cases to be proud of

Intus over waarom certificeringen steeds belangrijker worden voor hen

IntusCertificering zegt veel over hoe een organisatie de beveiliging van onder andere persoonsgegevens heeft geregeld. Steeds meer organisaties stellen dat dan ook als een eis als ze een leverancier zoeken. Intus ziet die trend ook. Zij vertellen over hun praktijkervaring met certificeringen.

Intus

Intus uit Zeist levert al tien jaar een eigen SaaS-applicatie voor het plannen en roosteren van personeel: InPlanning. De applicatie draait op het IaaS-platform van Fundaments. Klanten van Intus zijn bedrijven, overheden en zorginstellingen in Nederland die professioneel roosteren. InPlanning kan meer dan roosters maken en publiceren; met zelfroosteren en online ruilen kunnen eindgebruikers bijvoorbeeld ook veel zelf regelen.

Verwerking van persoonsgegevens

Dienstroosterplanning is een proces dat zich goed laat automatiseren, maar het stelt wel de nodige eisen. Hans Leideman, CEO van Intus, wijst erop dat er natuurlijk persoonsgegevens worden verwerkt, maar dat het daar niet bij blijft. “Het inroosteren van werktijden betekent namelijk ook dat er iets over de beloningen inzichtelijk wordt. Denk aan de vermelding of het overuren betreft of dat er een weekendtoeslag geldt. De verwerking van zowel persoonsgegevens als financiële data stelt serieuze eisen aan wat wij doen en dus ook wat wij van onze ketenpartners verlangen.”

“De verwerking van zowel persoonsgegevens als financiële data stelt serieuze eisen aan wat wij doen en dus ook wat wij van onze ketenpartners verlangen.”

Waarom Fundaments

“Wij hebben voor Fundaments gekozen om meerdere redenen. Per klant kan het gaan om tot wel 10.000 eindgebruikers. Als die allemaal op hetzelfde moment de applicatie starten, vergt dat veel van het platform. Wij zochten daarom een aanbieder waarbij de uptime, stabiliteit en performance goed geregeld zijn,” legt Leideman uit. “Daarnaast hanteren wij, onder andere omdat we persoonsgegevens verwerken, strenge kwaliteitseisen. Wij zijn zelf ISO27001 en NEN7510 gecertificeerd. Dat verlangen we ook van onze ketenpartners. Fundaments heeft deze certificeringen en voldoet daarmee aan de eisen die ook voor ons gelden. En erg belangrijk: ze hebben de informatiebeveiliging gewoon goed voor elkaar.”

“Ze hebben de informatiebeveiliging gewoon goed voor elkaar.”

Certificeringen steeds belangrijker

Leideman geeft aan dat de certificeringen ISO27001 en NEN7510 voor klanten van Intus hygiënefactoren worden. Ze moeten er zijn, en als dat niet het geval is, valt dat direct op. “We merken dat het in de salesgesprekken met onze klanten steeds vaker op de agenda staat. Wij laten dan zien dat we voor ons deel van de keten in control zijn. En we kunnen aantonen dat onze partners, tot en met het datacenter aan toe, eveneens aan de eisen voldoen. Bij onze grote klanten komen die vragen al snel en soms heel gedetailleerd. Bij de kleinere ondernemingen is de kennis over certificering soms wat minder, maar ook daar geldt dat als het eenmaal ter sprake komt, men weet dat zakendoen met gecertificeerde leveranciers een verschil maakt. Het wordt dan al snel als een must have factor ingeschaald.” Certificeringen worden daarom volgens Leideman steeds belangrijker, omdat ze een objectief antwoord geven op de vraag hoe een bedrijf de beveiliging van persoonsgegevens heeft geregeld.

Dezelfde eisen voor de keten

Dat certificering steeds vaker geëist wordt, is een ontwikkeling die niet los kan worden gezien van de AVG. Intus heeft daarvoor met al haar klanten Verwerkersovereenkomsten gesloten. Met de SaaS-dienst van Intus verwerken klanten immers persoonsgegevens. In de Verwerkersovereenkomst is beschreven dat Intus met onderaannemers werkt. Fundaments is er daar één van. De eisen die voor Intus gelden worden een op een vertaald naar de onderaannemer. “Dat klinkt misschien omslachtig, omdat Verwerkersovereenkomsten naast de reguliere contracten staan. Maar het is een goede zaak inzichtelijk te hebben dat een hele keten aan dezelfde eisen voldoet,” zegt Leideman.

ISAE 3402

Intus ziet als ontwikkeling in de markt dat er in toenemende mate aanvullende vragen komen om kwaliteit van de dienstverlening aan te tonen. Bovendien worden deze vragen steeds specialistischer. Een voorbeeld is dat klanten inzichtelijk moeten hebben hoe de financiële data die de applicatie bevat, is beschermd. Ontbreekt dat inzicht, dan is er sprake van non-compliancy. Deze vraag kan deels worden beantwoord met de ISO27001 en NEN7510 certificeringen, maar niet volledig. Met een ISAE3402 Type II verklaring kan dat wel.

ISAE3402 Type II betekent dat de plek waar de data staat en de applicatie draait, getoetst moet worden om te bepalen of de correcte verwerking en opslag van financiële data gewaarborgd is. In het geval van Intus vindt die verwerking plaats op het IaaS-platform van Fundaments. Voor Intus is het daarom belangrijk dat Fundaments deze verklaring kan laten opstellen. Slechts dan is Intus namelijk in staat aan deze aanvullende klanteisen te voldoen.

Fundaments begrijpt

Leideman: “We zien dat Fundaments heel goed begrijpt wat de ontwikkelingen in de markt zijn en dat bijvoorbeeld een ISAE3402 Type II steeds belangrijker wordt. Zonder dat voldoen wij niet aan de eisen die bepaalde klanten stellen. Fundaments begrijpt ook dat we steeds minder als losstaande bedrijven opereren en steeds meer als een keten.” De trend naar meer certificeringen brengt met zich mee dat bedrijven in een keten meer met elkaar gaan overleggen en samenwerken. “Je moet regelmatig contact met elkaar hebben om te zien of het op elkaar aansluiten van certificeringen en verklaringen functioneert en op peil blijft, dat zal voor Fundaments nooit een issue zijn”, merkt Leideman ten slotte op.

“Je moet regelmatig contact met elkaar hebben om te zien of het op elkaar aansluiten van certificeringen en verklaringen functioneert en op peil blijft, dat zal voor Fundaments nooit een issue zijn”

Fundaments weet dat klanten op zoek zijn naar meer dan een technisch stabiele IaaS-omgeving. Het meedenken over en anticiperen op nieuwe voorwaarden die eindklanten aan de partner moeten stellen, is iets dat we ook zeer serieus nemen. Meer weten? Neem dan contact met ons op via info@fundaments.nl of bel naar 088 4227 227.