‘ISO 27001-certificaat schept vertrouwen’
Heijmans, een van de grootste bouwbedrijven van Nederland, vierde in 2023 zijn honderdjarig bestaan en mag sindsdien het predicaat ‘Koninklijk’ aan zijn naam toevoegen. Met een uitgebreid portfolio, van vastgoedontwikkeling tot infrastructuur en technische installaties, hecht het bedrijf veel waarde aan kwaliteit, veiligheid en duurzaamheid. Recent verlengde Kiwa de ISO 27001-certificering van Heijmans, een bevestiging van Heijmans’ inspanningen op het gebied van informatiebeveiliging. Raymond van Ommeren, coördinator kwaliteit bij Heijmans, vertelt over het belang van deze certificering.
Binnen Heijmans speelt kwaliteitscertificering een cruciale rol. Het bedrijf beschikt over een cluster Veiligheid, Verbeteren en Kwaliteit (VVK) dat ondersteuning biedt aan alle bedrijfsactiviteiten. ‘De afdeling Kwaliteit binnen dit cluster beheert het merendeel van de gecertificeerde normen. Dagelijks werken we aan het onderhouden en verbeteren van ons managementsysteem’, legt Van Ommeren uit. ‘Normen als VCA, ISO 9001, 14001, 55001 en 27001 vormen samen met diverse beoordelingsrichtlijnen (BRL’s) de ruggengraat van dit systeem.’
Veilig en verantwoord omgaan met informatie
De ISO 27001-certificering, die sinds de initiële certificering in 2017 door Kiwa wordt uitgegeven, speelt een bijzondere rol. ‘Informatiebeveiliging is essentieel voor ons’, zegt Van Ommeren. ‘Dagelijks verwerken we veel informatie, zowel digitaal als op papier. ISO 27001 helpt ons om veilig en verantwoord met deze informatie om te gaan én dit ook te laten zien aan opdrachtgevers en belanghebbenden. Daarnaast fungeert het als een instrument om de interne processen te meten en verbeteren, onder meer met de beheersmaatregelen uit de ISO 27002.’
Normupdate ISO 27001:2022
Heijmans heeft ervoor gekozen om de organisatie geleidelijk aan te haken op ISO 27001. Dit proces begon kleinschalig, met het eerste ISO 27001-certificaat. ‘Door de jaren heen hebben we gefaseerd meer business units laten aansluiten op dit certificaat. Met deze groei hebben we ook ons Information Security Management System (ISMS) verder kunnen professionaliseren. Toen de normupdate ISO 27001:2022 werd aangekondigd, besloten we hier direct mee aan de slag te gaan. In relatief korte tijd hebben we ons ISMS aangepast en de reeds aangesloten business units meegenomen in deze transitie.’
Praktische invulling
De keuze voor Kiwa als certificeringspartner was logisch voor Heijmans. De positieve ervaringen met Kiwa bij andere schema’s zoals de CO₂ Prestatieladder en de Safety Culture Ladder speelden een grote rol. ‘De praktische invulling van de audits door Kiwa past goed bij Heijmans. De auditors zijn ervaren en brengen veel kennis mee uit de bouwwereld. Dit maakte Kiwa ook voor ISO 27001 de juiste keuze.’
ISMS verder aanscherpen
De audits met Kiwa zijn door de jaren heen altijd in goede sfeer verlopen. ‘We hebben ons altijd kunnen herkennen in de bevindingen uit de audits, waardoor we ons ISMS verder konden aanscherpen,’ aldus Van Ommeren. ‘Met de transitie naar ISO 27001:2022 hebben we speciale rollen gecreëerd per gecertificeerde business unit. Collega’s in deze rollen vervullen diverse informatiebeveiligingstaken om aan de eisen uit de norm te blijven voldoen. Door de verantwoordelijkheden te verdelen, blijft het ISMS beter in stand en is het gemakkelijker om nieuwe business units toe te voegen aan het certificaat.’
Doorlopend proces
De certificering en bijbehorende audits zijn niet alleen intern belangrijk, maar ook voor de klanten van Heijmans. ‘Het ISO 27001-certificaat schept vertrouwen en maakt informatiebeveiliging aantoonbaar’, vertelt Van Ommeren. ‘Het laat zien dat we informatiebeveiliging serieus nemen en dat versterkt het vertrouwen van onze opdrachtgevers.’ Van Ommeren ziet certificering als een doorlopend proces. ’Ons ISMS is continu in beweging en we proberen dit te verbeteren waar mogelijk. De jaarlijkse auditronde die Kiwa uitvoert, is voor ons een bevestiging dat we op de juiste weg zitten. Het biedt ons de gelegenheid om te reflecteren en te sparren over de interpretatie van normelementen.
Verhoogd veiligheidsbewustzijn
Het ISO 27001-certificeringstraject heeft volgens Van Ommeren ook bijgedragen aan een verhoogd veiligheidsbewustzijn bij de medewerkers van Heijmans. ‘We hebben bij Heijmans al een uitgebreid programma om medewerkers te informeren over de risico's rondom informatiebeveiliging. De medewerkers uit de gecertificeerde business units hebben allemaal al een duidelijke basis. Daarnaast worden deze collega’s aanvullend geïnformeerd over risico's die spelen binnen hun werkveld. Toch hebben het certificeringstraject en de bijbehorende taken zeker bijgedragen aan een verhoogd bewustzijn bij onze medewerkers.’
Noodzakelijke factor
Vanuit de markt krijgt Heijmans relatief weinig vragen over de ISO 27001-certificering. ‘Binnen de bouwbranche is ISO 27001 nog geen dagelijkse kost. Afhankelijk van de aard van de werkzaamheden zien we wel groeiende behoefte bij opdrachtgevers. Op dit moment beschouw ik deze certificering nog steeds als onderscheidend. De komende jaren zullen echter meer bedrijven streven naar een certificaat en zal de onderscheidende factor veranderen in een noodzakelijke factor.’
De juiste vragen blijven stellen
Het behouden van het ISO 27001-certificaat vraagt voortdurende inspanning, maar Van Ommeren ziet de toekomst positief in. ‘De digitalisering zal in de bouwbranche toenemen en met de groeiende rol van technologieën als AI zullen er naast kansen ook nieuwe risico’s ontstaan. ISO 27001 zal ons helpen om telkens de juiste vragen te blijven stellen en ons aan te passen aan deze veranderingen.’
Meer info
Kijk op onze website voor meer informatie over ISO 27001-certificering.