Binnen 3 dagen een nieuwe fundering neergezet

Laten we eerst kennismaken met de klant. Dit is een jong tech bedrijf dat een platform heeft ontwikkeld voor het snel opzetten van research tegen lage kosten. Inmiddels wordt dit platform door veel organisaties binnen de gezondheidszorg gebruikt.

Het bedrijf was al, onder begeleiding van een derde adviserende partij, gestart met het project om gecertificeerd te gaan worden op de NEN7510. Voordat de externe audit zou plaatsvinden hadden ze behoefte aan een onafhankelijk oordeel over de stand van zaken en namen zodoende contact op met Beschermheren. Eigenlijk wilde ze weten of ze echt klaar waren voor de audit. In eerste instantie was het doel om een interne audit uit te voeren. Echter constateerden ik al snel dat de realiteit en het heersende vermoeden elkaar flink ontliepen. Ze waren zeker nog niet klaar voor de 1e fase van de audit.

Er was dus een plan nodig, en snel ook. Want de 1e fase audit stond al gepland. We zijn een week later eigenlijk helemaal opnieuw begonnen. Binnen drie dagen hebben we een nieuwe risicoanalyse uitgevoerd om de fundering helemaal goed te zetten. Met deze nieuwe stabiele ondergrond als startpunt heb ik vervolgens de klant begeleidt met het opleveren van eenduidige documentatie en het implementeren van de juiste, noodzakelijke maatregelen. Hierdoor begon bij de klant het besef te groeien dat het proces naar de certificering nu beter ging maar ze er nog niet waren. De klant besloot hierom zelfs om de externe audit met een maand te verplaatsen, om zo zichzelf wat meer tijd te verschaffen. Een goede zet als je het mij vraagt. En fijn dat deze mate van flexibiliteit werd geboden vanuit de certificerende instantie.

Een succesvolle sprint dankzij advies op maat

In eerste instantie was het voor de klant enorm belangrijk om een snelle sprint te trekken richting die naderende audit. Die sprint hebben we inmiddels gewonnen want begin december heeft deze klant de 1e fase audit succesvol doorstaan. Klaar zijn we echter nog lang niet. In februari 2021 staat de 2e fase op het programma. Aangespoord door het goede verloop van de 1e fase van de audit zijn we samen druk bezig om ook deze tot een goed einde te brengen.

Inmiddels heb ik feedback ontvangen vanuit de klant en daaruit bleek dat mijn kennis, inzicht en flexibiliteit zeer waardevol is gebleken. Tijdens een dergelijk traject sta ik altijd in nauw contact met de klant en lever ik advies op maat over de interpretatie van de ISO27001/NEN7510 en de uiteindelijke implementatie. Het mooiste aan dit project vind ik de veelzijdigheid en de mate van flexibiliteit die van mij verwacht wordt binnen de tijdsdruk door de reeds geplande 1e en 2e fase audits. Tenslotte doorlopen we niet standaard in zo’n korte tijd het gehele proces om te komen tot een certifying-ready status. Zeker niet in dit corona-tijdperk. Maar een echte Beschermheer schrikt niet van een mooie uitdaging.

Verantwoordelijkheden belegd bij de juiste mensen

Bij het volgende bedrijf trof ik een vergelijkbare situatie aan als bij het succesverhaal hiervoor. Deze klant, een applicatiebouwer die zich heeft gespecialiseerd in het bedenken, ontwikkelen en optimaliseren van bedrijfsapplicaties voor veeleisende omgevingen, was goed begonnen maar de draad wat kwijtgeraakt.

Zo waren ze samen met een externe partij begonnen met het implementeren van een ISMS. Dit met het doel om zichzelf klaar te stomen voor een ISO27001 certificering. An sich niks mis met deze stap, maar het is dan wel belangrijk dat iedereen gefocust blijft op het project. Dit bleek echter niet het geval. Op het moment dat ik bij de klant begon bleek niemand precies te weten waar ze stonden. Daarnaast was ook de kwaliteit van het opgeleverde werk een vraagteken. Genoeg werk aan de winkel voor mij dus om iedereen weer betrokken te krijgen.

Om ook een goed beeld voor mezelf te creëren van de huidige situatie begon ik met het uitvoeren van een inventarisatie. Waren alle verplichte componenten aanwezig? En hoe stond het echt met de kwaliteit van het opgeleverde werk? Al snel bleek dat de risicoanalyse verouderd was en de documenten nog veelal in template vorm stonden. Kortom, het ontbrak ook hier aan een stevige fundering. Na kort overleg met de klant kreeg ik toestemming om een nieuwe risicoanalyse uit te voeren. Dit was het startsein van een nieuw begin. Dankzij de resultaten van mijn analyse waren we veel beter in staat om de verantwoordelijkheden te beleggen bij de juiste mensen. Zodoende konden we samen goede stappen zetten om het project beter te integreren met de organisatie.

Samen de juiste stappen zetten richting de ISO-certificering

Er waren in het begin veel onduidelijkheden bij de klant. Waar de ene medewerker rechtsaf sloeg, ging de ander linksaf. Het ontbrak aan sturing en een gemeenschappelijk doel. Voor mij was het belangrijk om niet betrokken te raken bij de verschillende opvattingen, maar om er juist voor te zorgen dat er gehandeld werd met enkel het behalen van de ISO27001-certificering voor ogen. Uiteindelijk is het namelijk het ISMS van de klant, en niet dat van mij of van Beschermheren. Ik zet de juiste lijnen en de klant mag het inkleuren zoals gewenst.

Op het moment van schrijven zie ik dat de klant steeds volwassener aan het worden is als bedrijf. De neuzen staan dezelfde kant op en ook de beste beentjes staan voor. De noodzaak van de ISO-certificering is nu duidelijk voor iedereen binnen het bedrijf. Zo krijgen processen en procedures kaders en wordt het werk niet meer aan de individu zelf overgelaten.

Situaties zoals bij deze klant zijn niet vreemd voor ons van Beschermheren. Vaak worden ISO- of NEN- trajecten vol overgave begonnen maar wordt na verloop van tijd het doel uit het oog verloren. Hoe fijn is het dan om een kundig en ervaren persoon in je organisatie te hebben die iedereen weer op scherp zet. Dankzij de onafhankelijke positie van Ezra was hij in staat om bij beide bedrijven mooie resultaten te boeken. Daarnaast werd tijdens beide projecten ook duidelijk hoeveel het een organisatie kan bieden, dit is altijd een onderliggend doel voor ons. Een certificaat haal je niet enkel voor de buitenwereld, je zet als organisatie een flinke stap naar volwassenheid.

Herken je bovenstaande scenario’s en kun je ook wel een Beschermheer als Ezra gebruiken? Wij komen graag met je in contact.