Yes! Twintos is in juli 2025 gecertificeerd voor ISO 27001:2022. We zijn natuurlijk blij dat we opnieuw het ISO-certificaat hebben. Maar informatiebeveiliging gaat bij ons veel dieper dan voldoen aan de norm. John Paul van Helvoort, mede-oprichter van Twintos: ‘continu alert zijn, dat zit van nature in ons.’
Wat ISO 27001:2022 betekent voor data in de zorg, overheid en finance
ISO27001:2022 is de nieuwste versie van de wereldwijde standaard voor informatiebeveiliging. Deze norm is voor veel van onze klanten een basisvoorwaarde. Twintos beheert databases voor bijvoorbeeld ziekenhuizen, financiële dienstverleners en overheidsinstellingen. We werken vaak met extreem privacygevoelige informatie, zoals patiëntengegevens. We houden data non-stop online waar Nederland geen seconde zonder kan, zodat de treinen blijven rijden en er morgen vers eten in de winkel ligt.
Hoe je databases beheert volgens ISO 27001:2022
Vandaar dat we informatiebeveiliging zo serieus nemen. Een voorbeeld? John Paul van Helvoort, mede-oprichter van Twintos, vertelt over de lagen van beveiligingsmaatregelen die we nemen: ‘we beheren databases voor onze klanten, maar: de data blijft altijd bij de klant staan. Daarmee sluiten wij al veel risico’s uit. En als bijvoorbeeld een ziekenhuis aan ons vraagt om een probleem met de database op te lossen, nemen wij remote een scherm over bij het IT-team. We werken dus altijd op de desktop van de klant zelf.’
De norm impliceert wat ons betreft ook dat wij en onze klanten en partners elkaar onderling controleren en scherp houden.
Informatiebeveiliging op schermniveau
Maar dan zijn we er nog niet. John Paul vervolgt: ‘dan blijft er nog het risico over dat er een collega langsloopt op het moment dat een van onze database engineers werkt op een desktop in het ziekenhuis. Die zou dan in theorie patiëntgegevens kunnen zien op het scherm. Daarom hebben we een bewustwordingsprogramma dat onze teamleden leert om die data in zo’n situatie af te schermen. Een andere mogelijkheid zou zijn dat er een opening ontstaat omdat een van onze laptops niet gelockt is. Daarom hebben we een automatisch lockbeleid op alle computers en telefoons.’
Waar ISO 27001:2022 niet (expliciet) om vraagt
Op zich ben je voor de ISO-certificatie klaar als je op die manier alle risico’s in je bedrijf in kaart brengt, de mitigerende maatregelen omschrijft en die toetst. Maar wij kijken verder dan ons eigen bedrijf. John Paul: ‘de norm impliceert wat ons betreft ook dat wij en onze klanten en partners elkaar onderling controleren en scherp houden.’
Stel dat iemand bijvoorbeeld inloggegevens onveilig stuurt, wat helaas nog steeds gebeurt. Dan nemen we daarin ook verantwoordelijkheid, want zo’n account is dan gecompromitteerd.
Zorgdata beveiligen is communiceren
John Paul vervolgt: ‘Stel dat iemand ons bijvoorbeeld inloggegevens stuurt op een onveilige manier; dat zien we helaas nog steeds gebeuren. Dan nemen we daarin ook verantwoordelijkheid, want zo’n account is dan gecompromitteerd. We nemen eerst het grootste risico weg, door direct te vragen om het wachtwoord te resetten. Daarna vragen we om het nieuwe wachtwoord via een apart kanaal te sturen zonder herleidbare informatie erbij. En als het vaker gebeurt, gaan we het gesprek aan.’
Van toegangsbeheer tot zero trust-strategie
John Paul: ‘de ISO 27001:2022-norm verplicht dat niet, maar wij vinden dit elementair voor het beveiligen van data. Door op die manier ook anderen scherp te houden, draag je bij aan een betere wereld, vinden wij.’
We hebben om die reden ook een methode ontwikkeld om patiëntprivacy te beschermen wanneer IT-leveranciers werken met de zorgdata voor ziekenhuizen. In het begin leek het onmogelijk. Nu werkt het zo goed dat collega-leveranciers aan ziekenhuizen vragen of ze ook met deze methode willen werken. Meer weten? Bekijk deze case over patiëntprivacy.
Daarom is Twintos opnieuw ISO 27001-gecertificeerd. Niet omdat het moet, maar omdat we willen dat álles klopt. Van toegangsbeheer tot zero trust-strategie, en van sollicitatieprocedure tot rampenscenario’s. We willen er tenslotte allemaal op kunnen vertrouwen dat onze zorgdata of andere gevoelige informatie veilig is.
Kortom: we denken continu na over onze visie op informatiebeveiliging. Benieuwd wat we voor de kritieke data in jouw organisatie kunnen doen? Bekijk onze diensten of neem meteen contact op, dan plannen we deze week nog iets in.
Mail John Paul van Helvoort.
Of bel ons algemene nummer: +31 85 1302910.