Nog maar nét heeft Infinity IT haar her certificering binnen, of CISO Caty Hooijsma schuift ontspannen aan voor een gesprek. Geen spoor van de bekende auditstress. Eerder trots, opluchting en vooral een gevoel van volwassenheid in de organisatie en in haar team in het bijzonder. De hercertificering bevestigt niet alleen dat Infinity IT voldoet aan de zware eisen uit de zorg- en overheidssector, maar ook dat de manier waarop het bedrijf compliance benadert inmiddels stevig verankerd is. Waar veel organisaties nog in ad-hoc ritmes werken of knelpunten pas tegenkomen in de laatste weken voor een audit, heeft Infinity IT dankzij PulseComply een werkwijze ontwikkeld waarin continue verbetering centraal staat. In dit artikel kijken we samen met Caty terug op het traject, én vooruit naar hoe risicomanagement er in de dagelijkse praktijk hoort uit te zien.
Caty werkt sinds augustus bij Infinity IT, maar haar impact is direct zichtbaar. Zelf blijft ze nuchter. “Ik kom uit het Westland en woon in het midden van het land,” zegt ze. “Sinds ik bij Infinity IT werk, ben ik als CISO verantwoordelijk voor het hele informatie- beveiligingsbeleid én mag ik me bemoeien met adviestrajecten bij klanten. Dat maakt het werk dynamisch en heel concreet.”
Haar eerdere ervaring als informatie- beveiligingsadviseur helpt daarbij. Ze begeleidde interne audits, voerde o.a. directiebeoordelingen gevoed door een regulier IB-overleg uit en ondersteunde organisaties met of zonder CISO. “In dat werkveld leer je vooral goed kijken naar de praktijk,” vertelt ze.
“PulseComply als risicogedreven motor van het volledige risico & compliance proces.”
“Een norm is een richtlijn, geen invuloefening. Als je beleid niet klopt met wat de organisatie daadwerkelijk doet, creëer je als organisatie een probleem.”
Die praktische blik sluit naadloos aan op de wens van Infinity IT om te voldoen aan hoge compliance eisen, op een manier die werkbaar is en waarde toevoegt. De organisatie beschikt, met PulseComply als risicogedreven motor van het volledige risico‑ en compliance proces, inmiddels over een breed pakket aan normen en certificeringen: ISO 27001, NEN 7510, ISO 9001, ISO 27701 en werkt conform de BIO. Daarnaast werkt de organisatie al aan uitbreiding richting SOC 2 Type II en ISAE 3402. Volgens Caty is dat noodzakelijk: “Deze certificeringen en Assurance rapportages zijn essentieel voor aanbestedingen en SLA’s. Zonder deze basis sluit je jezelf letterlijk uit.”
Bij zoveel normeringen is overzicht essentieel en PulseComply vormt daarin de spil. Het platform integreert alle normen in één systeem, waar risico’s, controls, mitigaties en operationele taken logisch met elkaar zijn verbonden.
“PulseComply gaat veel verder dan een ISMS, het sluit aan op hoe een CISO dagelijks keuzes maakt.”
Volgens Caty is dat onderscheidend: “PulseComply werkt zoals een CISO werkt. Het denkt vanuit risico- management, niet vanuit documenten. “Dat maakt het uniek.” Vervolgens legt ze expliciet uit waarom PulseComply verder gaat dan een traditioneel ISMS:
“Een standaard ISMS is vaak documentgedreven,” zegt ze. “Je beheert mappen, versies en bewijsstukken en werkt toe naar een auditmoment. PulseComply is fundamenteel anders: het begint bij risico’s en koppelt die direct aan de bijbehorende mitigerende maatregelen en de verantwoorde- lijke. Daardoor krijg je een continu, actueel beeld van je compliance- positie. Het gaat veel verder dan een ISMS, het sluit aan op hoe een CISO dagelijks keuzes maakt.”
Die risico gedreven aanpak heeft directe impact op de auditcyclus. Wij volgen de standaard driejarige auditcyclus zoals die geldt binnen de ISO‑normen, NEN 7510 en het BIO‑normenkader, met jaarlijkse controleaudits en een volledige hercertificering in het derde jaar.
Wat voor auditoren vooral wennen was, is dat wij vanuit risico’s werken in plaats van de traditionele benadering waarbij eerst de volledige norm wordt gevolgd en pas daarna wordt gekeken of dit aansluit op de organisatie. Risicomanagement pakken we continu en net zo gestructureerd aan.
Elk jaar bepalen we samen met de directie onze risicobaseline, maar tussentijds monitoren we voort- durend.” Risico’s die boven die baseline uitkomen, krijgen directe prioriteit. Om de risico’s goed te kunnen beoordelen, worden alle medewerkers geïnterviewd. “Dat kost tijd,” zegt Caty, “maar het levert inzichten op die je nooit uit papier haalt.”
Het effect is duidelijk: “Audits zijn geen stressmomenten meer. Auditors waarderen dat zij op elk moment inzicht kunnen krijgen in de status van maatregelen en risico’s. Zelf heb ik continu overzicht in onze processen en verplichtingen.” aldus Caty. “Kortom, het laat zien dat we grip hebben op onze processen.”
Caty vervolgt: “Mede door onze feedback ontwikkelt PulseComply door met verbeteringen in zoekfuncties, taakbeheer en visuele signalering. Denk aan betere doorzoekbaarheid van controls, pushmeldingen voor domein- eigenaren en heldere status- indicatoren.” “Het lijkt klein,” zegt Caty, “maar deze optimalisaties maken het platform bijzonder gebruiksvriendelijk.
“Infinity IT is altijd auditready!”
Boven alles is Caty trots op de snelheid waarmee normeringen worden onderhouden én uitgebreid. Binnen vier maanden zijn meerdere bestaande normen succesvol geheraudit en is daarnaast de nieuwe ISO 27701-norm volledig geïmplementeerd en meegenomen in de audit. Het is een prestatie die laat zien hoe schaalbaar onze aanpak is, mede dankzij de tomeloze inzet van het team. We doen aan continue risicomanagement, en dat maakt het verschil. Bovendien zijn ook de operationele processen volledig in beeld en worden zij periodiek opgepakt door de aangewezen domeineigenaren, met toezicht en controle vanuit de CISO.”
De combinatie van sterke certificeringen, een risico gedreven aanpak en de inzet van PulseComply laat zien hoe volwassen compliance eruitziet in een moderne ICT‑organisatie. Caty vat het mooi samen:
“Compliance is geen doel op zich. Het is een randvoorwaarde om betrouwbare dienstverlening te kunnen bieden. PulseComply helpt ons dat elke dag waar te maken, het is de ruggengraat die je niet ziet, maar wel voelt.”
