Klantcase Pulse: 'ISO 27001 certificering vergrootte ons bewustzijn rondom data security'

Microsoft Dynamics 365-dienstverlener Pulse werd in juni 2018 door Kiwa gecertificeerd tegen de norm ISO 27001. Voor Pascal Thönissen, service delivery manager en security officer bij Pulse, snijdt door de certificering het mes aan twee kanten: ‘We laten hiermee zien dat we onze processen rondom informatiebeveiliging op orde hebben én we kunnen onze klanten nu helpen met hun eigen data security vraagstukken.’

Pulse, sinds begin dit jaar onderdeel van CRM Partners Group, verbetert en ondersteunt de bedrijfsprocessen van zijn klanten - voornamelijk productie- en handelsbedrijven - op basis van het Microsoft Dynamics 365-platform. ‘We implementeren bij onze klanten Dynamics ERP- en CRM-applicaties en koppelen die desgewenst met andere software die ze gebruiken. Ook ontwikkelen we zelf aanvullende app’s, bovenop de Dynamics 365-omgeving. Natuurlijk leveren we onze klanten ook volledige 24/7 support op die producten.’

In het kader van die dienstverlening raken de werkzaamheden van Pulse regelmatig het domein van vertrouwelijke informatie. ‘Het is natuurlijk niet zo dat we even een exportje van klantdata draaien’, vertelt Thönissen. ‘We hebben als stelregel dat we geen klantdata in onze eigen infrastructuur willen hebben. Maar als we klanten helpen met een wijzigingsverzoek of storing, dan zou het kunnen voorkomen dat er tussen de geanonimiseerde informatie die we gebruiken voor testscenario’s een keer wat echte data zit. In dat soort gevallen is het belangrijk dat je kunt laten zien dat je goed omgaat met vertrouwelijke gegevens.’

Ook de verwerkersovereenkomsten die bedrijven in het kader van de nieuwe privacywet AVG afsluiten met hun ICT-leveranciers speelden volgens Thönissen een rol bij de keuze van Pulse om op te gaan voor ISO 27001-certificering. ‘Vaak maakt een audit naar de processen rondom informatiebeveiliging onderdeel uit van zo’n verwerkersbijeenkomst. Door die processen te stroomlijnen volgens de ISO 27001 en inzichtelijk te maken, voorkom je dat je bij zo’n audit telkens het wiel opnieuw moet uitvinden en dat bespaart je een boel tijd.’

Pulse ging voor de ISO 27001-certificering niet over een nacht ijs. ‘Samen met een adviesbureau hebben we de risico’s binnen ons bedrijf in kaart gebracht en een information security management system, een ISMS, opgezet. Daaruit kwamen wat verbeterpunten naar voren die we hebben aangepakt voordat we Kiwa over de vloer kregen voor de eigenlijke certificering. Dat duurde twee dagen. Vooraf, al in de offerte, maakte Kiwa perfect duidelijk wat we in die twee dagen allemaal konden verwachten. Daardoor verliep het certificeringstraject hartstikke soepel. We waren het niet altijd eens, maar de discussies waren altijd constructief. Ik denk dat het goed is als een certificeerder pragmatisch is en niet uit het oog verliest waar het op de eerste plaats om gaat: het beheren van de risico’s rondom data security die wij als organisatie lopen.’

Gevraagd naar het belangrijkste wat het ISO 27001-certificaat Pulse gebracht heeft, hoeft Pascal Thönissen niet lang na te denken: ‘Awareness. We waren ons als organisatie - zowel de directie als de medewerkers - al goed bewust van onze verantwoordelijkheden op het gebied van informatiebeveiliging en het omgaan met klantdata. Maar door het certificeringstraject is die awareness alleen maar groter geworden. Bij Pulse geloven we in mensen, in onze medewerkers en onze klanten, maar juist als het aankomt op informatiebeveiliging vraagt het extra aandacht, door zaken te formaliseren en een noodzakelijke structuur aan te brengen.’