Great Place To Work Nederland is een onderzoeks- en adviesbureau op het gebied van organisatiecultuur. Ze ondersteunen organisaties bij het onderzoeken, erkennen en ontwikkelen van goed werkgeverschap. De organisatie is gevestigd in Haarlem en heeft 22 enthousiaste mensen in dienst. Het is een franchiseorganisatie, waarvan het moederbedrijf (Great Place To Work Inc.) gevestigd is in Amerika. Great Place To Work is een internationale organisatie en in meer dan 45 landen actief. Onlangs is Great Place To Work Nederland succesvol gecertificeerd conform de ISO 27001 norm. We spreken Tom Strouken over dit traject en de samenwerking met QSN
De filosofie van Great Place To Work is opgebouwd vanuit drie belangrijke kernwaarden, namelijk vertrouwen, trots en kameraadschap. Tom vertelt: ‘Vertrouwen is het fundament van ons gedachtengoed. Dit willen we dan ook uitdragen naar onze belangrijkste stakeholders, zowel klanten als onze mensen en leveranciers. Het op een vertrouwelijke manier omgaan met de gegevens van onze stakeholders is daar onderdeel van.’ Om dit vertrouwen ook daadwerkelijk aantoonbaar te maken heeft de organisatie besloten om zich te certificeren op ISO 27001. De norm voor informatiebeveiliging. Tom vult aan: ‘Vertrouwen komt te voet en gaat te paard. Het is belangrijk om hier secuur mee om te gaan.’
Great Place To Work had de wens om op een aantal vlakken verder te professionaliseren. Daarnaast werd een schema voor informatiebeveiliging steeds vaker als eis gesteld door de opdrachtgever. ‘We groeien en zijn steeds zichtbaarder. Hierdoor is het voor bijvoorbeeld hackers ook aantrekkelijker om ons aan te vallen. Het in kaart brengen van de risico’s en het treffen van maatregelen voor informatiebeveiliging is van essentieel belang’, laat Tom weten. Het certificeren op ISO 27001 sluit perfect aan bij deze interne en externe motivatie.
Great Place To Work werkt volgens het Holacracy-model voor zelforganisatie. Hierbij is geen sprake van een hiërarchische structuur en vaste functieomschrijvingen. De mensen van Great Place To Work interacteren binnen cirkels op een bepaald thema en kiezen daarin gezamenlijk een rol die hen past. . Tom heeft binnen de cirkel ‘IT en Security’ de rol van cirkel lead. Vanuit deze rol is hij betrokken geweest bij het ISO 27001 traject. Hij vertelt: ‘Het behalen van het certificaat zorgt ervoor dat we aan de buitenwereld kunnen aantonen dat informatiebeveiliging belangrijk is en we technische en organisatorische maatregelen treffen om de risico’s te beperken. Ik wist meteen dat ik daar mijn steentje aan bij wilde dragen.’
‘We kwamen er al snel achter dat we niet goed wisten waar we moesten beginnen en waar we stonden op het gebied van informatiebeveiliging,’ begint Tom, ‘daarom hebben we verschillende partijen benaderd voor begeleiding. QSN werd ons aangeraden door een andere organisatie. Uit het gesprek met de accountmanager van QSN bleek dat ons gevoel klopte, er moest nog een hoop gebeuren.’ QSN is bij Great Place To Work gestart met het uitvoeren van een nulmeting. Een nulmeting is een inventarisatie van de huidige situatie ten opzichte van het normenkader. Het brengt in kaart waar de organisatie staat én wat er nog moet gebeuren om aan de norm te voldoen. Na de nulmeting heeft QSN Great Place To Work ook mogen begeleiden bij de implementatie van ISO 27001. Tom vertelt: ‘Er was direct een goede klik met QSN consultant Lisa. Het is fijn om een kritisch blik van buitenaf te hebben en te kunnen terugvallen op iemand die de kennis en expertise in huis heeft. QSN is daarmee de stok achter de deur.’
Lisa is vanaf het eerste moment de consultant bij Great Place To Work. Tom begint: ‘Ik was op zoek naar een consultant die het tegenovergestelde van mij is. Ik ben van nature iemand die vaak denkt ‘het komt wel goed’. Lisa is kritisch, vraagt door en mist geen enkel risico. Mede door haar hulp hebben we het certificaat kunnen halen.’ Ook na certificatie blijft Lisa betrokken bij het beheer van het managementsysteem. ‘De kennis en blik van buitenaf kunnen we niet missen. Lisa komt nu vier keer per jaar langs. Dan kijken we samen waar we staan, zo blijven we continu verbeteren’, vertelt Tom. Ook Lisa waardeert de samenwerking: ‘Het begeleiden van Great Place To Work, als positief kritische klant waar vertrouwen de belangrijkste factor is, voelt als een feestje!’.
Great Place To Work werkt volgens het Holocracy-model, waarbij autonomie heel belangrijk is. Tom begint: ‘Het was best een zoektocht hoe we betrokkenheid en bewustzijn konden creëren bij onze mensen. Ik had door dat we vooral het belang van het ISO 27001 certificaat voor onze organisatie duidelijk moesten maken. Waarom doen we dit?’ Lisa vult aan: ‘Daarom hebben we samen een sessie georganiseerd over de meerwaarde van certificering. Ook hebben we verschillende informatiebeveiligingswaarden opgesteld, bijvoorbeeld wanneer een onbekende het pand binnenkomt spreek hem of haar dan aan.’ Tom gaat verder: ’Dit heeft uiteindelijk geleid tot commitment vanuit het hele team. Iedereen was bij de eindpresentatie van de externe audit aanwezig en we hebben met z’n allen gevierd dat het certificaat is behaald’.
‘Het is nu aan ons om het managementsysteem verder aan te scherpen en nog beter aan te laten sluiten op onze werkwijze. Lisa heeft een Overzicht Continue Verbeteren (OCV) aangedragen. Deze ben ik nu in onze online omgeving aan het zetten, zodat we vanuit daar de actiepunten kunnen oppakken’, vertelt Tom, ‘Daarnaast moeten we zorgen dat informatiebeveiliging bij iedereen ‘top of mind’ blijft. Ik vind het goed om te zien dat collega’s incidenten melden, bijvoorbeeld wanneer ze een gek mailtje ontvangen. Dat moet zo blijven.’ Tot slot laat Tom weten dat ze op de lange termijn wellicht intern mensen willen opleiden voor het uitvoeren van de interne audits. Een mooi doel voor de toekomst!