CVD, een maatschappelijke organisatie die streeft naar een veilig en stabiel thuis voor iedereen, had verschillende uitdagingen op het gebied van gegevensbescherming en informatiebeveiliging. Met de hulp van BMGRIP heeft het bedrijf uit Rotterdam mooie stappen weten te maken en een volwassen informatiemanagementsysteem neergezet. Wat ging hieraan vooraf en wat moest er precies gebeuren? CVD-medewerkers Laura van de Ven en Saskia Zwinkels vertellen hier graag meer over.
“De aanleiding voor deze opdracht was de noodzaak om in 2022 het NEN 7510-certificaat te behalen. Dat hebben we in eerste instantie zelf voor elkaar gekregen met onze eigen FG (Functionaris gegevensbescherming). Maar dat ging wel met de hakken over de sloot, er moesten nog een hoop zaken verbeterd worden. Tegelijkertijd ging onze FG met pensioen, en was er niet direct een opvolger. We zaten dus met de handen in het haar: hoe gaan we dit verder oppakken?”
Er moest dus op korte termijn een oplossing komen, die al snel werd gevonden. “We zijn online op zoek gegaan naar een partij die ons hierbij kon ondersteunen. Daarbij kwamen we BMGRIP tegen. We hadden een leuk gesprek met Robin en meteen het gevoel dat BMGRIP wel iets voor ons kon betekenen. We vonden het vooral prettig dat we een FG konden inhuren voor het kleine stukje expertise dat we nodig hadden. En dat we dan zeker weten dat het iemand is met kennis van zaken. Als je hiervoor zelf iemand in dienst neemt, kost het ook tijd en moeite om de kennis te onderhouden.”
Ook heeft CVD veel ondersteuning gekregen bij alles rondom de AVG. Als zorg- en begeleidingsorganisatie wordt er namelijk privacygevoelige informatie vastgelegd. “Een concreet voorbeeld: we werken veel met kwetsbare gezinnen waarin het in sommige situaties, in verband met hun veiligheid, wenselijk is om camerabeelden te bekijken. Dat mag niet zomaar, maar Deniz dacht altijd goed mee om te kijken wat er wél kon.”
De goede bereikbaarheid van BMGRIP werd gewaardeerd. “Wanneer er snel gehandeld moet worden rondom bijvoorbeeld een datalek, is er altijd iemand van het privacyteam bereikbaar. Ook buiten kantooruren en in vakantieperiodes. Dit is gelukkig nog nooit nodig geweest, maar het is een prettige gedachte. Daarnaast is er een vaste FG aan CVD verbonden die de organisatie kent, met alles helpt rondom privacy op orde houden en advies geeft bij vraagstukken.”
De belangrijkste uitdaging voor CVD zat in het ISMS (Information Security Management System), waar veel samenhang ontbrak. “We hadden veel puzzelstukjes gelegd om het NEN 7510-certificaat te behalen. Maar het ISMS zat als geheel niet goed in elkaar. Alles was er wel, maar meer als losse onderdelen. We hadden bijvoorbeeld wel de functies beschreven, wie doet wat, maar dat kwam dan in tientallen documenten terecht. Vervolgens wist je niet meer waar bepaalde informatie precies stond. Of als er iets veranderde, moest je dat op tien verschillende plekken aanpassen.” “Tom heeft vanuit zijn functie wél gezorgd voor die samenhang, door vanuit een helikopterview mee te kijken. Ook zorgde hij voor de rapportage en de juiste mappenstructuur.” BMGRIP gebruikt daar het SmartManSys-systeem voor, software waarmee je je managementsysteem slim en efficiënt kunt inrichten. “Dit systeem hebben wij nooit eerder gebruikt, maar dat gaan we nu wel doen. De structuur van SmartManSys is leidend geweest voor het op orde brengen van ons ISMS.”
De stappen die CVD heeft gemaakt op het gebied van informatiebeveiliging, zijn ook in de rest van de organisatie positief ontvangen. Tegelijkertijd willen ze het niet te ‘groot’ maken. “We willen vooral dat de juiste informatie bij de juiste collega’s terechtkomt. Onze begeleiders bijvoorbeeld moeten vooral met hun cliënten bezig zijn. Sommige zaken rondom informatiebeveiliging moeten ze echt weten om hun werk veilig te kunnen doen, dat leveren we dan in hapklare brokken aan. Zodat ze weten wat er wordt verwacht, maar we ze niet teveel belasten met ingewikkelde materie.”
In maart 2025 is CVD, dit keer met overtuiging, opnieuw gecertificeerd voor de NEN 7510. Een mooie beloning voor al het werk dat de afgelopen periode is verzet. “Als maatschappelijke organisatie zijn we extra kritisch op iedere euro die we uitgeven, het gaat namelijk om gemeenschapsgeld. Met minimale middelen hebben we er echt het maximale uitgehaald en hebben we onze systemen zeer efficiënt ingericht. BMGRIP heeft daar heel goed in meegedacht. We hebben mooie complimenten gekregen van de auditor die de hercertificering deed. Daar zijn we natuurlijk erg trots op.”
Het doel voor de komende jaren is duidelijk: het ISMS zo goed houden als het nu is. Dat wil CVD zoveel mogelijk zelf gaan doen. “We liepen achter de feiten aan maar willen nu echt vooruitkijken naar de toekomst. Welke ontwikkelingen komen eraan en hoe we kunnen we daar tijdig op in spelen? In plaats van: wat is er vorig jaar gewijzigd en wat moeten we (halsoverkop) doen om bij te blijven. Daar ligt onze grote uitdaging.”
Ook gaat CVD zelf aan de slag met SmartManSys, zodat er steeds meer taken binnen de eigen organisatie worden belegd en uitgevoerd. En daarmee kan de afhankelijkheid van BMGRIP worden verminderd. “SmartManSys werd in bijna ieder overleg genoemd. We hadden eerst nog onze twijfels, hebben we dit wel echt nodig? Maar uiteindelijk zijn we overtuigd geraakt en gaan we het gebruiken. Het biedt veel overzicht en signaleert wanneer iets vernieuwd moet worden, en wie dat dan moet doen. BMGRIP zorgt voor ons dus letterlijk voor grip!”
