We hadden alles op orde. Dachten we.
Ons bedrijf was net gecertificeerd voor ISO 27001. De audit was positief verlopen, het certificaat hing trots bij de ingang, en intern hadden we het vinkje gezet: informatiebeveiliging geregeld. Beleid? Check. Procedures? Check. Risicoanalyse? Check. De auditor was tevreden. Wij ook.
Tot er iets misging. En we niet konden terugvallen op het systeem waarvan we dachten dat het er was.
Wat er gebeurde
Het begon met een menselijke fout. Een collega stuurde een bestand met klantinformatie naar het verkeerde e-mailadres. Geen opzet, geen hack, gewoon een vergissing. Maar het was wel een bestand met gevoelige data. En dus moesten we in actie komen.
Alleen: niemand wist precies wat die actie moest zijn.
Was dit een incident? Moest dit ergens gemeld worden? En aan wie eigenlijk?
Het bleef eerst even hangen in Slack. Iemand vroeg voorzichtig: “Zal ik het bij IT neerleggen?” Een ander reageerde: “Volgens mij moet het naar Security.” Er werd naar een beleidsdocument gezocht, maar niemand wist precies waar het stond. En het formulier voor incidentregistratie? Dat bleek helemaal niet ingericht.
Tegen de tijd dat we de juiste mensen bij elkaar hadden, was er kostbare tijd verloren gegaan. We vroegen ons hardop af: “Moeten we dit eigenlijk binnen 24 uur melden?”*
*(Voor de duidelijkheid: onder AVG geldt een meldplicht van 72 uur aan de Autoriteit Persoonsgegevens. Voor bepaalde sectoren en onder NIS2 kunnen aanvullende termijnen gelden. Wat hier vooral pijnlijk werd: we wisten het niet zeker.)
Het probleem zit niet in het incident, maar in het systeem
Het was niet het incident zelf dat ons onderuit haalde. Het was het besef dat onze structuur vooral op papier bestond.
We hadden ISO 27001.En toch wisten we bij het eerste serieuze incident niet wat we moesten doen. De papieren werkelijkheid was niet vertaald naar het dagelijks werk. Het beleid was netjes opgeschreven en stond ergens in een SharePoint map, maar niemand had het ooit gebruikt, laat staan geoefend.
Die realisatie kwam hard aan.
De ISO-certificering is waardevol. Begrijp me goed: het biedt kaders, het dwingt tot reflectie, het helpt je de juiste vragen te stellen. Maar het is een momentopname. Het zegt niets over hoe je bedrijf functioneert op een drukke dinsdagochtend als iemand op ‘verzenden’ klikt. Of op een vrijdagmiddag als je leverancier belt met een melding van een datalek. Dan doet je certificaat niets, tenzij je processen ook écht werken.
De meldcultuur die er niet was
Wat we merkten: medewerkers twijfelden of dit wel ‘een echt incident’ was. En dat is precies waar het vaak misgaat. Want hoe eerder je weet wat er speelt, hoe beter je kunt reageren. Maar als melden ingewikkeld of onzeker voelt, zeggen mensen liever niets.
Wat we nodig hadden, was geen extra procedure. Wat we nodig hadden, was een laagdrempelig, vertrouwd en ingebed systeem. Iets eenvoudigs. Een korte vragenlijst. Een knop op intranet. Een terugkerend ritueel in het werkoverleg. Maar we hadden alleen een document. En dat vond niemand terug.
Wat we anders zijn gaan doen
We zijn daarna opnieuw begonnen. Niet met een hele nieuwe norm, maar met een andere insteek. Vanuit de praktijk.
We hebben één centrale plek ingericht waar incidenten gemeld kunnen worden. Of het nu gaat om een phishingmail, een verkeerd verzonden bestand of een vermoeden van een lek. Geen discussie meer over wat ‘echt genoeg’ is om te melden. Beter tien meldingen te veel dan eentje te weinig.
Elke melding wordt automatisch geregistreerd. Er is een duidelijke workflow voor opvolging. Verantwoordelijkheden zijn vastgelegd. En – misschien wel het belangrijkste – we trainen onszelf om dit gewoon te dóén. In plaats van af te wachten tot een incident ons overkomt.
De certificering is niet het doel. De realiteit is de toets.
Compliance moet leven in de praktijk. Het moet onderdeel zijn van het dagelijks werk, niet iets wat eens per jaar wordt afgestoft omdat de auditor weer komt. De papieren werkelijkheid is niet genoeg als je bedrijf afhankelijk is van informatie, systemen, mensen en vertrouwen.
Sindsdien kijken we anders naar ISO 27001. We gebruiken het niet als argument om gerust te zijn, maar als kapstok om telkens opnieuw te verbeteren. En dat is precies wat het zou moeten zijn.
Herkenbaar?
Als je dit leest en denkt: “Zo gaat het bij ons ook een beetje…”, dan ben je niet de enige. Veel bedrijven hebben wél beleid, maar geen gedrag. Ze hebben wél procedures, maar geen gewoonte. En dus wordt er pas gehandeld als het eigenlijk al te laat is.
Wil je het anders? Donderdag volgt een nieuwe blog waarin ik laat zien hoe je incidenten eenvoudig en effectief registreert, opvolgt én omzet in structurele verbetering. Geen extra werkdruk, maar rust en overzicht. Wil je het alvast vooruit lezen? Bekijk dan onze blogs over:
- De risicoanalyse: een onmisbaar instrument voor elke ondernemer
- Wat is een ISMS en waarom is het belangrijk voor jouw bedrijf?
Tot donderdag. En hopelijk: zonder incidenten.