De meerwaarde van ISO 9001 én ISO 27001 certificering voor app-maker Dutchview

IT-bedrijf Dutchview vertelt over het certificeringstraject voor de ISO 9001 en de ISO 27001 en wat de meerwaarde voor de organisatie is om deze certificaten te hebben. CEO Jan Willems geeft tips aan organisaties die zich willen laten certificeren voor ISO 27001.

Dutchview is in 2011 begonnen als klein IT-bedrijf. De onderneming maakt de app Ed Controls, voor communicatie en kwaliteitsborging in de bouw, en FlexWhere, voor het reserveren van werkplekken en vergaderruimten. Die apps bleken een gat in de markt. Door de snelle groei werd in 2017 besloten om de organisatie van het bedrijf en zijn interne processen nog beter op orde te brengen en vast te leggen. Het belang om de processen vast te stellen, hier op te sturen en continu verbetering door te voeren, was voor Dutchview duidelijk. Het besluit om de certificatie tegen ISO 9001 in gang te zetten werd dan ook snel genomen. Rond dezelfde tijd werd steeds duidelijker dat privacy en security cruciaal zijn voor organisaties die software ontwikkelen en verkopen. In 2017 werd de aankomende AVG-wet belangrijk voor organisaties, zo ook voor Dutchview. Getriggerd door de AVG-wet besloot Dutchview om zich ook te laten certificeren voor ISO 27001. De onderneming hoefde zich, door de voorbereidingen op de ISO 9001 en de bestaande alertheid op privacy en security, niet heel veel extra voor te bereiden voor de ISO 27001 norm. Met het ISO 27001 certificaat kon Dutchview zich nu ook aantoonbaar op de markt positioneren als betrouwbaar IT-bedrijf. Veel concurrenten hadden geen ISO 27001 certificaat en zo werd een concurrentievoordeel gecreëerd. “De grootste voordelen van het hebben van het ISO 27001 certificaat is dat we daarmee kunnen laten zien dat we betrouwbaar zijn in softwareontwikkeling en softwarebeheer. Ook merken we dat voornamelijk grote klanten vragen om een ISO 27001-certificering”, aldus Jan Willems, CEO van Dutchview. Dutchview heeft de ontwikkeling van haar software in samenwerking met softwareontwikkelaars in India gerealiseerd. Paul ten Holter, Lead Auditor van DNV, is onder de indruk van de manier waarop de eisen ten aanzien van informatiebeveiliging onder leiding van Dutchview worden gemanaged bij hun team in India.

Hoe is het certificeringstraject van Dutchview begonnen?

Dutchview had haar zaken wat betreft IT-beheerprocessen en IT-security al goed op orde, maar tijdens de audit kwamen punten naar voren waarop Dutchview zich nog kon verbeteren en verder kon versterken. Dutchview was al goed voorbereid op de AVG-wet die in 2018 in was gegaan. Veel stond al klaar. De voorbereidingen op de AVG-wet hebben dan ook geholpen in de voorbereidingen op de audits. Dutchview heeft in het begintraject een adviesbureau ingeschakeld. Dat bureau kwam met aanbevelingen en heeft de eerste interne audit uitgevoerd.  Tijdens de eerste certificeringsaudit bleken er nog een aantal zaken niet meegenomen te zijn. Dit was snel te verbeteren. Sindsdien heeft Dutchview soepel toegeleefd naar de audits. Paul ten Holter geeft aan: “Dutchview heeft het certificatietraject goed aangepakt. In het begin waren er nog een aantal aandachtspunten maar nu, na 3 jaar, heeft Dutchview een behoorlijke volwassenheid van het managementsysteem bereikt. Daarnaast is er constante aandacht voor kwaliteit en informatiebeveiliging binnen de organisatie.” 

Hoe draagt Dutchview de certificering uit binnen de organisatie?

Zowel bij de ISO 9001-certificering als de ISO 27001-certificering zijn alle medewerkers betrokken om het belang van de certificeringen in te laten zien. De continue verbetering speelt binnen de organisatie een belangrijke rol, hier gaat dan ook veel aandacht naartoe. Dutchview stelt elk kwartaal een informatiebeveiligingsrapport op. De medewerkers worden met behulp van het informatiebeveiligingsrapport tijdens een overleg op de hoogte gebracht van eventuele nieuwe ontwikkelingen en nieuwe maatregelen. Dutchview merkt dat de medewerkers alert zijn op zaken rondom security, eventuele bedreigingen worden snel gemeld en afgehandeld.  De medewerkers enthousiast krijgen voor certificatie was voor ISO 9001 een stuk uitdagender dan voor ISO 27001. Voor ISO 9001 moest duidelijk worden gemaakt wat het belang is van het vastleggen van processen. Voor de certificering op ISO 27001 was het enthousiasmeren gemakkelijker, aangezien informatiebeveiliging in de IT-branche erg belangrijk is. Dit is voelbaar voor elke medewerker. 

Hoe is Dutchview bij DNV terecht gekomen voor de certificeringen?

Dutchview wilde voor de audit graag een wereldwijd bekende en gerenommeerde certificeringsinstelling. Tijdens het selectieproces kwam DNV als meest geschikt uit de bus. 

Wat voegen de audits van DNV toe aan de organisatie?

Jan Willems geeft aan dat elke audit zorgt voor een moment om overal weer goed doorheen te lopen en na te gaan of de organisatie nog alert is wat betreft de eisen. Tijdens elke audit worden kleine verbeterpunten geconstateerd. Die oplossen draagt bij aan het proces van continue verbetering. 

Over de audits van DNV

Jan Willems is uitermate tevreden over de audits die DNV uitvoert. “De audits zijn goed georganiseerd en duidelijk. Dit geldt ook voor de terugkoppelingen, auditrapportages en de afhandeling van de audits. Zelfs de laatste periodieke audit, die volledig remote werd uitgevoerd, is perfect verlopen.”  

Paul ten Holter vult aan: “Dutchview heeft goed ingespeeld op de COVID-pandemie door de bestaande software van FlexWhere uit te breiden. Met de app FlexWhere wordt de aanwezigheid van mensen gereguleerd. Dutchview heeft dus snel op de veranderingen in weten te spelen en laat hierdoor zien erg marktgericht te werken.” 

Tips voor organisaties die zich willen laten certificeren op ISO 27001 

Jan Willems: “Het beviel ons goed om de certificatie van ISO 9001 te combineren met de ISO 27001-audit. De eisen van ISO 9001 stellen dat de processen binnen de organisatie goed op orde moeten zijn en vastgelegd moeten worden. Dit zorgt voor een goede en fijne basis voor een combinatie-audit met ISO 27001.”  Voor de ISO 27001 is het een noodzaak om het IT-beheer en de security goed op orde te hebben.  Jan Willems: “Voor organisaties die nog helemaal geen ervaring hebben met certificering en het opzetten van een managementsysteem voor informatiebeveiliging, kan hulp van een extern adviesbureau in het begintraject waardevol zijn.”   

Over Dutchview 

In 2011 hadden de oprichters van Dutchview het idee om een nieuw digitaal systeem te ontwikkelen voor kwaliteitsmanagement en communicatie op de bouwplaats. Toen ze de werkplek-app FlexWhere te zien kregen was het concept met interactieve plattegronden daarin precies wat de heren voor ogen hadden op de bouwplaats. Zo is Ed Controls geboren. De twee software-toepassingen FlexWhere en Ed Controls werden samen in een bedrijf ondergebracht: Interactive Blueprints. De onderneming veranderde haar naam in 2019 naar Dutchview information technology.

Meer weten over ISO 27001 certificering?