Digitrust.nl is één van de onafhankelijke deskundigen die certificaten uit mogen reiken op het gebied van informatiebeveiliging. Hierbij wordt ISO 27001 als norm gebruikt. Dit wordt op internationaal niveau als dé manier gezien om informatie op te slaan en te beveiligen. Een bedrijf kan met dit certificaat dus aantonen hoe belangrijk hij het vindt om veilig met informatie om te gaan. Dat kan zowel voor potentiële zakenpartners als consumenten fijn zijn om te weten. Maar wat vertelt zo’n certificaat nou precies?
Hoe belangrijk is een certificaat?
Besef allereerst dat een ISO 27001 certificaat zelf niks hoeft te zeggen. Het is een certificaat. We weten dat certificaten niet altijd zekerheid geven. Sommigen kunnen heel eenvoudig op een website worden geplaatst, zonder dat de site ooit getest is. Het ene certificaat is het andere niet. Gelukkig maar, want een ISO 27001 certificaat ontvang je niet zomaar. Je moet eerst een volledige audit doorlopen door een onafhankelijke deskundige. Hoewel het certificaat drie jaar geldig is, zullen er ook tussentijdse audits plaatsvinden om te controleren of nog steeds aan de norm wordt voldaan.
Bijzonder voor een ISO 27001 audit is dat het te certificeren bedrijf zelf aangeeft op welke onderdelen deze gecontroleerd wil worden. Op basis daarvan wordt vervolgens door de auditor bepaald in hoeverre aan de norm is voldaan. Besef wel goed dat elke onderneming anders is en dus ook om een andere aanpak vraagt. Er worden ook andere eisen gesteld aan de manieren waarop zij informatie opslaan. Een zorginstelling die online medische dossiers opslaat, heeft bijvoorbeeld een geheel andere zorgtaak dan een webshopeigenaar. Er is dus geen kant-en-klare aanpak bij het doorlopen van een ISO 27001 audit. Dit is per bedrijf verschillend.
Waar let je op als je kiest voor een gecertificeerd bedrijf?
Sommige bedrijven proberen ISO 27001 te gebruiken om hun betrouwbaarheid te vergroten. Zelfs wanneer dit eigenlijk niet terecht is. Daarom is het belangrijk om ook bij een gecertificeerd bedrijf goed op de informatie te letten die wordt gegeven. Let in elk geval op het volgende:
- Welke data staat weergegeven op het certificaat? Een ISO 27001 certificaat is altijd maar maximaal 36 maanden geldig. Sommige bedrijven laten het certificaat heel lang op hun website staan, zelfs wanneer deze al niet meer geldig is. Je weet dan niet zeker of het bedrijf nog steeds aan de norm voldoet. Daarom is het verstandig om op de data te blijven letten.
- Vraag het certificaat op en lees de volledige scope. Zo weet je precies waar men op heeft getest en wat dit voor jou betekent.
Als je al deze informatie hebt verzameld, kun je zelf een weloverwogen beslissing maken. Wil je nog altijd kiezen voor dit bedrijf? Of roepen bepaalde dingen toch wel wat vragen op? Het is goed om dit ruim van tevoren te ontdekken en niet als je al midden in een samenwerking zit.