ISO 27001 & NEN 7510 gecertificeerd: wat betekent dat voor jou als STAPP gebruiker?

STAPP is ISO 27001 & NEN 7510 gecertificeerd: wat is het eigenlijk en wat betekent dat voor jou als STAPP gebruiker?

In gesprek met Larissa, office manager bij STAPP

In de wereld van digitale zorgoplossingen is informatiebeveiliging belangrijker dan ooit. Patiëntgegevens mogen nooit op straat belanden en therapeuten moeten kunnen vertrouwen op veilige systemen. Bij STAPP begrijpen we dit als geen ander. Daarom zijn we sinds kort officieel gecertificeerd voor zowel ISO 27001 als NEN.

Maar wat houdt dat eigenlijk in? Deze certificeringen betekenen dat onze manier van werken – van softwareontwikkeling tot interne processen – grondig is beoordeeld door een onafhankelijke, externe partij. In ons geval is dat keuringsinstantie Kiwa. Zij hebben vastgesteld dat STAPP voldoet aan alle strenge eisen rondom informatiebeveiliging: internationaal (ISO 27001) én specifiek voor de zorg in Nederland (NEN 7510).

We spraken met Larissa, office manager bij STAPP, die vanaf het begin nauw betrokken was bij dit traject.

Wat is informatiebeveiliging precies?
 “Informatiebeveiliging gaat niet alleen over techniek,” legt Larissa uit. “Het gaat om het totaalplaatje. Je moet ervoor zorgen dat gevoelige gegevens, zoals patiëntinformatie, altijd goed beschermd zijn. Veel mensen denken dan al snel aan dingen als veilige servers of toegangsrechten. Dat is belangrijk, maar het gaat echt veel verder dan dat.”

Bij STAPP werd elk detail onder de loep genomen. “We hebben letterlijk alles doorgelicht,” vertelt Larissa. “Van arbeidsovereenkomsten tot hoe we laptops en printers instellen. Van welke leveranciers we betrekken tot wie er bij ons het kantoor binnen mag. Alles moet je in kaart brengen, vastleggen, controleren en blijven verbeteren. En dat wordt allemaal getoetst tijdens een officiële audit, uitgevoerd door een externe auditor die hierin is gespecialiseerd.”

Het traject was intensief. “We zijn er ruim een jaar mee bezig geweest in de voorbereiding. Maar daarmee ben je er niet. Informatiebeveiliging is geen eenmalige actie of een project dat je afrondt. Het is iets wat je continu aandacht moet blijven geven. Daarom is het ook zo waardevol dat we nu gecertificeerd zijn. Het houdt ons scherp en helpt ons om die hoge standaard vast te houden.”

Hoe zag het traject eruit?

"Als office manager heb ik veel contact met klanten én collega’s. Ik heb me daarom vooral gericht op het opzetten van het ISMS (Information Security Management System) en op het vertalen van de norm naar onze dagelijkse praktijk. Dat deed ik samen met Bart, onze CTO en security officer."

Het certificeringstraject zelf was intensief. "Er zijn in totaal 93 beheersmaatregelen binnen ISO 27001, en NEN 7510 voegt daar extra zorgspecifieke eisen aan toe. De grootste uitdaging was om te bepalen welke onderdelen voor STAPP echt essentieel zijn en welke ondersteunend. Tegelijkertijd waren we ook volop bezig met de bouw van het nieuwe platform. Toch bleef het traject belangrijk voor ons. Niet omdat het moest, maar omdat we ervan overtuigd waren dat dit de juiste stap was."

"We hebben ons niet laten certificeren omdat het moest, maar omdat we vinden dat informatiebeveiliging vanzelfsprekend hoort te zijn in de zorg."
 – Larissa, office manager bij STAPP

Wat is er concreet veranderd?

"Vooral de bewustwording is enorm gegroeid. Je gaat anders nadenken over risico’s. We stellen nu vooraf meer vragen. Heeft iemand deze informatie écht nodig? Hoe slaan we gegevens op? Wat als iets misgaat? Ook de kracht van herhaald controleren is nu onderdeel van hoe we werken: niet één keer iets nalopen, maar periodiek blijven toetsen."

Wat betekent dit voor gebruikers?

Heel concreet: STAPP is gecontroleerd door een onafhankelijke partij (Kiwa), die heeft vastgesteld dat we voldoen aan de nationale en internationale normen voor informatiebeveiliging in de zorg. "Dat betekent dat logopedisten, instellingen en patiënten er op kunnen vertrouwen dat hun gegevens bij ons veilig zijn verwerkt en opgeslagen.”

Bijvoorbeeld: STAPP kiest bewust voor een Nederlandse hosting leverancier. Daarmee garanderen we dat patiëntgegevens binnen de EU blijven. Daarnaast beperken we toegang tot informatie strikt tot wat iemand nodig heeft voor zijn of haar werk.

Waarom is dit relevant voor logopedie?

"Digitalisering binnen de zorg is niet nieuw, maar in de (neuro) logopedie begint het nu écht op gang te komen," zegt Larissa. "Waar therapeuten eerder werkten met oefeningen op papier, gaat met STAPP alles digitaal. En wat digitaal is, kan kwetsbaar zijn. We willen dat therapeuten kunnen werken zonder zich zorgen te maken over datalekken of onveilige systemen."

En nu?

De certificering is geen eindpunt. "ISO en NEN zijn geen eenmalige stickers. We blijven verbeteren, en volgend jaar komt Kiwa opnieuw langs om te controleren of we nog steeds aan alle eisen voldoen. Dat is juist waardevol, want zo blijft informatiebeveiliging een actief en zichtbaar onderdeel van hoe we bij STAPP werken."

Kortom: STAPP is klaar voor de toekomst van digitale logopedie. Veilig, verantwoord, vertrouwd en met oog voor de praktijk. Heb je vragen over hoe wij omgaan met informatiebeveiliging? Neem gerust contact met ons op.

Wil je onze certificaten en de Verklaring van Toepasselijkheid bekijken, inclusief de scope van de certificering?
Je vindt ze hier: ISO 27001 & NEN 7510