Jaja, we zijn er best een beetje trots op, maar we zijn nu eindelijk ISO 27001 en 9001 gecertificeerd. Een flinke klus en middels dit artikel willen we je vertellen wat het ons heeft gekost en gebracht, welke stappen we hebben doorlopen, en waarom het wellicht een goede stap voor jouw organisatie is.
Waarom ISO?
Allereerst, waarom ISO? We merkten een aantal dingen op, die er gezamenlijk voor hebben gezorgd dat we de keuze hebben gemaakt om een ISO certificering te willen behalen. Wellicht zit er iets bij waarin je jezelf kan herkennen.
1. Onderscheidend vermogen
We zijn werkzaam in een branche met te veel aanbieders. Van talloze andere marketingbureaus, tot krankzinnig veel freelancers, er is meer dan genoeg aanbod in de markt. Dus er moet een manier zijn om je te onderscheiden. Bij ODIV hebben we ervoor gekozen om onderscheidend te zijn, door alleen maar seniore specialisten aan te nemen én geen managementlaag in te bouwen. Op deze manier blijven we goedkoper dan menig bureau, maar kunnen we wel kwaliteit werk leveren. Maar goed, er is geen enkel ander bureau dat zegt geen kwaliteit te kunnen leveren, dus we moeten het wel hard kunnen maken. Uit ons concurrentieonderzoek kwam naar voren dat van de 30 concurrenten die wij regelmatig tegenkomen er slechts 1 een ISO-certificering had. En daarom vonden wij het een interessante manier om, naast goede reviews, cases, en mensen, ook een keurmerk eraan te hangen.
2. We zijn gehackt
ODIV is in 2020 gehackt en dat heeft een hoop gevolgen gehad. We zijn die hack, nadat we het succesvol hadden opgelost, ook gaan gebruiken naar buiten, omdat er amper bedrijven zijn die iets durven te delen over een hack. Luister bijvoorbeeld onze podcast bij De Ondernemer, of ons interview door de Kamer van Koophandel. Maar daarmee werd de hack zelf een kernonderdeel van ons bedrijf. Dat leidde ertoe dat we ook als dusdanig zijn gaan behandelen en we onze implementatie wilden staven aan de ISO 27001 norm.
3. We kunnen niet alles zelf meer
We zijn vrij hard gegroeid, en vanaf januari 2025 zijn we met 21 collega’s. Doordat we groter worden, is het van belang om onze processen en werkzaamheden goed vast te leggen, zodat de kwaliteit altijd hoog blijft. We waren dus al bezig om al onze processen onder de loep te leggen en er beleid voor te schrijven, zodat het duidelijk was voor iedere collega.
4. We kregen het advies van meerdere ondernemer
Andere ondernemers die een ISO-certificering al hadden, gaven allemaal aan dat ze liever ISO hadden gedaan toen ze kleiner waren. Naarmate je groter wordt, wordt het steeds meer een opgave en nu is het bedrijf nog behapbaar.
5. We werden stiekem beïnvloed door twee klanten
ODIV werkt voor Instant 27001 en ISOPlanner, twee tools die je helpen om een kickstart te kunnen maken met jouw ISO-certificering. Door veel met hen samen te werken, kregen we natuurlijk al een goed inkijkje in hoe dit proces in elkaar zit. Maar leuker was om het daadwerkelijk te beleven 😉
Wat is de investering?
We hebben geprobeerd om alles zo lean en efficiënt mogelijk in te richten. Dit is de afrekening geworden, waarbij we wel de kanttekening geven dat onderstaande kosten gelieerd zijn aan de grootte en complexiteit van het bedrijf.
Een korte uitleg per onderdeel:
Instant 27001
We hebben uiteraard gekozen voor Instant 27001 om een vooringevulde Confluence omgeving te krijgen. Die omgeving werkte fantastisch, want de norm staat ingevuld, er staat een advies bij, en vervolgens is het zaak om je eigen beleid eronder op te schrijven. Het ziet er zo uit:
Deze set-up maakt de certificering een stuk makkelijker, want je weet wat er vanuit de norm gevraagd wordt en er wordt al advies gegeven over hoe je de norm kan interpreteren.
AudITvision
Vervolgens hebben we gebruik gemaakt van AudITvision voor de interne audit. De interne audit is verplicht om voorafgaand aan een officiële certificering te doen. Tijdens deze audit krijg je een auditor, maar dan aan jouw zijde: iemand die probeert de zwaktes uit jouw beleid te vinden en te benoemen, zodat je die mogelijke problemen kan oplossen voor de ‘echte’ audits.
DigiTrust
Tot slot hebben we voor de fase 1 en fase 2 audits gebruikgemaakt van DigiTrust. Tijdens de fase 1 audit worden vooral standaardvragen gesteld om te kijken in hoeverre je de certificering serieus hebt genomen en in aanmerking mag komen om de pittige fase 2 audit in te gaan.
Nog twee sidenotes:
- Vergeet niet dat er nog één kostenpost bijkomt, die hierboven niet is genoemd: ieder jaar moet je opnieuw beoordeeld worden. De jaarlijkse kosten komen voor ODIV uit op ongeveer €2.500.
- En vergeet niet dat je er ook een hoop tijd in moet steken. Wij hebben in totaal 0,2 FTE voor een half jaar vrijgemaakt (verspreid over 3 personen) om ons klaar te maken voor de certificering.
- En vergeet niet dat je na je certificering ook nog wat tijd in de agenda beschikbaar moet houden om daadwerkelijk te gaan werken met ISO.
Wat is ons stappenplan geweest?
- We hebben als eerste tijd vrijgemaakt: om iets goed te kunnen doen, moet je er ook goed de focus op kunnen hebben. Bij ons werd iedere woensdag ISO-dag.
- En we hebben ervoor gezorgd dat er buy-in was: je hebt buy-in van het management nodig om ISO goed te implementeren in je organisatie, en ‘betrokkenheid van leiderschap’ is tevens een vereiste vanuit de norm.
- Daarna zijn we gaan plannen: je moet voorafgaand aan je fase 1 audit een interne audit hebben gedaan door een andere partij. En voorafgaand aan je interne audit wil je dat je alles voor ISO al hebt gedaan. Gemiddeld genomen hebben bedrijven 6 maanden nodig om alles te implementeren, dus reken van daaruit door naar je interne audit, een maand later je fase 1 audit en een maand later je fase 2 audit. De timeline ziet er ongeveer zo uit:
- Vervolgens hebben we de licentie gekocht van Instant 27001 en zijn we gewoon gaan lezen, en bemerkten we al snel: ISO is een bepaalde gedachtegang, een bepaalde manier van denken, die wij eigenlijk niet gewend waren. Als ondernemende mensen probeer je te denken in kansen, en minder in risico’s. Vanuit de ISO-norm wordt een hoop nadruk gelegd op mogelijke risico’s, en dat waren wij niet gewend. We merkten dus echt dat ISO moest gaan leven voor ons, en dat deden we door regelmatig met Maurice Pasman (eigenaar van Instant 27001) een consultancy-momentje in te plannen. Wij kaartten onze vragen aan, en hij gaf advies. Door deze gesprekken merkten we dat we langzaamaan begonnen te begrijpen hoe je moet denken. We merkten dat de volgende twee zinnen cruciaal waren om in gedachten te houden:
- Het maakt niet uit wat je opschrijft, zolang er maar is nagedacht over je beleid, en je je eigen beleid naleeft. De ISO normen moeten volgens de letter worden nageleefd, maar gaan vooral over het “wat”, niet over het “hoe”. Je mag dus zelf bepalen op welke manier je je houdt aan die norm.
- Maak het ‘Des ODIVs’: we zijn een waardegedreven organisatie en dat betekent dat we dus graag dingen op onze manier doen. Dus, onze vraag die we stelden, wanneer we ergens niet uitkwamen, was: “Hoe kunnen we dit doen op onze manier?”
- Interne audit: we hebben onze interne audit via AudITvision gedaan, wat erg goed is bevallen. Je hebt iemand aan jouw zijde, die denkt als een auditor, maar kijkt naar hoe jij de audit kan halen. Waar zitten de zwakke plekken, welke tips krijg je mee? Wij kwamen gelukkig goed uit onze interne audit, maar kregen wel een bak aan verbeterpunten mee. We hebben een aantal woensdagen gebruikt om de verbeterpunten op te lossen.
- Fase 1 audit: toen kwamen we aan bij de fase 1 audit via DigiTrust. Hier hadden we onszelf voor klaargestoomd, maar tijdens deze dag kwamen we erachter dat het niet zo spannend was. Er werden een aantal standaardvragen gesteld om te kijken of we het traject serieus genoeg hebben genomen en in hoeverre we in aanmerking kwamen voor de daadwerkelijke fase 2 audit.
- Fase 2 audit: dit is de audit ‘voor ‘t echie’. Deze audit vonden we wel heftig, want we hadden 3,5 dag een auditor over de vloer. Een auditor die alles wil weten, bewijslast wil zien, en de organisatie wil doorgronden. Het werkt eigenlijk als volgt: als er iets in jouw beleid staat, dan moet je dat beleid kunnen verdedigen. “Waarom staat het er zo?” En vervolgens, als je het beleid hebt verdedigd, dan moet je het beleid kunnen honoreren. “Laat maar zien dat je dat beleid ook zo volgt”. Dat betekent dat je goed moet nadenken over ‘doe je wel wat je zegt, en zeg je wel goed wat je doet?’ De fase 2 audit vonden we allemaal vrij pittig, maar we zijn geslaagd met slechts 1 non-conformiteit. De vlag mocht uit!
- Nu moeten we, volgens ons eigen beleid, op onze website de certificering delen. En hebben we uit onze fase 2 audit een hele lijst met ‘points for improvement’ ontvangen. Deze verbeterpunten gaan we nu iedere maand rustig proberen op te pakken, zodat we volgend jaar weer onze certificering zullen behalen.
Wat levert het op?
Ja, we zijn pas net gecertificeerd, dus het is lastig om te zeggen wat het ons echt oplevert. Maar we zien vooral twee voordelen voor het hebben van een certificering:
Onderscheidend vermogen: doordat er weinig partijen zijn die een ISO-certificering hebben, en doordat sommige grotere opdrachtgevers verplicht zijn om een leverancier met ISO-certificering te hebben, brengt dit ons (commerciële) kansen.
Robuuster bedrijf: we hebben over alle elementen van het bedrijf moeten nadenken en er een beleid op moeten schrijven. Daarnaast hebben we die visie ook met alle collega’s moeten delen, waardoor het algehele kennisniveau omhoog is gegaan en onze operatie gewoon stabieler staat.
Conclusie
Het is een pittige reis geweest, maar we zijn heel blij met het behalen van onze certificering. Ja, het kost wel wat geld en tijd, maar het brengt ook een hoop kansen en mogelijkheden met zich mee. En het zorgt er daarnaast voor dat je bedrijf gewoon stabieler staat. Dus wij kunnen zo’n ISO-traject van harte aanbevelen. Mocht je ergens vragen over hebben, onze deur staat altijd open, en we denken graag met je mee.