REFERENCE Cases
Een selectie uit onze referenties

wie zijn we

Weekly Webinars

Carmelo Messina

20 MAART 2018
Odin Groep

CompLions-GRC klanten over de voordelen van werken met de GRC-tooling

Certificeringen hebben de reputatie arbeids- en tijdsintensief te zijn. De GRC-tooling van CompLions-GRC bewijst dat het ook anders kan. Twee klanten, Odin Groep en Cyso delen hun ervaringen met deze Nederlandse dienst.

 Onder de vlag van Odin Groep zijn meerdere bedrijven geschaard. De datacenters van Previder behoren tot de bekendste activiteiten. CFO Carmelo Messina beantwoordde de volgende vragen.

Waarom is Odin Groep gecertificeerd?

Het is voor ons een “license to operate”. We zijn naar ISO9001, ISO14001 en ISO27001 gecertificeerd, omdat daar heel vaak om gevraagd wordt. Daarnaast hebben we nog meer specialistische certificeringen zoals DigiD, NEN7510 en een SOC2 rapportage, die voorwaarde zijn om specifieke klantgroepen te mogen bedienen.

Was Odin Groep al gecertificeerd voordat CompLions-GRC in beeld kwam?

Ja, maar die methode voldeed niet meer aan onze wensen. Het was te arbeidsintensief en mede daardoor was de betrokkenheid in de organisatie in onze optiek onvoldoende.

Wat is er door het overstappen naar CompLions-GRC veranderd?

Best wel veel. Om te beginnen hebben we de Excelsheetfase definitief achter ons gelaten. Daarnaast is mede door de simpele werking en het inzicht dat de CompLions-GRC tooling geeft, de betrokkenheid in de hele Odin Groep toegenomen. Meer bewustzijn, meer focus op permanent verbeteren en dat leidt dan tot meer efficiency. Dat is een positieve verandering. Als ik zeg meer betrokkenheid, bedoel ik dat aandacht voor certificeringen niet langer de job van de quality auditor, de Security Officer en de CFO is. Iedereen, alle afdelingen en de hele directie begrijpt nu makkelijker wat het concreet betekent en wat de voordelen zijn. Voor de externe auditor, in ons geval is dat BSI, is er ook het nodige veranderd. Zij krijgen de data meer gestructureerd aangeleverd, dat scheelt hen tijd.

 Scheelt het jullie ook tijd?

Absoluut, we kunnen nu bijvoorbeeld bepaalde zaken doorrollen, zodat een jaar later dezelfde werkzaamheden veel sneller te doorlopen zijn. Verder is belangrijk dat de GRC-tooling overlap in de normsettings signaleert en ontdubbelt. Op die manier is een behoorlijke tijdswinst te behalen.

Wat kan Odin Groep nu, wat vroeger niet haalbaar was?

We hebben nu mede op basis van de GRC-tooling en conform ISO14001 een jaarlijkse duurzaamheidsrapportage. Uit de tooling komt data waarmee de quality manager het rapport efficiënter kan opstellen. Daar hebben we twee versies van. Een gedetailleerde voor intern gebruik en een compactere, makkelijk leesbare online versie voor klanten en geïnteresseerden.

Wat zijn de ambities van Odin Groep en hoe helpt CompLions-GRC daarbij?

Onze ambitie is tot de top van Nederlandse IT-bedrijven te blijven behoren en langdurige en strategische relaties aan te gaan met onze klantgroepen. We willen ook op de lange termijn relevant blijven in de snel veranderende markt. Veelal voor klanten die certificeringen ook als eis stellen, omdat ze voor de hoogste kwaliteit moeten gaan. Om dat aan te kunnen tonen hebben we de GRC-tooling nodig. Ook in de gevallen waar de audits puur maatwerk zijn, wat voor sommige klanten verplicht is, blijft de GRC-tooling een belangrijke basis.

We verwachten binnenkort tot de eersten in Nederland te behoren die AVG-certificering gaan behalen. Daarvoor zullen we ook weer de GRC-tooling inzetten, die daarvoor wordt uitgebreid.

Timo Schipperen

20 MAART 2018
Amphia Ziekenhuis

Hoe heeft het Amphia Ziekenhuis de grip op continuïteit ingericht?

Vol trots en enthousiasme laat Timo Schipperen zien dat hij “In Control” is.

Hij toont een donut-grafiek die helemaal groen gekleurd is. Dat is de grafiek van het dashboard van GRCcontrol, de GRC oplossing van CompLions-GRC. Deze software gebruikt hij voor het managen van een aantal normen die voor het ziekenhuis van toepassing zijn. In dit geval heeft hij de NEN7510 norm geselecteerd. Timo heeft zelf ook normen ingevoerd en gerelateerd. Daar zitten normen bij met een heel boekwerk zo dik als een telefoonboek. De normen die ze in GRCcontrol bijhouden zijn NEN7510, ISO27000, AVG privacy, CMT Convenant Medische Technologie, GMP-Z Good Manufacturing Practice Zorg voor de Apotheek, IGZ Inspectie Gezondheidszorg (o.a. VMS), JCI Joint Commission International kwaliteitsnormenkader, NTA Nederlands Technische Afspraak, VMS Veiligheid Management Systeem, Post-operatief en Pre-operatief. Door gebruik van GRCcontrol worden dubbele maatregelen voorkomen, omdat veel maatregelen uit de verschillende norm en overlappen. “Dit scheelt veel papierwerk en administratieve last”, aldus Timo.

Wat betekent dat je “In Control” bent?

"In control" betekent dat je weet welke maatregelen je hebt genomen om te voldoen aan de gestelde normering en daarmee kwetsbaarheden en risico’s kunt voorkomen. Dus dat je wetten en normen naleeft. He betekent ook je alle maatregelen blijft controleren en verbeteracties uitvoert zodat je ook “in control” blijft. Het is een doorlopend proces met Plannen, Doen, Controleren en Uitvoeren (Plan-Do-Check-Act) waarbij het proces wordt geborgd. Middels interne- en externe controles (audits) worden de maatregelen gecontroleerd. Met certificering op een norm kun je bewijzen dat je aan de norm voldoet. Certificering is ook steeds meer een eis in de zorg en wordt zo veel makkelijker.

Heb je speciale software nodig om alles goed bij te houden?

In het begin kun je met Excel uit de voeten, maar op een gegeven moment loop je daarmee vast. Ik kan niets meer met Excel.

Hoe gaat het bij andere ziekenhuizen?

Ik denk wisselend. Het belangrijkste is een goed commitment van het management. Je moet investeren in mensen en in tooling. En omdat het software is denkt men dat het daarmee onder ICT valt. Dat is niet zo. Het is debedrijfsorganisatie waarbij je de hele organisatie en alle functies en bedrijfsprocessen in kaart brengt. Het is het samenspel van technische en organisatorische maatregelen. Het is veel werk en dat doe je er niet even bij. Ik werk goed samen met onze ICT- afdeling en krijg de nodige support van ons management. Daardoor zijn we met elkaar “In Control”.

Sven Visser

20 MAART 2018
Cyso

CompLions-GRC klanten over de voordelen van werken met de GRC-tooling

 Cyso uit Alkmaar is een managed hosting provider. Het bedrijf zorgt ervoor dat websites en webapplicaties van klanten online beschikbaar zijn. Co-Founder, Sven Visser beantwoordde de vragen.

Waarom is Cyso gecertificeerd?

Uiteraard hebben we te maken met vragen van onze klanten. Daarnaast willen we als bedrijf professioneel met informatiebeveiliging omgaan en dat ook kunnen aantonen. Dan zijn ISO27001 en NEN7510 onmisbaar. Daarnaast hebben we nog ISO20000, dat is de standaard voor IT Service Management.

Was Cyso al gecertificeerd voordat CompLions-GRC in beeld kwam?

Nee. Toen ik de shortlist opstelde viel me op dat er partijen waren die ons in de certificeringstrajecten wilden ondersteunen op de traditionele manier, dus met veel Excelsheets. Dat sprak me weinig aan. We deden bij Cyso al het nodige op die manier en daar wilde ik juist vanaf. CompLions-GRC had als een van de weinige aanbieders een SaaS-oplossing. Dat sprak me meer aan, helemaal toen ik begreep wat we er allemaal mee konden doen. Daarnaast was er direct een goede klik tussen de bedrijven, dat is ook belangrijk.

Wat is er door het gebruiken van de CompLions-GRC tooling veranderd?

Wat we merken is dat zeker de auditeurs van grotere klanten altijd willen weten hoe we werken en welke methodieken worden toegepast. Als we dan aangeven de CompLions- GRC tooling te gebruiken, dan stelt ze dat gerust. Dan weten ze dat er niets is overgeslagen en dat alles overzichtelijk is. Dat is een deel van het verhaal. Er is ook een intern aspect te vermelden. De risicoanalyses die we voorheen maakten kenden onvermijdelijk de eigen interpretatie van de auteurs. Dat leidde vaak tot discussies. Nu is er een neutraal normenkader waar iedereen zich aan houdt.

 Scheelt het jullie ook tijd?

Zoals ik al aangaf, met de risicoanalyses hebben we nu allemaal dezelfde kaders. We hebben het nu allemaal over hetzelfde. Dat is natuurlijk een verbetering van de efficiency, dus het scheelt ook tijd.

Wat kan Cyso nu, wat vroeger niet haalbaar was?

Door gebruik te maken van de CompLions-GRC tooling zijn we beter in staat op meer te letten dan de techniek. Daar bedoel ik mee dat we een technisch bedrijf zijn en de neiging hebben voor elke uitdaging een technische oplossing te zoeken. Bij IB moet je breder kijken en de GRC-tooling dwingt ons dat bij elke stap te doen. Daardoor worden onze processen en oplossingen steeds beter.

Verder kunnen we nu bijzondere klanteisen volledig integreren met de audit. Bijvoorbeeld een aanvullende eis over Disaster Recovery. Door de regels daarvoor in de GRC-tooling op te nemen worden de procedures en afspraken 100% geborgd en het wordt auditable. 

Wat zijn de ambities van Cyso en hoe helpt CompLions-GRC daarbij?

We hebben een gezonde groeiambitie en verwachten naar 100 medewerkers door te groeien. Daarbij blijven we focussen op het middensegment van de markt. Wat we zien is dat de certificeringseisen die de corporates stellen onvermijdelijk doorsijpelen naar onze klanten. Daarop zijn we dankzij de CompLions-GRC tooling voorbereid, maar het valt niet uit te sluiten dat we nog meer certificeringen nodig gaan hebben. Een vorm van AVG-certificering of een ISAE3402-verklaring zou er dan een van kunnen zijn.

20 MAART 2018