isosecure

Samenvatting – Verantwoorde inzet van generatieve AI door de overheid

Mon, 05 Jan 2026 10:58:15 GMT

Samenvatting – Verantwoorde inzet van generatieve AI door de overheid

Verantwoording: deze samenvatting is gebaseerd op de oorspronkelijke tekst van “Overheidsbrede handreiking: Verantwoorde inzet van generetatieve AI” zoals te vinden op https://open.overheid.nl/documenten/9c273b71-cebb-4e11-b06f-fa20f7b4b90e/file

NB: Deze samenvatting is nadrukkelijk bedoeld als handzame inleiding tot het oorspronkelijke document en pretendeert op geen enkele wijze het oorspronkelijke document volledig weer te geven.

Generatieve AI is een krachtige technologie die tekst, beeld, geluid en code kan creëren op basis van grote hoeveelheden data. Voor de overheid biedt dit kansen om efficiënter te werken, dienstverlening te verbeteren en maatschappelijke vraagstukken beter aan te pakken. Tegelijkertijd brengt het risico’s met zich mee op het gebied van privacy, discriminatie, transparantie en veiligheid. De Nederlandse overheid heeft een voorbeeldfunctie en moet generatieve AI verantwoord, rechtmatig en ethisch inzetten, in overeenstemming met de Europese AI-verordening.

1. Positionering en scope
De handreiking biedt richtlijnen voor overheidsorganisaties om generatieve AI verantwoord te gebruiken, van experimenteren tot structurele toepassing. Het document is niet bindend, maar dient als hulpmiddel om bestaande wetgeving (zoals de AI-verordening, AVG en het Algoritmekader) toe te passen. Organisaties worden aangemoedigd eigen, sectorspecifieke versies van de handreiking te ontwikkelen, met strengere regels indien nodig.

2. Wat is generatieve AI en hoe gebruikt de overheid het?
Generatieve AI (zoals ChatGPT of Copilot) gebruikt algoritmes om nieuwe content te genereren. Binnen de overheid wordt het al toegepast in pilots en projecten, bijvoorbeeld voor beleidsanalyse, informatievoorziening en communicatie. Daarnaast wordt “agentic AI” genoemd: systemen die zelfstandig kunnen handelen. Dit vergroot zowel de mogelijkheden als de risico’s, vooral bij onvoldoende menselijke controle.

3. Kansen
Generatieve AI kan de productiviteit verhogen, nieuwe inzichten bieden en maatschappelijke betrokkenheid vergroten. Toepassingen variëren van tekst- en beeldbewerking tot softwareontwikkeling, scenario-analyse en wetenschappelijk onderzoek. De overheid moet steeds menselijke tussenkomst behouden (“de ambtenaar blijft aan het stuur”).

4. Aan de slag met generatieve AI
Een praktisch stappenplan omvat:

Doel bepalen: gebruik AI als middel om publieke doelen te dienen.
Juiste mensen betrekken: combineer technische, juridische, ethische en bestuurlijke expertise. AI-geletterdheid is verplicht voor personeel.
Governance: ontwikkel een AI-strategie met aandacht voor transparantie, privacy, ethiek en fallback-scenario’s.
Risicoanalyses: voer DPIA’s, AI Impact Assessments en ethische beoordelingen uit voordat AI wordt ingezet.
Inkoop of ontwikkeling: gebruik waar mogelijk open-source of Europese modellen, voorkom vendor lock-in en bescherm data.

5. Juridische kaders
De AI-verordening verdeelt AI-systemen naar risiconiveau en stelt eisen aan transparantie en menselijk toezicht. Veel generatieve modellen voldoen nog niet aan privacywetgeving (AVG/UAVG). Trainingsdata kunnen auteursrechtelijk beschermd zijn. Bij inkoop moeten overheden juridische, ethische en duurzaamheidscriteria hanteren. Ook andere wetten, zoals de Awb en WOO, zijn relevant.

6. Ethische en veiligheidsaspecten
Belangrijke waarden zijn rechtvaardigheid, transparantie, vertrouwen, uitlegbaarheid, kwaliteit en duurzaamheid. AI mag geen bias versterken of burgers ongelijk behandelen. Veiligheid vraagt aandacht voor cyberaanvallen, datalekken en informatiebeveiliging.

7. Governance en eindgebruikers
Goede governance vereist duidelijke verantwoordelijkheden, klokkenluidersbescherming en verantwoording. Eindgebruikers moeten zorgvuldig omgaan met data, kritisch blijven op AI-output en ethisch veilige prompts gebruiken.

Conclusie
Generatieve AI kan de overheid efficiënter, innovatiever en toegankelijker maken, mits verantwoord ingezet. Dit betekent naleving van wet- en regelgeving, borging van ethische principes, continue monitoring van risico’s en transparante communicatie richting burgers. Het doel is dat AI bijdraagt aan publieke waarden: menselijk welzijn, rechtvaardigheid, veiligheid en vertrouwen in de overheid.

Auteur van dit blog: Eildert Karstens IsoSecure b.v.

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

Bronnen

Overheidsbrede handreiking: Verantwoorde inzet van generetatieve AI” zoals te vinden op https://open.overheid.nl/documenten/9c273b71-cebb-4e11-b06f-fa20f7b4b90e/file

BIO2-Light: Een Risicovolle Compromis of Realistische Oplossing voor Gemeenten?

Tue, 16 Dec 2025 09:36:41 GMT

BIO2-Light: Een Risicovolle Compromis of Realistische Oplossing voor Gemeenten?

De realiteit van gemeentelijke weerbaarheid

Wanneer in juni 2025 meer dan 150 Nederlandse gemeenten betrokken raken bij ransomware-aanvallen[1], wordt pijnlijk duidelijk dat het cyberrisico van gemeenten geen abstracte dreiging is, maar een praktische en urgente uitdaging voor het publieke domein. De aanvallen slagen vaak via kwetsbare leveranciers, zwakke patches of onoplettendheid bij de gebruikers, met als gevolg dat gevoelige burgergegevens worden gestolen en vitale diensten, zoals burgerzaken en sociale hulpverlening, worden verstoord. Deze incidenten vormen een harde wake-up call voor overheden, de digitale veerkracht van gemeenten blijkt kwetsbaar[2].

In dit licht introduceert het Rijk de "Baseline Informatiebeveiliging Overheid 2 (BIO2)", gepresenteerd in september 2025[3], als het nieuwe, verplichte normenkader voor alle overheidsorganisaties, inclusief gemeenten. BIO2 volgt de structuur van ISO/IEC 27001:2022 en ISO/IEC 27002:2022, en vult deze aan met Nederlandse overheids-specifieke eisen en interpretaties in lijn met de NIS2-richtlijn en de Cybersecuritywet (verwacht in 2026)[4]. Hiermee krijgt de overheid een uniforme, risicogestuurde aanpak, waarin de zorgplicht voor informatiebeveiliging concreet wordt ingevuld en afdwingbaar.

Waarom is BIO2 zo zwaar?

De omvang en ambitie van BIO2 maken dat het voor gemeenten een enorme opgave is om compliant te worden binnen de gestelde termijnen. Waar grote ministeries en complexe organisaties kunnen beschikken over uitgebreide cybersecurity-teams en geavanceerde tooling, moeten kleine en middelgrote gemeenten met beperkte middelen en capaciteit proberen te voldoen aan dezelfde eisen[5].

De belangrijkste factoren waarom de BIO2 vooral voor gemeenten als zwaar wordt ervaren:

Schaalbaarheid en complexiteit: De norm bevat 93 beheersmaatregelen die in principe voor elke organisatie gelden, ongeacht omvang of risico. Voor een gemeente met slechts enkele medewerkers en beperkte ICT-inzet is dat bijna onhaalbaar zonder ingrijpende investeringen[6].
Personeelstekort: Volgens de VNG- en CIP-rapportages ontbreken er landelijk honderden gekwalificeerde cybersecurity-specialisten bij gemeenten[7]. Zonder dedicated CISO's, security-analisten of auditors is het lastig om de norm te implementeren zonder externe ondersteuning.
Financiële middelen: Een volledige BIO2-implementatie, inclusief tooling (zoals SIEM, IAM en vulnerability-management) en opleidingen, kost in de praktijk tussen de €500.000 en €1,5 miljoen in de eerste drie jaar (gemiddeld)[8]. Dit budget is voor veel kleine gemeenten onhaalbaar, terwijl de baten voor datatoepassingen en dienstverlening op de lange termijn evident zijn[9].
Organisatiecultuur en verandering: BIO2 vereist een risicogestuurde aanpak, doorlopende monitoring, betrokken topmanagement en een beveiligingscultuur die nog moet worden opgebouwd. Het is geen checklist, maar een continuous improvement-proces dat diep verankerd moet worden in de organisatie[10].

Kortom, de gestelde eisen in BIO2 reflecteren een ideaalbeeld van een moderne, volwassen overheid, maar botsen in de praktijk met de beschikbare middelen.

De VNG‑benadering: pragmatiek of precedent?

De VNG speelt een kritische rol door te pleiten voor een *proportionele* en *gefaseerde* aanpak. In haar reactie op BIO2 (september 2024) benadrukt zij dat gemeenten niet in één keer aan alle 93 controls kunnen voldoen: de variatie in schaal, middelen en bestaande beveiligingsniveau is groot[11].

Daarom adviseert de VNG onder meer:

- Een risicogebaseerde prioritering: maatregelen eerst te implementeren op basis van de grootste risico’s en kritieke systemen.

- Een geleidelijke invoering: bijvoorbeeld door te werken met een ‘BIO2-light’ voor kleinere gemeenten, waarin gefaseerd extra controls worden toegevoegd.

- Het gebruik van praktische hulpmiddelen zoals de BIO Self-Assessment en Groeiplan[12].

Deze benadering is begrijpelijk vanuit bestuurlijk en organisatorisch perspectief, maar brengt ook risico’s met zich mee, vooral in een keten waarbij één zwakke schakel het hele systeem kan verdrijven[13].

Volgens ENISA is het erkennen van variatie in implementatieniveau niet per se risicodiagnostisch, maar moet het altijd worden gekoppeld aan concrete maatregelen en verantwoording. Anders ontstaan er ‘security gaps’ die criminelen en kwaadwillenden kunnen exploiteren[14].

Kosteneffectiviteit en risicopreventie

De discussie rondom kosten en baten speelt een grote rol. Gemeenten wijzen vaak op de hoge kosten van implementatie en beheersing, terwijl de economische en maatschappelijke gevolgen van datalekken en cyberincidenten veel ernstiger zijn[15].

Volgens de meest actuele berekeningen kost een datalek in het publieke domein, zoals bij de BRP of Wmo-dossiers, vaak tussen de €0,8 en €5 miljoen aan onderzoek, herstel, schadeclaims en reputatieverlies[16]. Sancties onder de AVG kunnen oplopen tot €525.000 per incident, en onder de NIS2, via de Cybersecuritywet (naar verwachting in 2026), tot €10 miljoen of 2 % van de omzet[17].

De conclusie is helder: het niet investeren in adequate beveiliging levert veel hogere kosten op dan de voorbereidende investeringen. Het risico van reputatieschade, boetes en maatschappelijke onrust is niet in geld uit te drukken, maar wel enorm.

Een uniforme beschermingslaag: de burger als dupe

In de ogen van burgers is er slechts één overheid: het lokaal of het Rijksniveau maakt niet uit. Of een burger nu een paspoort aanvraagt of een Wmo-voorziening, hij of zij verwacht dat hun gegevens veilig zijn. De BIO2 is er juist op gericht om dit vertrouwen waar te maken door een uniforme norm te hanteren[18].

Een gefaseerde of "lichte" aanpak kan echter de kern van die uniformiteit ondermijnen. Cybercriminelen profiteren van elke kwetsbare schakel. De ransomwaregolf van 2025, die via kleine leveranciers en achterstallig patchbeheer verder verspreidde, onderstreept dat het niet uitmaakt of een gemeente groot of klein is: zwakke beveiligingspunten worden misbruikt[19].

Daarnaast vormen juridische risico’s en aansprakelijkheid een serieus punt. Bij een datalek kan een gemeente aansprakelijk worden gesteld onder de AVG, en onder NIS2 kunnen bestuurlijke boetes worden opgelegd[20]. Het is daarom cruciaal dat de norm niet afzwakt, maar breed en op gelijke wijze wordt nageleefd.

Slimmer, niet duurder: de kracht van risicomanagement

De uitdaging ligt niet in het verlagen van de norm, maar in het slim toepassen ervan. ISO 27001 en BIO2 bieden een framework voor risicomanagement (Annex A). Slimme prioritering en korte cycli kunnen gemeenten helpen snel resultaat te boeken met beperkte middelen:

Asset-inventarisatie en eigenaarschap: bepaal welke systemen kritisch zijn en wijs expliciete risico‑eigenaren toe[21].
Basishygiëne: MFA, patchbeheer en korte bewustwordingssessies beperken de aanvalsvectoren drastisch[22].
Verklaring van Toepasselijkheid (VvT): leg vast wat wel en niet van toepassing is en onderbouw afwijkingen; dit helpt bij audits en bewijst risicogerichtheid[23].

Door deze praktische aanpak kunnen gemeenten binnen 12 tot 18 maanden een basis volwassenheid bereiken die aantoonbaar voldoet aan de normen tegen een fractie van de kosten die volledige volledige implementatie met tooling en hire‑een‑team vergt.

Laat de bestuurders niet wachten

De enige manier om gemeenten daadwerkelijk in beweging te krijgen is door de persoonlijke belanghebbenden te raken: aansprakelijkheid, reputatie en korte termijn winsten.

Aansprakelijkheid: sinds BIO2 en de nieuwe Cybersecuritywet is het bestuur verantwoordelijk voor voldoende beveiligingsmaatregelen. Failures kunnen leiden tot boetes en zelfs persoonlijk aansprakelijkheid[24].
Reputatie: incidenten in de media ondermijnen het vertrouwen in gemeenten namens de overheid, vooral bij gevoelige diensten zoals jeugdzorg[25].
Praktische quick wins: korte trajecten met een eenvoudige acties en directe resultaten zorgen voor draagvlak en tastbare borging binnen zes maanden.

Door een “urgentiebewustzijn” te creëren en concreet te maken dat een investering van enkele tienduizenden euro’s kan voorkomen dat een ontzettende boete of reputatieschade ontstaat, kunnen bestuurders de juiste keuzes maken.

Conclusie: van compromis naar volwassenheid

De discussie over BIO2‑light of gefaseerde implementatie is in wezen een afweging tussen bestuurlijk realisme en risicobeheersing. Het creëren van een systeemeigen, risicogestuurde en vooral proportionele aanpak, ondersteund door Rijk, provincie en ketenpartners, is de enige weg naar een betrouwbare, betaalbare en duurzame digitale overheid.

In plaats van te verzwakken, kan de norm worden geperfectioneerd door focus op kernprincipes: assetmanagement, risicobewustzijn, korte cycli en documentatie.

De overheid moet niet concluderen dat “het niet kan”, maar dat "het slimmer moet".

Sluit je geen compromissen, maar stap proactief over de risico’s, dat is voldoende volwassenheid voor 2025 en verder.

Auteur van dit blog: Robert Bals, IsoSecure b.v.

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

Bronnen

[1] Security.nl. (2025, 5 juni). "150 Nederlandse gemeenten betrokken bij ransomware-incidenten". https://www.security.nl/posting/890959/150+Nederlandse+gemeenten+betrokken+bij+ransomware-incidenten

[2] Veiligheidscoalitie. (2025). "Groeiende dreiging ransomware-aanvallen bij gemeenten". https://veiligheidscoalitie.nl/nieuws/groeiende-dreiging-ransomware-aanvallen-bij-gemeenten

[3] CIP. (2025, 8 december). "Baseline Informatiebeveiliging Overheid 2 (BIO2)". https://ibestuur.nl/partner/cip/baseline-informatiebeveiliging-overheid-2

[4] CIP. (2025, 8 december). "BIO2 gepubliceerd". https://ibestuur.nl/partner/cip/bio2-gepubliceerd

[5] iBestuur. (2025, 5 juni). "Digitale veiligheid gemeenten onder druk". https://ibestuur.nl/digitale-weerbaarheid/sectoren-en-organisaties/digitale-veiligheid-gemeenten-verder-onder-druk

[6] NEN. (2022). "ISO/IEC 27001:2022". https://www.nen.nl

[7] VNG. (2025). "Gemeentelijke cybersecurity-monitor". https://vng.nl

[8] VNG. (2025, 25 november). "Nieuw onderzoek: fors meer kosten voor informatiebeveiliging". https://vng.nl/nieuws/nieuw-onderzoek-fors-meer-kosten-voor-informatiebeveiliging

[9] Binnenlands Bestuur. (2025, 26 november). "Gemeenten zien kosten cybersecurity fors oplopen". https://www.binnenlandsbestuur.nl/digitaal/gemeenten-zien-kosten-security-oplopen-door-wetgeving

[10] CIP. (2025). "BIO2 en risicomanagement". https://ibestuur.nl/partner/cip/bio2-en-risicomanagement

[11] VNG. (2024). "Reactie op BIO2". https://vng.nl

[12] IBD. (2025). "BIO Self-Assessment tool". https://ibd.nl

[13] ENISA. (2025). "EU State of Cybersecurity 2025". https://www.enisa.europa.eu

[14] ENISA. (2025). "EU State of Cybersecurity 2025". https://www.enisa.europa.eu

[15] VNG. (2025, 25 november). "Nieuw onderzoek: fors meer kosten voor informatiebeveiliging". https://vng.nl/nieuws/nieuw-onderzoek-fors-meer-kosten-voor-informatiebeveiliging

[16] IBD. (2025). *Impactanalyse datalekken bij gemeenten". https://ibd.nl

[17] Autoriteit Persoonsgegevens. (2024). "Boetebeleid AVG en NIS2". https://autoriteitpersoonsgegevens.nl

[18] ENISA. (2025). "EU State of Cybersecurity 2025". https://www.enisa.europa.eu

[19] Security.nl. (2025, 5 juni). "150 Nederlandse gemeenten betrokken bij ransomware-incidenten". https://www.security.nl/posting/890959/150+Nederlandse+gemeenten+betrokken+bij+ransomware-incidenten

[20] Autoriteit Persoonsgegevens. (2024). "Boetebeleid AVG en NIS2". https://autoriteitpersoonsgegevens.nl

[21] NEN. (2022). "ISO/IEC 27001:2022". https://www.nen.nl

[22] IBD. (2025). "Basisprincipes cybersecurity gemeenten". https://ibd.nl

[23] NEN. (2022). "ISO/IEC 27001:2022". https://www.nen.nl

[24] Ministerie van BZK. (2025). "Cyberbeveiligingswet (concept)". https://www.rijksoverheid.nl

[25] Gemeente Hof van Twente. (2021). "Persconferentie na ransomware-aanval". https://hofvantwente.nl

ISO9001: papiertje halen of echt verbeteren?

Tue, 02 Dec 2025 16:23:51 GMT

ISO9001: papiertje halen of echt verbeteren?

1. Continu kwaliteit verbeteren: de uitdaging

Het continu werken aan betere kwaliteit van producten en diensten is van alle tijden, maar is tegelijk steeds lastiger efficiënt en tijdig te realiseren door:

Snelle technologische ontwikkelingen: nieuwe technologieën volgen elkaar razendsnel op, waardoor bedrijven constant moeten investeren in innovatie, systemen en vaardigheden om bij te blijven.
Toenemende klantverwachtingen: consumenten zijn gewend aan snelle service, hoge gebruiksvriendelijkheid en maatwerk. Het continu voldoen aan deze veranderende verwachtingen legt druk op organisaties.
Globalisering en concurrentie: er is veel meer internationale concurrentie, waardoor bedrijven sneller moeten reageren op prijsdruk, kwaliteitsstandaarden en innovaties uit andere markten.
Complexiteit van regelgeving en compliance: bedrijven moeten voldoen aan steeds strengere en vaak veranderende wet- en regelgeving (bijvoorbeeld rondom duurzaamheid, privacy of veiligheid), wat de processen ingewikkelder maakt.
Krapte op de arbeidsmarkt en kennisverlies: er is een tekort aan gekwalificeerd personeel en ervaren medewerkers vertrekken of gaan met pensioen. Hierdoor wordt het moeilijker om kennis te borgen en kwaliteit te waarborgen.

De vraag is dus hoe je, ondanks deze beperkingen, toch efficiënt en voortvarend kan werken aan continue kwaliteitsverbetering.

Het antwoord is: door de focus te leggen op die onderwerpen waar de grootste kansen en bedreigingen liggen,

De ISO9001 (de norm voor Kwaliteitsmanagement) probeert hiervoor een oplossing te bieden door de zogenaamde SWAT analyse maar deze geeft zelden concrete handvaten om aan de slag te gaan.

IsoSecure heeft een aanpak ontwikkeld waarmee met een paar uur werk concreet wordt gemaakt welke de kansen en bedreigingen voor jouw bedrijf zijn. We noemen dit de Gevolgenanalyse.

De Gevolgenanalyse is een bewezen praktische basis voor een efficiënte aanpak van je kwaliteitsmanagement; je kunt nl. hierdoor snel en gericht (potentiële) risico's voor de kwaliteitsaspecten van je producten en/of diensten formuleren. Hierdoor kunnen niet alleen huidige, maar ook mogelijke toekomstige bedreigingen worden gedetecteerd en aangepakt. En kunnen kosten van slechte service/kwaliteit worden vermeden, wat resulteert in lagere kosten en een hogere klanttevredenheid.

2. Korte uitleg Gevolgenanalyse:

Om een efficiënt risicoanalyseproces te garanderen, is het dus belangrijk om focus te creëren. Oftewel, welke processen/middelen/leveranciers zijn het meest risicovol?

Deze focus wordt gecreëerd door een Gevolgenanalyse (een onderzoek naar de mogelijke gevolgen van verstoringen of risico’s voor de belangrijkste aspecten van de organisatie) uit te voeren op:

a. de processen,

b. de belangrijkste bedrijfsmiddelen die je gebruikt om de processen uit te voeren (zoals informatiesystemen, machines/gereedschappen, gebouwen, andere faciliteiten, enz.)

c. de leveranciers van deze middelen of van relevante diensten.

Om de analyse van processen, activa en leveranciers te vergemakkelijken, wordt het 5P-model (ook wel de marketingmix genoemd) gebruikt. De 5 P's zijn: Product, Prijs, Plaats, Promotie en Personeel. In onderstaand overzicht worden de belangrijkste aspecten van elk van de 5 P's weergegeven:

Product: kwaliteit/specifieke eigenschappen van het product (product kan ook een dienst zijn!)
Prijs: prijs c.q. kostprijs van product/dienst
Plaats: verkoop-/distributie kanalen en logistiek
Promotie: communicatie met de diverse stakeholders variërend van klanten tot andere partijen
Personeel: kennis en vaardigheden van personeel maar ook bedrijfscultuur.

In de Gevolgenanalyse wordt voor een proces/bedrijfsmiddel/leverancier het belang van het proces/bedrijfsmiddel/leverancier voor de respectievelijke P ruwweg geschat. Houd er rekening mee dat het uitvoeren van de Gevolgenanalyse een middel is om een doel te bereiken (efficiënt en effectief risicomanagement) en geen doel op zich. Precisie is daarom niet belangrijk, maar het maken van een concreet overzicht (waar liggen mijn potentiële problemen/risico's) wel.

Enkele voorbeelden:

Processen die sterk afhankelijk zijn van betaalbare grondstoffen/componenten van de andere kant van de wereld, kunnen hoog/kritisch scoren op Plaats (Logistiek, Serviceniveaus) in geval van een tekort aan zeecontainers of een geblokkeerd Panamakanaal.
Processen die sterk afhankelijk zijn van hooggekwalificeerd personeel, kunnen hoog/kritisch scoren op Personeel in geval van een tekort aan gekwalificeerd personeel.
Processen die afhankelijk zijn van goedkope energie, kunnen hoog/kritisch scoren op Prijs in geval van stijgende energieprijzen.

Om het uitvoeren van de BIA te vergemakkelijken, gebruiken we onderstaande scoringstabel:

Samengevat is het dus zaak te concentreren op de zaken die er echt toe doen waardoor er minder tijd wordt besteed aan minder belangrijke onderwerpen. We willen dus snel en efficiënt helder krijgen waar de kwaliteitsrisico’s zitten in onze organisatie. Dat lijkt op het intrappen van een al wijd openstaande deur maar we zullen laten zien hoe je op een heel eenvoudige wijze met minder werk, veel meer resultaat kan bereiken; minder is echt meer in dit geval!

3. Uitvoeren van een Gevolgenanalyse: voorbeeld

Dit doen we aan de hand van een denkbeeldig bedrijf dat:

Natuurlijke grondstoffen inkoopt, die verwerkt tot een (ongevaarlijk) halffabricaat en vervolgens het halffabricaat verwerkt tot een eindproduct met specifieke door klanten geëiste chemische eigenschappen.
Deze processen zelf heeft ontwikkeld en voortdurend verder ontwikkelt op basis van steeds strenger wordende kwaliteitseisen van afnemers.
Is gevestigd op 300 meter van een woonwijk
Het bedrijf heeft eigen vrachtwagens waarmee het eindproduct wordt geleverd aan de klanten.

Stel jezelf de eerste vraag: welke processen zijn echt spannend als het om kwaliteit gaat?

Door in onderstaande voorbeeld overzicht van processen, voor elk proces de impact analyse uit te voeren, krijgen we onderstaande impact analyse:

En we zien al heel snel waar het “spannend” is en naar welke processen dus onze aandacht moet gaan. We gaan dus allereerst inzoomen op het proces “Productie & Logistiek” (in dit proces worden halffabricaten omgezet in een eindproduct met hoge kwaliteitseisen) en op Inkoop (kwaliteit van de ingekochte grondstof en installaties scoort Kritisch; alle andere aspecten Hoog). Daarna op het proces “Onderzoek & Ontwikkeling” (in dit proces wordt voortdurend gewerkt aan door-ontwikkeling van dit eindproduct en de processen waarmee dit product wordt gemaakt). Verder besteden we alleen aandacht aan Marketing & Sales v.w.b. het aspect Communicatie (want de bewoners van de woonwijk op 300 meter van de fabriek zijn belangrijke stakeholders)

Maar we kunnen nog verder inzoomen en daarmee nog beter focussen op zaken die er echt toe doen nl. door een BIA uit te voeren voor de voornaamste bedrijfsmiddelen; de 2 Productie installaties en de vrachtwagens waarmee het gereed product wordt vervoerd.

Het is weinig verrassend dat Productie installatie 2 (waarmee het eindproduct wordt gemaakt en dus bepalend is voor de kwaliteit van het eindproduct) Kritisch scoort en dus onze aandacht vraagt. Productie installatie 1 vraagt geen bijzondere aandacht.

V.w.b. betreft de vrachtwagens scoort alleen Plaats voor vrachtwagen 1 Hoog (deze vrachtwagen mag niet overal rijden want is Euro 5), dus bij inplannen moet hierop gelet worden. En voor beide vrachtwagens geldt dat, vanwege wettelijke eisen, alleen gecertificeerde chauffeurs de vrachtwagens mogen besturen, dus voor Personeel is de score Hoog.

Tenslotte is het van belang een Gevolgenanalyse uit te voeren op de leveranciers b.v. van (onderdelen van) Productie installaties, vrachtwagens (inclusief het onderhoud), verwerking bedrijfsafval.

Ook hier zien we een duidelijk patroon: de leverancier van de installatie waarmee het eindproduct wordt gemaakt, scoort 1x Kritisch en 3x Hoog. Verder scoort de leverancier van grondstof A 3x Hoog (zuiverheid van de grondstof is belangrijk, evenals prijs en de beschikbaarheid)

Conclusie: door een Gevolgenanalyse uit te voeren op de processen, belangrijkste bedrijfsmiddelen en leveranciers, kan snel en efficiënt een focus worden verkregen op de onderwerpen die er echt toe doen bij het implementeren van kwaliteitsmanagement en het voldoen aan ISO9001.

Gevolgenanalyse – Een gevolgenanalyse brengt in kaart wat er gebeurt als belangrijke processen binnen de organisatie tijdelijk uitvallen of verstoord raken. Het helpt te bepalen welke activiteiten cruciaal zijn, welke gevolgen verstoringen hebben voor klanten en medewerkers, en hoe snel herstel nodig is. Zo ondersteunt de analyse het maken van keuzes om de continuïteit van de organisatie te waarborgen.

Auteur van dit blog: Eildert Karstens, IsoSecure b.v.

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

Moet een auditor altijd toegang tot uw ISMS krijgen, en wanneer eindigen de bevindingen?

Tue, 22 Jul 2025 12:50:08 GMT

Moet een auditor altijd toegang tot uw ISMS krijgen, en wanneer eindigen de bevindingen?

Bij een ISO 27001-audit vragen organisaties zich vaak af: moet een auditor toegang krijgen tot het Information Security Management System (ISMS), en is dit nodig vóór, tijdens of na de audit? Bovendien, kunnen auditors na de audit met nieuwe bevindingen komen, of moeten alle bevindingen tijdens de afsluiting worden gepresenteerd? Deze vragen raken de kern van informatiebeveiliging en auditintegriteit. Dit artikel onderzoekt of toegang tot het ISMS altijd nodig is en benadrukt dat auditors hun bevindingen volledig moeten presenteren bij de afsluiting van de audit, met onderbouwing uit ISO/IEC 17021, ISO/IEC 27006 en ISO/IEC 19011.

ISO/IEC 27006 en toegang tot informatie

ISO/IEC 27006 specificeert eisen voor certificeringsinstanties die ISMS-audits uitvoeren. Het vereist dat auditors voldoende bewijs verzamelen om de effectiviteit van het ISMS te beoordelen, maar dit hoeft niet altijd directe toegang tot het ISMS te omvatten (ISO/IEC 27006:2015, Clause 7). Voorafgaande toegang kan helpen bij auditvoorbereiding, zoals het reviewen van documentatie, maar is niet verplicht. Tijdens de audit op locatie kunnen bevindingen worden verzameld via steekproeven, interviews of geanonimiseerde rapporten. Toegang na afloop is doorgaans niet nodig, tenzij voor follow-up van non-conformiteiten. Een voordeel van toegang beperken tot de auditperiode is dat gevoelige informatie wordt beschermd conform het classificatiebeleid. Een nadeel is dat auditors voorafgaande toegang kunnen eisen voor efficiëntie, wat discussie kan opleveren als dit botst met uw beleid.

ISO/IEC 17021 en auditafsluiting

ISO/IEC 17021 benadrukt impartialiteit, gestructureerde auditplanning en een duidelijke afronding van de audit (ISO/IEC 17021-1:2015, Clause 9). Auditors kunnen vooraf documentatie opvragen om risico’s en scope te bepalen, maar tijdens de on-site audit moeten zij hun bevindingen verzamelen en presenteren. Clause 9.4.8 vereist dat auditors tijdens de afsluitende vergadering alle bevindingen en conclusies delen met de organisatie. Dit betekent dat nieuwe bevindingen na de audit niet mogen worden geïntroduceerd, wat organisaties zekerheid biedt dat de auditperiode de grens vormt voor beoordelingen. Een voordeel is dat dit duidelijkheid creëert en ongecontroleerde toegang na afloop voorkomt. Een nadeel is dat auditors mogelijk aandringen op extra pre-audit toegang om hun werk te stroomlijnen, wat extra afstemming vereist.

ISO/IEC 19011 en risicogebaseerde aanpak

ISO/IEC 19011 biedt richtlijnen voor audits en benadrukt een risicogebaseerde aanpak (ISO/IEC 19011:2018, Clause 6). Bevindingen worden idealiter tijdens de audit verzameld, met focus op hoog-risico gebieden. Voorafgaande toegang kan de audit efficiënter maken, maar is niet verplicht als tijdens de audit voldoende bewijs wordt geleverd, zoals via live demonstraties of gefilterde data. Toegang na afloop is alleen gerechtvaardigd voor specifieke follow-up, zoals het verifiëren van corrigerende maatregelen. Clause 6.6.1 benadrukt dat auditors tijdens de afsluitende vergadering alle bevindingen moeten communiceren, wat betekent dat nieuwe bevindingen na de audit niet acceptabel zijn. Een voordeel is dat dit organisaties beschermt tegen onverwachte claims; een nadeel is dat auditors mogelijk uitgebreider bewijs eisen tijdens de audit, wat extra voorbereiding vergt.

Afweging: toegang en timing van bevindingen

Toegang vóór de audit kan auditors helpen bij voorbereiding, maar verhoogt het risico op ongecontroleerde blootstelling van gevoelige informatie. Tijdens de on-site audit kunnen bevindingen effectief worden verzameld via gerichte methoden, zoals interviews of geanonimiseerde data, wat de noodzaak van pre- of post-audit toegang minimaliseert. ISO/IEC 17021 en 19011 stellen expliciet dat alle bevindingen tijdens de afsluitende vergadering moeten worden gepresenteerd, waardoor nieuwe bevindingen na de audit niet toegestaan zijn. Dit beschermt organisaties tegen onvoorziene problemen en respecteert het classificatiebeleid. Een nadeel is dat auditors mogelijk extra bewijs eisen binnen de auditperiode, wat vraagt om een zorgvuldige voorbereiding van alternatieve bewijsmiddelen.

Conclusie

Auditors hebben niet altijd toegang tot uw ISMS nodig, noch vóór, noch na de audit. ISO/IEC 27006, 17021 en 19011 bieden ruimte om bevindingen primair tijdens de on-site audit te verzamelen, zolang voldoende bewijs wordt geleverd, bijvoorbeeld via geanonimiseerde data. Bovendien vereisen ISO/IEC 17021 en 19011 dat auditors alle bevindingen presenteren tijdens de afsluitende vergadering, waardoor nieuwe bevindingen na de audit niet toegestaan zijn. Door proactief alternatieve bewijsmethoden aan te bieden, kunt u uw classificatiebeleid handhaven, voldoen aan auditvereisten en zorgen voor een transparante afronding van de audit.

Bronnen: ISO/IEC 27006:2015, ISO/IEC 17021-1:2015, ISO/IEC 19011:2018

Auteur van dit blog: Robert Bals

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

ISO14001: een goed begin, halveert het werk!

Mon, 14 Jul 2025 14:05:21 GMT

ISO14001: een goed begin, halveert het werk!

Implementatie van ISO14001 (de ISO norm voor milieubescherming) wordt vaak gezien als een complexe en tijdrovende activiteit die veel te weinig oplevert. En dat terwijl het doel, beschermen van het milieu waarin we allemaal leven, toch zeker de moeite waard is.

Voor IsoSecure een prima reden om eens te kijken wat hier in de praktijk mis gaat en hoe we dat op kunnen oplossen. Samengevat zijn de bezwaren:

1. Opzetten, implementeren en bijhouden van ISO14001 kost teveel tijd en geld en is ook nog eens complex

2. En omdat we zo druk zijn met het in de lucht houden van ISO14001 komen we al helemaal niet toe aan de voordelen zoals verminderen van de milieu impact van onze organisatie

De oplossing van bovenstaande problemen ligt in het beter concentreren op de zaken die er echt toe doen waardoor er minder tijd wordt besteed aan minder belangrijke onderwerpen. We willen dus snel en efficiënt helder krijgen waar de (milieu) risico’s zitten in onze organisatie. Dat lijkt op het intrappen van een al wijd openstaande deur maar we zullen laten zien hoe je op een heel eenvoudige wijze met minder werk, veel meer resultaat kan bereiken; minder is echt meer in dit geval!

Dit doen we aan de hand van een denkbeeldig bedrijf dat:

- Natuurlijke grondstoffen inkoopt, die verwerkt tot een (ongevaarlijk) halffabricaat en vervolgens het halffabricaat verwerkt tot een eindproduct met gevaarlijke chemische eigenschappen in een fabriek op 300 meter van een woonwijk

- Dit bedrijf heeft deze processen zelf ontwikkeld en ontwikkelt deze voortdurend verder

- Het bedrijf heeft eigen vrachtwagens waarmee het eindproduct wordt geleverd aan de klanten

Stel jezelf de vraag: welke onderwerpen hebben prioriteit als het om milieu bescherming gaat? Om dat efficiënt te doen, gebruiken we de Business Impact Analyse (BIA).

Met de BIA scoren we de processen, bedrijfsmiddelen en leveranciers op een 5-tal relevante criteria nl.:

a. Wet- en regelgeving

b. Milieu Calamiteit (kans op calamiteit en/of impact bij calamiteit)

c. Naleving/Zelfregulatie (belang volgen procedures, uitvoeren controles, etc.)

d. Personeel (vereiste kwaliteit, kennis, training, etc.)

e. Communicatie (met belanghebbenden zoals omwonenden, klanten, etc.)

In onderstaande overzicht worden deze criteria verder uitgelegd en ook vertaald in een score.

Bij het invullen van de impact analyse is uiteraard informatie nodig bv. over wetgeving: als dit nieuw voor je is, kan dit snel opgezocht worden op https://omgevingswet.overheid.nl/checken

Stel jezelf de eerste vraag: welke processen hebben prioriteit als het om milieu bescherming gaat?

Dit doen we door de bedrijfsprocessen te scoren met behulp van de 5 criteria uit bovenstaande overzicht.

Door in onderstaande voorbeeld overzicht van processen, voor elk proces de impact analyse uit te voeren, krijgen we onderstaande resultaat:

En we zien al heel snel waar het “spannend” is en naar welke processen dus onze aandacht moet gaan. We gaan dus allereerst inzoomen op het proces “Productie & Logistiek” (in dit proces worden halffabricaten omgezet in een gevaarlijk eindproduct) en daarna op het proces “Onderzoek & Ontwikkeling” (in dit proces wordt voortdurend gewerkt aan door-ontwikkeling van het gevaarlijke eindproduct en de processen waarmee dit product wordt gemaakt). Verder besteden we alleen aandacht aan Marketing & Sales v.w.b. het aspect Communicatie

Het is weinig verrassend dat Productie installatie 2 (waarmee het, gevaarlijke, eindproduct wordt gemaakt) hoog scoort en dus onze aandacht vraagt. Productie installatie 1 vraagt alleen aandacht v.w.b. naleving/Zelfevaluatie.

V.w.b. betreft de vrachtwagens scoort alleen Wet & Regelgeving hoog; het is dus van belang zeker te stellen dat de vrachtwagens blijven voldoen aan de wettelijke eisen.

Tenslotte is het van belang een BIA uit te voeren op de leveranciers b.v. van (onderdelen van) Productie installaties, vrachtwagens (inclusief het onderhoud) , verwerking bedrijfsafval

Ook hier zien we een duidelijk patroon.

Conclusie: door een Business Impact Analyse (BIA) uit te voeren op de processen, belangrijkste bedrijfsmiddelen en leveranciers, kan snel en efficiënt een focus worden verkregen op de onderwerpen die er echt toe doen bij het opzetten, implementeren (en certificeren!) van ISO14001.

De vervolgstap na het uitvoeren van deze BIA is het opstellen van een risicoanalyse. Dat zal worden uitgelegd in een volgende blog.

Auteur van dit blog: Eildert Karstens.

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?

Fri, 28 Mar 2025 12:54:26 GMT

Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?

Steeds vaker krijgen onze klanten vragen van hun klanten over ISAE. Dit naar aanleiding van de toenemende behoefte meer grip te krijgen op risico’s bij uitbesteding van processen. Bijvoorbeeld, zijn de verwerkte data van de uitbestedende partij wel goed beschermd of is de leverancier wel in staat de uitbestede processen altijd uit te voeren op het vereiste moment?

Terechte en logische vragen die het verdienen om serieus beantwoord te worden. En daar komt ISAE3000/3402 om de hoek kijken als internationale standaard voor betrouwbare uitbesteding.

Het probleem is echter dat de vraag (van een uitbestedende partij) aan een leverancier om een ISAE rapport te vaak wordt gezien door de leverancier als een dure en bureaucratische exercitie. Terwijl het eigenlijk een prima kans kan zijn om:

• Zelf kritisch naar je processen te kijken

• Zelf (zinvolle!) controles te introduceren en uit te voeren

• De basis voor continue verbetering te versterken (of die te bouwen)

• En daarmee meer toegevoegde waarde te creëren dan ISAE kost (want een ISAE3000 verklaring kan minder kosten dan je misschien denkt)

Kortom, hoe maak je van ISAE een kans om toegevoegde waarde te realiseren in plaats van een probleem?

Aan de hand van de succesvol gerealiseerde ISAE 3000 Type II assurance-verklaring bij Vcareconnect laat ik zien hoe deze aanpak concreet toegevoegde waarde oplevert

1. Wat is ISAE?

ISAE 3000 en 3402 zijn internationale standaarden voor het aantoonbaar maken van de betrouwbaarheid van uitbestede processen. Ze stellen eisen aan de inrichting en werking van beheersmaatregelen bij dienstverleners, en bieden onafhankelijke zekerheid over de kwaliteit van die beheersing.

Wanneer ISAE3000? Als de uitbestede diensten impact kunnen hebben op de uitbestedende organisatie.

Wanneer ISAE3402? Als de uitbestede diensten impact kunnen hebben op de financiële verslaglegging en dus de jaarrekening van de uitbestedende organisatie. Wij zien in de praktijk regelmatig dat ISAE 3402 ten onrechte wordt gevraagd, zonder dat eerst is vastgesteld of er daadwerkelijk sprake is van financieel-relevante uitbesteding. Door vroegtijdig een heldere en onderbouwde scope vast te stellen, voorkomen we onnodige kosten en zorgen we dat de ISAE-aanpak maximaal bijdraagt aan beheersing en transparantie.

Type I versus Type II:

Type I (ontwerp en bestaan): verklaring van IT Auditor (Accountant) vereist dat ontwerp en implementatie voldoen
Type II (ontwerp, bestaan en werking): audit en verklaring van IT-auditor (accountant) vereist dat ook controles op werking zijn uitgevoerd en uitkomst daarvan voldoet.

In de praktijk wordt vrijwel altijd een Type II verklaring geëist omdat deze zekerheid geeft dat de genomen maatregelen ook daadwerkelijk in de praktijk worden uitgevoerd en gehandhaafd.

In dit blog wordt de (succesvolle!) implementatie van ISAE3000 Type2 uitgewerkt.

ISAE 3000-assurance dient te worden uitgevoerd tegen een bestaand en toetsbaar framework. Wij hanteren hiervoor een door ons ontwikkeld controleframework, dat breed wordt erkend door IT-auditors en accountants vanwege de praktische toepasbaarheid, duidelijke structuur en beheersbaarheid in de uitvoering. De voorgeschreven controles kunnen bv. door de organisatie zelf uitgevoerd worden hetgeen kosten bespaart en inzicht vergroot, maar de assurance daarover moet wel onafhankelijk worden vastgesteld.

2. Hoe implementeer ik succesvol ISAE3000?

Zoals al aangegeven, is het van belang de implementatie(?) van ISAE3000 zo uit te voeren dat zoveel mogelijk toegevoegde waarde voor de organisatie kan worden gegenereerd. Een implementatie omvat de volgende stappen:

Scope: Hier specificeren gebruikers (met hulp en, waar nodig, sturing van de adviseur) de reikwijdte van de ISAE-rapportage. Dit omvat een duidelijke afbakening van de processen, systemen, en controles die worden geëvalueerd en gerapporteerd. Het definiëren van de scope is essentieel om de grenzen van de evaluatie te bepalen en zorgt ervoor dat alle relevante gebieden worden gedekt.

Risico-evaluatie: Deze stap betreft het identificeren en evalueren van de potentiële risico's voor het serviceproces en het bepalen van maatregelen om deze risico's te mitigeren. Ook hier worden gebruikers betrokken en getraind om zo in de toekomst zelfstandig risico- evaluaties uit te kunnen voeren en zo de ISAE3000 implementatie continu te kunnen verbeteren.

Ontwerp en implementatie maatregelen: Op basis van de risico-evaluatie worden maatregelen ontworpen en geïmplementeerd op basis van ons framework. Deze maatregelen kunnen beleid, procedures, monitoring en controles omvatten. In alle gevallen zijn de maatregelen zorgvuldig afgestemd op scope en risico-evaluatie. En leggen we het gewicht van de rapportage op de dienstverlening die verstrekt wordt door u aan uw klant.

Controle op werking en uitvoering van de maatregelen: er wordt een controlelijst opgezet in onze software waarbij gebruikers zelf de controles kunnen uitvoeren en efficiënt bewijsmateriaal kunnen uploaden. Onze software zet dit automatisch om in de door de externe auditor vereiste rapportage.

Deze toepassing is het resultaat van jaren intensieve samenwerking tussen verschillende partijen, ieder met hun eigen diepgaande expertise. Door deze kennis te combineren is een uniek en praktisch toepasbaar product ontstaan dat inhoudelijk sterk is én aantoonbare toegevoegde waarde biedt – voor een eerlijke prijs.

Beoordeling door onafhankelijke IT Auditor: de ISAE standaard schrijft voor dat een onafhankelijke auditor de rapportage moet beoordelen en formeel moet goedkeuren.

IsoSecure kan dankzij onze innovatieve aanpak een ISAE3000 assurance rapporage opstellen voor € 12.000,- (richtprijs; te verifiëren middels gratis scoping sessie). Dit is exclusief het honorarium van de onafhankelijke IT Auditor.

3. Klantcase: Vcareconnect

Bij Vcare hebben we Q4 2024/Q1 2025 succesvol een ISAE3000 implementatie uitgevoerd. De ervaring van deze organisatie met onze aanpak is hieronder door Frank Schonewille (Functionaris Gegevensbescherming / Security & Kwaliteitsspecialist bij Vcare) beschreven.

Vcare kreeg al een aantal keren de vraag of wij een ISAE-verklaring konden overleggen, maar na het aantonen van onze Verklaring van Toepasselijkheid van ISO 27001 en NEN 7510 was dit vaak niet meer nodig. Maar omdat deze vraag zo vaak kwam, besloten we om dit te gaan onderzoeken. Zo kwamen op het juiste moment BorgesiusConsulting/IsoSecure om de hoek, die een goede uitleg kon geven hierover en het ook behapbaar wist te maken. Wij zijn als Vcare al langer dan 6 jaar gecertificeerd voor ISO 27001 en NEN 7510, waardoor een ISAE 3000 een logisch vervolg ging worden. Samen met IsoSecure zijn wij dit pad in 2024 ingegaan om einde van dit jaar te horen dat wij succesvol de verklaring ISAE3000 Type II behaald hebben.

Wat heeft dit ons nu gebracht? Voornamelijk voorspelbaarheid en nog meer controle, waar ISO en NEN zich richten op het ‘bestaan van een proces’ gaat ISAE verder. Het spreekwoordelijke ‘laat maar eens zien dan’ zogezegd. Maar dan ook niet een streekproef voor 1 of 2 bewijsstukken, nee, alles over de te auditen periode.

De ‘beheersmaatregelen’ waar je bij ISAE 3000 aan moet voldoen sluiten naadloos aan op de controls van ISO 27001 en derhalve ook NEN 7510. We kunnen hiermee niet alleen bewijzen dat wij de processen aanwezig hebben om het op orde te hebben, maar kunnen dit ook bewijzen. De verklaring is een document welke wij actief met onze klanten kunnen delen. Niet omdat wij dit moeten van onze klanten, maar omdat wij dit als organisatie willen.

Is dat dan niet ontzettend duur? Nou, ja en nee. Een ISAE-verklaring is voor mij vergelijkbaar met een ISO audit en denk ik even zo noodzakelijk. De kosten van niet compliant zijn of het niet op orde hebben zijn vele malen hoger dan dit traject. Het voordeel van IsoSecure is daarbij dat ze niet alleen het rapport jaarlijks opstellen, maar ook helpen om de bewijslast geautomatiseerd te krijgen. Met dit systeem is het een spreekwoordelijke druk op de knop om het rapport eruit te krijgen en daarmee een fractie van de kosten die ‘op internet’ te vinden zijn voor een ISAE-verklaring. Kortom, wij hebben met ISAE 3000 niet alleen de logische next step als Vcare gedaan in professionalisering en transparantie, maar hebben in IsoSecure ook een partner gevonden waar wij met veel plezier samen mee optrekken!

Tot zover de ervaring van VcareConnect met onze aanpak van ISAE3000.

Auteur van dit blog: Eildert Karstens.

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

Kwaliteitsmanagers en NIS2

Thu, 27 Mar 2025 10:11:36 GMT

Kwaliteitsmanagers en NIS2

We hebben nu in een aantal ISO27001 en NIS2 implementaties de Kwaliteitsmanagers opgenomen in het Security Team; communicatie binnen de processen verloopt daardoor beter maar ook de continue verbetering verloopt soepeler. Concreet betekent het dat onze implementaties sneller, beter en goedkoper verlopen.

Wat gaat er (veel) beter en hoe komt dat?

1. Risicomanagement: Kwaliteitsmanagers zijn bedreven in risicobeoordeling en -beperking, die van cruciaal belang zijn voor zowel kwaliteitsbeheer als cyberbeveiliging

2. Procesoptimalisatie en standaardisatie: De implementatie van NIS2 vereist dat bedrijven consistente cyberbeveiligingsprocessen opzetten en onderhouden. Kwaliteitsmanagers blinken uit in procesoptimalisatie en zorgen ervoor dat deze procedures efficiënt en effectief zijn en ingebed in de dagelijkse bedrijfsvoering.

3. Compliance- en documentatie-expertise: Kwaliteitsmanagers hebben een diepgaand inzicht in de naleving van regelgeving en documentatie, wat essentieel is om te voldoen aan de rapportage- en verantwoordingsvereisten van NIS2.

4. Afdelings-overschrijdende samenwerking: Kwaliteitsmanagers hebben ervaring met het samenwerken met verschillende afdelingen om ervoor te zorgen dat aan de product- of servicenormen wordt voldaan. Deze cross-functionele ervaring is van onschatbare waarde voor de implementatie van NIS2, omdat het samenwerking vereist tussen IT-, operationele, HR- en juridische teams om een alomvattende cyberbeveiligingsstrategie op te bouwen.

5. Continue verbetering: Kwaliteitsmanagement omvat vaak het bevorderen van een cultuur van continue verbetering. Dit sluit goed aan bij de focus van NIS2 op veerkracht en voortdurende waakzaamheid op het gebied van cyberbeveiliging.

6. Incidentrespons en analyse van de hoofdoorzaak: Kwaliteitsmanagers hebben ervaring met incidentrespons en analyse van de hoofdoorzaak bij kwaliteits-gerelateerde problemen. Deze vaardigheden vertalen zich goed in cyberbeveiliging, waarbij het analyseren van incidenten en het aanpakken van de onderliggende oorzaken essentieel zijn.

7. Afstemming met bedrijfsdoelstellingen: Kwaliteitsmanagers begrijpen hoe ze initiatieven kunnen afstemmen op bedrijfsdoelstellingen en klantverwachtingen. Dit kan ervoor zorgen dat de NIS2-implementatie bredere bedrijfsdoelen ondersteunt, zoals het vergroten van het klantvertrouwen, het verminderen van downtime en het behouden van een sterke merkreputatie.

Door gebruik te maken van hun ervaring kunnen kwaliteitsmanagers helpen de strenge eisen van NIS2 soepel te integreren in de bedrijfsactiviteiten, waardoor de risico’s worden verminderd en de efficiëntie en veerkracht van de organisatie behouden blijven.

Auteur van dit blog: Eildert Karstens, Lead Auditor en Partner bij IsoSecure bv.

Wat is een PDCA cyclus en hoe pas je het toe binnen ISO 27001?

Thu, 06 Mar 2025 10:59:08 GMT

Wat is een PDCA cyclus en hoe pas je het toe binnen ISO 27001?

De PDCA cyclus is een essentieel model voor continue verbetering binnen organisaties. In de context van ISO 27001, de internationale norm voor informatiebeveiliging, helpt de PDCA cyclus organisaties bij het structureel beheren en verbeteren van hun informatiebeveiligingsbeleid. In deze blog bespreken we wat de PDCA cyclus is, hoe je deze toepast binnen ISO 27001, en waarom dit model cruciaal is voor een effectief Information Security Management System (ISMS).

Wat is de PDCA cyclus?

De PDCA cyclus (ook wel Deming-cirkel genoemd) staat voor Plan - Do - Check - Act en wordt gebruikt als een gestructureerde methode om processen continu te verbeteren. Het model bestaat uit vier fasen:

Plan (Plannen): Stel doelen op en bepaal de benodigde maatregelen om verbeteringen door te voeren.
Do (Uitvoeren): Implementeer de geplande maatregelen en voer het beleid uit.
Check (Controleren): Evalueer de resultaten en meet de effectiviteit van de implementatie.
Act (Bijsturen): Voer correcties en verbeteringen door op basis van de evaluatie.

Door deze cyclus voortdurend te herhalen, kunnen organisaties hun processen steeds verder optimaliseren.

Hoe pas je de PDCA cyclus toe binnen ISO 27001?

Binnen ISO 27001 is de PDCA cyclus een krachtig hulpmiddel om een Information Security Management System (ISMS) te ontwikkelen en te onderhouden. Hieronder lichten we toe hoe elke fase binnen de PDCA cyclus wordt toegepast in ISO 27001:

1. Plan - Informatiebeveiligingsbeleid opstellen

In deze fase worden de beveiligingsdoelstellingen en strategieën bepaald. Dit houdt in:
Risicoanalyse uitvoeren en dreigingen identificeren.
Beveiligingsmaatregelen kiezen op basis van Annex A van ISO 27001.
Het ISMS opzetten met een duidelijk beleid en procedures.

2. Do - Implementatie van het ISMS

Na de planningsfase worden de vastgestelde maatregelen geïmplementeerd:
Beveiligingsmaatregelen worden doorgevoerd, zoals toegangscontrole, encryptie en monitoring.
Medewerkers worden getraind in bewustwording van informatiebeveiliging.
Het beleid wordt gecommuniceerd binnen de organisatie en operationeel gemaakt.

3. Check - Controleren en meten

Deze fase richt zich op het beoordelen van de effectiviteit van het ISMS:
Voer interne audits uit om de naleving van ISO 27001 te toetsen.
Monitor systemen en processen om zwakke plekken te identificeren.
Verzamel feedback en analyseer beveiligingsincidenten.

4. Act - Continu verbeteren en bijsturen

Op basis van de evaluaties uit de Check-fase worden verbeteringen doorgevoerd:

Beleid en procedures aanpassen waar nodig.
Beveiligingsmaatregelen versterken op basis van risicoanalyses.
Continue verbetering stimuleren door middel van training en bewustwording.

Waarom is de PDCA cyclus cruciaal binnen ISO 27001?

De PDCA cyclus helpt organisaties om informatiebeveiliging niet als een eenmalig project, maar als een doorlopend proces te beschouwen. Dit heeft verschillende voordelen:

Continu verbeteren: Door regelmatig te evalueren en bij te sturen, blijft de beveiliging up-to-date.
Betere risicobeheersing: Dreigingen worden sneller geïdentificeerd en aangepakt.
Hogere compliance: Organisaties kunnen makkelijker voldoen aan ISO 27001 en andere beveiligingsstandaarden.
Verhoogd vertrouwen: Klanten en stakeholders zien dat de organisatie informatiebeveiliging serieus neemt.

Hoe IsoSecure helpt bij de implementatie van de PDCA cyclus binnen ISO 27001

Het succesvol implementeren en onderhouden van een ISMS met de PDCA cyclus kan een uitdaging zijn. IsoSecure biedt deskundige begeleiding en ondersteuning om organisaties te helpen bij het naleven van ISO 27001 en het continu verbeteren van hun informatiebeveiligingsprocessen.

Onze diensten omvatten:

Risicoanalyse en gap-analyse: Identificeren van verbeterpunten en het opstellen van een actieplan.
Begeleiding bij implementatie: Ondersteuning bij het opzetten en invoeren van beveiligingsmaatregelen.
Interne audits en nalevingscontroles: Helpen bij het uitvoeren van interne audits en voorbereiden op externe certificering.
Continue monitoring en optimalisatie: Doorlopende ondersteuning om beveiligingsmaatregelen actueel en effectief te houden.

Door samen te werken met IsoSecure, zorg je ervoor dat jouw organisatie voldoet aan ISO 27001 en beschikt over een robuust en toekomstbestendig ISMS.

De PDCA cyclus vormt de ruggengraat van een succesvol ISMS en is essentieel voor organisaties die willen voldoen aan ISO 27001. Door het continu plannen, uitvoeren, controleren en bijsturen van informatiebeveiligingsmaatregelen, wordt de beveiliging structureel verbeterd.

Wil je weten hoe jouw organisatie de PDCA cyclus optimaal kan inzetten voor ISO 27001-certificering? Neem contact op met onze experts bij IsoSecure en ontdek hoe wij je kunnen helpen bij een solide en toekomstbestendig informatiebeveiligingsbeleid.

Auteur van dit blog: Eildert Karstens, ISO27001 Lead Auditor, ISO3100 Lead Risk Manager en partner bij IsoSecure bv

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

De nieuwe NEN7510: Wat verandert er en wat betekent het voor jouw organisatie?

Thu, 06 Mar 2025 10:44:47 GMT

De nieuwe NEN7510: Wat verandert er en wat betekent het voor jouw organisatie?

Wat betekent de vernieuwde NEN7510 voor jouw organisatie?

De zorgsector krijgt steeds vaker te maken met cyberdreigingen en strengere regelgeving rondom informatiebeveiliging. Om patiëntgegevens beter te beschermen, is de NEN7510 norm aangepast. Maar wat verandert er precies en hoe zorg je ervoor dat jouw organisatie aan de nieuwe eisen voldoet? In deze blog nemen we je mee door de belangrijkste wijzigingen en geven we praktische tips om goed voorbereid te zijn.

Wat is de NEN7510 norm?

De NEN7510 is dé norm voor informatiebeveiliging in de zorg. Deze norm stelt eisen aan zorginstellingen, ICT-leveranciers en andere organisaties die met medische gegevens werken. Het doel? De vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatie beschermen tegen cyberaanvallen en datalekken.

Wat zijn de belangrijkste veranderingen?

De vernieuwde NEN7510 stelt strengere eisen op verschillende gebieden. Dit zijn de meest opvallende wijzigingen:

1. Strenger risicobeheer

Organisaties moeten een uitgebreider risicobeheermodel hanteren.
Risico’s moeten continu gemonitord en opnieuw beoordeeld worden.
Beveiligingsincidenten moeten beter gedocumenteerd en gerapporteerd worden.

2. Meer focus op technische en organisatorische maatregelen

Versleuteling (encryptie) van gevoelige patiëntgegevens wordt verplicht.
Striktere toegangscontroles en authenticatieprocedures.
Betere logging en monitoring van systemen.

3. Bewustwording en training van medewerkers

Regelmatige cybersecuritytrainingen voor personeel.
Meer focus op phishing-simulaties en veiligheidsprotocollen.
Medewerkers krijgen een grotere rol in het voorkomen van datalekken.

4. Integratie met internationale normen

De NEN7510 sluit nu beter aan bij ISO 27001 en andere internationale standaarden.
Dit helpt om dubbele audits en compliance-verplichtingen te verminderen.

Hoe zorg je dat jouw organisatie klaar is voor de NEN7510?

Om te voldoen aan de nieuwe NEN7510 norm is het belangrijk om proactief aan de slag te gaan. Hier zijn enkele stappen die je kunt nemen:

1. Voer een grondige risicoanalyse uit

Kijk kritisch naar je huidige beveiligingsmaatregelen en identificeer zwakke plekken. Documenteer alle risico’s en bepaal welke stappen nodig zijn om ze te minimaliseren.

2. Implementeer de nieuwste technische beveiligingsmaatregelen

Zorg voor tweefactorauthenticatie voor gevoelige systemen.
Gebruik end-to-end encryptie voor patiëntgegevens.
Zet back-up- en herstelprocedures op voor het geval van een cyberaanval.

3. Train je medewerkers

Plan regelmatige security-awareness trainingen.
Organiseer simulaties van cyberaanvallen, zoals phishing-tests.
Zorg dat medewerkers weten hoe ze verdachte activiteiten moeten melden.

4. Zorg voor continue monitoring en rapportage

Gebruik een Security Information and Event Management (SIEM)-systeem.
Houd logs bij van beveiligingsincidenten en analyseer verdachte activiteiten.
Voer periodieke audits uit om naleving van de NEN7510 te garanderen.

Hoe IsoSecure je kan helpen met de NEN7510

Het implementeren van de vernieuwde NEN7510 norm kan een uitdaging zijn. IsoSecure heeft jarenlange ervaring met het begeleiden van zorginstellingen en ICT-leveranciers bij het opzetten en optimaliseren van hun informatiebeveiliging volgens de NEN7510. Wij bieden:

Risicoanalyses op maat om kwetsbaarheden binnen jouw organisatie te identificeren volgens de NEN7510.
Implementatiebegeleiding voor technische en organisatorische maatregelen die nodig zijn voor de NEN7510.
Continue monitoring en ondersteuning om blijvende compliance met de NEN7510 te garanderen.

Onze succesvolle trajecten bij andere zorginstellingen laten zien dat een goed beveiligingsbeleid niet alleen bijdraagt aan compliance met de NEN7510, maar ook vertrouwen wekt bij patiënten en partners. Door samen te werken met ons ben je verzekerd van een doordachte, pragmatische aanpak die jouw organisatie écht verder helpt.

Wil je zeker weten dat jouw organisatie klaar is voor de nieuwe NEN7510?

Neem contact met ons op voor een vrijblijvend adviesgesprek!

Veelgestelde vragen over de NEN7510

Wat is het doel van de NEN7510 norm?
De NEN7510 helpt organisaties in de zorg om medische en persoonlijke gegevens beter te beveiligen door middel van strikte richtlijnen en risicobeheer.

Wie moet voldoen aan de NEN7510 norm?
Alle zorginstellingen, IT-leveranciers en andere organisaties die met patiëntgegevens werken, moeten zich aan de NEN7510 houden.

Wat gebeurt er als mijn organisatie niet voldoet aan de NEN7510?
Niet-naleving van de NEN7510 kan leiden tot boetes, reputatieschade en juridische problemen bij datalekken of cyberincidenten.

Hoe vaak wordt de NEN7510 norm vernieuwd?
De NEN7510 wordt periodiek herzien om bij te blijven met technologische ontwikkelingen en nieuwe dreigingen.

Hoe kan mijn organisatie zich certificeren voor de NEN7510?
Door een audit te laten uitvoeren door een erkende certificeringsinstantie en te voldoen aan de vereiste beveiligingsmaatregelen volgens de NEN7510.

Auteur van dit blog: Eildert Karstens, ISO27001 Lead Auditor, ISO3100 Lead Risk Manager en partner bij IsoSecure bv

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

Mijn klant eist DORA van mij. Wat nu?

Thu, 06 Mar 2025 10:30:22 GMT

Mijn klant eist DORA van mij. Wat nu?

Steeds vaker krijgen onze klanten vragen van hun klanten over DORA. Dit naar aanleiding van het in werking treden van de DORA verordening per 17 januari 2025 en de daarmee ontstane druk om “iets” te doen. Het risico ontstaat daarbij dat er, net als bij de andere verordeningen AVG en NIS2, onnodige onrust ontstaat en daarmee onnodig veel tijd en inspanning wordt besteed aan DORA. Hieronder leg ik kort uit hoe om te gaan met de vraag/eis van een klant om te voldoen aan DORA.

1. Wat is DORA?

De Digital Operational Resilience Act (DORA) is een Europese verordening die als doel heeft om de digitale weerbaarheid van de financiële sector te vergroten. De verordening is op 17 januari 2023 in werking getreden en is per 17 januari 2025 van toepassing. Belangrijk: deze verordening richt zich op Financiële Instellingen (die dus onder toezicht van de DNB vallen).

DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen.

Deze Financiële Instellingen zijn dus verplicht bij uitbesteding van (kritieke) diensten aan derden, te zorgen dat alle risico’s beheerst zijn.

En daarmee komen we bij onze doelgroep: leveranciers van ICT diensten zoals beheer, onderhoud, SaaS diensten, etc. Van deze leveranciers eisen dat ze aan DORA moeten voldoen is een veel te algemene eis; er moet dus precies vastgesteld worden welke diensten de ICT leverancier levert en waar dat risico’s kan opleveren voor de opdrachtgever (Financiële Instelling).

Oftewel, er moet een heldere scope vastgesteld worden: waar en hoe kan de leverancier van ICT diensten het risico niveau van opdrachtgever beïnvloeden?

2. Hoe stel ik een heldere scope vast?

Om vast te stellen of en waar je als leverancier ICT risico’s veroorzaakt/kan veroorzaken, dient een zogenaamde BIA (= Business Impact Analyse) uitgevoerd te worden.

Processen:

Elk proces wordt gewogen voor de aspecten Beschikbaarheid (hoe erg is het als het proces een tijdje niet beschikbaar is), Integriteit (hoe erg is het als de verwerkte gegevens gewijzigd worden) en Vertrouwelijkheid (hoe vertrouwelijk zijn de verwerkte gegevens)
Het invullen is geen exacte wetenschap maar berust wel op kennis over afspraken met bv klanten (SLA’s) en inzicht in welke soorten data er verwerkt worden.

In onderstaande voorbeeld (een ICT dienstverlener die ICT omgevingen optimaliseert in opdracht van o.a. Financiële Dienstverleners) is de BIA uitgevoerd voor alle processen (primaire en secundaire).
Deze BIA is uitgevoerd als (verplicht!) onderdeel van de ISO27001 certificering en kan dus prima als basis dienen voor de DORA BIA

Conclusie uit bovenstaande voorbeeld:

Er zijn maar 2 processen die primair zijn (dus direct betrekking hebben op eventuele risico’s bij de opdrachtgever). De overige zijn secundair en hebben geen impact op de DORA gerelateerde risico’s bij opdrachtgevers.
Daarvan scoort één (Projecten) laag in de BIA en dus laag qua risico’s. Verklaring daarvoor in dit voorbeeld is dat optimalisatie van de ICT systemen alleen wordt uitgevoerd in testomgevingen van de opdrachtgever, onder beheer van de opdrachtgever en alleen met testdata.
Het proces Service&Support scoort aanmerkelijk hoger: in dit voorbeeld wordt dat veroorzaakt doordat tijdens het verlenen van Service&Support, medewerkers toegang krijgen tot de operationele ICT omgeving van de opdrachtgever. Hiervoor zijn in het kader van de ISO27001 certificering al een reeks maatregelen getroffen om risico’s te vermijden (screening van medewerkers, gedragsregels, ingestelde controles, specifieke eisen aan gebruikte systemen, etc.)
Conclusie: met de op deze wijze verkregen beperkte scope, is het veel gemakkelijker geworden om gericht met de opdrachtgever af te stemmen of alle risico’s effectief zijn bestreden en de ICT leverancier dus DORA-proof is.
Uiteraard kan ook een BIA worden uitgevoerd voor Informatiesystemen, andere belangrijke Bedrijfsmiddelen en voor leveranciers . Overigens altijd een goed idee om kritische systemen, -bedrijfsmiddelen en -leveranciers goed tegen het licht te houden, ook zonder DORA.

3. DORA en ISO27001

Zoals uit bovenstaande voorbeeld al blijkt, is een ISO27001 certificaat een goede basis voor het voldoen aan DORA.

Ook bij het voldoen aan mogelijke andere DORA vereisten (ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen), biedt het ISO27001 certificaat een goede uitgangspositie.

Auteur van dit blog: Eildert Karstens, ISO27001 Lead Auditor, ISO3100 Lead Risk Manager en partner bij IsoSecure bv

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010

isosecure

Samenvatting – Verantwoorde inzet van generatieve AI door de overheid

Samenvatting – Verantwoorde inzet van generatieve AI door de overheid

Bronnen

BIO2-Light: Een Risicovolle Compromis of Realistische Oplossing voor Gemeenten?

BIO2-Light: Een Risicovolle Compromis of Realistische Oplossing voor Gemeenten?

De realiteit van gemeentelijke weerbaarheid

Waarom is BIO2 zo zwaar?

De VNG‑benadering: pragmatiek of precedent?

Kosteneffectiviteit en risicopreventie

Een uniforme beschermingslaag: de burger als dupe

Slimmer, niet duurder: de kracht van risicomanagement

Laat de bestuurders niet wachten

Conclusie: van compromis naar volwassenheid

﻿ Bronnen

ISO9001: papiertje halen of echt verbeteren?

ISO9001: papiertje halen of echt verbeteren?

Moet een auditor altijd toegang tot uw ISMS krijgen, en wanneer eindigen de bevindingen?

Moet een auditor altijd toegang tot uw ISMS krijgen, en wanneer eindigen de bevindingen?

ISO14001: een goed begin, halveert het werk!

ISO14001: een goed begin, halveert het werk!

Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?

Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?

1. Wat is ISAE?

2. Hoe implementeer ik succesvol ISAE3000?

3. Klantcase: Vcareconnect

Kwaliteitsmanagers en NIS2

Kwaliteitsmanagers en NIS2

Wat is een PDCA cyclus en hoe pas je het toe binnen ISO 27001?

Wat is een PDCA cyclus en hoe pas je het toe binnen ISO 27001?

Wat is de PDCA cyclus?

Hoe pas je de PDCA cyclus toe binnen ISO 27001?

1. Plan - Informatiebeveiligingsbeleid opstellen

2. Do - Implementatie van het ISMS

3. Check - Controleren en meten

4. Act - Continu verbeteren en bijsturen

Waarom is de PDCA cyclus cruciaal binnen ISO 27001?

Hoe IsoSecure helpt bij de implementatie van de PDCA cyclus binnen ISO 27001

Door samen te werken met IsoSecure, zorg je ervoor dat jouw organisatie voldoet aan ISO 27001 en beschikt over een robuust en toekomstbestendig ISMS.

De nieuwe NEN7510: Wat verandert er en wat betekent het voor jouw organisatie?

De nieuwe NEN7510: Wat verandert er en wat betekent het voor jouw organisatie? ﻿

Wat betekent de vernieuwde NEN7510 voor jouw organisatie?

Wat is de NEN7510 norm?

Wat zijn de belangrijkste veranderingen?

1. Strenger risicobeheer

2. Meer focus op technische en organisatorische maatregelen

3. Bewustwording en training van medewerkers

4. Integratie met internationale normen

Hoe zorg je dat jouw organisatie klaar is voor de NEN7510?

1. Voer een grondige risicoanalyse uit

2. Implementeer de nieuwste technische beveiligingsmaatregelen

3. Train je medewerkers

4. Zorg voor continue monitoring en rapportage

Hoe IsoSecure je kan helpen met de NEN7510

Veelgestelde vragen over de NEN7510

Mijn klant eist DORA van mij. Wat nu?

Mijn klant eist DORA van mij. Wat nu?

1. Wat is DORA?

2. Hoe stel ik een heldere scope vast?

Processen:

3. DORA en ISO27001

Bronnen

De nieuwe NEN7510: Wat verandert er en wat betekent het voor jouw organisatie?