Privacy Company ontving hun ISO 27001 certificaat vanuit Brand Compliance. De specialist in privacy- en databescherming implementeerde een Information Security Management System (ISMS). Daarmee borgt het bedrijf informatiebeveiliging binnen hun organisatie en toont aan een betrouwbare partner te zijn voor leads en klanten van Privacy Company. Frank Koppejan, directeur van Privacy Company, geeft inzicht in hun weg naar certificering.
Expert in privacy
Zeven en een half jaar geleden richtte Frank Koppejan Privacy Company op. Frank: “Ons team begeleidt organisaties bij het op de juiste manier verwerken of beschermen van persoonsgegevens. Ik geloof dat je moeilijke dingen juist makkelijk moet maken. Dat is de essentie van hetgeen we bij Privacy Company doen. We leveren bijvoorbeeld functionarissen voor gegevensbescherming, bereiden organisaties voor op audits en helpen ze o.a. met contracten, software, cookies en policies. In feite pakken onze experts alles op het gebied van privacy op, met uitzondering van rechtszaken”.
Informatiebeveiliging en privacy zijn onderwerpen die bij steeds meer organisaties hoog op de agenda staan. En die elkaar raken ondanks dat ze verschillend zijn. Frank: “Vanuit de wet- en regelgeving zijn er strikte punten waar organisaties aan moeten voldoen op het gebied van privacy. Het team van Privacy Company bestaat uit juridische en technische experts. Zij staan klanten bij om privacy binnen hun organisatie optimaal te borgen”.
Een verbeterde organisatie
In 2021 gaf Privacy Company informatiebeveiliging binnen hun organisatie de nodige kwaliteitsimpuls. Dat maakte dat de organisatie optimaal voorbereid het ISO 27001 certificeringstraject inging. Frank: “Het proces rondom deze ISO 27001 certificering dient als handvat om tot verdere verbetering van onze organisatie te komen. Daarnaast was het een mooie gelegenheid om onze eigen kennis op dit gebied te verhogen. Het is handig dat we uit eerste hand weten hoe een dergelijk traject werkt. Tot slot is het naar onze klanten toe een sterk signaal dat we aantonen aan de gestelde ISO 27001 norm te voldoen”.
Een succesvolle implementatie
Privacy Company koos er bewust voor om daadwerkelijk zaken aan te pakken en verbeteren binnen hun organisatie. Frank: “We wilden voorkomen dat het certificaat in de lade zou verdwijnen als een papieren tijger. Zowel het interne implementatieteam als het managementteam namen het traject absoluut serieus. Er was sprake van een goede samenwerking om dit traject in goede banen te leiden en de betrokkenheid was hoog. Hierdoor konden we er gezamenlijk een succes van maken. Het bleek erg handig dat we onze systemen, verwerkingen en leveranciers al in onze privacy managementtool Privacy Nexus beschikbaar hadden”.
Inhoudelijke toetsing
“Er volgde een intensief certificeringstraject”, legt Frank uit. “Op procesniveau waren veel details nog niet of slechts gedeeltelijk uitgeschreven. Om het goed vast te leggen hadden we flink wat werk te verzetten. Vanuit ons netwerk kwamen we in gesprek met enkele certificatie-instellingen. Brand Compliance maakte duidelijk de beste indruk. Het was een teambeslissing om hen als certificatie-instelling in te schakelen. De auditor van Brand Compliance verzorgde een stevige inhoudelijke toetsing waarbij we veel moesten uitleggen en laten zien. Ik ben trots dat we als bedrijf lieten zien aan alle eisen te voldoen”.
Monitoren en verbeteren
Privacy Company implementeerde het ISMS, de processen en werkwijzen. Frank: “Informatiebeveiliging binnen Privacy Company is hiermee naar het volgende niveau gebracht. Met het ISO 27001 certificaat op zak is het nu zaak om de auditcyclus te volgen. Op deze manier monitoren we of we de vereiste kwaliteit ook blijven leveren. Waar nodig blijven we continu zaken verbeteren”.
Neem de tijd
Een duidelijk advies van Frank: leer van het proces en neem er de tijd voor. “Om te voldoen aan alle eisen van ISO 27001 dien je als organisatie flinke stappen te zetten. Het draait niet alleen om het implementeren van het managementsysteem en alle processen. Je moet zaken overdenken en uitwerken. Het certificeringstraject is daarom niet iets dat je ‘even’ tussendoor doet. Gebruik het als middel om daadwerkelijk als organisatie veilig en beter te worden. De toetsing vanuit Brand Compliance en de gehele communicatie rondom de audit is uiterst prettig verlopen. Daar kijken we absoluut positief op terug”.