ISO-certificeringen. Wellicht heb je er wel eens van gehoord en roept het beelden op van bureaucratische papierschuiverij. Bij mij in elk geval wel vroeger. Tot we afgelopen jaar besloten om zelf onze ISO 27001 en ISO 9001 certificeringen te behalen. Dat veranderde mijn mening over de ISO drastisch. Maar waarom besloten we eigenlijk om dit te gaan doen?
Voor mensen die geen idee hebben waar dit over gaat: ISO staat voor ‘International Organization for Standardization’, en is de organisatie die normen vaststelt voor zo ongeveer alles. Van normen voor de bouw van vliegtuigen tot de (iets trivialere ;-) ) norm voor het zetten van thee: ISO 3103.
ISO 9001 is daarbij de wereldwijde norm voor kwaliteitsmanagement en zorgt ervoor dat er continu een hoog niveau van kwaliteit wordt gewaarborgd. ISO 27001 is de internationale standaard voor informatiebeveiliging en stelt eisen aan de implementatie van beveiligingsmaatregelen in organisaties.
triptic is altijd al een professioneel georganiseerd bedrijf geweest. Anders hadden we nooit 21 jaar kunnen bestaan. Maar in ruim twee decennia is er wel enorm veel veranderd. Hingen de post-its met wachtwoorden tien jaar geleden bij wijze van spreken nog aan de monitoren, tegenwoordig gebruiken veel mensen 2 traps beveiliging en wachtwoordmanagers.
En denk bijvoorbeeld ook eens aan de invoering van de AVG afgelopen mei: op zich geen enorme verzwaring van de regels die er al waren, maar de impact ervan is groot. Plotseling lijkt iedereen zich bewust van het risico dat het omgaan met persoonsgegevens met zich meebrengt. De kranten staan er vol mee. Alles ligt onder een vergrootglas. En dat merken we ook aan de eisen die opdrachtgevers terecht aan leveranciers van informatiesystemen stellen.
Vertéllen dat je kundig bent, is niet meer voldoende. Het is nodig om te kunnen bewíjzen dat je als organisatie veiligheid en kwaliteit hoog in het vaandel hebt staan. En daar kwam voor ons de ISO om de hoek kijken: een gestandaardiseerd en internationaal geaccepteerd stelsel van normen en eisen, beoordeeld door gespecialiseerde auditoren.
Wat volgde was een jaar van voorbereiden. Normbladen doornemen, management systeem opzetten, medewerkers aan boord krijgen, risico’s inventariseren, procedures schrijven, maatregelen nemen… Er leek soms geen eind aan te komen. Maar het wierp z’n vruchten af en al snel kwamen we tot de conclusie dat we hier niet te maken hadden met een papieren tijger, maar met échte verbeteringen, voor ons en onze opdrachtgevers.
Na al die voorbereiding was het eindelijk zover: de ISO-audit oftwel I-day. Vier volle dagen auditen door deskundigen van de wereldwijd certificerende instelling QMS International. Een audit waarbij álle onderdelen van onze organisatie werden beoordeeld op het gebied van informatieveiligheid en kwaliteit: van softwareontwikkeling, implementatie en beheer, tot en met onze advies- en ondersteunende diensten. Dat was best pittig. En wederom werd me duidelijk hoe belangrijk het was dat we hieraan begonnen waren.
Beide certificeringen zijn met vlag en wimpel gehaald. Voortaan mogen we triptic en Iris Intranet ISO 27001 en ISO 9001 gecertificeerd noemen. Een mijlpaal in ons bestaan, en een teamprestatie waar ik trots op ben.
Hiermee stopt het echter niet. Onze certificeringen markeren een begin, geen eindpunt. De wereld verandert immers en dus veranderen wij mee. Dat is wie we zijn.
Zo zijn we nu bijvoorbeeld alweer bezig met het voorbereiden van de volgende grote verandering: het besluit digitale toegankelijkheid. Binnenkort voldoet Iris Intranet namelijk ook volledig aan de nieuwe Europese toegankelijkheidsrichtlijnen. Maar daarover een andere keer meer...
Benieuwd wat Iris voor jouw organisatie kan betekenen? Download hier de gratis User Stories en lees ervaringsverhalen van gebruikers.
Downloaden