Klantcases

Kennemer Wonen werkt aan bewustwording

Kennemer Wonen ziet bewustzijn als een belangrijk element van privacy en informatiebeveiliging. Bewustzijn is nodig om de medewerkers bewust te laten worden van de gevaren die hiermee gepaard gaan. Onder andere door herkenning van phishing en informeren over het  privacy- en informatiebeveiligingsbeleid. Als men niet bewust is, dan kunnen de gevolgen voor de betrokkenen gigantisch zijn.

Kennemer Wonen vindt dat er doorlopend aandacht moet zijn voor bewustwording, zodat dit op een gewenst niveau blijft.

Universiteit verbetert aandacht en kwaliteit van informatiebeveiliging

De universiteit had in de loop der jaren al meerdere initiatieven en activiteiten uitgevoerd op het gebied van informatiebeveiliging. Ook was er een hooggekwalificeerde fulltime CISO aanwezig, die overkoepelende activiteiten uitzette en coördineerde. De uitdaging bij de universiteit was dat de verschillende faculteiten en ondersteunende afdelingen een verschil in aandacht voor informatiebeveiliging en kwaliteit van informatiebeveiliging vertoonden. Daarnaast had de CISO al meer dan genoeg werk en bleek de audit afdeling nog niet voldoende geoutilleerd te zijn voor het uitvoeren van audits; kennis en mankracht ontbrak nog, hoewel er flink geworven werd om nieuwe collega’s te trekken.

De universiteit had behoefte aan een normenkader, auditraamwerk en een audit aanpak. Dit paste perfect bij de aanpak van Audittrail: Voor doen, samen doen, zelf doen.

Zuiderzeeland in control over informatiebeveiliging en privacy

Zuiderzeeland benaderde Audittrail vanuit de wens om effectief werk te maken van informatiebeveiliging. Het waterschap had al enige stappen ondernomen richting informatieveilig werken, bijvoorbeeld door een audit op de Baseline informatiebeveiliging Waterschappen(BIWA). Daarnaast had Zuiderzeeland al Mavim aangekocht en hierin de architectuur van applicaties en systemen en alle processen vastgelegd. De vraag vanuit de organisatie was om de informatie die reeds in Mavim was vastgelegd aan te vullen en uit te breiden met een stuk informatiebeveiliging (BIWA).

We zijn begonnen met een inventarisatie van wat reeds in Mavim was opgenomen. Deze informatie is gekoppeld in het door Audittrail opgeleverde Compliance Management Framework (CMF), dat in de reeds bestaande Mavim-omgeving is geïmplementeerd. Het framework is zodanig aangepast en uitgebreid dat het past bij de wensen van Zuiderzeeland. Vervolgens is er begonnen met de daadwerkelijke invulling van het framework met bijvoorbeeld de uitslag van de BIWA-audit.

Zorginstelling verbetert kwaliteit: aandacht voor privacy en informatiebeveiliging

Een organisatie in de zorg (cure) vroeg onze hulp. Een grote organisatie met 15 vestigingen verdeeld over drie provincies welke hoogwaardige zorg levert en voorloper in het vakgebied is. Zij hadden in een snel wisselende omgeving behoefte aan extra aandacht op het gebied van privacy en informatiebeveiliging.

Als eerste zijn we begonnen met het uitvoeren van een nulmeting. Hierbij hebben we eerst een documentatieonderzoek uitgevoerd. Met die kennis zijn we de stand van zaken in de organisatie gaan meten met de NEN7510 als leidraad. Op basis van de uitkomsten van de nulmeting hebben we een plan van aanpak geformuleerd. Vervolgens zijn we samen met de organisatie het actieplan gaan uitvoeren. Na de basis op orde te hebben gebracht, hielpen we de organisatie met de overstap naar de AVG. Ruim voor 25 mei 2018 had de organisatie de juiste zaken voor elkaar.

Internationaal productiebedrijf voert awarenesscampagne voor privacy en informatiebeveiliging

Een internationaal productiebedrijf met vestigingen in verschillende Europese landen vroeg Audittrail om hen te helpen bij de implementatie van de GDPR (zoals de AVG in het Engels heet). Deze organisatie staat aan de Europese top van technische innovaties op het gebied van onder meer de productie van duurzame verpakkingsmaterialen.

Op basis van de bevindingen van een nulmeting is een plan van aanpak opgesteld. Aan de hand van dit plan is een GDPR-project gestart, waarbij Audittrail als projectleider optreed en daaraan parallel lopend is een intern traject ter verbetering van de informatiebeveiliging gestart waarin Audittrail een adviserende rol heeft.

Woningcorporatie start organisatiebreed verbetertraject voor privacy en informatiebeveiliging

Een woningcorporatie in de randstad met 11.000 huurders en ongeveer 100 medewerkers had als visie om compliant te zijn aan wet- en regelgeving. Vanuit de sociale achtergrond van de organisatie zagen zij het als een plicht om aan de AVG te voldoen. In het verleden waren al zaken met betrekking tot de WBP geïmplementeerd. Op het gebied van de AVG was de kloof tussen WBP en AVG overbruggen, en het op snelheid brengen van de medewerkers een speerpunt. Wat betreft informatiebeveiliging was het beheersbaar houden van de risico’s en het treffen van de nodige maatregelen het hoofddoel.

Samen met de privacy officer en de security officer zijn we aan de slag gegaan met het uitstippelen van een verbetertraject met verschillende stappen. De te nemen acties hebben we vervat in een actieplan waarmee de privacy officer, samen met een privacy officer van Audittrail, aan de slag is gegaan. Tegelijkertijd hebben we op het gebied van informatiebeveiliging een aantal zaken aan kunnen scherpen. Deze aanpak bleek erg nuttig, we konden zo dingen tegelijk doen voor privacy en informatiebeveiliging, wat achter af veel (overleg-)tijd en geld scheelde.

Nederlandse autoimporteur voert nieuw normenkader interne kwaliteit in

Een Nederlandse importeur van personenauto’s en bedrijfswagens met een focus op kwalitatief goede auto’s en een kwalitatief goede dienstverlening naar klanten belde ons met een vraag. De kwaliteitsmanager had voor het dealernetwerk (450 sales- en aftersalespunten in Nederland) een handboek met werkinstructies opgesteld om de bedrijfsvoering te optimaliseren. Om de stappen en de acties die in het handboek staan te kunnen beoordelen, moesten deze eerst normatief worden gemaakt. Wij hebben het gehele handboek omgezet in een normenkader. Samen met de importeur zijn afspraken gemaakt over de beoordelingscriteria en de scores.

Na de eerste serie van audits in Nederland bij wijze van nulmeting zijn wij door de importeur gevraagd om deze audits ook in België en Luxemburg uit te voeren. Dit doen we inmiddels voor het derde jaar.

Woningcorporatie verbetert klantvriendelijkheid door implementatie applicatie

Een woningcorporatie met 80.000 klanten en 700 medewerkers wenste haar dienstverlening aan klanten meer te digitaliseren. De organisatie heeft klanttevredenheid hoog in het vaandel staan en heeft een zeer diverse groep huurders. Om alle huurders in staat te stellen contact te hebben met de corporatie op de tijden en met de middelen die de huurder het beste zouden passen, besloot de corporatie een extra kanaal toe te voegen: het digitale kanaal. Dit kanaal verhoogt de klanttevredenheid en zou mede gebruikt worden om een aantal interne processen te stroomlijnen.

De applicatie was al aangeschaft en het implementatieproject reeds gestart. Er was dus een bepaalde tijdsdruk om de risico’s en andere bevindingen snel in kaart te brengen. De opdracht was in die zin ook helder: “benoem de risico’s, de bevindingen en aanbevelingen om de implementatie en operatie van de betreffende applicatie veilig en compliant aan de privacywetgeving uit te kunnen voeren”. Voor deze audit hebben wij nauw samengewerkt met de security- en privacy officers van de organisatie. Zij waren dan ook onderdeel van het auditteam. De rapportage is opgeleverd en gepresenteerd bij de opdrachtgevers. Alle belangrijke geconstateerde risico’s konden worden gemitigeerd voor live-gang van de applicatie.