07 September 2021

Appronto sleept ISO-certificeringen in de wacht

Sinds kort mag Appronto zich ISO 27001- en ISO 9001-gecertificeerd noemen, een traject dat we samen met Molenaar & Plasman bij de horens hebben gepakt. ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Hij beschrijft hoe je procesmatig omgaat met het beveiligen van informatie zodat de vertrouwelijkheid, beschikbaarheid en integriteit van data gewaarborgd is. De ISO 9001 is een internationale norm die eisen stelt aan het kwaliteitsmanagementsysteem van een organisatie.

De certificeringen vormen een bewijs dat Appronto op het gebied van informatiebeveiliging en kwaliteitscontrole de zaken goed op orde heeft. We spraken met Appronto-CFO Ronald Beer en M&P-consultant Stefan van Nifterick over het traject en de voordelen die de ISO-certificeringen opleveren.

Klantvraag en eigen behoefte

De reden om vol te gaan voor een ISO 27001-certificering ontstond volgens Ronald Beer mede vanuit een concrete klantbehoefte. “Er waren steeds vaker klanten die vroegen naar dit algemeen erkende certificaat voor informatiebeveiliging. We zien ook dat steeds meer bedrijven binnen onze branche die certificering bezitten. Bovendien werken we geregeld met gevoelige informatie zoals persoonlijke, medische en financiële data. Het werd dus langzaamaan een must.”

Wat betreft de ISO 9001 lag de situatie net iets anders. Deze norm heeft betrekking op kwaliteitsmanagement. Organisaties kunnen ermee aantonen dat ze consequent producten en diensten leveren die voldoen aan de kwaliteitseisen die klanten stellen.

“Onze wens om ook de ISO 9001 te halen, is vooral ontstaan vanuit eigen behoefte. Wij stellen hoge eisen aan onze eigen kwaliteitsstandaarden. De ISO 9001-certificering is een mooi instrument om die te borgen in een goed kwaliteitsmanagementsysteem”, vertelt Ronald.

Bedrijfsfilosofie

Ronald geeft aan dat hij wel een beetje opzag tegen het hele certificeringstraject. “Ik moet eerlijk bekennen dat ik er aanvankelijk niet bepaald naar uitkeek. Zeker in het geval van de ISO 27001 heb je toch te maken met de nodige bureaucratie. Je moet veel documenten invullen en processen formaliseren.

Gelukkig heeft Molenaar & Plasman ons daar heel goed bij geholpen. Joris van der Goes heeft met zijn vasthoudendheid en sturing fantastisch werk geleverd, terwijl het invullen van de documenten ook een stuk makkelijker ging met de templates van Molenaar & Plasman.”

Het is volgens Stefan van Nifterick vooral belangrijk om ISO te beschouwen als een wezenlijk onderdeel van je bedrijfsfilosofie. “Het is geen klus die je even met twee of drie mensen klaart, maar een organisatiebreed traject waarbij je iedereen een stem geeft. Het is bovendien een doorlopend proces. Vergelijk het met een auto. Die moet je ook onderhouden als je wilt dat hij goed blijft rijden. Dat had Appronto al heel snel door.”

Het traject

Maar hoe zag het ISO-traject er precies uit? Het begon met een aantal risicosessies waarin Molenaar & Plasman alle kansen en risico’s in kaart bracht. Volgens Stefan benadert Molenaar & Plasman ISO-certificeringstrajecten altijd vanuit drie perspectieven. “We richten ons op de organisatie, de techniek en de mensen.”

De risicosessies leidden tot het ontstaan van een blauwdruk voor de ISO-implementatie die Appronto vervolgens bedrijfsspecifiek inrichtte. Daarna volgde de implementatie. Een belangrijk doel van deze fase van het traject was om zoveel mogelijk mensen deelgenoot te maken van het ISO-certificeringsproces.

Na de implementatie volgde een toetsmoment in de vorm van een interne audit door Molenaar & Plasman. “Dit was een goede manier om verbeterpunten boven water te krijgen en de organisatie voor te bereiden op de externe audit”, aldus Stefan. Vervolgens brak het moment van de waarheid aan: de externe audit door DNV.

Die viel Ronald allesbehalve tegen. “Het was een verademing. Ik had echt een strenge auditor in een strak pak verwacht. In werkelijkheid was het een energieke en enthousiaste man met een zeer positieve mindset. Natuurlijk stipte hij wel wat kleine verbeterpunten aan, maar hij was onder de indruk van hoe wij de eerste audit aanpakten.

Uit de interviews bleek dat onze wens om de ISO-certificeringen te halen niet alleen op strategisch niveau is bedacht. Onze mensen zijn er ook echt mee bezig en stralen dat uit. Dat past ook bij onze filosofie: geen loze kreten op papier, maar leven naar de gedachte die je wilt uitdragen in jouw vakgebied. Natuurlijk gaat er soms iets mis, maar het gaat erom wat je daarmee doet en hoe je het oplost.”

Meerwaarde

Maar wat is nu de concrete meerwaarde die het behalen van de certificeringen Appronto oplevert? “Het ISO 27001-certificaat is het bewijs dat het goed zit met ons informatiemanagement. We werken op het gebied van wachtwoordbeheer bijvoorbeeld alleen met LastPass en besteden veel aandacht aan securitytraining voor onze medewerkers. Ook hebben we als uitvloeisel van dit traject een multifactor-authenticatiemodule voor Mendix-applicaties gemaakt. Die stellen wij gratis ter beschikking in de Mendix-appstore.

ISO 9001 heeft ons aangespoord om processen nog beter in kaart te brengen en alle klachten expliciet en gestructureerd vast te leggen. We denken nog beter na over hoe we het de volgende keer beter kunnen doen en hebben een goed functionerend en robuust kwaliteitsmanagementsysteem dat we continu optimaliseren. Lang niet iedereen binnen onze branche heeft bovendien een ISO 9001-certificaat. Het is een belangrijk onderdeel van wie we willen zijn.”

Ook Stefan benadrukt de voordelen van de dubbele ISO-certificering. “Het geeft je processen een extra kwaliteitsimpuls en bevestigt dat je goed bezig bent. Maar het helpt Appronto ook om een robuustere positie binnen de IT-markt in te nemen. Ook op het gebied van sales kan een dubbele ISO-certificering je veel opleveren. Het is iets wat je in oriënterende gesprekken met potentiële klanten en partners voortaan niet meer hoeft te bespreken.”