SHM op weg naar behalen certificering ISO 9001 en ISO 27001

Sinds 2002 verzamelt Stichting HIV Monitoring (SHM) gepseudonimiseerde data over mensen die leven met hiv in Nederland en in zorg zijn bij een van de 26 aangewezen hiv-behandelcentra. Bij het verzamelen, verwerken, opslaan en gebruiken van deze gegevens is het binnen SHM een vereiste dat de privacy gewaarborgd wordt en de informatie goed beveiligd is. Om ook formeel de inzet van SHM op dit gebied te kunnen bevestigen, is SHM bezig met het aanvragen van twee ISO-certificaten: ISO 9001 en ISO 27001. We spraken met Brenda Tuk-Stuster, functionaris gegevensbescherming bij SHM, en Anna Jansen, projectleider ISO-certificering, over de certificaten, waarom SHM de certificaten aanvraagt en hoe de aanvraag verloopt.

ISO 9001 en ISO 27001, wat houdt het in?
“ISO-certificaten worden toegekend aan bedrijven die voldoen aan specifieke kwaliteitsnormen die internationaal zijn vastgesteld. Voor de ISO 9001-norm worden eisen gesteld aan het kwaliteitsmanagementsysteem van een bedrijf. Hierin wordt getoetst of een organisatie in staat is om te voldoen aan de eisen van klanten, wet- en regelgeving en interne eisen. ISO 27001 is een norm die zich richt op de beveiliging van gegevens: zowel bedrijfsgegevens als gegevens die aan de organisatie beschikbaar worden gesteld, zoals bij SHM bijvoorbeeld de patiëntendata. Organisaties worden na het behalen van de certificaten vervolgens jaarlijks getoetst op deze eisen om hun certificering te mogen behouden”, vertelt Brenda.

Waarom vraagt SHM deze ISO-certificaten aan?
“Hoewel ISO-certificering nog geen formele eis is voor activiteiten zoals bij SHM, willen we dit zelf graag omdat dit onderstreept hoe serieus SHM informatiebeveiliging, gegevensbescherming en kwaliteitsmanagement neemt. We kunnen hiermee aantonen dat alle processen daadwerkelijk betrouwbaar zijn.”, vertelt Anna. “Daarnaast gaat er volgend jaar mei een nieuwe Europese wet in: de Algemene Verordening Gegevensbescherming. Deze wet scherpt de privacyrechten van personen aan en geeft organisaties meer verantwoordelijkheden. Zo moeten organisaties nu kunnen aantonen dat ze de juiste organisatorische en technische maatregelen treffen om persoonsgegevens te beschermen. Ook SHM moet aan de eisen van deze nieuwe wet voldoen en aangezien de eisen voor het ISO 27001-certificaat hier erg dichtbij liggen, is het een logische stap om dit certificaat te behalen. Verder merken we dat ISO-certificaten steeds belangrijker worden. Ook wij stellen nu, voor zover mogelijk, de eis aan onze partners dat ze gecertificeerd zijn. Je weet als organisatie dan dat de processen bij de partij waarmee je samenwerkt betrouwbaar en veilig zijn.”, vult Brenda aan.

Hoe verloopt de aanvraag?
“Voor de certificering moeten alle processen en risico’s binnen de stichting worden gedefinieerd en gedocumenteerd. Een deel van de processen was al vastgelegd en is voor de aanvraag waar nodig geüpdatet, de rest is door de betreffende afdelingen ontwikkeld. Daarnaast zijn de risico’s in overleg met de medewerkers vastgesteld. We zijn nu bezig om alle processen en risico’s samen te laten komen in het kwaliteitsmanagementhandboek.”, vertelt Anna. “Het is een levendig document, dat continu aangescherpt en aangepast moet worden. Het doel van de ISO-norm is ook dat risico-gebaseerd denken en handelen onderdeel wordt van alle processen binnen de organisatie. Dit houdt in dat je continu alle risico’s in de organisatie in kaart moet brengen, medewerkers geïnformeerd en waar nodig opgeleid moeten worden en er moet een systeem komen waarmee je voortdurend de organisatie analyseert en verbetert. Hiervoor maken wij bij SHM gebruik van de Plan Do Check Act (PDCA)-cyclus.”

“We hebben tijdens het aanvraagproces vooral gemerkt dat het belangrijk is dat je goed bekend bent met de materie van de normen. Met de kennis die we inmiddels bij SHM hebben opgebouwd zijn we ver gekomen. Ondanks dat we veel kennis in huis hadden, hebben we ook een specialist ingeschakeld om ons verder te helpen op bepaalde gebieden. We zijn door deze werkwijze altijd zeer nauw betrokken geweest bij het proces, omdat we als organisatie graag weten waarom we iets doen. We denken dat het hierdoor makkelijker is om de processen te blijven verbeteren.”

“We hopen dat we het certificeringsproces in de eerste helft van 2018 kunnen afronden.”, vertelt Brenda. “We zitten nu in de fase waarin we gaan bekijken of we aan alle eisen voldoen. De volledige PDCA-cyclus moet vervolgens tenminste éénmaal doorlopen zijn voordat tot certificering kan worden overgegaan.“ Een onafhankelijk certificeringsbureau zal vervolgens een audit doen, dat zal resulteren in een rapport en de juiste ISO-certificering.”, vult Anna aan.

En als de certificaten zijn behaald?
“Na de certificering wordt SHM periodiek herbeoordeeld. Daarvoor is het belangrijk dat de eisen die bij de certificaten horen ingebed zijn in de organisatie en dat we voortdurend onze processen blijven verbeteren, personeel scherp houden en hen blijven trainen waar dat nodig is. Daarnaast kunnen we door het implementeren van een strategie waarbij we de processen continu blijven verbeteren ervoor zorgen dat er gebieden worden aangewezen die mogelijk aandacht nodig hebben. Hierdoor kunnen we dataveiligheid garanderen en de kwaliteit van onze processen behouden. Dit zal niet alleen de efficiëntie verbeteren, maar ook de duurzaamheid van ons werk op de lange termijn.”, concludeert Anna.