Klantcases - Organisaties die we verder hielpen | Audittrail
Klantcases | Audittrail

Klantcases

Organisaties die we verder hielpen

De consultants van Audittrail werken met veel plezier voor onze opdrachtgevers. Leuk werk, leuke opdrachten, met leuke mensen. Zo mogen wij bijvoorbeeld al acht jaar lang voor één bepaalde organisatie alle processen rondom privacy en informatiebeveiliging inregelen. Daar zijn we best een beetje trots op.

Omdat we nog zo veel meer opdrachten hebben mogen doen waar we trots op zijn, hebben we er een aantal als klantcases gepubliceerd. Neem gerust de tijd om ze door te lezen, je zult ontdekken dat onze oplossingen nooit branche-specifiek zijn maar altijd gevormd zijn naar de wensen van de opdrachtgever. Heb je vragen of opmerkingen naar aanleiding van het lezen van onze klantcases (of een complimentje over onze pragmatische aanpak ;-)) horen we dat natuurlijk graag.


Sectoren waarin we veel ervaring hebben:
- Automotive
- Decentrale overheid
- Onderwijs
- Software ontwikkelaars
- Woningcorporaties
- Zorg
Klantcase Microsoft | Audittrail

Woonforte in control met Microsoft 365

Woonforte heeft Microsoft 365 omarmd als de nieuwe en flexibele manier van werken. Ze zijn druk bezig om de overstap te maken naar de SharePoint inrichting en zien dat er vele mogelijkheden binnen Microsoft 365 zijn die kunnen ondersteunen om in control te blijven. Maar wat is er concreet mogelijk en waar hebben ze als Woonforte ook daadwerkelijk wat aan om dat in te richten? En is dit volgens de richtlijnen van de AVG en de BIC?

Gemeente ’s-Hertogenbosch in control over privacy en informatiebeveiliging binnen Microsoft 365.

De gemeente ’s-Hertogenbosch is zich sterk bewust van de verantwoordelijkheid die zij draagt voor de gegevens van klanten en medewerkers. Ook veranderende ICT-middelen, die andere eisen stellen aan het beheersen van de bedrijfscontinuïteit, en veranderende wetgeving (de Europese Algemene Verordening Gegevensbescherming (AVG)) en de BIO zijn redenen om informatiebeveiliging en privacy actief binnen Microsoft 365 aan te pakken. Het doel van de gemeente is om blijvend te voldoen aan bovengenoemde wetgeving en BIO normenkader.

Informatiebeveiliging Audittrail

DUWO maakt volgende stap in informatiebeveiliging

DUWO vindt het belangrijk dat de gegevens van huurders en medewerkers goed beschermd worden. Daarom heeft de organisatie op het gebied van met name privacy de nodige stappen gezet. In 2020 wilde DUWO een volgende stap zetten op het gebied van informatiebeveiliging. Om ervoor te zorgen dat DUWO eind 2020 zou voldoen aan de door de organisatie gewenste eisen is Audittrail gevraagd om het plan van aanpak uit te voeren en direct invulling te geven aan de rol van Security Officer. Er zijn speciale aandachtspunten benoemd waar de eerste periode de aandacht op lag.

Kennemer Wonen werkt aan bewustwording

Kennemer Wonen ziet bewustzijn als een belangrijk element van privacy en informatiebeveiliging. Bewustzijn is nodig om de medewerkers bewust te laten worden van de gevaren die hiermee gepaard gaan. Onder andere door herkenning van phishing en informeren over het  privacy- en informatiebeveiligingsbeleid. Als men niet bewust is, dan kunnen de gevolgen voor de betrokkenen gigantisch zijn.

Kennemer Wonen vindt dat er doorlopend aandacht moet zijn voor bewustwording, zodat dit op een gewenst niveau blijft.

Kwaliteit Audittrail

Universiteit verbetert aandacht en kwaliteit van informatiebeveiliging

De universiteit had in de loop der jaren al meerdere initiatieven en activiteiten uitgevoerd op het gebied van informatiebeveiliging. Ook was er een hooggekwalificeerde fulltime CISO aanwezig, die overkoepelende activiteiten uitzette en coördineerde. De uitdaging bij de universiteit was dat de verschillende faculteiten en ondersteunende afdelingen een verschil in aandacht voor informatiebeveiliging en kwaliteit van informatiebeveiliging vertoonden. Daarnaast had de CISO al meer dan genoeg werk en bleek de audit afdeling nog niet voldoende geoutilleerd te zijn voor het uitvoeren van audits; kennis en mankracht ontbrak nog, hoewel er flink geworven werd om nieuwe collega’s te trekken.

De universiteit had behoefte aan een normenkader, auditraamwerk en een audit aanpak. Dit paste perfect bij de aanpak van Audittrail: Voor doen, samen doen, zelf doen.

Privacy en Informatiebeveiliging in control

Zuiderzeeland in control over informatiebeveiliging en privacy

Zuiderzeeland benaderde Audittrail vanuit de wens om effectief werk te maken van informatiebeveiliging. Het waterschap had al enige stappen ondernomen richting informatieveilig werken, bijvoorbeeld door een audit op de Baseline informatiebeveiliging Waterschappen(BIWA). Daarnaast had Zuiderzeeland al Mavim aangekocht en hierin de architectuur van applicaties en systemen en alle processen vastgelegd. De vraag vanuit de organisatie was om de informatie die reeds in Mavim was vastgelegd aan te vullen en uit te breiden met een stuk informatiebeveiliging (BIWA).

We zijn begonnen met een inventarisatie van wat reeds in Mavim was opgenomen. Deze informatie is gekoppeld in het door Audittrail opgeleverde Compliance Management Framework (CMF), dat in de reeds bestaande Mavim-omgeving is geïmplementeerd. Het framework is zodanig aangepast en uitgebreid dat het past bij de wensen van Zuiderzeeland. Vervolgens is er begonnen met de daadwerkelijke invulling van het framework met bijvoorbeeld de uitslag van de BIWA-audit.

Kwaliteit Audittrail

Zorginstelling verbetert kwaliteit: aandacht voor privacy en informatiebeveiliging

Een organisatie in de zorg (cure) vroeg onze hulp. Een grote organisatie met 15 vestigingen verdeeld over drie provincies welke hoogwaardige zorg levert en voorloper in het vakgebied is. Zij hadden in een snel wisselende omgeving behoefte aan extra aandacht op het gebied van privacy en informatiebeveiliging.

Als eerste zijn we begonnen met het uitvoeren van een nulmeting. Hierbij hebben we eerst een documentatieonderzoek uitgevoerd. Met die kennis zijn we de stand van zaken in de organisatie gaan meten met de NEN7510 als leidraad. Op basis van de uitkomsten van de nulmeting hebben we een plan van aanpak geformuleerd. Vervolgens zijn we samen met de organisatie het actieplan gaan uitvoeren. Na de basis op orde te hebben gebracht, hielpen we de organisatie met de overstap naar de AVG. Ruim voor 25 mei 2018 had de organisatie de juiste zaken voor elkaar.

Kwaliteit Audittrail

Internationaal productiebedrijf voert awarenesscampagne voor privacy en informatiebeveiliging

Een internationaal productiebedrijf met vestigingen in verschillende Europese landen vroeg Audittrail om hen te helpen bij de implementatie van de GDPR (zoals de AVG in het Engels heet). Deze organisatie staat aan de Europese top van technische innovaties op het gebied van onder meer de productie van duurzame verpakkingsmaterialen.

Op basis van de bevindingen van een nulmeting is een plan van aanpak opgesteld. Aan de hand van dit plan is een GDPR-project gestart, waarbij Audittrail als projectleider optreed en daaraan parallel lopend is een intern traject ter verbetering van de informatiebeveiliging gestart waarin Audittrail een adviserende rol heeft.


Privacy en informatiebeveiliging

Woningcorporatie start organisatiebreed verbetertraject voor privacy en informatiebeveiliging

Een woningcorporatie in de randstad met 11.000 huurders en ongeveer 100 medewerkers had als visie om compliant te zijn aan wet- en regelgeving. Vanuit de sociale achtergrond van de organisatie zagen zij het als een plicht om aan de AVG te voldoen. In het verleden waren al zaken met betrekking tot de WBP geïmplementeerd. Op het gebied van de AVG was de kloof tussen WBP en AVG overbruggen, en het op snelheid brengen van de medewerkers een speerpunt. Wat betreft informatiebeveiliging was het beheersbaar houden van de risico’s en het treffen van de nodige maatregelen het hoofddoel.

Samen met de privacy officer en de security officer zijn we aan de slag gegaan met het uitstippelen van een verbetertraject met verschillende stappen. De te nemen acties hebben we vervat in een actieplan waarmee de privacy officer, samen met een privacy officer van Audittrail, aan de slag is gegaan. Tegelijkertijd hebben we op het gebied van informatiebeveiliging een aantal zaken aan kunnen scherpen. Deze aanpak bleek erg nuttig, we konden zo dingen tegelijk doen voor privacy en informatiebeveiliging, wat achter af veel (overleg-)tijd en geld scheelde.

Applicatiebeheer

ROC zet volgende stap in IT, functioneelbeheer en applicatiebeheer

Een ROC met 5000 studenten en 100+ medewerkers dat goed aangeschreven beroepsopleidingen op 6 locaties aanbiedt belde ons. Ze wilde graag de volgende stap zetten op het gebied van IT, functioneel- en applicatiebeheer. Echter, zowel binnen de ICT afdeling als bij de interne klanten waren het beeld van de huidige situatie en de wensen verschillend.

Vooraf is samen met de opdrachtgever de scope van het onderzoek bepaald. Ook is er een lijst met specifieke onderzoeksvragen opgesteld op basis waarvan Audittrail rapporteert. Daarna hebben we de organisatie in kaart gebracht en de stakeholders bepaald. Op basis van interviews met deze stakeholders, het in kaart gebrachte applicatielandschap en de beschikbare informatiebronnen hebben we de huidige situatie in kaart gebracht. Daarnaast hebben de consultants van Audittrail de gewenste situatie bepaald. Door diverse varianten op de gewenste situatie te beschrijven kon de organisatie de diverse voor- en nadelen beter beoordelen. Ondanks de diepgang van het onderzoek is de rapportage beperkt en praktisch gebleven. Aan de hand van de keuze voor de gewenste situatie is een plan opgeleverd hoe de organisatie hier het beste naartoe kon groeien.

Audit Audittrail

Nederlandse autoimporteur voert nieuw normenkader interne kwaliteit in

Een Nederlandse importeur van personenauto’s en bedrijfswagens met een focus op kwalitatief goede auto’s en een kwalitatief goede dienstverlening naar klanten belde ons met een vraag. De kwaliteitsmanager had voor het dealernetwerk (450 sales- en aftersalespunten in Nederland) een handboek met werkinstructies opgesteld om de bedrijfsvoering te optimaliseren. Om de stappen en de acties die in het handboek staan te kunnen beoordelen, moesten deze eerst normatief worden gemaakt. Wij hebben het gehele handboek omgezet in een normenkader. Samen met de importeur zijn afspraken gemaakt over de beoordelingscriteria en de scores.

Na de eerste serie van audits in Nederland bij wijze van nulmeting zijn wij door de importeur gevraagd om deze audits ook in België en Luxemburg uit te voeren. Dit doen we inmiddels voor het derde jaar.


Governance Risk Compliance Audittrail

Woningcorporatie verbetert klantvriendelijkheid door implementatie applicatie

Een woningcorporatie met 80.000 klanten en 700 medewerkers wenste haar dienstverlening aan klanten meer te digitaliseren. De organisatie heeft klanttevredenheid hoog in het vaandel staan en heeft een zeer diverse groep huurders. Om alle huurders in staat te stellen contact te hebben met de corporatie op de tijden en met de middelen die de huurder het beste zouden passen, besloot de corporatie een extra kanaal toe te voegen: het digitale kanaal. Dit kanaal verhoogt de klanttevredenheid en zou mede gebruikt worden om een aantal interne processen te stroomlijnen.

De applicatie was al aangeschaft en het implementatieproject reeds gestart. Er was dus een bepaalde tijdsdruk om de risico’s en andere bevindingen snel in kaart te brengen. De opdracht was in die zin ook helder: “benoem de risico’s, de bevindingen en aanbevelingen om de implementatie en operatie van de betreffende applicatie veilig en compliant aan de privacywetgeving uit te kunnen voeren”. Voor deze audit hebben wij nauw samengewerkt met de security- en privacy officers van de organisatie. Zij waren dan ook onderdeel van het auditteam. De rapportage is opgeleverd en gepresenteerd bij de opdrachtgevers. Alle belangrijke geconstateerde risico’s konden worden gemitigeerd voor live-gang van de applicatie.