Vanden Broele behaalt het ISO 27001-certificaat
Een stap vooruit in informatiebeveiliging en klantvertrouwen
Als partner van slimme en klantgerichte overheden maakt Vanden Broele dagelijks het verschil met een unieke mix van kennis en software. Wij ondersteunen organisaties om efficiënt in te spelen op maatschappelijke en technologische evoluties en helpen zo hun dienstverlening en impact te maximaliseren.
General manager Bram van Impe licht toe: “Voor ons is het van groot belang dat onze klanten erop kunnen vertrouwen dat hun data bij ons veilig is en dat onze technologie en softwareproducten betrouwbaar zijn. We werken immers vaak met gevoelige gegevens - of het nu om de bedrijfsgegevens van onze klanten gaat of om de grote hoeveelheden gegevens van burgers die we verwerken.”
Met het behalen van ons ISO 27001-certificaat tonen we aan dat we voldoen aan de hoogste normen voor informatiebeveiliging en dat we werken volgens een cyclus van voortdurende verbetering: we brengen risico’s in kaart, nemen passende maatregelen, voeren onze processen gecontroleerd uit, monitoren de resultaten, analyseren de inzichten en sturen bij waar nodig – kortom: met ons ISMS (Information Security Management System) integreren we de PDCA-cyclus (Plan, Do, Check, Act) in onze werking.
Bram vult aan: “Concreet hebben we het voorbije anderhalf jaar hard gewerkt om informatieveiligheid diep te verankeren in onze organisatie, incidenten en datalekken sneller te detecteren én te voorkomen, en onze secure development lifecycle voor al onze softwareproducten verder aan te scherpen.”
De auditors waren enthousiast over hoe we ons ISMS hebben afgestemd op ons organisatiekompas en onze bedrijfswaarden, zodat je kan blijven rekenen op het vertrouwde Vanden Broele-DNA. Enkele positieve punten uit ons rapport:
- Het topmanagement toont duidelijke betrokkenheid bij het ISMS en ondersteunt actief de verdere uitbouw en opvolging ervan.
- Zowel CISO, CTO en DPO hebben een hoog niveau van kennis en beheersing in de implementatie en dagelijkse opvolging van informatiebeveiliging.
- Het ISMS leeft zichtbaar in de organisatie; dit blijkt uit de gesprekken met medewerkers, de mate van bewustzijn rond informatiebeveiliging en onder andere de dashboards die worden besproken tijdens het IT-operationsoverleg.
- Incident management is structureel ingebed in de organisatie, met een geïmplementeerd proces voor registratie, opvolging en rapportering van incidenten.
Met het ISO-certificaat hebben we bewezen dat we op de goede weg zitten op vlak van informatiebeveiliging. Die lijn willen we nu jaar na jaar verder zetten.
Maar achter dit certificaat zit vooral veel mensenwerk: afspraken maken, processen aanscherpen en elke dag bewuster omgaan met informatie. Daarom vroegen we aan Andi Vercruyssen (DPO) en Ignace Savels (CISO) om toe te lichten wat er door dit ISO 27001-certificaat bij Vanden Broele precies verandert – voor collega’s, klanten en partners.
Wat houden de functies van DPO en CISO precies in binnen Vanden Broele? Vertel eens over jullie job?
Andi Vercruyssen, sinds 2023 fulltime Data Protection Officer (DPO) bij Vanden Broele, legt uit dat de rol van DPO specifiek gericht is op de bescherming van persoonsgegevens. “Het is een rol die wettelijk verankerd is in de GDPR en die verplicht is in veel sectoren. Ook bij Vanden Broele is die verplicht, omdat wij werken voor de publieke sector. Mijn belangrijkste taken zijn sensibiliseren, documenteren, controleren en adviseren. Ik ben het interne aanspreekpunt voor alles wat te maken heeft met privacy en voer risicoanalyses uit, hou verwerkingsregisters bij en ondersteun bij datalekken. Ik zorg ervoor dat ons beleid wordt nageleefd en begeleid Product Owners in het implementeren van dat beleid.”
Ignace Savels is Chief Information Security Officer (CISO). Hoewel deze functie niet verplicht is, werd bij Vanden Broele gekozen om deze te implementeren als onderdeel van het ISO 27001-traject. "Ik ben eindverantwoordelijke voor de informatieveiligheid bij Vanden Broele, wat inhoudt dat ik toezie op risico’s, incidenten en veranderingen in ons Information Security Management System (ISMS),” vertelt Ignace. Hij werkt voor 50% van zijn tijd als CISO en de rest van de tijd is hij teamlead van de interne IT-dienst.
Wat is de impact van de ISO 27001-certificering en hoe beïnvloedt dit het dagelijkse werk van collega's?
Ignace legt uit dat het ISO 27001-certificaat zorgt voor duidelijkheid in processen, verantwoordelijkheden en risicomanagement. “Veiligheid is niet alleen de verantwoordelijkheid van de IT-dienst, maar van iedereen binnen het bedrijf. Daarin zetten we grote stappen vooruit: we merken dat de bewustwording onder collega's langzaam maar zeker toeneemt. Die bewustwording wordt zelfs effectief afgetoetst tijdens groeigesprekken.”
Wat zijn de voordelen van deze certificering voor klanten en partners?
Andi benadrukt dat de ISO 27001-certificering het mogelijk maakt om te bewijzen dat Vanden Broele op een veilige en professionele manier met data omgaat. “Een voorbeeld is het voortraject voor de gunning van overheidsopdrachten: dat verloopt veel vlotter, omdat we al voldoen aan de vereiste standaarden, wat vertrouwen schept bij klanten.”
“Bovendien valideren we geregeld onze risico’s en leren we uit onze incidenten, wat de continuïteit van onze softwareproducten ten goede komt. ” vult Ignace aan. “Vaak is de certificering zelfs een vereiste, dus we zijn goed voorbereid.”
Welke uitdagingen kwamen jullie tegen tijdens de implementatie van het ISMS en hoe zijn die opgelost?
Het ISMS (Information Security Management System) is een verzameling van beleidsdocumenten, procedures, processen en werkinstructies. Binnen Vanden Broele was er niet echt sprake van een ISMS, of tenminste toch niet formeel uitgeschreven.
Ignace vertelt: “De grootste uitdaging was de omvang van de taak. Samen met een partner hebben we een nulmeting uitgevoerd en zijn we begonnen met het uitschrijven van procedures, van incidentenbeheer tot change management en gedragscodes voor informatieveiligheid.”
“De tweede grote uitdaging was het feit dat dit een centraal gestuurd project was dat in decentrale teams moest worden geïnplementeerd”, vult Andi aan. “Dit betekent dus dat het een onderdeel moet worden van hun dagelijkse werking. Het was onze taak om opleiding, coaching en training te voorzien, en awareness te creëren. We blijven ook de nadruk leggen op één van onze grootste waarden: #WeOwn.”
Hoe ziet het vervolgtraject eruit na het behalen van de certificering?
We willen nu vooral onze awarenesscampagnes verder uitrollen en onze PCDA-cyclus continu verbeteren. Hierbij zullen we rekening houden met de tips die we kregen van de auditors om de volgende stappen te zetten.
ISO-certificaat nodig?