Klantcase: Vecos

Een ISO 27001 certificering behalen binnen vijf maanden, zonder gebruik te maken van strikte handboeken, maar juist door middel van een pragmatische aanpak. Dat waren de voorwaarden van Vecos toen ze voor ISO 27001 begeleiding aanklopten bij CertificeringsAdvies Nederland (CAN). Duidelijke voorwaarden, maar zeker niet onrealistisch! Binnen twee maanden tuigde Vecos, met behulp van CAN, het managementsysteem op en slechts drie maanden daarna hadden ze de audit fase 1 doorstaan. Joris Geelhoed (Security Officer bij Vecos) en zijn collega Ronald van Genechten (Security Manager) hebben zich het afgelopen jaar binnen Vecos beziggehouden met het optimaliseren van de bedrijfsprocessen en concluderen dat ISO daar ontzettend bij heeft geholpen. Joris Geelhoed: “Het is erg prettig als je met een partner samenwerkt die net zo pragmatisch denkt en handelt als wij zelf doen. We hebben veel aan CAN te danken. Zij hebben ons waardevolle input gegeven gedurende het hele traject.”

Vecos, gevestigd in Eindhoven, is marktleider in het leveren en implementeren van slimme opbergruimte. Ze zijn leverancier van hoogwaardig ontworpen elektronische lockersloten, die worden aangestuurd door een lockermanagementsysteem. Vecos maakt de kluisjes (de ombouw) niet zelf, maar focust zich op de hardware die erin zit en ontwikkelt de software. De smart lockers worden bijvoorbeeld gebruikt in scholen en op kantoren, ofwel in omgevingen waar heel dynamisch gewerkt wordt.

Joris Geelhoed, bij Vecos gestart als proces engineer en gedurende het ISO-traject uitgegroeid tot Security Officer, vertelt: “Onze klanten zijn voornamelijk scholen en grote kantoren in zowel binnen- als buitenland. We verkopen, met behulp van partners, onze systemen namelijk wereldwijd. Vanuit die hoek is eigenlijk ook de vraag naar een ISO 27001 certificering gekomen. Doordat we veel met software werken, software ontwikkelen en gegevens van klanten dragen, kregen we vanuit opdrachtgevers steeds vaker de vraag naar een ISO-certificering. Met regelmaat vroegen grote klanten ons om lange surveys in te vullen. Dat werd vervelend en daarom hebben we afgelopen november (2019) besloten om met een ISO 27001 certificering aan de slag te gaan. Uiteraard omdat er een commercieel voordeel aan vast zit, maar zeer zeker ook omdat we graag onze organisatie strakker neer wilden zetten.”

Joris vervolgt: “Toen we de knoop door hadden gehakt dat we een ISO 27001 certificaat wilden behalen, zijn we op zoek gegaan naar een partner die ons daarbij op een pragmatische manier zou kunnen helpen. Zelf had ik in het verleden wel wat ervaring opgedaan met ISO (de 9001 variant), maar die ervaring stamt nog uit de tijd dat het handboek met stof erop jaarlijks een keertje uit de kast kwam. Vandaar dat we zijn gaan zoeken op Google en na wat telefoontjes kwamen we op een selectie van bureaus uit die ons bij ISO 27001 konden ondersteunen. Eén van die bureaus was CertificeringsAdvies Nederland (CAN). Uiteindelijk hebben we hen als partner in de arm genomen op weg naar ISO 27001.

Vecos is een snelgroeiend bedrijf dat haar aandacht en energie vooral in de mensen steekt. We zijn juist wat minder van de strakke procedures en werkinstructies en leggen vooral veel verantwoordelijkheid bij de medewerkers zelf neer. Om die reden wilden we het hele ISO-verhaal ook op een pragmatische manier aanvliegen. Daarom zijn we op zoek gegaan naar een partner die op dezelfde manier denkt en handelt als wij. Op de website van CAN zagen we al een aantal klantcases staan waarin de praktische werkwijze die CAN hanteert werd benadrukt en dat sprak ons erg aan. Na een gesprek met Nelis van de Pol (eigenaar van CAN) kregen we de bevestiging dat CAN een pragmatische aanpak hanteert, zonder allerlei strakke regels, en dat inspireerde ons enorm. Het sloot precies aan bij ons idee om juist een stukje bewustzijn bij de medewerkers neer te leggen en geen zaken aan hen op te leggen in beleid en regels. Uiteraard zijn er een aantal zaken verplicht vanuit ISO, maar ook die hebben we zo pragmatisch mogelijk ingestoken.”

Binnen Vecos was al vanaf het begin af aan de wens om het ISO 27001 traject snel te doorlopen. Joris Geelhoed: “We wilden graag 1 november (2019) starten en ons doel was om op 1 april (2020) het certificaat in handen te hebben. We begrepen al snel dat vijf maanden natuurlijk wel erg snel is, maar ondanks dat is het ons, met behulp van de adviseur van CAN, wel degelijk gelukt om alles intern op te zetten! We hebben inmiddels audit fase 1 succesvol doorlopen en hopen binnenkort het certificaat te mogen ontvangen. Daarbij is het wel belangrijk om te vermelden dat we er zelf als organisatie ook flink wat tijd en energie in hebben gestoken. Om een stok achter de deur te hebben, hebben we bij de start van het traject al direct een interne audit ingepland, zodat we een streefdatum hadden waar we naartoe konden werken. Dat werkte bevorderend.

Al met al is het erg snel gegaan: begin november zaten we voor een kennismaking met Nelis van de Pol aan tafel, in januari (2020) stond ons managementsysteem al en konden we van start met verzamelen van bewijslast en continu verbeteren. Spannend, want in twee maanden kun je veel bouwen, maar dan moet je nog laten zien dat je het ook echt gebruikt. Dat is natuurlijk lastig in zo’n korte periode, maar toch is het ons gelukt om het hele traject intern in vijf maanden voor elkaar te krijgen. Uiteindelijk hebben we begin april de fase 1 audit gehad. We hebben veel aan CAN te danken. Zij hebben ons waardevolle input gegeven gedurende het hele traject.”

Joris blikt terug: “Onze adviseur gaf ons het advies om te starten met de stakeholdersanalyse (onderdeel van de contextanalyse). Hier hebben we, samen met onze acht procesleiders, een middag en een ochtend voor gezeten. Wanneer je aan de slag gaat met die contextanalyse dan is het belangrijk dat je draagvlak hebt vanuit de organisatie en dat je vanuit meerdere kanten (sales, directie, software-ontwikkeling etc.) input krijgt bij de implementatie. De gezamenlijke start en de professionele begeleiding van de adviseur hebben erg geholpen om de hele groep te enthousiasmeren voor ISO. Dat was erg positief.

Verder hadden we met de adviseur afgesproken dat hij iedere twee weken bij ons op de zaak langs zou komen. Om de vrijdag stond hij op de stoep en die momenten gingen ook altijd door. Dat werkte erg prettig. Soms had je wel eens dat je in twee weken wat minder had gedaan, maar dan ging de adviseur een rondje door de organisatie maken en ging hij het gesprek aan met ons en onze collega’s. Daardoor haalde hij er toch elke keer wat nieuws uit en zo konden we toch stappen blijven maken. Iets wat ook zeker moest, omdat we binnen vijf maanden wilden certificeren. De adviseur maakte daarbij ook heel duidelijk wat hij van ons verwachtte en dat werkt erg prettig. Het is fijn als de adviseur er zo in staat, echt een stok achter de deur!”

“Het was voor ons erg prettig dat de adviseur gedurende het hele traject ons vaste aanspreekpunt was, zo vervolgt Joris zijn verhaal. Zo kun je steeds snel met elkaar aan de slag. Je hoeft immers niet iedere keer uit te gaan leggen hoe je managementsysteem is opgebouwd aan iemand die het nog nooit heeft gezien. Door die werkwijze konden we ons ook prima aan de vooraf opgestelde urenbegroting houden. Het hele traject ging soepel, was duidelijk en verliep zoals vooraf verwacht.

Informatiebeveiliging zit bij Vecos weliswaar in het bloed, omdat we natuurlijk bezig zijn met software. Maar dat geheel koppelen aan een ISO-norm, daar heeft de adviseur van CAN ons echt ontzettend bij geholpen. Dat ging namelijk nog een stuk breder dan ons software-gedeelte. Dat hadden we vooraf zelf niet zien aankomen, maar de adviseur heeft ons daar prima bij geholpen.

Al met al was het prettig om met CAN samen te werken. De organisatie en adviseur hebben veel ervaring, handige voorbeelden die je kunt gebruiken en bepaalde ideeën die je kunt overnemen. Dat werkt erg fijn, zeker als je daar zelf nog nooit mee gewerkt hebt. Het is erg prettig als je met een organisatie kunt werken die net zo flexibel, open en plat is als wij zelf zijn. Daar hebben we specifiek naar gezocht en die hebben we in CAN zeker gevonden!”