Verbeter kwaliteit en informatiebeveiliging in 8 simpele stappen
23 november 2022
Inleiding
De aandacht voor kwaliteit en informatiebeveiliging neemt binnen veel organisaties toe. Niet zo vreemd wanneer je alle berichtgeving over cybercriminaliteit volgt. Dit geldt ook voor ledenorganisaties: het Nationaal Verenigingsonderzoek 2021 leert dat aandacht voor cybersecurity in de top drie van thema’s voor dit jaar staat.
Bij CCI vinden we aandacht hiervoor ook heel belangrijk. Daarom hebben we in 2021 een ISO 9001 en ISO 27001 certificeringstraject doorlopen. En met succes, eind december zijn we met goed gevolg door de audit heen gekomen. Natuurlijk wilde wij die certificering binnen halen, maar nog veel belangrijker is dat we hierdoor een nog beter bedrijf zijn geworden.
Een mooie gelegenheid om terug te blikken op wat wij hebben geleerd van dit traject. En om te kijken welke kennis wij kunnen doorgeven, bijvoorbeeld aan onze klanten. Hoe kan jouw (leden)organisatie in 8 simpele stappen kwaliteit en security meer onder controle krijgen? Dat lees je hieronder.
De stappen
Stap 1: Bepaal welke processen je hebt
Elke organisatie kent processen. Denk aan ondernemingsbesturing, HR, finance & control, IT, leveranciersmanagement, enzovoorts. Maar ook meer primaire processen, afhankelijk van het type organisatie. Voor ons is dat softwareontwikkeling en voor ledenorganisaties bijvoorbeeld ledenbeheer en ledenwerving. Verbetering in kwaliteit en informatiebeveiliging start met zorgen dat je deze processen in kaart hebt.
Stap 2: Wijs proceseigenaren aan
In het geval van CCI hebben we 19 processen gedefinieerd. Voor elk proces moet iemand verantwoordelijk zijn. Omdat wij geloven dat kwaliteit en informatiebeveiliging gedragen moet worden door het MT, zijn proceseigenaren bij ons altijd MT-leden.
Stap 3: Laat de proceseigenaren hun proces beschrijven
Om je werk repeterend kwalitatief goed te krijgen en met de juiste aandacht voor informatiebeveiliging uit te voeren, is een gedocumenteerde werkelijkheid nodig. Schrijf dus op hoe het proces loopt (en niet hoe je zou vinden dat het moet lopen). De proceseigenaar is verantwoordelijk, maar hoeft niet alles alleen te doen. Start met het doel van het proces, de randvoorwaarden en vervolgens de processtappen. Bepaal ook relaties met andere processen, dit zijn plekken waar vaak risico’s optreden.
Stap 4: Voer een risicoanalyse uit
Bepaal met een team van betrokkenen bij het proces welke risico’s gezien worden in termen van kwaliteit en informatiebeveiliging. Zorg dat binnen elk proces tussen de 3 en 5 risico’s worden onderkend. Classificeer deze vervolgens naar kans op voorkomen en impact als iets mis gaat. Beschrijf wat je al gedaan hebt en wat je nog gaat doen om het risico te verminderen. Deze stap geeft een goed beeld van de risico’s en dus het verbeterpotentieel in je organisatie.
Stap 5: Bepaal KPI’s voor de processen
Om sturing op processen te houden wil je indicatoren die laten zien hoe het loopt. In stap 5 worden die vastgesteld. Ga hier uit van ongeveer 3 indicatoren per proces, ook weer op het gebied van kwaliteit en informatiebeveiliging. Kijk goed naar al aanwezige rapportages binnen je organisatie, het is zonde alles nieuw te bedenken. Deze KPI’s maken samen het dashboard van de performance van je organisatie.
Stap 6: Stel een lijst continu verbeteren op
Door de risicoanalyse, maar ook vanuit andere hoeken komen collega’s met aandachtspunten. Maar ook met vervolgacties en ideeën ter verbetering. Het is zaak deze centraal te registreren en te voorzien van een einddatum en eigenaar in een lijst continu verbeteren. Wij gebruiken Teams hiervoor, de tasks en planner functionaliteit.
Stap 7: Integreer deze KPI’s en de verbeterlijst in operationele sturing
Elke organisatie heeft een operationeel sturingsmodel. Bijvoorbeeld het wekelijkse MT-overleg. Zorg ervoor dat met regelmaat het KPI-overzicht en lijst continu verbeteren hierop terugkomt. Maak deze dus onderdeel van je actielijst, van je vergaderfrequentie.
Stap 8: Evalueer periodiek
Naast regelmatige aandacht voor de lijst continu verbeteren en het KPI-dashboard, is het zaak periodiek met een helicopterview te kijken naar het bovenstaande. Hulp van een onafhankelijke derde met ervaring in audits kan daarbij verstandig zijn. Vreemde ogen dwingen vaak. Met deze stap evalueer je de werking van het bovenstaande systeem en zorg je voor overzicht en borging.
Wat tips en tricks
Wat hebben wij geleerd van het traject dat wij doorlopen hebben:
- De mens is vaak de belangrijkste factor. Wees dus duidelijk wat je van je medewerkers verwacht, leg dat vast in een handboek of een set aan regels.
- Zorg dat je met je hele organisatie voor verbetering gaat. Communiceer transparant en neem elementen op in persoonlijke jaardoelstellingen.
- Kijk breed, dus over de grenzen van je eigen organisatie heen. Wat wordt bijvoorbeeld bij leveranciers gedaan op het gebied van kwaliteit en informatiebeveiliging.
- Heb oog voor contractuele zaken. Denk aan Verwerkersovereenkomsten, privacy statements, etc.
- Leg zaken die je doet vast. Dat geldt bijvoorbeeld ook voor gesprekken met je leveranciers, maak daarvan verslagen die je deelt.
- ICT is een belangrijke factor. Zorg dat je hiervoor specialisten aanhaakt.
- Feiten zijn je basis. Zorg dat je niet alleen beschrijft hoe het zit, maar dat je ook kan aantonen hoe iets geregeld is.
- Stap niet in de valkuil van de papieren tijger. Hou documentatie simpel, handzaam en praktisch, in de stijl van jouw organisatie.
- Maak het leuk. Zorg dat je je medewerkers op een leuke manier mee krijgt, dit soort zaken met enthousiasme brengt.