De aanleiding: van nice-to-have naar must-have

Ideo is een SAP en Salesforce implementatiepartner uit Den Bosch met zo’n 95 medewerkers. “We zijn onderdeel van de supply chain van multinationals,” legt Patrick van de Kamp uit. “Omdat wij software voor grote bedrijven implementeren, wordt die verantwoordelijkheid ook doorgepast richting ons. We moeten dat gewoon doen.”

Maar het was meer dan alleen een externe eis. “In de professionaliteit vinden wij het ook dat we het gewoon moeten doen. We moeten bij de standaard van die multinationals blijven in al onze werkzaamheden – implementaties, support, maar ook informatiebeveiliging. Ik begrijp dat ook vanuit het perspectief van onze klanten: het gaat erom alle potentiële gaten te dichten. Wij zijn als leverancier met onze dienstverlening natuurlijk ook eentje.”

De trigger vanuit de markt

Een gesprek met de CISO van een utiliteitsbedrijf maakte het concreet. “Die stelde allerlei vragen en dat betekende voor ons jaarlijkse gesprekken waarin zij ons gingen auditeren. Als je dat doortrekt, dan merk je: nou moet je die stap heel snel maken.”

De zoektocht: geen azijnzeikers maar experts

Patrick had zelf al voorbereidend werk gedaan. In 2017 had hij samen met zijn system administrator een ISO 27001 cursus gedaan. “Ik weet vanuit mijn verleden dat een ISO-standaard implementeren meer is dan een setje documentatie schrijven. Dat is onderdeel van je cultuur, je governance. Dat moet in ons gedrag zitten.”

Hij had zelfs al een GRC-tool (ISO Planet) geselecteerd en begonnen met documentatie. Maar de gap was te groot om in één keer te doen. “We hadden wel wat dingetjes – losse Excel-sheets, maar die waren niet of nauwelijks gerelateerd.”

Duidelijke eisen aan begeleiding

“Ik heb geen ruimte om drie consultants drie dagen per week aan boord te trekken,” stelt Patrick helder. “Dat moet heel erg spits zijn. En ik heb ook geen trek in een junior die het allemaal nog moet leren. Waarde voor je geld willen hebben.”

Het belangrijkste criterium? “Je kunt wel aan de kant van de auditor zitten, maar als jij zelf nooit de ervaring hebt gehad om aan de andere kant te zitten – de implementatie – met de verantwoordelijkheid voor een systeem, dan gaat het niet werken. Je moet begeleiden vanuit jarenlange ervaring in de ISO wereld en  vanuit conformiteit, niet vanuit wat allemaal fout is.”

Plat gezegd: geen azijnzeikers

“Dat kan ik zelf ook wel. Maar het gaat erom: expertise vanuit zelf in de domeinen te kunnen opereren. En dan komt het ook heel nauw in de persoonlijke situatie.”

De klik met AmniPro was er direct. “Het is de betrokkenheid, de expertise die je uitstraalt. Als je een salesman naar voren schuift, dan is dat voor mij al het verkeerde gevoel. Dan weet je meteen: iemand die weet wat je vraagt en hoe het werkt. Dan kun je heel snel schakelen. Geen grote bureaucratie – meteen to the point.”

De aanpak: gestructureerd maar pragmatisch

“Niet lullen maar poetsen – dat is voor ons belangrijk,” vat Patrick samen. “We kwamen heel snel tot een logische indeling. Als je door je oogharen naar die norm kijkt, zie je bepaalde pakketten die je kunt bundelen. Door het te bundelen wordt het een logisch verhaal, dan heb je meteen de planning eraan vast.”

Coaching boven uitbesteding

Ideo koos bewust voor het coaching-model. “Twee redenen: ten eerste vind ik dat we het zelf moeten kunnen. En er zit ook een ander kostenplaatje aan vast als je het allemaal uit laat werken. Het was heel straight forward: dit is het masterplan, dit zijn de pakketten, dit is de indeling – hup, eruit knallen.”

Het traject: van theorie naar praktijk

Eye-openers tijdens implementatie

“Het invullen en komen tot de juiste documentatie voelde voor mij als business as usual,” vertelt Patrick. “Maar wat wel anders was: bepaalde aspecten waar je een blinde vlek hebt. Door het zelf te doen en uit te werken kom je tot nieuwe ontdekkingen.”

“Vaak ben je in de veronderstelling: we zijn ons bewust van de belangrijke dingen, we doen dat wel op een bepaalde manier. Maar dan blijf je toch een beetje sudderen in je organisatie zonder de dingen echt grondig aan te pakken.”

Concrete voorbeelden

“Neem autorisatie en rollen – die hadden we wel in kaart. Maar als je het echt goed wilt doen, dan moet je de spade echt dieper gaan. Je wordt ook uitgedaagd om dat daadwerkelijk te doen. Dat is een belangrijke eye-opener voor een stukje professionaliteit.”

“En audits – als je dat nooit echt gedaan hebt, dan weet je niet wat je te wachten staat. Je kunt heel veel dingen in je hoofd denken, maar dat moet je echt gewoon even gevoeld hebben.”

De unieke aanpak: intern auditteam onder externe begeleiding

Voor Patrick was het cruciaal om een intern auditteam op te bouwen. “Het was voor ons heel belangrijk dat we gewoon ook echt een goede interne auditor hebben. Mensen binnen je organisatie die ook die lead auditor certificering doen. Dat is een versterkend geheel.”

De constructie

De interne audit werd uitgevoerd door eigen medewerkers die parallel ISO 27001 lead auditor training volgden, maar onder strakke begeleiding van AmniPro. “Je had een soort dubbelrol die misschien niet helemaal geoorloofd was, maar die je wel gedaan hebt om de lead auditors op weg te helpen. Dat vond ik heel belangrijk.”

Hoe het werkte

“Zij hebben de daadwerkelijke audit gedaan, terwijl Peter ze begeleidde als ze uit de bocht dreigden te vliegen, of als ze met grote ogen in het licht stonden te staren. Het waren mannen die echt stonden voor wat ze moesten doen.”

Peter: “We hadden de vragen en onderwerpen doorgenomen: hoe ga je dit doen? Daar kwamen echt dingen uit – kritiek ook op mijn vragen. ‘Ha, maar wacht even, want ik wil dat daar nog weten.’ Dat heeft me heel plezierig gestemd: deze mannen gaan dit gewoon goed kunnen.”

Waarom dit werkte

“We hebben een net iets grotere organisatie waardoor we net genoeg vlees op de botten hebben om de interne audit zelf te doen. Bij een bedrijf van 5 of 10 man is dat onmogelijk, dan moet je toch inhuur gaan doen. Maar wij konden dit wel – en hebben dit op fenomenale wijze ingevuld.”

Het belang van onpartijdigheid

“We konden Iedereen recht in de ogen kijken over de onpartijdigheid. Het was niet zo dat er window dressing was met twee andere namen. Ze waren het hele traject betrokken geweest.”

Het resultaat: drie cruciale deliverables

Patrick vat samen wat het traject heeft opgeleverd: “Check – drie belangrijkste deliverables door meneer Peter van Det geleverd.”

1. Van losse stukjes naar samenhangend ISMS

“Een mooie titel zou kunnen zijn: ‘Van losse, onsamenhangende spreadsheets naar één dieper geworteld informatieveiligheidsproces’. Dat is eigenlijk wat je voor ons gedaan hebt.”

“We hadden wel wat dingetjes – losse Excel-sheets, wat dingen. Die waren niet of nauwelijks gerelateerd. Uiteindelijk zijn we gegaan naar een echt ISMS-systeem met procedures, een gedegen procesflow, om ervoor te zorgen dat het in onze genen komt.”

2. Volledig opgeleide interne auditors

“Auditors helemaal up to speed. We hebben eigenlijk een parallel traject gedaan – een tweesporentraject. We hebben beide kanten: een stukje implementatie én een auditteam dat er klaar voor is.”

3. Een geïnformeerde organisatie

“Een organisatie die de eerste stappen heeft kunnen maken met ISO 27001. Na onze livegang hebben we dat kunnen doortrekken – de hele organisatie erop voorbereid.”

De business impact: nieuwe deuren geopend

Directe resultaten

“De eerste klapper is dat wij onze bestaande klanten – die utiliteitsbedrijven waar het om begonnen is – geen losse audits meer hebben. In nieuwe offertetrajecten zitten we meteen bovenop de eisen rondom informatiebeveiliging. We kunnen daar de juiste antwoorden geven.”

Concrete kansen

“Het is zelfs zo dat wij nu offertes binnen handbereik hebben liggen die we anders niet hadden kunnen inschrijven. De eerste offerte ben ik al vanaf december mee bezig – als wij geen ISO 27001 hadden, dan hadden we daar niet aan mee kunnen doen. Dat was een knock-out criterium.”

Op zijn minst nieuwe kansen

“Aanbestedingstrajecten duren vaak drie maanden. We zijn eind november gecertificeerd, dus je merkt het niet direct terug in nieuwe opdrachten. Maar wel binnen handbereik: we kunnen nu meedoen in aanbestedingsprojecten die we voorheen niet zelfstandig hadden kunnen oppakken.”

Advies aan anderen: drie kritieke succesfactoren

Patrick’s advies aan organisaties die overwegen te certificeren:

1. Zoek een expertise-partij als katalysator

“Iemand die je nodig hebt in het proces en voor de vertaling naar de praktijk. Domeinkennis is het belangrijkste – geen theoretische kennis maar praktijkervaring.”

2. Zorg voor goede IT-tooling

“Je hebt een ISMS-systeem nodig voor het beheer. SharePoint is niet voldoende. Je kunt wel dingen doen, maar er is meer nodig, zeker ook met de combinatie van taken en beheersing. Voor organisaties van onze omvang is een professionele GRC-tool de investering waard.”

3. Steek er zelf tijd in

“Zorg dat je middelen ter beschikking stelt om het te doorgronden. Anders ga je het niet integreren in je organisatie, ga je het niet in jezelf eigen maken. Dan heb je heel veel papier, maar dan wordt het niet levend.”

ChatGPT vs. menselijke expertise

Op de vraag wat het verschil is tussen AI-tools en menselijke begeleiding, is Patrick helder: “Het zijn non-lineaire, complexe problemen waarin je alles in de gaten moet houden zodat er afstemming is.”

“ChatGPT kan je helpen met informatie vergaren waar je heel veel moeite voor zou moeten doen. Dat helpt heel sterk. Maar wat je vervolgens met die informatie doet en hoe je dat toepast op jouw bedrijfsspecifieke situatie – daar heb je gewoon iemand nodig die dat totaal kan overzien en kan helpen wat relevant is.”

“Het is geen pilot, het is een co-pilot. Het is je beste vriend voor al die saaie informatie. Maar de kennis en expertise die je nodig hebt – die zit opgesloten in jou als persoon, niet in ChatGPT.”

In het kort

🏢 Organisatie: Ideo
📍 Locatie: Den Bosch
👥 Teamgrootte: 95 medewerkers
💼 Sector: SAP en Salesforce implementatie en support
✅ Certificering: ISO 27001
📅 Traject: Start eind 2023, certificering zomer 2024
⏱️ Doorlooptijd: Ongeveer 1 jaar
🎯 Resultaat: Gecertificeerd + volledig opgeleid intern auditteam

Belangrijkste lessen:

• Van losse Excel-sheets naar samenhangend ISMS-systeem
• Intern auditteam opbouwen tijdens implementatie bespaart later tijd en geld
• Coaching-model effectiever dan volledige uitbesteding
• Goede IT-tooling (GRC-systeem) is essentieel voor organisaties boven 50 medewerkers
• Certificering opent deuren: toegang tot aanbestedingen die anders onbereikbaar waren
• AI is een co-pilot, geen vervanging voor menselijke expertise en maatwerk

“We hadden losse Excel-sheets die niet gerelateerd waren. Nu hebben we een diepgeworteld informatieveiligheidsproces. Drie cruciale deliverables: een volledig ISMS-systeem, opgeleide interne auditors, en een geïnformeerde organisatie.”
— Patrick van de Kamp, Ideo

Ook toe aan een volwassen ISMS?

Ook een middelgrote IT-organisatie die met multinationals werkt? Of wil je een intern auditteam opbouwen tijdens je certificeringstraject? Neem contact op voor een vrijblijvend gesprek.