Privacy en Veiligheid bij Labmicta: ‘Ons ISMS is geen afvinklijstje maar een hulpmiddel’

Ons #privacyprogramma richt zich deze maand op ‘privacy en veiligheid in organisaties’ en deze week bekijken we dit vanuit de praktijk van Labmicta.

Meer grip op privacy en informatiebeveiliging
In 2021 is Labmicta begonnen met het implementeren van een Informatie Security Management Systeem (ISMS). Hoewel we al langer aan de regels voldeden, wilden we dat iedereen bij Labmicta beter bekend werd met de thema’s rondom informatiebeveiliging. Dat deden we op onze typische Labmicta-manier: door het gesprek aan te gaan en het onderwerp binnen de organisatie te laten leven.

Interne kartrekkers 
We wezen twee interne kartrekkers aan, die een GAP-analyse maakten tussen de bestaande en de gewenste situatie. Als input voor die analyse gebruikten we tal van zaken, waaronder interne audits informatiebeveiliging, actuele CIPP-assessments voor privacy en informatiebeveiliging, een AVG Toezichtskader en incidenten en meldingen uit ons kwaliteitssysteem. We brachten eisen en wensen van onze interne en externe stakeholders in beeld en bespraken dit breed binnen de organisatie. Daardoor werd het in één oogopslag helder dat dit niet alleen een ICT aangelegenheid is. We richtten een Stuurgroep Informatieveiligheid op, bestaande uit de directie, een deel van het MT en verschillende stakeholders. Collega’s met specifieke know-how sluiten op uitnodiging aan

To-do lijst 
We hadden een leidraad nodig voor onze activiteiten. Daarom maakten we aan de hand van de normeisen (in dit geval de NEN7510) een ‘to-do’ lijst. Onze verschillende afdelingen werkten over het algemeen al heel veilig. Alleen stond dat niet altijd duidelijk omschreven in onze processen en procedures. Dus herschreven we een deel van het beleid en de procedures.  

Meer aandacht 
Maar wat heb je aan een procedure die helemaal tiptop in orde is als niemand er ooit naar kijkt? Om er meer aandacht aan te schenken lieten we belangrijke onderwerpen terug komen in de jaarlijkse e-learning over informatieveiligheid. En gaven we bepaalde documenten in ons kwaliteitssysteem een ‘verplicht lezen’ kenmerk mee. Daarnaast organiseerden we organisatie brede trainingen over informatieveiligheid en introduceerden we een terugkerende interne nieuwsbrief met korte feitjes en weetjes over dit onderwerp.  

Het gesprek aan gaan 
Naast het op orde brengen van documenten en het implementeren van nieuwe werkafspraken, moest er nog iets belangrijks gebeuren: het inrichten van de PDCA-cyclus voor privacy en informatiebeveiliging.  

Aanvankelijk dachten we dat het ging om de inrichting van een programma. Gaandeweg realiseerden we ons dat het helemaal niet om het programma ging, maar om onszelf! We hadden het bij wijze van spreken met een Excelsheet ook prima kunnen regelen. Het gesprek aan gaan vinden we cruciaal bij Labmicta. Niet alleen vragenlijstjes per e-mail of digitale workshops, maar een persoonlijk gesprek met proceseigenaren en stakeholders. Daarbij spraken we over de informatieveiligheidsrisico’s die we zien, hoe reëel die zijn, wie welke rol daarin heeft, wat de impact ervan is en welke maatregelen we kunnen en willen treffen om die risico’s zo klein mogelijk te krijgen. Dit documenteren we en we richten een flow in op basis van de afspraken uit die gesprekken. In die fase bevinden we ons momenteel.  

Persoonlijk 
Dus als je ons vraagt: ‘Hoe ziet je ISMS eruit?’, dan krijg je een heel persoonlijk verhaal in plaats van een fancy dashboard. We kunnen je laten zien wat we doen en uitleggen waarom we dat zo doen. Krampachtig aan de slag met een ISMS in de hoop dat het een keurmerk oplevert is niet de manier van werken bij Labmicta. Het ISMS moet ons helpen om dit belangrijke onderwerp op onze manier in de organisatie te integreren.