“Ik voerde een keer een audit uit. De klant had prachtige formulieren en checks gebouwd, maar niemand voerde ze uit omdat het te veel tijd kostte. De norm schrijft nergens voor dat het zo uitgebreid moet. Als je dingen simpel houdt, voldoe je nog steeds aan de norm – maar dan werkt het ook écht voor je organisatie.”
Met Instant 27001 ontwikkelde Maurice een framework waarmee organisaties ISO 27001 stap voor stap kunnen implementeren, zonder dat dat proces verzandt in een spreekwoordelijke papieren tijger van prints, mappen en documentatie die nooit worden geraadpleegd.
In plaats van losse templates levert het framework een vooraf opgebouwde implementatiecyclus: per normeis een duidelijke uitleg, een praktisch voorbeeld en gekoppelde documentatie. Ook aan een complete risicoanalyse is gedacht. “In veel gevallen kunnen organisaties 80 tot 85% van de meegeleverde documentatie direct gebruiken. Ze hoeven alleen de puntjes op de i te zetten en waar nodig aanpassingen maken op basis van hun eigen context.”
Dat werkt niet alleen sneller, het zorgt er óók voor dat teams écht begrijpen waarom ze bepaalde maatregelen nemen. “Een auditor wil niet horen: ‘de consultant zei dat het moest’. Het juiste antwoord is: ‘Uit onze risicoanalyse blijkt dat dit een reëel risico is, en daarom doen we dit’. Dat is waar het om draait.”
Veel organisaties zien ISO in het algemeen, en ook ISO 27001 nog steeds als een IT-project, maar dat is volgens Maurice een misvatting. “Nog niet eens de helft van de maatregelen heeft een technische component. Het gaat net zo goed over HR, over managementbetrokkenheid en over AVG-processen. Je hebt elke afdeling nodig om dit te laten slagen.”
Daarom pleit hij ervoor om ISO-projecten niet bij een lead developer neer te leggen, maar bij iemand die mensen binnen de organisatie kan verbinden. Een projectmanager of teamleider die de processen snapt, mensen motiveert en ‘meeneemt’, en waar nodig technische input ophaalt.
Een veelgemaakte fout is dat ISO 27001 in een apart systeem of mapje terechtkomt waar slechts één persoon toegang toe heeft. Als je op die manier te werk gaat, blijft het een eilandje en raakt de rest van de organisatie niet betrokken.
Met Scienta kan ISO 27001 juist geïntegreerd worden in de dagelijkse werkpraktijk. “Als iedereen al in Scienta werkt voor kennisdeling en onboarding, zet je de ISO-documentatie dus daar neer. Dan creëer je dus geen extra systeem, maar blijft het iets waar iedereen makkelijk bij kan en al bekend mee is. Dat vergroot de adoptie en voorkomt dat ISO voor veel medewerkers een (papieren) bijzaak blijft.”
Het ISO 27001 framework van Instant 27001 helpt organisaties om in gemiddeld minder dan zes maanden audit-klaar te zijn – aanzienlijk sneller dan traditionele trajecten. Maar nog belangrijker is het feit dat de implementatie direct verbeteringen oplevert in processen, risicobeheersing en bewustwording.
“Sommigen kopen Instant 27001 omdat ze snel een certificaat nodig hebben voor een aanbesteding. Maar onderweg merken ze dat hun organisatie er echt béter van wordt. Dus niet alleen een papiertje voor de vorm, maar een veiliger en efficiënter bedrijf. Dat is waar ik het voor doe.”
Met een praktische aanpak en slimme ondersteuning in de vorm van een praktijkgericht framework kan ISO 27001 een waardevol managementsysteem worden in plaats van een lastige, tijdrovende verplichting. Instant 27001 laat zien dat eenvoud en effectiviteit heel goed samengaan. De toegevoegde waarde van WoodWing Scienta zit hem in het feit dat het ervoor zorgt dat ISO 27001 onderdeel wordt van het dagelijks werk, in plaats van een losstaand project.