“Onze informatiebeveiliging moet gewoon perfect zijn”

Stichting RINIS trots op ISO 27001-certificering

“Als je van je deelnemers verwacht dat hun informatiebeveiliging volledig in orde is, dan moet je eigen beveiliging ook optimaal zijn. Ik kan oprecht zeggen dat we dat nu voor elkaar hebben, met de internationale ISO 27001-certificering die we hebben behaald”, aldus directeur Rob Verweij van Stichting RINIS.

RINIS is hét knooppunt voor het elektronisch uitwisselen van gegevens in het publieke domein. De afkorting staat voor Routerings Instituut (inter)Nationale Informatiestromen. De gegevensuitwisseling is volledig geautomatiseerd. Onder andere de Belastingdienst, UWV en de Sociale Verzekeringsbank (SVB) zijn deelnemer van deze shared service. Feitelijk is RINIS een landelijke digitale postbode. Een zeer goed beveiligde postbode. Per jaar wisselt de stichting 1,5 tot 2 miljard berichten uit binnen Nederland. Een simpel voorbeeld is het kopen van een huis: de informatie van de notaris wordt via RINIS bij de Belastingdienst aangeleverd.

Aantoonbaar betrouwbaar

RINIS is enkele jaren geleden gestart met de ISO27001-certificering. In 2018 kwam het in een stroomversnelling. Eric van der Drift, IT-manager bij RINIS, maakte dit proces van dichtbij mee. Hij vertelt: “Het is heel logisch dat de instanties waar wij mee samenwerken, altijd een flinke mate van voorzichtigheid betrachten zodra hun gegevens de deur uit gaan. Hun data bevindt zich dan tijdelijk bij ons, en dus buiten hun eigen regiedomein. RINIS wil een betrouwbare partner zijn. Dat was aanleiding om – buiten de inspanningen die we al leverden op het gebied van informatiebeveiliging – de internationale ISO 27001-norm te willen halen”.

Rolverduidelijking

Die ISO-norm sluit naadloos aan op de identiteit van RINIS. De stichting heeft vanzelfsprekend al een enorme Security focus. Maar procedureel was er nog te weinig vastgelegd. Ook de ISMS-expertise (Information Security Management System) kon beter. Daar lag dan ook de uitdaging om de ISO 27001-certificering te realiseren. Bij een ISO-normering hoort altijd een interne en externe audit. Toen de interne audit werd opgestart in september 2018, bracht dit meteen bepaalde vragen aan het licht: Wie heeft binnen RINIS welke rol? Bijvoorbeeld als het gaat om de CISO-rol (Chief Information Security Officer), of de rol van Functionaris Gegevensbescherming? Welke risico’s lopen we?

Externe expertise

Directeur Rob Verweij: ”RINIS is een hele wendbare organisatie. Compact, met korte lijnen, maar ook met verhoudingsgewijs weinig overhead capaciteit. Daarom hebben we een externe partij (Mirato Group) benaderd om voor ons de interne audit te doen. Leon van den Langenberg (senior consultant van Mirato) vertelt over de eerste stappen die zij namen: “Informatiebeveiliging zit in de genen van de mensen en de functies binnen RINIS. Dus waar we vooral mee aan de slag zijn gegaan, zijn de processen daar omheen. Zoals het risico van medewerkers met veel kennis die vertrekken. Binnen een organisatie als RINIS moeten de processen onafhankelijk zijn van de personen die er werken. Verder hebben we kritisch naar de bestaande risico analyse gekeken. We hebben de risico-discussie veel pragmatischer gemaakt: welke risico’s zijn reëel, en voor welke risico’s is het voldoende om ze alleen geïnventariseerd te hebben? Welke risico’s horen nu echt bij RINIS en de bedrijfsprocessen? Want dat spreekt medewerkers aan om ermee aan de slag te gaan”.

Interne en externe audit

Naast het risicodossier bracht de audit nog twee andere belangrijke aandachtspunten naar voren: Leveranciersmanagement en de aantoonbaarheid van de werking van het ISMS. De weken na de interne audit benutte RINIS om samen met Mirato de bevindingen uit de interne audit op te pakken, ter voorbereiding op de externe audit die eraan zat te komen. De externe auditor (BSI) vond nog een aantal ‘major’ en ‘minor’ verbeterpunten: bij major punten moet er naast het onderbouwen hoe een punt is opgelost, deze ook aantoonbaar zijn geïmplementeerd binnen de gestelde termijn. Rob Verweij: “Mirato heeft toen een plan van aanpak gemaakt waarmee we tot half december alle bevindingen hebben opgepakt. Voor de certificering moet dit namelijk binnen 90 dagen na de interne audit worden gedaan. In januari kwam het verlossende antwoord op de externe audit: we voldoen aan alle eisen van de internationale ISO 27001-norm. Geweldig nieuws, waar we trots op zijn en hard voor hebben gewerkt”.

Hoe nu verder?

Het behalen van de ISO-norm is nog maar het begin. Nu de belangrijkste (‘major’) bevindingen zijn opgelost, heeft RINIS een jaar de tijd om ook de minder belangrijke (’minor’) non-Compliance Findings (NCF’s) op te pakken. Hiervoor start per februari een tijdelijke CISO via Mirato Group die RINIS gaat ondersteunen bij het optimaliseren van hun ISMS systeem, zaken beter gaat aansluiten op de bedrijfsprocessen en de minor NCF’s oppakt. Ook is er binnen RINIS mogelijk aanvullende opleiding nodig om zelfredzaam te worden in het doen van interne audits.

Scherp blijven

IT-manager Eric van der Drift kijkt met vertrouwen, maar ook kritisch naar de toekomst: “De ambitie is uiteraard om de ISO-normering in stand te houden. Nu is het nog nieuw en speciaal, maar straks moeten we scherp blijven en de eisen aan onszelf hoog houden. Zoals onze klanten ook van RINIS mogen verwachten. Het goed beveiligd routeren van data wordt steeds waardevoller voor deelnemers, en dit moet je kunnen aantonen. Zij moeten ten volste kunnen vertrouwen op onze informatiebeveiliging”.

Bouwen aan vertrouwen

Rob Verweij: “En we hopen op een soort olievlek. Als ook andere partijen hun ISO 27001-certificering halen, wordt het zakendoen efficiënter. Door te werken met één internationale standaard sluiten we veel makkelijker aan op de systematiek van een ander, en vice versa. Dan is onze informatiebeveiliging tegen dezelfde meetlat getoetst. Zo bouwen we verder aan de hoeveelheid onderling vertrouwen. En vertrouwen is cruciaal in onze tak van sport”.