Vancis

Vancis

‘Dankzij de hulp van inTECHrity zijn we in zes maanden ISO 27001 gecertificeerd. En dat terwijl veel bedrijven daar minimaal één jaar over doen. Zonder de pragmatische benadering van inTECHrity was het nooit zo snel geweest. Ze hebben ons met name geholpen door onderscheid te maken in wat moet; wat eigenlijk zou moeten en wat nice to have is.’

‘Vancis is een hostingbedrijf, we faciliteren cloudhosting en managed hosting voor instellingen in de zorg, het onderzoeksveld en vooral het onderwijs. In twee datacenters beheren wij apparatuur waar klanten hun applicaties op kunnen draaien, sommige klanten hebben daar eigen apparatuur. Wij zorgen onder meer voor de installatie van patches, back-ups en storage. Daarmee zijn wij ook verantwoordelijk voor beveiliging van de informatie.

Samen met inTECHrity hebben we een managementsysteem voor informatiebeveiliging gebouwd ten behoeve van de ISO 27001 certificering. Deze ISO-norm heeft meer dan 130 beheersmaatregelen, met betrekking tot back-ups, goed privacy beleid, een fysiek goed beveiligd gebouw, maar ook bijvoorbeeld op het gebied van screening van medewerkers. Voor elke control geldt een implementatie richtlijn, de best practice, maar hoe je die zelf invult is afhankelijk van de context, de dienstverlening en de bijbehorende risico’s van de organisatie.

Om de procedures voor elke beheersmaatregel te monitoren, werken we al jaren heel tevreden met het softwarepakket van inTECHrity. Dit pakket is role-based en sluit daarom aan bij onze vorm van organisatie die gebaseerd is op functies en rollen. Aan iedere functie kun je rollen hangen die gekoppeld zijn aan bepaalde beheersmaatregelen.

Laatst vertrok een security officer met een specifieke rol in de informatiebeveiliging. Binnen twintig minuten kon ik zien wat de impact van zijn vertrek was op de organisatie; ik wist meteen voor welke beheersmaatregelen, documenten en terugkerende taken hij verantwoordelijk was en welke werkzaamheden we dus elders moesten leggen. Ik realiseerde me weer hoe superhandig een role-based pakket is!

Wat het softwarepakket van inTECHrity echt uniek maakt, is dat het een control managementsysteem is. Het is het enige pakket met een zekere openheid: je kunt er willekeurige rapportagetools aan koppelen en je kunt terugkerende taken agenderen en bijvoorbeeld in je outlook kalender zetten. Wij sturen die taken naar ons bestaande ticketsysteem zodat onze engineers en de managers behalve de meldingen van storingen en onderhoud, ook service-calls krijgen uit de applicatie van inTECHrity. Bijvoorbeeld met de opdracht een restore test te doen of een privacycheck uit te voeren. Zo krijg ik zelf meldingen dat ik een bepaald beleid moet reviewen en aan moet bieden aan ons information security forum (ISF).

De kracht van ISO 27001 is het vereiste dat je moet blijven schaven aan je managementsysteem – het is nooit af. Daarom is het zo belangrijk dat we met inTECHrity op zo’n laagdrempelige en persoonlijke manier samenwerken. Heb ik een vraag over informatiebeveiliging of privacy? Dan bel ik gewoon even: “Hoe denken jullie daarover?” Dat werkt heel prettig!’   

Anton Rusbach

Risk and Quality manager Vancis

Boomerweb

Boomerweb

‘Met inTECHrity als partner hebben we zeer ervaren adviseurs op het gebied van informatiebeveiliging NEN 7510 / ISO 27001 in huis. inTECHrity helpt bij het managen van ons informatiebeveiligingssysteem, het voorbereiden op audits en het oplossen van alle daarbij behorende vragen. Ze hebben enorm veel actuele en gedetailleerde kennis paraat en delen die helder met mij en mijn collega’s. Onmisbaar voor Boomerweb.’

‘Boomerweb is e-health partner voor zorginstellingen en apotheken. Wij leveren apps en begeleiden instanties bij alles wat daarmee samenhangt. Omdat we met deze applicaties veel medische en persoonlijke informatie vastleggen is informatiebeveiliging een belangrijk onderwerp. Sinds 2016 zijn we ISO 27001 en NEN 7510 gecertificeerd. inTECHrity helpt ons bij het continu verbeteren van ons informatiebeveiligingssysteem en het juist implementeren van technische of wettelijke veranderingen.

inTECHrity biedt begeleiding in de vorm van een ondersteunende tool, aanwezigheid bij interne Informatiebeveiligingsoverleggen, het uitvoeren van audits en indien gewenst in de rol van Functionaris Gegevensbescherming. Een grote pré is dat zij zowel de taal spreken van techneuten als van beleidsmedewerkers. Ze snappen letterlijk wat Boomerweb doet, en weten dus wat bijvoorbeeld nieuwe wetgeving concreet voor ons betekent. Daarbij maken ze de droge materie en complexe processen behapbaar. Dat is heel waardevol.’

Anne Roeleveld

Security Officer Boomerweb

Child Healthcare Solutions

Child Healthcare Solutions

‘Bij de zoektocht naar een juiste samenwerkingspartner op het gebied van informatiebeveiliging stuitten we op een oerwoud van wetgeving en richtlijnen, op bangmakerij en bovendien een bolwerk van consultants die het graag wazig houden. Daarin heeft inTECHrity zich voor ons echt onderscheiden. Ze maken het niet moeilijker dan het is, en zijn niet bang zichzelf met hun informatie overbodig te maken. Dat past bij ons – we zoeken transparantie.’

‘Child Healthcare Solutions is een jong bedrijf dat webapps ontwikkelt voor de gezondheidszorg voor kinderen en jongeren. Wij faciliteren ziekenhuizen en zorgorganisaties bij het streven naar kwaliteit, door met onze apps standaardisatie en eenduidigheid in zorgprocessen te waarborgen, waarbij het kind centraal staat. Sinds 2014 is er een Handvest Kind & Zorg waarin tien rechten van kinderen die ziek zijn worden geformuleerd, waar zorgprofessionals zich aan horen te houden. Wij zorgen ervoor dat wat op papier staat praktisch toepasbaar wordt door het faciliteren van applicaties. Applicaties die gebruikt kunnen worden door zowel zorgprofessionals als kinderen, jongeren en hun ouders.

We werken met privacygegevens die de hoogste graad van beveiliging vragen. Het verbaast me dat sommige mensen snel geloven dat het ‘wel goed’ zit met de bescherming, terwijl informatiebeveiliging op eindeloos veel manieren ingevuld kan worden. Daar onderscheidt kwaliteit zich van zomaar wat doen. Om er zeker van te zijn dat Child Healthcare Solutions voldoet aan de hoogste normen van databeveiliging, doorlopen we met inTECHrity een traject naar ISO- én NEN-certificering.

We vinden het prettig dat inTECHrity heel praktisch en toepassingsgericht werkt. Stapsgewijs doorlopen we een traject waarin we beveiligingseisen borgen in onze processen. Zo worden we ons bewust van de informatiesoorten die we verwerken, waar die zich bevinden, wie er toegang toe heeft en wanneer we maatregelen moeten treffen. inTECHrity wijst ons op de bewuste keuzes die we moeten maken. Daarbij zijn ze strikt in het handhaven van de normen, maar laten ze ons vrij in de inrichting van onze processen. In zo’n proces word je als organisatie zelfverzekerd. Daar gaat het om: je kunt niet alles dichttimmeren, maar je moet er wel je hand voor in het vuur kunnen steken dat je de controle hebt.

Wij zijn blij met de structurele en tegelijkertijd pragmatische samenwerking met inTECHrity. We zien elkaar als het nodig is, soms eens in de maand, soms frequenter. Vaak redden we onszelf prima, maar als we vastlopen bij bepaalde vraagstukken kunnen we altijd bellen of mailen. Die toegankelijkheid is voor ons heel belangrijk!’

Maaike Klein Ikkink

Projectcoördinator e-health & groei Child Healthcare Solutions

CPM4care

CPM4care

‘Als bedrijf ga je een veeleisend traject in op weg naar een NEN 7510 certificering. Er komt een nieuw instrumentarium op je pad en je krijgt te maken met onderwerpen waar je zelf weinig gevoel bij hebt. Dat vraagt om toegankelijke experts. Die vonden we bij inTECHrity.’

‘CPM4Care ondersteunt zorgorganisaties bij het ontwerpen van rapportages van bijvoorbeeld ziekteverzuim, salarisgegevens en zorgproductie. We ontwikkelen dashboards waarmee in een oogopslag helder is hoe een bedrijf ervoor staat. Hiervoor bouwen onze mensen een data warehouse met informatie uit bronsystemen van de klant. Wanneer klanten daarbij gebruik maken van een server in de digitale omgeving van CPM4Care, zijn wij hoofdverantwoordelijk voor de beveiliging van zeer privacygevoelige informatie. We vinden het van groot belang deze data goed te bewaken en dat willen we onze klanten ook kunnen laten zien. Daarom denken we dat een NEN 7510 certificering noodzakelijk is.

In februari 2017 zijn we met inTECHrity gestart met de procedure en in de loop van 2018 willen we klaar zijn voor een externe audit. Dan wordt gekeken of CPM4Care aan alle certificeringseisen voldoet.’

‘De route naar certificering begon met het maken van een algemene Business Impact Analyse en een Risico-analyse. inTECHrity nam daarbij de leiding met een gestructureerde aanpak. Dat werkte heel goed – we hadden dat zelf nooit zo efficiënt kunnen doen. In het proces daarna ben je als klant vooral zelf aan de slag, inTECHrity begeleidt ons hierbij met constructieve feedback, maar de verantwoordelijkheid voor inhoudelijke keuzes ligt bij CPM4Care. Dat vind ik heel prettig aan de samenwerking.’

‘De pragmatische aanpak van inTECHrity is ook plezierig. We zijn aan de slag met de bijna 140 beheersmaatregelen, en bij deze controls geven we aan hoe we van plan zijn de beveiligingsprocessen aan te pakken, of leggen we vast hoe processen binnen de organisatie al ingericht zijn. Daarbij maakte inTECHrity duidelijk dat niet alles tot op het bot uitgewerkt hoeft te zijn. Het beschrijven van controls en processen zonder toeters en bellen, op een manier die ons past, volstaat.

Dankzij het proces dat we nu met inTECHrity doorlopen, is informatiebeveiliging bij iedereen echt op het netvlies gekomen.’

Wouter de Heij

Project Manager CPM4Care