Cases / Overheid
Privacy en informatiebeveiliging bij Buurtteam Amsterdam Nieuw-West
Hoe zorg je ervoor dat vertrouwelijke informatie van burgers en werknemers niet op straat komt te liggen? Om aan te tonen dat de bedrijfsinformatie geen risico loopt, voeren organisaties audits uit om aan de vereiste normen te voldoen. Met de ISO-certificering borgt een organisatie dat de informatiebeveiliging goed geregeld is.
Vanuit Jong Morgens ging Mitchel Biessen aan de slag als projectleider bij Buurtteam Amsterdam Nieuw-West om samen met de projectgroep inzicht te krijgen in de bedrijfsrisico’s en om passende maatregelen te treffen. Met als doel om door middel van de ISO 27001 certificering aan te tonen dat de informatiebeveiliging goed is geïntegreerd in de organisatie. In deze blog vertelt hij over zijn aanpak, het resultaat en de kracht van samenwerken.
Amsterdam telt 7 buurtteamorganisaties die gefinancierd worden vanuit de gemeenste Amsterdam. Buurtteamorganisatie Nieuw-West biedt Amsterdammers uit het stadsdeel Nieuw-West ondersteuning en advies op diverse gebieden zoals zorg, wonen, gezondheid, werk, financiën, ontmoeten of veiligheid. Met als missie het blijven bieden van ondersteuning aan kwetsbare burgers in Amsterdam Nieuw-West. Met elkaar en voor elkaar. Het buurtteam bestaat uit een team van hulpverleners en ervaringsdeskundigen. Samen met de Amsterdammer zoeken zij naar oplossingen, zodat de Amsterdammer daarna zelf, of met een beetje steun, weer verder kan. De geboden hulp is kosteloos.
Wat is ISO 27001?
De gemeente Amsterdam heeft in het kader van de subsidieregeling aan de 7 buurtteamorganisaties de eis gesteld om een werkend systeem voor informatiebeveiliging te implementeren. Buurtteamorganisatie Nieuw-West borgt dit via de ISO 27001 certificering.
ISO 27001 is een internationaal erkende standaard die richtlijnen biedt voor het waarborgen van informatiebeveiliging in een organisatie. Deze standaard beschrijft hoe een organisatie systematisch informatie kan beveiligen, met als belangrijkste doel het waarborgen van de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de organisatie. Een externe audit door een certificerende instantie bepaalt of een organisatie voldoet aan de norm informatiebeveiliging om zo het certificaat te verkrijgen.
De aanpak
Van voorbereiden naar de uitvoering.
Voordat ik begon in de projectgroep waren de voorbereidingen voor de externe audit voor de ISO-certificering in volle gang. Mijn rol was om de audit verder voor te bereiden en ervoor te zorgen dat de informatiebeveiliging op orde was in de organisatie. Bij de uitvoering moest ik medewerkers betrekken, waarbij de focus lag op de impact van informatiebeveiliging op hun dagelijkse werkzaamheden. Zij werken immers met de vertrouwelijke informatie. Hierdoor nam de bewustwording bij medewerkers toe.
De uitdaging lag onder andere in hoe je ervoor zorgt dat de gehele organisatie bewust omgaat met vertrouwelijke informatie. Aangezien dit de eerste keer was dat ISO 27001 audit werd uitgevoerd in de organisatie, kwamen er veel nieuwe zaken op de medewerkers af. Dit zat in de kleine dingen zoals altijd je computer vergrendelen als je je werkplek verlaat of geen clientgegevens laten rondslingeren. Door onder andere posters en muismatten met instructies te verspreiden en elkaar erop aan te spreken, groeide de aandacht voor het veilig verwerken van vertrouwelijke informatie.
Maar er zijn ook complexere eisen bij een ISO 27001 certificering, zoals de risicoanalyse. Een risicoanalyse biedt inzicht in de belangrijkste risico’s op het gebied van informatiebeveiliging in een organisatie. Samen met het managementteam van het buurtteam is er nagegaan welke informatiestromen er zijn. Vervolgens hebben we voor verschillende systemen en informatiebronnen bepaald welke risico’s de organisatie mogelijk loopt en welke maatregelen het buurtteam moet nemen om deze risico’s te beperken en deze maatregelen daadwerkelijk uit te voeren. Het uitdagende aspect van de risicoanalyse ligt in het identificeren van waar de risico’s binnen de organisatie zich bevinden en het monitoren van de genomen maatregelen om deze risico’s te verminderen. Aan elk risico werd een eigenaar gekoppeld, een lid van het managementteam, die nauw betrokken is bij de inhoud en daardoor verantwoordelijk is voor de controle en evaluatie van het risico en de getroffen maatregelen.
Het resultaat
De kroon op je werk
Na maanden van voorbereidingen was het dan zover: de externe audit voor certificering. Gedurende drie dagen nam een extern auditteam het buurtteam onder de loep. Dit waren intense dagen met een druk programma. Op het programma stonden onder andere interviews, de verschillende buurtteamlocaties bezoeken en het doornemen van proces- en beleidsstukken om aantoonbaar te maken dat de organisatie voldoet aan de specifieke ISO 27001 normeisen en wet- en regelgeving. Als eindresultaat, de beloning voor het harde werk: de ISO 27001 certificering is een feit. Een mooi resultaat waar het buurtteam de komende jaren op kan voortborduren, met uiteraard aandacht voor de audit verbeterpunten.
Geleerde lessen
De kracht van samenwerken
Ik kijk terug op een mooie en inspirerende tijd bij het buurtteam. Dit was mijn eerste opdracht bij Jong Morgens en dat is in het begin natuurlijk spannend. Maar door de hulp van mijn mentor, de intervisies en de trainingen blijf je scherp en kun je continu reflecteren en vooruitkijken. Daarnaast heb ik het buurtteam ervaren als een vriendelijke organisatie met veel bevlogen medewerkers. Wat ik geleerd heb, is dat je een project zoals dit echt samen doet met de projectgroep en de organisatie. Af en toe heb ik de neiging om iets zelf op te pakken, omdat dat voor mijn gevoel op dat moment efficiënter is. Maar omdat dit project een impact heeft op de gehele organisatie moet je het samen doen. Samen afspraken maken, samen afstemmen en samen resultaten behalen. Zo creëer je saamhorigheid en hoef je het wiel niet steeds zelf uit te vinden.
Typisch Jong Morgens
Kennisverwerving en verantwoordelijkheid
Ik ben niet geheel onbekend met de principes van een ISO-audit. Tijdens mijn masterstudie werkte ik als werkstudent bij een organisatie, waar ik jaarlijks verantwoordelijk was voor de uitvoering van de ISO 9001-audit (eisen voor kwaliteitsmanagementsysteem). Deze ervaring kwam uiteraard goed van pas. Wat deze opdracht zo interessant maakte, was dat ik nieuwe kennis en inzichten over ISO heb verworven en de fascinerende wereld van privacy en informatiebeveiliging heb mogen ontdekken. Het was ook bijzonder om te werken voor een organisatie die actief is in de maatschappelijke dienstverlening en schuldhulpverlening, een sector die voor mij volledig nieuw was. Het was indrukwekkend om hulpverleners te ontmoeten en te zien welk waardevol werk zij verrichten voor de inwoners van Amsterdam Nieuw-West. Daarnaast was het een typische Jong Morgens opdracht, waarbij ik veel verantwoordelijkheid kreeg maar ook voldoende ondersteuning kreeg vanuit Morgens en het management van het buurtteam om me te helpen bij de opdracht. Al met al heb ik heb een zeer interessante en leerzame tijd gehad.
Kan jouw organisatie wel een Jong Morgens talent gebruiken?
Ben je geïnteresseerd of heb je vragen over de diensten en talenten van Jong Morgens, dan kun je contact opnemen met Lianka Bruijnen.