SIM

Zonder begeleiding van QSN was het veel moeilijker geworden

SIM is een softwarebedrijf en houdt van de gedegen voorbereiding. Het bedrijf sprak uitgebreid met leveranciers en partners om een shortlist van mogelijke kwaliteitsadviseurs samen te stellen. Na gesprekken met zeven mogelijke kandidaten kwam QSN als beste uit de bus. Emiel Duinisveld, Chief Information Security Officer (CISO) beschrijft het proces en de afwegingen die SIM heeft gemaakt. QSN’er Roland van der Geer vertelt zijn deel van het verhaal.

“Vandaag beter doen dan gisteren zit ook echt in het DNA”

“Dagelijks maken wij het voor miljoenen Nederlanders makkelijker hun zaken met de overheid online te regelen, via een persoonlijk, betrouwbaar, gebruiksvriendelijk en veilig platform. De laatste jaren zie je dat er steeds meer nadruk wordt gelegd op de beveiliging van informatie. Informatiebeveiliging is, terecht, een basis hygiëne geworden. Je kunt wel zeggen dat de aanleiding om ISO 27001 gecertificeerd te worden dan ook vanuit de markt kwam. Achteraf gezien waren we precies op tijd met certificeren. We zijn in mei 2018 gecertificeerd en in juni hadden we de eerste aanbesteding waarbij ISO 27001 als eis naar voren kwam. Als je kijkt naar ISO 9001, kwaliteitsmanagement, dan was de motivatie meer intern gedreven. We wilden intern een verbeterslag maken. Het goed in kaart brengen van onze kernprocessen was daarbij een randvoorwaarde. ISO 9001 heeft hieraan bijgedragen door het opzetten en inrichten van een kwaliteitsmanagementsysteem. Bij software ontwikkelaars bestaat nog wel de ‘angst’ dat ISO meer bureaucratie in de organisatie brengt en ze ‘agility’ verliezen. Achteraf is dat heel erg meegevallen.” Zegt Emiel Duinisveld, Chief Information Security Officer bij SIM.

QSN heeft een eigen aanpak

“We hebben de tijd genomen een goede partij te vinden om ons te begeleiden. Na gesprekken met zeven organisaties, kwam QSN als beste uit de bus. Het was een heel fijn gesprek. QSN nam bij het eerste gesprek niet alleen een accountmanager maar ook direct een consultant mee. De één kon meer vertellen vanuit de inhoud en de ander vanuit het proces. We gingen direct de diepte in. We wilden de ondersteuning voor beide normen door dezelfde partij laten doen. Bij QSN was dit, in tegenstelling tot andere organisaties, wel mogelijk. De aanpak die QSN hanteert sprak ons ook gewoon aan. Er lag direct een concreet verhaal op tafel. QSN heeft bovendien een eigen aanpak. Ze werken met een roadmap met stappen en milestones en dat werkt erg prettig. Verder hebben wij ook gebruik kunnen maken van ‘templates’ van QSN. Dat was een mooie basis om de benodigde documentatie op orde te krijgen.”

Hagenezen onder elkaar

“Wat ook meespeelde bij de keuze voor QSN is dat ze direct een consultant in gedachten hadden met ervaring in de IT en telecom. Door het beeld dat van Roland werd geschetst, hadden we wel het idee dat hij hier goed zou kunnen passen. Daar komt bij dat Roland, net als ik, uit Den Haag komt. Hagenezen onder elkaar, zeg maar. Dat hielp wel. We delen een voorliefde voor dezelfde club. Ja, ADO is bij ons regelmatig ter sprake gekomen.

Een goed plan van aanpak

“We hebben ons goed voorbereid op het certificeringsproces. Naast de gesprekken die wij al met partners en leveranciers hadden gevoerd, ben ik zelf een opleiding gaan doen tot lead implementer ISO 27001. Dus er was al wat kennis van de norm en het managementsysteem. Roland en QSN hebben ons vooral geholpen tot een goed plan van aanpak te komen. Dus zorgen voor de juiste planning en het definiëren van de belangrijkste milestones. Ze hebben goed in kaart gebracht welke fases we gaan doorlopen. Van documentatiefase, via de interviews naar risicoanalyse en zo verder. Het is belangrijk dat allemaal uit te stippen, in het jaar te plotten en ook te presenteren. Zowel aan de directie als aan de rest van de organisatie. Hadden we dat allemaal zonder begeleiding moeten doen, dan was het wel moeilijker geworden, denk ik. Je mist de kennis en ervaring om zo’n belangrijk project zelfstandig succesvol af te ronden.”

“Je ziet bij SIM een heel goede intrinsieke motivatie”

Ik heb een IT achtergrond en dat schept een band als je met een bedrijf als SIM werkt. Ik had al meer klanten in de hoek van software ontwikkeling. Dat maakt het proces net even makkelijker. Je hoeft elkaar niet uit te leggen waar het over gaat. Buiten dat kijk ik altijd goed naar de werkwijze van mijn klant. SIM is iets anders georganiseerd dan andere klanten. Met een vijfkoppige directie is er een iets andere dynamiek dan bij andere organisaties. Daar pas je je stijl op aan. Maar dat wat je uiteindelijk levert is min of meer gelijk aan dat wat je voor andere klanten doet. Daar komt bij dat we bij dit traject veel meer tijd hebben besteed aan de implementatie. SIM wilden het goed neerzetten.”

De wil om het goed aan te pakken

“Bij SIM zie je een heel goede intrinsieke motivatie. Een van de kernwaarden van het bedrijf is ‘we doen het vandaag beter dan gisteren’. Dat zit in het DNA. De wil om dingen te verbeteren vind je hier bij de meerderheid van de medewerkers terug. Dat is fijn werken. Je merkt ook dat Emiel en de mensen hier continu openstaan voor verbetering en mijn advies. Ik geef als consultant wel advies, maar het is niet vanzelfsprekend dat dat bij klanten ook gehoor vindt. Er zijn klanten die zeggen ‘doe mij maar het minimale, dan vind ik het ook goed. Als ik maar gecertificeerd ben.’ Hoewel bij een certificering geen cijfers worden uitgedeeld, kun je slagen met een zesje of gaan voor een acht of negen. Ik heb bij SIM ervaren dat ze voor de laatste optie gaan. Ze hadden hier de wil om het goed aan te pakken en iets moois neer te zetten.”

Zoeken naar de grote lijn

“SIM heeft veel aandacht besteed aan de implementatiefase. Ze hebben hun best gedaan een goed systeem neer te zetten dat breed gedragen wordt en duidelijk herkenbaar is. Daarnaast was er al veel materiaal toen ik startte. Een deel van de procesdocumentatie en de beleidstukken lagen al klaar. Vanuit het basismateriaal zijn we gaan zoeken naar de grote lijn. Wat kunnen we goed gestructureerd krijgen? Van daaruit zijn de nodige acties ontstaan voor de implementatie van het managementsysteem.”

Een goede wisselwerking

“Het proces hebben we voor een groot deel samen gedaan. Het is echt een mooie combi geweest. De interviews hebben we samen gedaan, met de audits is Emiel meegelopen. Hij was voor mij de primaire contactpersoon. Soms gaf ik hem ‘huiswerk’ mee: de komende periode moeten we de volgende zaken voor elkaar krijgen. We hebben vervolgens samen een presentatie aan de directie gegeven. Alleen de risicoanalyse heb ik alleen gedaan. We kunnen spreken van een goede wisselwerking.”