KLM Health Services was al bekend met diverse certificeringstrajecten. Ook al was de informatiebeveiliging goed geregeld, het was nog niet vastgelegd in een certificaat. Dit heeft het compliance team nu ook aangepakt. “We willen dat onze klanten met vertrouwen hun gegevens aan ons afstaan”, legt de Functionaris Gegevensbescherming Bram Chlon uit.
“We wilden ons certificeren op ISO 27001 en NEN 7510, toegespitst op de zorg. Want medische gegevens brengen een extra risico met zich mee. Het ging daarbij tussen QSN en een andere partij”, vertelt Bram. “Na het eerste gesprek dachten we dat de andere partij het zou worden. Daar zat de consultant met wie we te maken kregen namelijk direct aan tafel. Dus we konden heel gericht vragen stellen. Om geen appels met peren te vergelijken hebben we QSN gevraagd ook hún consultant mee te nemen naar het tweede gesprek.”
De proactieve houding van Marie-Cecile Pruijn en haar 15 jaar ervaring viel hem toen op. “Maar er was ook een klik en dat is belangrijk als iemand vaak over de vloer komt en je gaan adviseren. Marie-Cecile wachtte onze vragen niet af, maar legde vooral uit hoe zij het zou aanpakken. Dat en de reactiesnelheid van QSN gaf de doorslag.”
Toen QSN vertelde dat een traject meestal zes tot negen maanden in beslag neemt, werd een deadline gesteld. Kwaliteitsfunctionaris Lucy de Pagter: “Wij dachten dat als we dit certificaat zouden hebben, het met de AVG ook wel goed zou zitten. Daar hebben we ons in vergist. De AVG stelt specifieke eisen buiten de informatiebeveiliging om. Achteraf was de deadline dus te ambitieus. Een tweede adviseur van QSN heeft ons geholpen ook AVG compliant te worden. Uiteindelijk was de certificering rond in april 2019.’’
“Als dochteronderneming van KLM wordt het natuurlijk van je verwacht, maar je moet het wel doen. En dat is gelukt, samen met QSN”
“De hele organisatie meekrijgen was een heikel punt voor het projectteam”, bekent Bram. “De ene afdeling was enthousiaster dan de andere. Het grootste knelpunt is toch vaak tijd. En eigenaarschap. Sommigen denken: dat lossen zij wel op, maar je hebt iedereen nodig om het certificaat binnen te halen en te behouden. Gelukkig stond de directie achter ons. Marie-Cecile is ook een paar keer in gesprekken met de directie aangeschoven om de noodzaak daarvan te benadrukken. Wij hebben zelf geen pressiemiddel, de directie wel.”
“Marie-Cecile heeft zich uiterst professioneel opgesteld en ervoor gezorgd dat we ons focusten op doelgerichte acties naar het einddoel”, prijst Lucy de QSN-consultant. “Ik vond het wel jammer dat ze maar eens in de drie weken hier was. Zo kon ze minder de rol van projectleider op zich nemen dan wij van tevoren hadden bedacht. Maar ons doel is gehaald en we merken dat klanten en leveranciers het prettig vinden dat we zo serieus met dit soort zaken bezig zijn. Als dochteronderneming van KLM wordt het natuurlijk van je verwacht, maar je moet het wel doen. En dat is gelukt, samen met QSN.”