BCT is ISO 27001:2013 gecertificeerd en voldoet daarmee aan strenge regels voor informatiebeveiliging. Hierdoor hebben klanten en partners zekerheid dat BCT zorgvuldig omgaat met hun gevoelige informatie en strenge regels naleeft om dit te blijven doen. De toekenning van de certificering is het begin van een driejarige controlecyclus waarin getest wordt of er nog aan de voorwaarden wordt voldaan. Dit gebeurt enerzijds door interne audits en anderzijds door een jaarlijkse externe audit. Deze constante verbetering vereist een continu bewustzijn onder de medewerkers van BCT, waardoor informatiebeveiliging altijd bovenaan de prioriteitenlijst staat.
AVG en informatiebeveiliging
Vanaf 25 mei 2018 moet iedere organisatie die grote hoeveelheden persoonsgegevens behandelt voldoen aan de wet Algemene verordening gegevensbescherming (AVG). De AVG heeft voornamelijk betrekking op persoonsgebonden data, ISO 27001:2013 heeft betrekking op informatiebeveiliging in een bredere context. Daarmee regelt de ISO-certificering dus de gegevensbescherming van de aspecten die aan de AVG zijn gerelateerd. Organisaties moeten weten over welke informatie zij beschikken en hoe streng dit beveiligd moet zijn door het te classificeren op onder andere integriteit en vertrouwelijkheid. Per classificatie zijn er richtlijnen en beveiligingsmaatregelen voor het omgaan met die informatie en wat te doen als er iets mee gebeurt.
Holistisch perspectief
Buiten dat BCT zelf al voldoet aan de AVG, helpen zij ook andere organisaties om gegevensbescherming op orde te krijgen. De systemen die zij leveren zijn conform de wet- en regelgeving en dragen ertoe bij dat een organisatie compliant wordt en blijft. Dit doet BCT niet alleen op technisch vlak, maar vanuit een holistisch perspectief waarbij drie kernbeveiligingsprincipes centraal staan: beschikbaarheid, integriteit en vertrouwelijkheid.
Het certificaat is een bevestiging naar stakeholders en de buitenwereld dat we informatie veilig afhandelen. Naast dat we zelf meer dan compliant zijn aan de wetgeving die eraan komt, zullen we er alles aan doen om andere organisaties te helpen dat ook te worden. Écht compliant zijn en juist omgaan met privacygevoelige (persoons)gegevens realiseer je echter niet met alleen software. Het omvat ook organisatorische en procedurele maatregelen. Gedrag zal dan ook altijd een grote rol blijven spelen. Wij kunnen informatiebeveiliging faciliteren met software, maar het juiste gebruik ervan is een randvoorwaarde om aan de AVG te voldoen.
Jos Bischoff, directeur bij BCT