Certificeringen hebben de reputatie arbeids- en tijdsintensief te zijn. De GRC-tooling van CompLions-GRC bewijst dat het ook anders kan. Twee klanten, Odin Groep en Cyso delen hun ervaringen met deze Nederlandse dienst.
Onder de vlag van Odin Groep zijn meerdere bedrijven geschaard. De datacenters van Previder behoren tot de bekendste activiteiten. CFO Carmelo Messina beantwoordde de volgende vragen.
Waarom is Odin Groep gecertificeerd?
Het is voor ons een ‘license to operate’. We zijn naar ISO9001, ISO14001 en ISO27001 gecertificeerd, omdat daar heel vaak om gevraagd wordt. Daarnaast hebben we nog meer specialistische certificeringen zoals DigiD, NEN7510 en een SOC2-rapportage, die voorwaarde zijn om specifieke klantgroepen te mogen bedienen.
Was Odin Groep al gecertificeerd voordat CompLions-GRC in beeld kwam?
Carmelo Messina van Odin Groep
Ja, maar die methode voldeed niet meer aan onze wensen. Het was te arbeidsintensief en mede daardoor was de betrokkenheid in de organisatie in onze optiek onvoldoende.
Wat is er door het overstappen naar CompLions-GRC veranderd? Best wel veel. Om te beginnen hebben we de Excelsheetfase definitief achter ons gelaten. Daarnaast is mede door de simpele werking en het inzicht dat de tooling van CompLions-GRC geeft, de betrokkenheid in de hele Odin Groep toegenomen. Meer bewustzijn, meer focus op permanent verbeteren en dat leidt dan tot meer efficiency. Dat is een positieve verandering. Als ik zeg meer betrokkenheid, bedoel ik dat aandacht voor certificeringen niet langer de job van de quality auditor, de Security Officer en de CFO is. Iedereen, alle afdelingen en de hele directie, begrijpt nu makkelijker wat het concreet betekent en wat de voordelen zijn. Voor de externe auditor, in ons geval is dat BSI, is er ook het nodige veranderd. Zij krijgen de data meer gestructureerd aangeleverd, dat scheelt hen tijd.
Scheelt het jullie ook tijd?
Absoluut, we kunnen nu bijvoorbeeld bepaalde zaken doorrollen, zodat een jaar later dezelfde werkzaamheden veel sneller te doorlopen zijn. Verder is belangrijk dat de GRC-tooling overlap in de normsettings signaleert en ontdubbelt. Op die manier is een behoorlijke tijdswinst te behalen.
Wat kan Odin Groep nu, wat vroeger niet haalbaar was?
We hebben nu, mede op basis van de GRC-tooling en conform ISO14001, een jaarlijkse duurzaamheidsrapportage. Uit de tooling komt data waarmee de quality manager het rapport efficiënter kan opstellen. Daar hebben we twee versies van. Een gedetailleerde voor intern gebruik en een compactere, makkelijk leesbare online versie voor klanten en geïnteresseerden.
Wat zijn de ambities van Odin Groep en hoe helpt CompLions-GRC daarbij?
Onze ambitie is tot de top van Nederlandse IT-bedrijven te blijven behoren en langdurige en strategische relaties aan te gaan met onze klantgroepen. We willen ook op de lange termijn relevant blijven in de snel veranderende markt, veelal voor klanten die certificeringen ook als eis stellen omdat ze voor de hoogste kwaliteit moeten gaan. Om dat aan te kunnen tonen hebben we de GRC-tooling nodig. Ook in de gevallen waar de audits puur maatwerk zijn – wat voor sommige klanten verplicht is – blijft de GRC-tooling een belangrijke basis. We verwachten binnenkort tot de eersten in Nederland te behoren die AVG-certificering gaan behalen. Daarvoor zullen we ook weer de GRC-tooling inzetten, die daarvoor wordt uitgebreid.
Cyso uit Alkmaar is een managed hosting provider. Het bedrijf zorgt ervoor dat websites en webapplicaties van klanten online beschikbaar zijn. Co-founder Sven Visser beantwoordde de vragen.
Waarom is Cyso gecertificeerd?
Uiteraard hebben we te maken met vragen van onze klanten. Daarnaast willen we als bedrijf professioneel met informatiebeveiliging omgaan en dat ook kunnen aantonen. Dan zijn ISO27001 en NEN7510 onmisbaar. Daarnaast hebben we nog ISO20000, dat is de standaard voor IT Service Management.
Was Cyso al gecertificeerd voordat CompLions-GRC in beeld kwam?
Sven Visser van Cyso
Nee. Toen ik de shortlist opstelde, viel me op dat er partijen waren die ons in de certificeringstrajecten wilden ondersteunen op de traditionele manier, dus met veel Excelsheets. Dat sprak me weinig aan. We deden bij Cyso al het nodige op die manier en daar wilde ik juist vanaf. CompLions-GRC had als een van de weinige aanbieders een SaaS-oplossing. Dat sprak me meer aan, helemaal toen ik begreep wat we er allemaal mee konden doen. Daarnaast was er direct een goede klik tussen de bedrijven, dat is ook belangrijk.
Wat is er door het gebruiken van de CompLions-GRC tooling veranderd?
Wat we merken is dat zeker de auditeurs van grotere klanten altijd willen weten hoe we werken en welke methodieken worden toegepast. Als we dan aangeven de tooling van CompLions-GRC te gebruiken, dan stelt ze dat gerust. Dan weten ze dat er niets is overgeslagen en dat alles overzichtelijk is. Dat is een deel van het verhaal. Er is ook een intern aspect te vermelden. De risicoanalyses die we voorheen maakten, kenden onvermijdelijk de eigen interpretatie van de auteurs. Dat leidde vaak tot discussies. Nu is er een neutraal normenkader waar iedereen zich aan houdt.
Scheelt het jullie ook tijd?
Zoals ik al aangaf: met de risicoanalyses hebben we nu allemaal dezelfde kaders. We hebben het nu allemaal over hetzelfde. Dat is natuurlijk een verbetering van de efficiency, dus het scheelt ook tijd.
Wat kan Cyso nu, wat vroeger niet haalbaar was?
Door gebruik te maken van de tooling van CompLions-GRC zijn we beter in staat op meer te letten dan de techniek. Daar bedoel ik mee dat we een technisch bedrijf zijn en de neiging hebben voor elke uitdaging een technische oplossing te zoeken. Bij IB moet je breder kijken en de GRC-tooling dwingt ons dat bij elke stap te doen. Daardoor worden onze processen en oplossingen steeds beter. Verder kunnen we nu bijzondere klanteisen volledig integreren met de audit. Bijvoorbeeld een aanvullende eis over Disaster Recovery. Door de regelsdaarvoor in de GRC-tooling op te nemen worden de procedures en afspraken 100 procent geborgd en het wordt auditable.
Wat zijn de ambities van Cyso en hoe helpt CompLions-GRC daarbij?
We hebben een gezonde groeiambitie en verwachten naar 100 medewerkers door te groeien. Daarbij blijven we focussen op het middensegment van de markt. Wat we zien is dat de certificeringseisen die de corporates stellen onvermijdelijk doorsijpelen naar onze klanten. Daarop zijn we dankzij de CompLions-GRC tooling voorbereid, maar het valt niet uit te sluiten dat we nog meer certificeringen nodig gaan hebben. Een vorm van AVG-certificering of een ISAE3402-verklaring zou er dan een van kunnen zijn.
