ik begin elk gesprek met: ‘Leg het me eens uit’. Zo voorkom ik aannames en hoor ik wat er leeft op de werkvloer, vaak zelfs buiten de geplande scope,” vervolgt hij. De bevindingen moet je als kansen zien: “Het is feedback waar je direct mee aan de slag kunt.”

Een interne auditor die je organisatie écht kent, tilt elke auditronde naar een hoger niveau. Omdat processen en cultuur al vertrouwd zijn, gaat er minder tijd naar uitleg en meer naar de punten die ertoe doen. Dat levert rapportages op die meteen bruikbaar zijn, concrete verbeteracties met duidelijk eigenaarschap en een continu leerproces dat de organisatie stap voor stap sterker maakt. De samenwerking versterkt elkaars ambities: van ‘moeten voldoen’ naar ‘willen verbeteren’. Zo blijft PinkRoccade Healthcare koploper in veilige zorg‑IT! 

Ben jij benieuwd naar onze mogelijkheden voor het inschakelen van een interne auditor? Neem dan contact met ons op of vraag direct een offerte aan.