ISO 27701-certificaat voor Trigion

Met het behalen van het ISO 27701-certificaat zet Trigion Monitoring & Response een grote stap op het gebied van privacybescherming. Het certificaat geeft richtlijnen om privacygevoelige informatie te beschermen. Het gaat met name om informatie van opdrachtgevers en hun medewerkers, waar Trigion bij de uitvoering van werkzaamheden mee in aanraking komt. ‘We zijn voor zover ik weet nu nog de enige in onze branche met dit certificaat. Veel van onze klanten vragen erom.’

De ISO 27701-certificering is een aanvulling op de meer bekende ISO 27001-norm. Het nieuwe certificaat omvat vereisten voor de omgang met privacygevoelige gegevens. Met die data heeft Trigion steeds meer te maken, constateert Mike Broens. Als Information Security Officer was hij nauw betrokken bij het certificatieproces. ‘We leveren al een aantal jaren steeds complexere dienstverlening. We werken dieper in het systeem van klanten.  Daarmee krijg je automatisch ook toegang tot privacygevoelige data. En dan kom je op een punt dat je zegt: we willen ons toch wel goed blijven voelen bij wat we doen. Voldoen we wel aan alle regels?’

Voor Trigion is het behalen van het ISO 27701-certificaat niet alleen het bewijs dat informatie niet op straat kan komen te liggen. De expertise over de omgang met privacygevoelige data is ook van belang in het adviestraject. Mike: ‘Een klant geeft ons de beschikking over het toegangscontrolesysteem om daarmee onze dienstverlening uit te voeren. Maar die klant realiseert zich niet altijd dat hij ons daarmee ook toegang kan geven tot privacygevoelig materiaal. Moet je die informatie dan niet beter afschermen? Want misschien hebben wij die data niet eens nodig. In het adviestraject met de klant gaan we daarom steeds meer toe naar dataminimalisatie: alleen maar toegang tot die data die we nodig hebben om onze dienstverlening te kunnen uitvoeren.’

Accountmanager Bart Versluijs van Brand Compliance overhandigt ISO27701 certificaat aan business unit directeur Ron Knaap en Information Security Specialist Mike Broens van de Trigion AlarmServiceCentrale.

Grotendeels al voorbereid

‘Een pittige audit’, omschrijft Mike het traject naar de certificering. Met die uitspraak verwijst hij niet zozeer naar het fysieke controlemoment, als wel naar de aanloop eromheen. Trigion heeft veel tijd, energie en onderzoek gestoken in de optimalisatie van dataprocessen. Wel was het werkproces grotendeels al voorbereid op de nieuwe richtlijnen. ‘Voorheen was het al een standaard onderdeel van ons informatiebeveiligingsbeleid. Maar door het specifiek te benoemen ga je nog veel meer kijken naar de details van privacymanagement. Niet alleen de privacy van klantmedewerkers, maar ook die van je eigen medewerkers.’

‘Ook klanten hebben ervan geleerd’

Het certificatieproces heeft zeker tot nieuwe inzichten geleid. Met name op het vlak van dataminimalisatie had auditing meerwaarde. ‘Ik denk dat wij er veel van geleerd hebben, maar ook onze klanten. Kan het niet een beetje slimmer, met minder data?’

Met het certificaat op zak creëert Trigion ook veiligheid op het gebied van privacy. Mike: ‘Zeker bij Trigion Next waarbij we remote-dienstverlening aanbieden, door vanuit onze meldkamer diverse systemen van klanten te bedienen waardoor de lokale aanwezigheid kan worden afgeschaald. Er zijn altijd klanten die terughoudend zijn om hun systemen open te zetten voor een derde: is dat wel te vertrouwen? Je kunt nu laten zien dat we de vergunningen van de overheid en al onze certificaten hebben. Ook die op het gebied van privacymanagement. Dat geeft vertrouwen.’ 

Vooroplopen in de branche

Met ISO 27701-certificering loopt Trigion voorop in de branche.  Al is het behalen van de certificering geen doel op zich, zegt hij. ‘Je wilt je zaken op orde hebben. Het is ons niet te doen om het behalen van het papiertje. We willen dat ons security management systeem elk jaar beter wordt, dat je leert van de fouten die worden gemaakt. Daar is dit de volgende stap in. Dat past ook bij het bedrijf dat we zijn.