Met de ISO 27001 certificering voldoet Mysolution nu officieel aan de hoogste norm voor informatiebeveiliging. Op 28 januari ontving de softwareleverancier voor de flexbranche
Nu de applicaties van Mysolution steeds meer naar de cloud gaan, zijn veilige en betrouwbare data belangrijker dan ooit. Deze applicaties helpen recruiters, detacheerders en uitzenders bij het verwerken van persoonsgegevens en andere data aan de wet- en regelgeving te voldoen.
‘In ons informatiebeveiligingsbeleid staat de beschikbaarheid van betrouwbare informatie centraal’, zegt Eddy Ramos, Manager Development. ‘Die doelstelling reikt verder dan alleen privacy en security. De ISO 27001 stopt niet bij de Algemene Verordening Gegevensbescherming (AVG) en de beveiliging van servers en applicaties tegen hackers en virussen.'
De ISO-norm hanteert een procedure, voor bijvoorbeeld het uitvallen van een server, die je periodiek test en controleert.
Edwin Adams, Product Owner, vult aan: ‘Stel dat er een server uitvalt. Welke maatregelen neem je dan en hoe communiceer je die met klanten? De ISO-norm schrijft in zo’n geval een procedure voor die je periodiek test en controleert.'
De ISO 27001 is een internationaal erkende standaard voor informatiebeveiliging. De ISO certificering is wereldwijd de populairste norm op dit gebied. Het doel van de ISO-normering is het garanderen van de vertrouwelijkheid, beschikbaarheid en integriteit van informatie. De ISO-norm heeft impact op processen die de haarvaten van de organisatie raken. Eddy Ramos en Edwin Adams zijn allebei aanspreekpunt voor informatiebeveiliging.
Het doel van de ISO-normering is het garanderen van de vertrouwelijkheid, beschikbaarheid en integriteit van informatie.
‘In vrijwel al onze werkprocessen spelen vertrouwelijke gegevens een rol. Denk aan een supportmedewerker die een screenshot van een recruiter krijgt, met daarin voor de hulpvraag irrelevante data van een kandidaat. Of een collega van de verkoop die CRM-gegevens gebruikt’, deze informatie moet te allen tijde vertrouwelijk blijven licht Adams toe.
Mysolution heeft opdrachtgevers die zowel voor de zakelijke als voor de publieke sector werken, zoals de gezondheidszorg. Overheidsorganisaties eisen in aanbestedingen voor bijvoorbeeld recruitment of flexibele inhuur van personeel dat de leverancier inzake informatiebeveiliging aan de ISO 27001-norm voldoet. Denk hierbij aan de relevantie van persoonsgegevens voor werving, arbeidsbemiddeling of verloning en de bewaartermijnen van deze data. Om die reden legt Mysolution de lat voor informatiebeveiliging heel hoog.
Mysolution werd in het certificeringstraject ondersteund door KAM Consultants, gedurende dit traject werd onder andere een onafhankelijke risicoanalyse is uitgevoerd. Deze aanpak werd eerder met succes door Tangram toegepast. In zo’n analyse worden datarisico’s op drie niveaus geïnventariseerd en beoordeeld: de organisatie, de projecten en de producten.
Datarisico’s worden op drie niveaus geïnventariseerd en beoordeeld: de organisatie, de projecten en de producten.
Mysolution organiseert het werk in projecten, met projectteams waarin intensief met de klant wordt samengewerkt en waarin veel persoonsgegevens circuleren. ‘Daarom toetsen we een nieuw project al bij de start op beveiligingsaspecten uit de ISO 27001 norm. Onze nieuwe projectmethode SAIL leent zich daar uitstekend voor, zodat informatiebeveiliging een integraal onderdeel van projectmatig werken is’, aldus Ramos.
Voor Mysolution is informatiebeveiliging een vast onderdeel van het ontwerp van applicaties. ISO 27001 helpt om dit onderdeel continu door te ontwikkelen en aan te passen aan laatste ontwikkelingen in de markt, de organisatie en de techniek. Adams: ‘Als softwareleverancier volgen we continu de wet- en regelgeving waaraan onze klanten moeten voldoen. Alleen op die manier kun je standaardsoftware voor de flex- en recruitmentbranche bouwen. De AVG is daarin voor ons niet bepaald revolutionair, die scherpt deze regels alleen maar aan.' Ramos vult aan: ‘Wij leveren een standaardoplossing voor o.a. tijdschrijven, verloning en facturatie. Dit doen we met behulp van templates waarin alle voor de sector relevante wet- en regelgeving is verwerkt.'
De ISO-certificering geldt voor drie jaar. Jaarlijks wordt er een externe audit uitgevoerd om te controleren of Mysolution nog aan alle eisen voldoet. Ondertussen kijken Adams en Ramos alvast verder dan de ISO 27001. ‘Klanten die HR- en recruitmentprocessen uitbesteden, blijven eindverantwoordelijk voor de interne beheersing.’ Om als leverancier deze processen toch te blijven beheersen is de ISAE 3402 normering opgesteld. Deze norm geeft antwoord op vragen over security, interne beheersing en compliance met wet- en regelgeving in de hele keten van organisaties die outsourcen. Voldoen aan deze normering is nu het vervolgtraject.