Hoe Handpicked Agencies informatiebeveiliging centraal organiseert

Veel digital agencies hebben hun informatiebeveiliging in de praktijk best goed geregeld. Alleen kunnen ze het niet aantonen op het moment dat een klant doorvraagt. Dat is waar de uitdaging meestal start. Handpicked Agencies herkende dat punt al vroeg. Niet omdat er iets misging, maar omdat ze merkten dat “we hebben het goed geregeld” simpelweg niet meer genoeg was tijdens de gesprekken met nieuwe én bestaande opdrachtgevers.

De stap van vertrouwen naar aantoonbare kwaliteit

Bij Handpicked begon dat besef al ruim tien jaar geleden, nog voordat termen als AVG of NIS2 dagelijks op tafel lagen. Arthur Engel maakte die ontwikkeling van dichtbij mee. Hij was op dat moment technisch verantwoordelijk bij E-sites, het bureau waar Handpicked Agencies uit is ontstaan, en groeide door naar een rol waarin hij zowel technisch als strategisch betrokken raakte bij de groep.

Juist vanuit die positie zag hij waar het begon te wringen. Dat werd met name duidelijk tijdens een audit rondom een zorgplatform met DigiD-integratie. “Tijdens die audit kwamen we tot de conclusie dat alles wat zij vroegen, wij wel op een bepaalde manier geregeld hadden,” vertelt Arthur. “Maar de grootste uitdaging was dat we dat nergens echt goed omschreven hadden. We moesten de hele tijd eigenlijk antwoord geven van: ja, dat doen we. Je moet me vertrouwen op mijn woord.”

De audit werd gehaald. Maar het echte inzicht kwam misschien wel daarna. Want als je werk inhoudelijk klopt, maar je kunt het niet meteen aantonen, hoe schaalbaar is je organisatie dan?

Van intentie naar bewijs

Het zou makkelijk zijn om dit verhaal te beginnen bij wet- en regelgeving. Bij de opkomst van de AVG. Maar voor Handpicked begon de behoefte aan bewijslast al een stuk eerder en om een andere reden. Niet omdat er iets misging, maar omdat ze merkten dat “we hebben het goed geregeld” op een gegeven moment niet meer genoeg is.

Arthur Engel (CISO en Tech Consultant bij Handpicked Agencies) zag dat van dichtbij gebeuren. Hij werkte op dat moment bij E-sites, het bureau waar Handpicked uit is ontstaan, en was betrokken bij zowel de techniek als de manier van werken binnen het team. Binnen dat bureau werd al uiterst serieus omgegaan met data en systemen. Engel schetst: “Dat was geen marketingverhaal, maar gewoon hoe er gewerkt werd. De kennis was aanwezig, de intentie was goed en de processen bestonden. We hadden het allemaal wel geregeld, maar nergens echt goed omschreven.”

Dit is vaak de fase waar veel organisaties blijven hangen. Ja, ze groeien op basis van vertrouwen en vakmanschap. Intern werkt het. Iedereen weet hoe dingen gaan. Maar extern bestaat die zekerheid niet. Zolang niemand doorvraagt, blijft dat onzichtbaar. Totdat iemand wel doorvraagt.

In dit geval gebeurde dat tijdens een audit rondom een zorgplatform met DigiD-integratie. “Daar werd duidelijk dat het verschil tussen “het goed doen” en “het kunnen aantonen” groter is dan je denkt,” herinnert Engel zich.

De audit werd gehaald, maar het inzicht bleef hangen. Als je organisatie groeit, klanten kritischer worden en trajecten complexer, dan wordt impliciet werken een risico. Niet omdat je je beveiliging niet op orde hebt, maar omdat je het niet kunt bewijzen op het moment dat het ertoe doet.

Voor Engel en zijn collega’s was dat het moment om het structureel aan te gaan pakken. E-sites werd daarmee het eerste label binnen de groep dat serieus werk maakte van een ISO 27001-traject. Deze eerste implementatie organiseerde het label zelf, nog voordat later samen met MNP Solutions werd gebouwd aan een meer overkoepelende en schaalbare aanpak voor de groep.

Twaalf bedrijven, één beleid

Engel omschrijft zijn huidige rol in dat proces als een dubbelrol. Hij is CISO van de Handpicked Agencies groep en daarmee eindverantwoordelijk voor het informatiebeveiligingsbeleid van de gehele organisatie. Tegelijkertijd werkt hij als technisch consultant voor individuele labels en projecten, soms intern en soms in klanttrajecten. Het bijzondere aan die CISO-rol is dat hij die uitvoert zonder een formele hiërarchische positie: Handpicked Agencies bestaat uit twaalf digitale bureaus, elk met een eigen directie, eigen klanten, eigen strategie en eigen manier van werken. Ze zijn geen afdelingen van één bedrijf, ze zijn zelfstandige bedrijven die deel uitmaken van een groep. Die structuur maakt het netwerk sterk, maar maakt centrale sturing iets waar aandacht in gaat zitten, zo schetst Engel: "We kunnen simpelweg niet zomaar top-down roepen: jullie moeten dit doen."

Het werken met informatiebeveiliging in deze context vraagt dus iets anders dan bij een enkelvoudige organisatie. “Je wilt geen beleid doordrukken. Je moet overtuigen. En dat doe je niet met compliance-argumenten, maar met het benoemen van concrete voordelen: dit beleid levert je de volgende kansen op én dit is wat wij als groep al hebben geregeld.” schetst Engel de kern van die overtuiging. 

Dat werkt omdat de groep al een gedeelde infrastructuur heeft. “Afdelingen als HR, systeembeheer, finance lopen allemaal via een shared service center vanuit Handpicked Agencies. Wie gebruik wil maken van die centrale voorzieningen, werkt op de Handpicked manier. En die manier omvat dus ook informatiebeveiliging. Zo ontstaat er dus geen dwang maar vooral een duidelijke aantrekkingskracht.”

Drie labels, drie parallelle cyclussen

Die centrale aanpak stond er niet meteen. “Na de eerste succesvolle ISO-certificering gingen andere labels ook aan de slag met ISO 27001. Dat was logisch, want de behoefte groeide in de markt. Klanten gingen steeds vaker vragen stellen. Contracten bevatten steeds vaker eisen op het gebied van beveiliging en privacy. De markt bewoog.” vertelt Engel over die beweging. 

Maar de manier waarop compliance zich ontwikkelde, was nog voor verbetering vatbaar: "Wat we zagen was dat het tweede label dat aan de slag ging met de ISO 27001, een soort kopie maakte van de aanpak die we al hadden voor de eerste organisatie. En die ging synchroon draaien naast de oorspronkelijke aanpak. Daarmee zat er dus heel veel overlap in taken en werkzaamheden." 

In eerste instantie gebeurde alles dus per label. Er was inmiddels al veel opgebouwd en ook een volgend label ging zelfstandig aan de slag met een vergelijkbare aanpak. Juist daardoor werd zichtbaar hoeveel dubbel werk erin zat.

Op een gegeven moment waren er drie labels die elk zelfstandig hun ISO-cyclus draaiende hielden. Drie keer dezelfde stappen. Drie keer dezelfde documentatie bijwerken. Drie keer een externe audit voorbereiden. Drie keer het wiel uitvinden. Dat was het moment waarop Handpicked besloot om het anders te doen.

De overstap naar een groepsaanpak was niet alleen een organisatorische keuze, het markeerde ook het inzicht dat informatiebeveiliging bij een bureaugroep van deze omvang niet per label georganiseerd kan worden. Niet efficiënt, niet schaalbaar en uiteindelijk ook niet effectief.  "Onze labels zitten niet allemaal in de scope van de ISO, maar ze zijn wel alle twaalf onderdeel van ons informatiebeveiligingsbeleid. Want anders worden de niet deelnemende labels een risico voor de ander."

Hoe je twaalf labels meekrijgt zonder ze te dwingen

De groepsaanpak werkt via een mechanisme dat simpeler klinkt dan het is. Per label wordt één persoon aangewezen als Security Officer. Niet als functie, maar als rol. Engel omschrijft: “Deze persoon kan een projectmanager zijn, een tech lead, een ontwikkelaar, maar wat ze gemeen hebben is dat ze het aanspreekpunt zijn voor alles wat met informatiebeveiliging te maken heeft binnen hun label.”

Wat er vervolgens vanuit de groep centraal wordt georganiseerd is aanzienlijk. Het beleid op hoofdlijnen ligt er al. De documentatie-infrastructuur staat. Het onboarding-draaiboek voor nieuwe labels is uitgewerkt. Alles rondom het in dienst nemen en uitrusten van medewerkers is al in de aanpak verwerkt. Wat er nog overblijft voor het individuele label is ineens heel behapbaar.

Engel beschrijft de voordelen van die aanpak: "Elk jaar is er een label bijgekomen in de scope. Dit jaar is het negende label aangesloten van de twaalf. En die hoeven niet meer zo verschrikkelijk veel te doen, want al die zaken rondom het onboarden van medewerkers of het uitleveren van apparatuur, dat is allemaal al geregeld. Daarnaast hebben we de scope ook uitgebreid met de ISO 9001 kwaliteitsnorm en specifiek voor een aantal labels ook de NEN 7510, voor de informatiebeveiliging van zorggegevens."

Het meest concrete voorbeeld van wat dit betekent is Unlock Mobile Agency, een van de labels van de groep, gespecialiseerd in mobile app ontwikkeling. Unlock heeft zo'n tien medewerkers. "Zij zouden op het moment dat ze een losstaande organisatie waren, niet snel een ISO 9001 of NEN 7510 certificaat gaan halen. De overhead is dan snel te groot. Maar omdat ze gebruik kunnen maken van de kennis en expertise die we in de groep hebben, is het voor hen wel haalbaar." 

Een certificaat dat voor een zelfstandig bureau van deze omvang financieel en organisatorisch vaak moeilijk haalbaar is, wordt via de groepsstructuur wel realistisch. Met alle positieve gevolgen voor de concurrentiepositie die Unlock in de markt kan innemen.

Geen papieren tijger

De meest gehoorde zorg rondom ISO-certificeringen is dat het vooral papierwerk genereert dat weinig met de dagelijkse praktijk te maken heeft. Een cyclus van audit tot audit, waarbij het systeem draait omdat het moet draaien en niet omdat het iets oplevert. Binnen Handpicked is die valkuil bewust vermeden, en dat vergt meer dan goede intenties alleen.

Engel stelt, zonder omhaal: "Niemand binnen onze organisatie wordt enthousiast van een risicosessie." Een eerlijke observatie over hoe mensen omgaan met compliance-verplichtingen én ook het vertrekpunt van een aanpak die dat gevoel probeert weg te nemen. In plaats van nieuwe processen op te tuigen omdat de norm dat vereist, kijkt men bij Handpicked altijd eerst naar wat er al is. Engel: “Welke overleggen vinden er al plaats? Welke beslissingen worden er al genomen? Welke risico's worden er al besproken, ook al heet het gesprek geen risicosessie? Voldoen onze processen al aan de eisen? En zo niet, wat moeten we dan doen om daar naartoe te gaan?"

In de praktijk betekent dit dat een overleg over projectrisico's bij een klant kan dienen als bewijs voor risicobeheer in het ISMS. Dat een bestaand werkoverleg wordt gebruikt om beveiligingskwesties te bespreken, in plaats van daar een apart moment voor te plannen. Dat besluiten die toch al worden genomen worden vastgelegd op een manier die ze herleidbaar maakt. “We hebben het er vaak al over, alleen noemen we het geen risicomanagement. In een projectoverleg bespreken we bijvoorbeeld waar iets mis kan gaan. Het verschil is dat we dat nu ook vastleggen, zodat we kunnen aantonen dat we hier structureel aandacht voor hebben.” 

Het resultaat is dat het systeem aansluit op de werkelijkheid van de labels, in plaats van het bouwen van een papieren werkelijkheid bovenop die werkelijkheid.

Van concurrentievoordeel naar toegangseis

Toen E-sites begon met ISO 27001 leverde het behalen van een certificaat nog een onderscheidende positie op. Als webbureau waren ze een van de eersten die het certificaat behaalden. In sectoren zoals de zorg, waar Handpicked traditioneel sterk in is, kon je daarmee klanten geruststellen op een manier die concurrenten niet konden bieden. Dat is veranderd.

Engel constateert: "Voor digital agencies is het een soort hygiënelaag geworden." De markt heeft het basisniveau opgetrokken. Een certificaat dat tien jaar geleden een voorsprong gaf, is nu een randvoorwaarde geworden. Hij vervolgt: “Wil je werken voor partijen in de zorg, waarbij informatiebeveiliging bij het eerste gesprek al op tafel ligt, dan is dit allang geen pluspunt meer. Het is een vereiste.”

Samen optrekken met MNP Solutions

Nadat meerdere labels dus eerst grotendeels zelfstandig aan hun ISO-aanpak hadden gewerkt, ontstond de behoefte om het centraler, slimmer en schaalbaarder te organiseren. In die fase haakte MNP Solutions aan als partner om die groepsaanpak te helpen structureren en ondersteunen. Inmiddels werkt Handpicked alweer een aantal jaar op die manier samen met MNP Solutions en staan er binnenkort opnieuw externe audits gepland.

De samenwerking heeft een vaste structuur. Twee vaste gezichten van MNP zijn elke twee weken aanwezig in Breda, het centrale kantoor van de groep. Op die dinsdag bespreken ze met Engel en andere betrokkenen waar dingen staan, of ze op schema liggen richting de audits, wat voor bijzonderheden er spelen en wat de prioriteiten zijn voor de komende twee weken.

De rolverdeling wisselt per onderwerp en per periode. Soms brengt MNP specifieke inhoudelijke kennis mee die Handpicked zelf niet heeft. Inzichten rondom NIS2 en de Cyber Resilience Act zijn daar recente voorbeelden van. "Dat zijn dan zaken die voor ons inhoudelijk eigenlijk net onze pet te boven gaan. Het is heel fijn dat we dan kunnen leunen op de kennis en expertise van MNP."

Op andere momenten is de bijdrage pragmatischer. Een workload die verdeeld wordt, taken die worden uitbesteed omdat de capaciteit intern gewoon niet beschikbaar is. Engel: “De lijnen zijn altijd kort en als het op strategisch vlak nodig is, schakel ik ook net zo makkelijk met Jeroen (Partner bij MNP Solutions -red.). Dat vind ik erg prettig aan de samenwerking. We hebben samen dezelfde visie ontwikkeld over wat op het vlak van informatiebeveiliging en privacy goed is voor Handpicked. Het voelt daarom ook helemaal niet per se als een samenwerking met een externe partij. MNP Solutions is een verlengstuk van ons team."

Opbrengst van de samenwerking

De meest zichtbare winst van de met MNP Solutions geïmplementeerde groepsaanpak is efficiëntie. Drie parallelle ISO-cyclussen zijn vervangen door één gecoördineerd systeem waar nieuwe labels op aanhaken in plaats van opnieuw beginnen. Maar er is een winst die minder zichtbaar is en misschien groter.

Door expliciet te maken wat eerder impliciet was, door processen vast te leggen, risico's te adresseren en verantwoordelijkheden te beleggen, is er binnen Handpicked een manier van werken ontstaan die meegroeit met de organisatie én de tijd. Elk jaar worden er nieuwe labels aan de scope toegevoegd. De aanpak hoeft daarvoor niet opnieuw te worden uitgevonden.

Het doel van Handpicked is daarbij helder. Het streven is om uiteindelijk alle twaalf labels in de scope te hebben, zowel voor ISO 27001 als voor ISO 9001. Het negende label sluit dit jaar aan. De drie die overblijven zijn kleinere labels, en juist voor die labels geldt dat de drempel het laagst is op het moment dat de groepsinfrastructuur het meeste werk al heeft gedaan.

Wat ooit begon als een reactie op een audit die te lang duurde en nog te veel afhankelijk was van goed vertrouwen, is uitgegroeid tot een systeem dat informatiebeveiliging organisch integreert in de manier waarop een bureaugroep van driehonderd mensen werkt. Niet als laag bovenop het werk. Als onderdeel ervan.