ISO ja of ISO nee?

De wetgeving rondom databeveiliging is onlangs wat aangescherpt. Natuurlijk was het al lang zo dat je voorzichtig met persoonsgegevens om moest gaan en dat er afspraken moeten zijn met leveranciers van data over opslag en zo, maar nu kwam er een klein extra puntje bij. Niet heel spannend denk ik, maar genoeg reden om heel corporate Nederland wakker te schudden.

Meldingsplicht

Er is eigenlijk maar een klein dingetje toegevoegd aan alles wat al eerder moest: namelijk meldingsplicht. Op het moment dat je weet of het vermoeden hebt dat er data, die jij in je beheer hebt op straat komt te liggen, het zogenaamde data lekken, heb je de plicht om dit te melden aan de eigenaar van de data. Het gaat daarbij in het bijzonder over persoonsgegevens. Heel normaal natuurlijk. Je gebruikt spullen van de klant om de markt van de klant te bewerken, er gaat wat mis, en dus vertel je de klant dat er wat mis is gegaan. Iets wat in een normale relatie tussen opdrachtgever en opdrachtnemer in mijn beleving de normaalste zaak van de wereld is.

Iedereen wil ISO

Opeens kregen wij begin dit jaar het verzoek van een van onze opdrachtgevers om een aanvulling op ons contract te ondertekenen. In deze aanvulling stond dat wij verklaarden ‘ISO Gecertificeerd’ te zijn. Iets wat helemaal niet het geval is. Natuurlijk heb ik contact opgenomen met deze opdrachtgever en gevraagd waarom dit moest en om tegelijkertijd aan te geven dat ik deze aanvulling niet kon ondertekenen. “Als extra zekerheid” kreeg ik te horen.  En trouwens, “wij zullen echt niet de enige zijn die dit van jullie gaat verwachten, dus regel het nu maar”.

De ISO economie

Uiteraard willen wij altijd graag voldoen aan de wensen van onze klanten en dus besloot ik ons ISO te laten certificeren. Hoe moeilijk kan het zijn, dacht ik nog optimistisch. Al snel bleek dat er een hele eigen economie achter ISO schuilgaat, een die bol staat van het toeschuiven van de handel.  Zo kan alleen een door de raad van accreditatie toegewezen bureau de daadwerkelijke toets doen voor certificering. Deze bureaus hanteren een standaard formule over het aantal DAGEN dat de toets gaat duren, ongeacht de complexiteit van de organisatie. Alleen al voor het inlezen op onze ‘case’ heeft een consultant 1 HELE DAG nodig. Dit moeten wel heel erg domme consultants zijn, dacht ik nog. Ook blijkt het zo te zijn, dat als ik mij rondom het ‘Audit gereed maken’, niet laat ondersteunen door een consultancybureau, het in praktijk blijkt dat het vaak heeeeeel lastig is om goedgekeurd te worden. En je raad het al, dat zijn geen hele lage uurtarieven. Al met al een mooi staaltje gedwongen winkelnering.

ISO verplicht? Welnee!

Al met al kreeg ik er een behoorlijk raar gevoel bij. Het Ministerie van Economische Zaken maar eens bellen, dacht ik. Daar zullen zij mij vast wel kunnen vertellen hoe dit in elkaar steekt en wellicht is er wel een potje voor bedrijven zoals dat van ons, nu door wetgeving we min of meer tot ISO veroordeeld zijn. Maar nee hoor, het ministerie is heel duidelijk. Alleen de wet is een beetje aangepast. De markt bepaalt zelf of ze hier een toetsing door ISO op los willen laten. Het komt er dus op neer dat we elkaar allemaal een beetje gek laten maken. We kunnen prima afspraken met elkaar onderling maken en desnoods in procedures vast leggen hoe we omgaan met elkaars informatie!

En nu?

Jammer genoeg heb ik mij inmiddels neergelegd bij de ISO heerschappij en hebben wij de weg ingezet naar certificering. Het zal een lange zware weg worden vol hobbels en kuilen zo is mij verzekerd door de verschillende bureaus die ik heb gevraagd zich aan ons te presenteren. Natuurlijk zullen zij ons bijstaan gedurende dit hele traject en hoeven wij ons geen zorgen te maken, die certificering komt er! Oh wat gaan wij enorm hard van de daken schreeuwen dat wij hem hebben, als wij hem hebben. Wij zullen ISO ondersteunen vanuit elke vezel in ons lichaam en iedereen die nog niet gecertificeerd is verketteren! En zo zullen ook wij, meedraaien in deze schijnveiligheid.